上周末,中国浙江温州一家小型皮鞋厂的吴老板咨询了一个问题,由于周末又是带正则又是怼996的,就没顾得上看,周一看了下,发现这个一个非常典型且有意思的问题。

先说Loopback网卡,它一般的用途有三个:

  • 用于网络软件发布前的测试。
  • 用于协议栈本身的测试。
  • 用于配置一些可以标识主机的IP地址以供管理和接入(比如Linux LVS)。

早年,我也写过关于Loopback的两篇文章:
用IP地址的用途理解Loopback接口: https://blog.csdn.net/dog250/article/details/12272455
从Loopback接口扯一通Linuxer和Cisco NP/IE谁能爆了谁: https://blog.csdn.net/dog250/article/details/41908945
可以随便看看。

但是到了IPv6时代,很多IPv4时代看起来理所当然的配置,玩不转了。

我们先看一个IPv4的例子。

主机A和主机B,分配配置如下:

# 主机A
lo:1.1.1.1/8    # 提供接入
eth0:1.1.1.2/24 # 提供连通性保证
net.ipv4.conf.all.arp_ignore=0 # 可以让Loopback地址被解析# 主机B
eth0:1.1.1.3/24

现在,在主机B上去连接主机A的loopback地址1.1.1.1,是通的。原因非常简单:

  1. 主机A的arp_ignore特性保证loopback的地址可供解析。
  2. 主机B的eth0和主机A的loopback地址处在同一地址段,保证arp可以直接进行。
  3. 主机A的1.1.1.1这个目标地址在主机A的Local表中。
  4. 主机A的eth0地址的链路层路由提供了反向连通性。

一切看起来理所当然。但是这合理吗?

我们知道,LVS的DR模式一直 利用了 以上的这种配置方法提供负载均衡机制。

不同的是,设主机B为LVS服务器,主机A将arp_ignore设置为1,这样一来,主机A的Loopback接口地址1.1.1.1就不能被arp解析到了,只能在LVS服务器主机B上硬封装目标MAC地址来提供链路层可达性,而目标MAC地址则可以通过和主机A的eth0通信获取。

我们一直在用的LVS-DR,原来就是以上这么一个Trick!哈哈。

在IPv4/ARP时代,能玩的Trick非常之多,能被有效利用的也不少。但是到了IPv6时代,事情起了变化。我们来具体看一下。

主机A和主机B,分配配置如下:

# 主机A
lo:2222:2222::2222/64    # 提供接入
eth0:2222:2222::3333/64 # 提供连通性保证
# IPv6不再有net.ipv4.conf.all.arp_ignore配置# 主机B
eth0:2222:2222::456/64

试着从主机B去ping一下主机A的Loopback地址,不通了吧。原因很简单:

即地址解析失败,主机A不再回复针对自己Loopback网口的IP地址解析应答。

和IPv4的ARP不同,RFC4861的7.2.3小节是有规定的:
https://tools.ietf.org/html/rfc4861#section-7.2.3

这看起来非常合理,因为IPv6定义了严格的scope的概念,所谓的 邻居解析 中的 邻居 关系,仅仅限于Link scope这个范围,也就是说,两块直连的网卡上配置的IPv6地址是邻居,而不是像ARP中模糊规定的那样,一块网卡的邻居可以是直连网卡所属主机上的任何IPv4地址。

按照邻居的定义,从这个意义上讲, IPv4的地址是属于主机的,而IPv6的地址则是属于网卡的。 这个和按照OSI/RM路由模型意义上理解的有所不同,值得注意。

我们来溯源一下。ARP是在1982年被RFC826定义的陈年协议:
http://www.networksorcery.com/enp/rfc/rfc826.txt
我们来看一下RFC826所述的ARP Request处理流程:

这就是说,IPv4看来,链路对端主机上所有的网卡所有的IPv4地址,都是邻居,而IPv6则不同,RFC4861的邻居发现规定,只有链路对端网卡上的IP地址,才是邻居。

即便如此,Linux系统在内核协议栈层面还是提供了下面的参数,以便你自己可以解释RFC826未解释清楚的模糊地带:

net.ipv4.conf.XX.arp_ignore
net.ipv4.conf.XX.arp_filter

你可以通过定义上述参数,自己来决定邻居是网卡还是主机:

说了半天,上面那个例子,如何在IPv6的情况下,让主机B可以ping通主机A的2222:2222::2222地址呢?

很简单,用路由指示nexthop啊:

# 主机A
lo:2222:2222::2222/64    # 提供接入
eth0:2222:2222::3333/64 # 提供连通性保证
eth0:fe80::eb7c:b2da:7088:3c38 # Link-Local地址,用于主机B的下一跳
# IPv6不再有net.ipv4.conf.all.arp_ignore配置# 主机B
eth0:2222:2222::456/64
# 设置一条比kernel发现的链路层路由前缀更长的明细路由即可
ip -6 route add 2222:2222::2222/128 via fe80::eb7c:b2da:7088:3c38 dev eth0

IPv6不再允许乱玩IPv4/ARP未明确规定的灰色地带,通过严格限制scope,明确了IP路由的严谨性。你如果不想通过标准的IP路由连通主机A和主机B,那么就采用LVS-DR模式的自行封包机制,即 发往主机A的数据包的目标MAC地址不再通过针对Loopback地址的邻居解析而来,而是通过到达主机A的eth0的路由表项来获取。

可以说,IPv6的LVS-DR更加简单了,因为不必再担心Loopback接口的IPv6地址被解析造成地址冲突,省去了arp_ignore的配置。

下面看看IPv6的Loopback地址本身。

IPv4的Loopback地址是一个网段 127.0.0.0/8 ,这意味着这个超级大的段里的所有IP地址均属于本机Loopback!你可以试一下:

[root@localhost ~]# ping 127.9.2.3 -c 1
PING 127.9.2.3 (127.9.2.3) 56(84) bytes of data.
64 bytes from 127.9.2.3: icmp_seq=1 ttl=64 time=0.016 ms--- 127.9.2.3 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.016/0.016/0.016/0.000 ms
[root@localhost ~]#
[root@localhost ~]#
[root@localhost ~]# ping 127.1.4.7 -c 1
PING 127.1.4.7 (127.1.4.7) 56(84) bytes of data.
64 bytes from 127.1.4.7: icmp_seq=1 ttl=64 time=0.015 ms--- 127.1.4.7 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.015/0.015/0.015/0.000 ms

我们也可以用TCP的 同时打开 特性在本机上telnet任意的127.0.0.0/8段的侦听端口:

[root@localhost ~]# telnet 127.199.200.100 22
Trying 127.199.200.100...
Connected to 127.199.200.100.
Escape character is '^]'.
SSH-2.0-OpenSSH_7.4
Connection closed by foreign host.

[root@localhost ~]# netstat -antp
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      968/sshd
tcp        0      0 127.199.200.100:22      127.0.0.1:43605         ESTABLISHED 3062/sshd: [accepte
tcp        0      0 192.168.56.101:22       192.168.56.1:50846      ESTABLISHED 1152/sshd: root@pts
tcp        0      0 127.0.0.1:43605         127.199.200.100:22      ESTABLISHED 3061/telnet
tcp6       0      0 :::22                   :::*                    LISTEN      968/sshd
[root@localhost ~]#

因此,如果我们希望在本机测试一个服务器软件的并发连接,我们便可以使用127.0.0.0/8段内的任意地址做客户端或者服务器端。

不光如此,如果你觉得127.0.0.0/8这个段太特殊,那你可以可以随意配置任何IPv4段:

[root@localhost ~]# ip addr add dev lo 22.22.22.22/24
[root@localhost ~]#
[root@localhost ~]# ping 22.22.22.123 -c 1
PING 22.22.22.123 (22.22.22.123) 56(84) bytes of data.
64 bytes from 22.22.22.123: icmp_seq=1 ttl=64 time=0.016 ms--- 22.22.22.123 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.016/0.016/0.016/0.000 ms
[root@localhost ~]#
[root@localhost ~]# ping 22.22.22.79 -c 1
PING 22.22.22.79 (22.22.22.79) 56(84) bytes of data.
64 bytes from 22.22.22.79: icmp_seq=1 ttl=64 time=0.016 ms--- 22.22.22.79 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.016/0.016/0.016/0.000 ms

然而IPv6不能这样了。

IPv6规范 Loopback环回地址只有一个地址::1/128,而不是一个网段。

这是可以理解的。因为IPv6严格限定了scope。而Loopback的地址scope是HOST,即本主机内,言外之意,这个scope限制了 Loopback地址是出不来本机的。

我们从邻居的视角来看这个scope。这实际上指的是, 不同的scope限制了分层模型各个层次的直接可达邻居的范围和数量。

  • NOWHERE scope 一个节点都没有。
  • HOST scope 只有自己一个节点,没有邻居。
  • LINK scope 二层链路可达的互为邻居,即二层链路对端即邻居。
  • SITE scope(已废弃) 三层特定汇聚前缀的节点,即特定网段的三层可达节点之间互相为邻。
  • GLOBAL scope 所有节点,即所有三层可达的节点互相为邻。

既然HOST scope只有一个节点,无邻居,那么只有一个/128前缀的特殊地址了,IPv6规范规定为 ::1/128

然而我的理解和RFC的定义比较,可能有点不一致,Loopback真正的定义在:https://tools.ietf.org/html/rfc4291#section-2.5.3

2.5.3. The Loopback Address

The unicast address 0:0:0:0:0:0:0:1 is called the loopback address.
It may be used by a node to send an IPv6 packet to itself. It must
not be assigned to any physical interface. It is treated as having
Link-Local scope, and may be thought of as the Link-Local unicast
address of a virtual interface (typically called the “loopback
interface”) to an imaginary link that goes nowhere.

The loopback address must not be used as the source address in IPv6
packets that are sent outside of a single node. An IPv6 packet with
a destination address of loopback must never be sent outside of a
single node and must never be forwarded by an IPv6 router. A packet
received on an interface with a destination address of loopback must
be dropped.重点!

但是我个人觉得Loopback还是理解成HOST scope比较好!

注意上面RFC定义的第二段,这才是重点。简单来讲就是要做到 ::1/128这个Loopback地址不出本机!

现在留下一个问题, scope到底对Loopback接口上配置的地址,包括::1/128和其它所有添加到Loopback的地址有什么限制呢?

如上所述, 限制就是 Loopback地址不能有邻居! 毕竟,它的邻居是没有意义的,每一个主机的Loopback接口只有一个,没有什么机制能让Loopback和其它什么接口直连!

这意味着, 所有的Loopback接口上配置的地址,其整个前缀地址空间将全部不可达!

我们在Linux系统上看清楚这一切。我先来添加一个IPv6地址给Loopback接口:

[root@localhost ~]# ip -6 addr add dev lo 3333:3333::3333/64

随后我们看路由表,先看Local表:

[root@localhost ~]# ip -6 route ls tab local
local ::1 dev lo proto unspec metric 0
# 不错,这就是lo上的新地址生成的local路由,然而却没有类似IPv4的链路层路由
local 3333:3333::3333 dev lo proto unspec metric 0
local fe80::fbb2:a1e:e59:15eb dev lo proto unspec metric 0
ff00::/8 dev enp0s3 metric 256
ff00::/8 dev enp0s8 metric 256

没有看到类似IPv4添加完地址之后生成的链路层路由,我们看看main表:

[root@localhost ~]# ip -6 route ls tab main
unreachable ::/96 dev lo metric 1024 error -101
unreachable ::ffff:0.0.0.0/96 dev lo metric 1024 error -101
unreachable 2002:a00::/24 dev lo metric 1024 error -101
unreachable 2002:7f00::/24 dev lo metric 1024 error -101
unreachable 2002:a9fe::/32 dev lo metric 1024 error -101
unreachable 2002:ac10::/28 dev lo metric 1024 error -101
unreachable 2002:c0a8::/32 dev lo metric 1024 error -101
unreachable 2002:e000::/19 dev lo metric 1024 error -101
# 注意,竟然生成了一条unreachable路由!
unreachable 3333:3333::/64 dev lo proto kernel metric 256 error -101
unreachable 3ffe:ffff::/32 dev lo metric 1024 error -101
fe80::/64 dev enp0s8 proto kernel metric 100
fe80::/64 dev enp0s8 proto kernel metric 256

这意味着3333:3333::3333/64这个地址确实所有邻居均不可达, local表中仅存了一条/128前缀的明细路由。

我们这个例子中采用的是/64前缀,无论采用什么长度的前缀,均是这样的结果, 前缀定义的Link范围网段内的邻居,将全部不可达!

其它的OS协议栈我暂时没有探究,仅就Linux内核协议栈的这方面实现,贴出一段代码:

IPv6地址是严格分类分scope的,所以除非是::1/128,其它均不会携带LOOPBACK标志,因此当你在Loopback接口添加一个IP地址时,就会在Main路由表添加一条针对该前缀网段的unreachable路由,以儆效尤。

结论是什么?

结论就是,当你添加一个IPv6地址到Loopback接口的时候,该地址前缀的网段路由将会以unreachable的形式添加进Main路由表。没有可达前缀网段的路由表项了,这就意味着,你无法像IPv4那样,通过在Loopback添加一个网段,来使用这个网段的所有地址了。比如,你添加了:

1234:1234::1234/64

你将无法ping通:

1234:1234::1
1234:1234::2
...
1234:1234::3456
...

这是不是意味着如果你要在本机测试一款服务器软件的并发连接数, 必须手工添加海量的/128地址,而不能通过添加一个网段达到同样的目的!

如果是,那怎么办呢?我们如何做成像IPv4那个样子呢?

也不难,将unreachable路由从Main表中删除掉然后添加到Local表中即可了。

ip -6 route del unreachable 1234:1234::1234/64
ip -6 route add local 1234:1234::1234/64 dev lo

记住, 一切尽在路由 即可咯。

Redhat的网站上报告过这个问题:https://bugzilla.redhat.com/show_bug.cgi?id=969950
我倒是觉得这并不是一个Bug,这是合情合理的正常现象。

当然,我们已经知道,这是IPv6地址的模型规范决定的,IETF也已经注意到了这个问题,这个和IPv4的Loopback截然不同的问题,于是提出了一种方法:
A Larger Loopback Prefix for IPv6: https://tools.ietf.org/id/draft-smith-v6ops-larger-ipv6-loopback-prefix-04.html#rfc.section.5.2.1

这便是今天要写的内容,别的不多说了。浙江温州皮鞋湿,下雨进水不会湿。

闲谈IPv6-Loopback网口上的IPv6地址相关推荐

  1. 【计算机网络】网络层 : IPv6 协议 ( IPv6 数据包格式 | IPv6 地址表示 | IPv6 地址类型 | IPv4 与 IPv6 协议对比 | IPv4 -> IPv6 过渡策略 )

    文章目录 一.IPv6 发展 二.IPv6 数据报格式 三.IPv6 和 IPv4 对比 四.IPv6 地址表示 五.IPv6 地址 类型 六.IPv4 向 IPv6 过渡策略 一.IPv6 发展 I ...

  2. 在CentOS上禁用IPv6

    1. 首先,在服务器上查看IPv6是否启用.下图中,显示出了服务器当前IPv6地址: 2.  临时禁用IPv6: # cat /proc/sys/net/ipv6/conf/eth0/disable_ ...

  3. ipv4转换ipv6工具_IPv4与IPv6的区别,不仅仅是地址变长而已

    IP地址是分配给上网设备的数字标签,是每一个网络和设备的逻辑地址,我们在访问网站.发送文件或传输任何报文都会打包成一个个数据包,然后按照IP地址,传送数据包.我们上网时在浏览器里输入的网站是方便记忆的 ...

  4. win10网线插上显示的ipv6的服务器,win10如何开启IPV6及WIN10无法上ipv6的解决方法

    提示:本文基于Teredo隧道开启IPv6,其他开启IPv6的方法暂待完善.特别重要:找到 网络和共享中心 - 更改适配器设置 - 本地连接(无线网络则找到WLAN或蓝牙网络连接)- 属性,把 IPv ...

  5. IPv4, IPv6, IPv9能表示多少IP地址?

    IPv4, IPv6, IPv9能表示多少IP地址? IPv4 IPv6 IPv9 位数 32 128 2256 地址容量 2^32(2的32次方) 2^128 2^2256 目前使用的IPv4是用4 ...

  6. 初识IPv6 有状态、无状态地址相关协议

    本文主要介绍IPv6全局单播地址(Global Address)的获取方式及其相关的协议,DHCPv6协议和RA.RS报文(邻居发现协议). 1.全局单播地址类型 IPv6地址中分为本地链路地址(Li ...

  7. 在华为路由器上配置IPv6 over IPv4隧道

    在R1上的配置 [R1]ipv6 [R1]interface Tunnel 0/0/0 [R1-Tunnel0/0/0]tunnel-protocol ipv6-ipv4 [R1-Tunnel0/0/ ...

  8. centos ipv6 网卡_CentOS 6配置IPv6地址

    编辑网络配置信息文件. vim /etc/sysconfig/network 启用IPv6支持. 编辑网卡配置文件. vim /etc/sysconfig/network-scripts/ifcfg- ...

  9. IPv6进阶:IPv6 过渡技术之 NAT64(IPv6 节点主动访问 IPv4 节点-地址池方式)

    实验拓扑 PC1是IPv4网络的一个节点,处于Trust安全域: PC2是IPv6网络的一个节点,处于Untrust安全域. 实验需求 完成防火墙IPv4.IPv6接口的配置,并将接口添加到相应的安全 ...

最新文章

  1. 关于File.separator 文件路径:wind与linux下路径问题 .
  2. 码农和程序员等的差别
  3. 【机器学习-数据科学】第二节:ipython开发环境搭建以及pandas快速入门
  4. Python机器学习:评价分类结果008多分类问题中的混淆矩阵
  5. spring boot shiro redis整合基于角色和权限的安全管理-Java编程
  6. 马化腾,你就把微信卖给运营商得了
  7. 《metasploit渗透测试魔鬼训练营》学习笔记第九章--meterpreter
  8. 中琛源主要的产品是什么
  9. 百度富文本编辑器的使用
  10. pygame 绘制爱心函数 r = 1-cos(θ). Tag: python | 图形界面 | GUI
  11. “醒着拼”的东鹏饮料发中报,“饮料界茅台”名副其实吗?
  12. delphi mysql.pas_Delphi 一些pas
  13. coreldraw x7 分布_CDR X7新增功能有哪些,CDR X7新功能介绍
  14. java awt生成签名图片消除锯齿化
  15. iOS开发Xcode8需要注意的那些坑
  16. 用计算机研究甲骨文,基于图像识别技术的甲骨文数据系统
  17. 基于matlab的网络通信RSRP切换仿真
  18. daimayuan每日一题#810 最短路计数
  19. 计算机的ip地址和用户名和密码是什么原因,电脑的ip地址账户和密码忘记怎么办...
  20. Scaled-YOLOv4 简单学习笔记

热门文章

  1. java的finalize_Java中的finalize()方法
  2. XTUOJ 1248 TC or CF 搜索
  3. java.util.concurrent包分类结构图
  4. 微信小程序——二维码推广海报
  5. python2.7中,range和xrange的区别
  6. web前端angular_针对Web开发人员的十大Angular课程,教程和书籍
  7. “大庆新铁人”什么精神值得我们学习
  8. 数学规划模型matlab实现
  9. rnqoj-82-又上锁妖塔-dp
  10. 想发起一个开源代码查查网的公益事情