⚡️ Что такое IPv6 SLAAC и как его контролировать

SLAAC (Stateless Address Autoconfiguration) - это механизм в IPv6, который позволяет устройствам самостоятельно получить IP-адрес, без участия DHCP-сервера. Удобно? Безусловно. Но у такого "автомата" есть и свои нюансы, особенно в корпоративных сетях.

▪️ Как работает SLAAC?

Когда устройство подключается к сети, оно:

📍 Получает префикс IPv6-сети через Router Advertisement (RA) от ближайшего маршрутизатора.
📍 На основе этого префикса и своего MAC-адреса (или сгенерированного идентификатора) формирует глобальный IPv6-адрес.
📍 Проверяет уникальность адреса через DAD (Duplicate Address Detection).

И готово - устройство уже в сети, без DHCP.

▪️ Почему это может быть проблемой?

📍 Обход контроля доступа. Даже если DHCP отключен, клиент все равно получит адрес и выйдет в интернет - достаточно RA от маршрутизатора.
📍 Трудности в управлении. SLAAC не позволяет "жестко" задавать DNS-серверы, lease time и прочие параметры, как это делает DHCPv6.
📍 Угрозы безопасности. Злоумышленник может раздавать фальшивые RA-пакеты и перенаправлять трафик на себя (RA spoofing).

▪️ Как контролировать SLAAC в сети?

📍 Отключить SLAAC на маршрутизаторе: На большинстве устройств (Cisco, Mikrotik, Linux) можно отключить RA или настроить флаг Managed в RA, чтобы устройства использовали DHCPv6 вместо SLAAC.
📍 Фильтрация RA-пакетов: Используйте RA Guard на уровнях доступа (поддерживается на управляемых коммутаторах), чтобы блокировать нежелательные RA от клиентов.
📍 Использовать DHCPv6: Более предсказуемый способ выдачи адресов и настройки DNS, с возможностью централизованного логирования.
📍 NDP мониторинг: Ведите учет устройств, использующих SLAAC, с помощью инструментов вроде ndpmon, scapy или Wireshark.

#IPv6 #SLAAC

🧑‍💻 NetworkAdmin

⁉️ IPv6 в локальной сети: нужен ли он вообще

IPv6 давно перестал быть экзотикой в мире, но в локальной инфраструктуре (особенно в корпоративных и домашних сетях) его почти никто не использует. Причина простая - в локалках адреса не заканчиваются, да и пользы от IPv6 нет, если нет связи с интернетом, где он действительно нужен.

А вот проблем добавить он может:

требует отдельной настройки безопасности,
нужно следить за совместимостью сервисов,
а если забыть про firewall для IPv6, то появится открытая дыра, о которой даже не узнаете.

Если протокол вам не нужен, то его стоит отключить.

▪️ Как отключить IPv6 в linux

Сделать это можно тремя способами, в зависимости от ситуации.

1️⃣ Через sysctl. Добавьте строки в /etc/sysctl.conf:

net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1

Примените изменения:

sysctl -p

2️⃣ Через параметры GRUB (глобально). Если система только настраивается - проще всего отключить IPv6 через загрузчик.
Откройте /etc/default/grub и добавьте в строку:

GRUB_CMDLINE_LINUX="... ipv6.disable=1"

(оставшиеся параметры не удаляйте, просто добавьте через пробел)

Обновите конфигурацию загрузчика:

update-grub             # Debian/Ubuntu
dpkg-reconfigure grub-pc
grub-mkconfig -o /boot/grub/grub.cfg
grub2-mkconfig -o /boot/grub2/grub.cfg   # RHEL/CentOS

После этого - перезагрузка и проверка:

ip a
ss -tulnp

Если IPv6 отключен - адресов вида ::1 или fe80:: вы больше не увидите.

3️⃣ Отключение для конкретного интерфейса. Иногда нужно отключить IPv6 не глобально, а только на одном интерфейсе.
Добавьте в /etc/sysctl.conf:

net.ipv6.conf.eth0.disable_ipv6 = 1

или примените временно:

sysctl -w net.ipv6.conf.eth0.disable_ipv6=1

▪️ Примечание для Windows

На windows лучше IPv6 не отключать. По словам microsoft, это может вызвать проблемы с внутренними сервисами и сетевыми компонентами системы.

#IPv6 #network

🧑‍💻 NetworkAdmin