IPv6 唯一本地地址(ULA)是现代 IPv4 私有地址(如 10.0.0.0/8、192.168.0.0/16)的继任者。定义于 RFC 4193,它们用于站点内部或有限站点间的本地通信,不应在全球互联网上路由。本文解释什么是 ULA、如何正确生成它们,以及在网络设计中何时使用。
什么是 IPv6 唯一本地地址?
ULA 的前缀为 fc00::/7,分为两半:
fc00::/8— 保留供未来定义(当前未使用)。fd00::/8— 本地分配的 ULA。接下来的 40 位构成全局 ID,随后是 16 位子网 ID,以及 64 位接口 ID。结构如下:
| 8 位 | 40 位(全局 ID) | 16 位(子网 ID) | 64 位(接口 ID) |
| fd | 伪随机 | 你的子网 | EUI-64 或随机 |
与 IPv4 私有地址的关键区别在于,ULA 设计为全局唯一(通过随机全局 ID),从而在合并网络或通过 VPN 连接时降低冲突风险。
为什么使用 ULA?
- 私有内部网络 — 对于永远不需要直接互联网访问的设备,无需公网 IP。
- 稳定寻址 — 与链路本地地址(
fe80::/10)不同,ULA 在站点内可路由,可用于 DNS、服务器和基础设施。 - 网络合并 — 随机全局 ID 使得意外重叠极不可能。
- VPN 和多站点 — ULA 可在站点间路由,而不会与公网地址冲突。
如何生成 ULA 前缀
全局 ID 必须伪随机生成。不要使用可预测的值,如序列号或公司的 ASN。推荐方法如下:
- 获取时间戳(例如,自纪元以来的当前秒数)。
- 获取唯一标识符(例如,路由器的 MAC 地址或机器 ID)。
- 将它们拼接并计算 SHA-1 哈希。
- 取哈希的低 40 位作为全局 ID。
生成示例(Python)
import hashlib
import time
import uuid
# 替换为你自己的唯一输入
timestamp = str(int(time.time()))
machine_id = uuid.getnode() # MAC 地址作为整数
# 拼接并哈希
seed = (timestamp + str(machine_id)).encode()
hash_result = hashlib.sha1(seed).hexdigest()
# 取前 40 位(10 个十六进制字符)
global_id = hash_result[:10]
# 形成前缀
prefix = f"fd{global_id[:2]}:{global_id[2:6]}:{global_id[6:10]}::/48"
print(prefix) # 例如 fd12:3456:789a::/48
你也可以使用我们的 IPv6 ULA 生成器 立即创建带有随机全局 ID 的有效 /48 前缀。
子网划分与地址规划
一旦你有了 /48 前缀(例如 fd12:3456:789a::/48),你就有 16 位用于子网划分,提供 65536 个子网(每个 /64)。一个常见的规划:
| 子网 ID(十六进制) | 用途 |
|---|---|
| 0000 | 基础设施 / 路由器 |
| 0001 | 服务器 |
| 0002-00FF | 保留 |
| 0100 | 管理网络 |
| 0200-FFFF | 用户 VLAN / 动态 |
对于接口 ID,使用 EUI-64(基于 MAC 地址)或随机稳定标识符。EUI-64 可能向网络暴露 MAC 地址,因此考虑对客户端使用隐私扩展(RFC 7217)。
何时不应使用 ULA
- 全球互联网服务 — 对于可公开访问的服务器,使用全局单播地址(GUA)。
- 避免 NAT — ULA 不应用于 NAT;如果需要互联网访问,请结合 GUA 或使用代理。
- 仅链路本地 — 对于单链路通信,使用
fe80::/10。
常见陷阱
- 使用
fc00::/8— 标准目前仅定义fd00::/8用于本地分配。fc00::/8已保留,可能永远不会分配。始终使用fd。 - 可预测的全局 ID — 如果使用简单模式(例如全零的
fd00::/8),合并网络时存在冲突风险。 - 与 GUA 错误混合 — 当同时存在 ULA 和 GUA 时,确保路由策略为出站流量选择正确的地址(通常互联网用 GUA,内部用 ULA)。
- 忘记添加路由 — ULA 不会自动路由;在站点内配置静态路由或动态路由协议(例如 OSPFv3)。
- 将 ULA 用于公共 DNS — ULA 不应出现在公共 DNS 中;使用私有 DNS 或分离视图 DNS。
常见问题
ULA 和链路本地地址有什么区别?
链路本地地址(fe80::/10)仅在单个链路上有效,不可路由。ULA(fd00::/8)在站点内可路由,可跨越多个子网。
我可以将 ULA 与 NAT 一起使用吗?
技术上可以,但这违背了目的。ULA 旨在站点内端到端连接。如果需要互联网访问,请为设备分配 GUA 或使用代理。
如何确保我的 ULA 前缀是唯一的?
遵循 RFC 4193 生成算法,使用伪随机全局 ID。40 位空间(约 1 万亿种可能性)使得冲突可以忽略不计。
对于内部服务器,我应该使用 ULA 还是 GUA?
两者都用。为稳定的内部访问分配 ULA,如果服务器需要直接互联网访问则分配 GUA。使用 DNS 根据客户端位置返回相应地址。
我可以通过互联网路由 ULA 吗?
技术上可行,但不推荐。许多 ISP 过滤 fc00::/7 流量。ULA 专为私有网络设计;站点间使用 VPN 隧道。
结论
IPv6 唯一本地地址为私有网络提供了健壮、抗冲突的寻址方案。通过生成随机全局 ID 并规划子网分配,你可以构建可扩展的内部基础设施,而无需依赖 NAT。使用我们的 IPv6 ULA 生成器 快速创建你的前缀,立即开始设计你的网络。