IPv6: адресация, переход с IPv4 и подводные камни

IPv6 — это не просто "больше адресов". Это новый протокол, который решает проблемы безопасности, автоконфигурации, качества обслуживания и эффективности маршрутизации. В 2026 году более 45% трафика в глобальной сети уже идёт по IPv6, а в некоторых сетях провайдеров — более 70%. Если вы до сих пор откладывали переход — сейчас самое время разобраться.

Почему IPv4 больше не справляется?

Дефицит адресов — IPv4 даёт всего 4.3 миллиарда адресов, а устройств в интернете уже более 30 миллиардов
NAT — костыль, а не решение — NAT усложняет P2P-приложения, VoIP, игры и требует постоянного проброса портов
Фрагментация маршрутов — таблицы маршрутизации IPv4 разрослись до ~950 тысяч записей

Структура IPv6-адреса

IPv6-адрес имеет длину 128 бит (16 байт) и записывается в виде 8 групп по 16 бит в шестнадцатеричной системе:

2001:0db8:85a3:0000:0000:8a2e:0370:7334

Правила сокращения:

Ведущие нули в группе можно опустить: 0db8 → db8
Последовательность из нулевых групп можно заменить на :: (только один раз в адресе)
2001:db8:85a3::8a2e:370:7334

Типы IPv6-адресов

Unicast (один-к-одному)

Global Unicast (GUA) — публичные адреса, начинаются с 2000::/3. Маршрутизируются в интернете.
Unique Local (ULA) — аналог частных IPv4 (10.0.0.0/8, 192.168.0.0/16). Начинаются с fc00::/7. Используются внутри организаций.
Link-Local — начинаются с fe80::/10. Действуют только в пределах одного сегмента сети. Каждый IPv6-интерфейс обязательно имеет link-local адрес.
Loopback — ::1 (аналог 127.0.0.1)

Multicast (один-ко-многим)

Начинаются с ff00::/8. Примеры: ff02::1 (все узлы в локальной сети), ff02::2 (все роутеры), ff02::1:ffxx:xxxx (solicited-node multicast для NDP).

Anycast (один-к-ближайшему)

Один адрес может быть назначен нескольким устройствам, маршрутизатор доставляет пакет до ближайшего. Используется в DNS-серверах (например, 2001:4860:4860::8888).

ICMPv6 и NDP — замена ARP

В IPv6 нет ARP. Вместо него используется Neighbor Discovery Protocol (NDP), работающий поверх ICMPv6. Ключевые функции:

Neighbor Solicitation (NS) / Neighbor Advertisement (NA) — аналог ARP (определение MAC по IPv6)
Router Solicitation (RS) / Router Advertisement (RA) — обнаружение роутеров и автоконфигурация
Duplicate Address Detection (DAD) — проверка уникальности адреса перед его использованием

SLAAC — автоконфигурация без DHCP

SLAAC (Stateless Address Autoconfiguration) позволяет устройству получить IPv6-адрес без DHCP-сервера. Устройство:

Генерирует свой link-local адрес (fe80:: + MAC-адрес в формате EUI-64)
Выполняет DAD для проверки уникальности
Получает RA от роутера с префиксом сети (например, 2001:db8:1::/64)
Создаёт глобальный адрес: префикс + интерфейсный идентификатор

# Пример формирования EUI-64 из MAC 00:11:22:33:44:55
MAC: 0011.2233.4455
Вставляем FF:FE: 0011.22FF.FE33.4455
Инвертируем 7-й бит: 0211.22FF.FE33.4455
Итоговый IPv6: 2001:db8:1:0:211:22ff:fe33:4455

Современная альтернатива: Privacy Extensions (RFC 4941) — устройства генерируют случайные временные адреса для выхода в интернет, чтобы нельзя было отследить устройство по MAC.

Методы перехода с IPv4 на IPv6

1. Dual-Stack (двойной стек)

Самое простое и рекомендуемое решение. Устройство одновременно поддерживает IPv4 и IPv6. Приложения предпочитают IPv6, если он доступен (RFC 6555 — Happy Eyeballs).

# Настройка dual-stack на Cisco
interface gigabitEthernet 0/0
 ip address 192.168.1.1 255.255.255.0
 ipv6 address 2001:db8:1::1/64
 ipv6 enable
 no shutdown

2. Туннели (6in4, GRE6, IPIP6)

Когда провайдер не даёт IPv6, можно поднять туннель до брокера (Hurricane Electric, Tunnelbroker). Пример на Linux:

ip tunnel add sit1 mode sit remote 216.66.22.2 local 192.168.1.100 ttl 255
ip link set sit1 up
ip addr add 2001:470:1f00:123::2/64 dev sit1
ip route add ::/0 dev sit1

3. NAT64 + DNS64

Позволяет IPv6-клиентам подключаться к IPv4-серверам. На стороне провайдера ставится NAT64-шлюз, который транслирует IPv6-пакеты в IPv4.

4. 464XLAT (CLAT)

Используется в мобильных сетях (LTE). Клиент получает IPv6, но некоторые приложения требуют IPv4 — CLAT на устройстве делает трансляцию.

Настройка IPv6 на популярных платформах

Cisco IOS

ipv6 unicast-routing
interface gigabitEthernet 0/0
 ipv6 address 2001:db8:1::1/64
 ipv6 enable
 ipv6 nd ra-interval 30
 ipv6 nd ra-lifetime 1800

MikroTik RouterOS

/ipv6 address add address=2001:db8:1::1/64 interface=bridge1
/ipv6 route add gateway=fe80::1%ether1
/ipv6 dhcp-server add interface=bridge1

Linux (Ubuntu/Debian)

# /etc/netplan/01-netcfg.yaml
network:
  version: 2
  ethernets:
    eth0:
      addresses:
        - 192.168.1.100/24
        - "2001:db8:1::100/64"
      gateway6: "2001:db8:1::1"
      nameservers:
        addresses: [2001:4860:4860::8888, 8.8.8.8]

Типичные проблемы и их решение

RA-флуд (Router Advertisement flood) — злоумышленник рассылает ложные RA, перенаправляя трафик. Включайте RA Guard на коммутаторах.
NDP spoofing — аналог ARP-spoofing. Используйте NDP Monitoring и статические записи для критичных узлов.
MTU проблемы — минимальный MTU для IPv6 — 1280 байт. Если underlay имеет MTU 1500, всё ок. Если 1400 — пакеты фрагментируются на хосте.
Firewall правила для IPv6 — многие забывают, что IPv6 не проходит через NAT, и каждый хост имеет публичный адрес. Обязательно настраивайте фаервол!

IPv6 в России: текущая ситуация

Крупные провайдеры (МТС, Билайн, Ростелеком, ТТК) уже выдают IPv6 клиентам. У многих корпоративных сетей есть префикс /48 или /56. Если ваш провайдер ещё не даёт IPv6 — требуйте или используйте туннели.

Заключение: IPv6 — это неизбежность. Чем раньше вы начнёте его внедрять, тем плавнее пройдёт переход. Начните с dual-stack на граничных роутерах и DNS, затем переводите серверы, потом клиентские сети. Технология зрелая, инструменты отладки (ping6, traceroute6, tcpdump) ничем не хуже IPv4. Не откладывайте — кончики IPv4-адресов уже давно розданы.