Навіщо використовувати IPv6 внутрішньо?


50

Звичайно, я усвідомлюю необхідність переходу на IPv6 у відкритому Інтернеті, оскільки у нас не вистачає адрес, але я дійсно не розумію, чому є необхідність використовувати його у внутрішній мережі. Я зробив нуль за допомогою IPv6, тому мені також цікаво: чи сучасні брандмауери не роблять NAT між внутрішніми адресами IPv4 та зовнішніми IPv6 адресами?

Мені було просто цікаво, оскільки я бачив тут багато людей, які борються з питаннями IPv6, і цікаво, чому це турбує?

Відповіді:


55

Не існує NAT для IPv6 (як ви все одно думаєте про NAT). NAT був $ EXPLETIVE тимчасовим рішенням IPv4, у якому не вистачало адрес (проблема, яка насправді не існувала, і була вирішена ще до того, як NAT був необхідним, але історія - 20/20). Це не додає нічого, крім складності, і мало би зробити, окрім як спричинити головні болі в IPv6 (у нас так багато IPv6-адреси, що ми їх без сумніву витрачаємо). NAT66 існує, і призначений для зменшення кількості IPv6-адрес, які використовуються кожним хостом (нормально, щоб хости IPv6 мали декілька адрес, IPv6 багато в чому відрізняється від IPv4, це один).

Інтернет повинен був бути орієнтованим на кінець, що є частиною причини IPv4 у винахідництві і чому він отримав прийняття. Це не означає, що всі адреси в Інтернеті повинні були бути доступними. NAT ламає обидва. Брандмауери додають шари безпеки, порушуючи доступність, але зазвичай це за рахунок маршрутизації.

Вам потрібно буде IPv6 у ваших мережах, оскільки немає можливості вказати кінцеву точку IPv6 з IPv4 адресою. З іншого боку, це працює, що дозволяє мережам, що працюють лише для IPv6, використовуючи DNS64 та NAT64, все ще доступ до Інтернету IPv4. Сьогодні насправді можливо вирвати IPv4 всі разом, хоча це налаштувати трохи клопоту. Можна було б проксі від внутрішніх адрес IPv4 до серверів IPv6. Додавання та налаштування проксі-сервера додає в мережу витрати на конфігурацію, обладнання та обслуговування; зазвичай набагато більше, ніж просто включення IPv6.

NAT викликає і власні проблеми. Маршрутизатор повинен бути здатний координувати кожне з'єднання, що проходить через нього, відслідковуючи кінцеві точки, порти, тайм-аути тощо. Весь цей трафік, як правило, проходить через ту єдину точку. Хоча можна створити надлишкові NAT-роутери, технологія є надзвичайно складною і загалом дорогою. Надлишкові прості маршрутизатори прості та дешеві (порівняно). Крім того, для відновлення деяких правил маршрутизації, в системі NAT повинні бути встановлені правила переадресації та перекладу. Це все ще порушує протоколи, в які вбудовуються IP-адреси, наприклад, SIP. UPNP, STUN та інші протоколи були винайдені і для вирішення цієї проблеми - більше складності, більше обслуговування, більше, що може піти не так .


29
Маршрутизатор, на якому працює NAT, це те, що розділяло мережі, що маршрутизатор все ще буде розділяти мережі, нічого не змінилося, за винятком того, що маршрутизатор повинен бути правильно запрограмований для IPv6. Так, це не обов'язково доступно (правила брандмауера, ймовірно, блокують більшість трафіку).
Chris S

12
@Tomtom: Той, хто думає, що їм це потрібно, не знає, що їм потрібен брандмауер. Буквально немає жодної проблеми, що NAT - найкраще рішення, крім проблем, спричинених дефіцитом адреси. У IPv6 (поки!) Немає дефіциту адрес. Це може бути в розвитку, але це не означає, що це не дурна ідея :)
зростання

6
@JimB - наскільки я знаю, було щонайменше 4 різні пропозиції IPv6 NAT, які розроблялися, і всі вони провалилися. Враховуючи, що цій сторінці майже 3 роки, я думаю, що до цього часу вона теж не вдалася
Марк Хендерсон

14
Я знаю, що це буде звучати образливо, тому я прошу вибачення наперед, але якщо ви не кухар, залишайтеся поза кухнею. Люди розуміють, що якщо вони працюватимуть на своєму власному автомобілі, вони можуть зламати щось, що спричиняє світ ушкоджень ... Те саме стосується і комп'ютерної безпеки, якщо ви не знаєте як, швидше за все, ви зробите більше шкоди, ніж користі. У вас є думка, що NAT полегшує деякі рівні безпеки (особливо це стосується того, що ваша внутрішня мережа не має Інтернет-маршрутизації). Навіть на більшості NAT-роутерів сьогодні це лише налаштування за замовчуванням, і "безпеку", яку надає NAT, можна відключити.
Chris S

8
Дозволяє не починати грати навколо слів, таких як "ЗАБЕЗПЕЧЕННЯ", без розумної дискусії про вразливості та загрози. Яку конкретну вразливість захищає NAT? Про які конкретні «напади» ви говорите? Це ті самі напади, які решта професійного світу пом'якшує загрозливим брандмауером? Якщо так, NAT не дуже купує вас.
зростати

22

Вичерпання внутрішніх (rfc1918) ipv4 адрес також може бути дуже вагомою причиною переходу на ipv6.

Comcast пояснив у Nanog37, чому вони збираються ipv6 для своїх адрес управління.

20 Million video customer
x 2.5 STB/customer
x 2 ip addresses/STB
--------------------  
= 100 Millions IP addresses

І це лише для відео , а не для даних / модемів.

Вони вичерпали басейни RFC1918 у 2005 році. Потім вони використовували пули публічних адрес (оскільки nat не є варіантом для управління), і пішли ipv6 для вирішення своїх потреб .


2
Що з не-мегакорпораціями?
Cypher

1
ну, ще є всі інші відповіді;)
петрус

Я не думаю, що будь-яка корпорація збирається використовувати більше 16 777 216 ВНУТРІШНЯ ... Звичайно, зовні для своїх клієнтів. Ніхто не заперечує, що нам потрібно більше публічних IP-адрес.
KCotreau

5
Я не говорив про загальнодоступну / wan ip адресу маршрутизатора, але IP-адреси управління на кабельному модемі чи приставці. Так що так, Comcast і всі великі кабельні провайдери дійсно потрібно більше , ніж 2 ^ 24 Ip @.
петрус

14

Пара причин:

  • IPv6 не підтримує мовлення. Він замінюється на багатоадресну передачу. Трансляція дозволяє одному вузлу надсилати трафік до всіх вузлів підмережі. Управління доменами широкомовного зв'язку є головною проблемою із забезпеченням швидкої та плавної роботи великих мереж IPv4. Багатоадресна передача вимагає, щоб вузли, які хочуть отримати "широкомовний" стиль, насправді "підписалися" на нього, тому мережа не затоплена трафіком, який охоплює всіх хостів.

  • IPv6 спочатку підтримує шифрування стилю IPsec.

  • IPv6 підтримує автоконфігурацію. Хости, що стоять за маршрутизатором, можуть налаштувати себе без необхідності DHCP, хоча вам все ще потрібен сервер DHCP для роздачі параметрів DHCP, таких як DNS-сервер, TFTP-сервер тощо.


3
IPv6 дозволяє перенумерувати всю підмережу майже без ускладнень. Це також дозволяє об'єднати підмережі. Він надзвичайно деталізований контроль над трафіком багатоадресної передачі ... Є ще більше причин, але це було назавжди, оскільки я пройшов курс IPv6.
Матвій

4
Це все популярні міфи, ось трохи більше інформації: багатоадресна передача IPv6 є обов'язковою для основних функціональних можливостей: наприклад, зробити трансляцію пінг-протоколу IPv4, рівносильну вам ping6 до FF02 :: 1 для всіх регулярних вузлів, і FF02 :: 2 для всіх маршрутизаторів. IPSec IPv6 не змінює жодного з IPv4. Ви не отримуєте жодної безпеки безкоштовно. Ще потрібно налаштувати всі режими та розібратися з розподілом ключів. Автоконфігурація IPv6 - це абсолютно непотрібний; за замовчуванням це так само небезпечно, як MAC <-> IPv4, і він НЕ роздає DNS. Якщо ви хочете DNS, ви повинні встановити DHCPv6, тому ніякого посилення там немає.
Марцін

1
Я вважаю 3-ю точку слабкістю ip6. Скільки разів ви перевіряли, чи машина отримала IP в рамках процесу усунення несправностей? Ця частина просто ускладнилася.
Джоел Коель

13

Моя стара робота у великому університеті використовувала б внутрішнє розподілення IPv6. Їм було призначено IPv4 / 16 ще в той день, і навіть сьогодні він передає IPv4 адреси майже кожному внутрішньому клієнту. Мережі RFC1918 були обмежені лише для телекомунікаційних мереж та певних спеціалізованих звичаїв (стандарти PCI вимагали використання RFC1918 до жовтня 2010 року).

Через це вони активно планували використовувати IPv6 і внутрішньо. Деякі проблеми з обладнанням ще не вдається виправити, крайові комутатори не підтримували v6 досить добре, але ядро ​​було готове. Ідея полягала в тому, що отримання підтримки v6 на публічно видимому кінці (добре, публічно чуйний кінець) мережі залучатиме 70% роботи для її розгортання для всіх, а також може зробити додаткові 30% і перейти до кінця- закінчуються цим.

Проживши так довго публічне виділення ІР, наші люди були дуже обізнані з приказкою: "тільки те, що воно є загальнодоступним, не означає, що воно є доступним". Як сказав Кріс С., маршрутний маршрут не передбачає доступності.

Ось чому хоча б один клас організації розгортає IPv6 внутрішньо: тому що вони вже використовують IP-IP не RFC1918.


7

IPv6 пропонує деякі потенційні вдосконалення в реальному світі щодо IPv4, такі як простіший механізм автоматичної конфігурації та автоматичного виявлення; це також безпечніше в тому сенсі, що зловмисне програмне забезпечення стає неможливим для копіювання через мережу через сканування портів діапазоном IP - - занадто багато IP-адрес. Але ці вдосконалення не особливо драматичні, і, звичайно, не варті перемикання.

Але зауважте, що це не те / або рішення, ви можете запускати і паралельно, і якщо ви розробляєте програмне забезпечення, ви, мабуть, повинні, як багато людей згадували, для тестування. Немає надійного способу зробити програму сумісною з IPv6, не маючи внутрішньої інфраструктури IPv6 для тестування. Більшість сучасних ОС автоматично встановить внутрішню мережу IPv6 між ними - це лише питання використання.

10 років тому я створив трохи програмного забезпечення для роботодавців, які клієнти використовують для отримання оновлень програм. Створюючи мережевий компонент, я повинен був вирішити між побудовою сумісності з IPv6 або просто припустити, що всі IP-адреси будуть 4 байти. Я вирішив взяти простий маршрут, заощадивши собі близько 4 годин роботи, і зробив додаток лише для IPv4. Я подумав, що його замінять через кілька років. Вони все ще використовують його сьогодні, і тому вимкнені на деяких менших ринках.


6

Працюючи в невеликій компанії, я можу лише думати про причини НЕ використовувати IPv6.

  • У нас навіть немає загальнодоступної адреси IPv6, то чому б на Землі ми її запускали внутрішньо?
  • Нам доведеться замінити брандмауер, який я дуже люблю, оскільки він (ще) не підтримує IPv6
  • У нас немає способу призначити IPv6 адреси
  • Лише половина наших ПК підтримує IPv6
  • Жоден наш завод не підтримує IPv6
  • Наші комутатори не підтримують IPv6
  • Я ніколи навіть не бачив принтер, який підтримує IPv6
  • IPv6 набагато складніше використовувати з командного рядка - досить важливий для мене момент
  • Мені потрібно було б повністю набрати швидкість на IPv6 - це важко зробити, коли я нецікавий
  • ... і ще безліч інших причин, про які я зараз не можу подумати

Це просто не має сенсу для такої компанії, як наша, вносити зміни, оскільки для цього знадобиться чималі витрати і зусилля, абсолютно нічого від цього не виграти.

Відверто кажучи, мені подобається NAT і переваги, які ми отримуємо від роботи з місцевими адресами. Якщо коли-небудь стане необхідним (на відміну від того, що хочеться зробити видовищем) для взаємодії з IPv6 в Інтернеті, ми зробимо це на шлюзі.

Я не очікую, що цей чинник IPv6 стане необхідністю для величезної більшості світу, як мінімум, протягом десятиліття і більше. Оскільки я очікую, що до цього можу звільнитись, для мене особисто не існує великого стимулу витрачати час і сили.

Редагувати:

Я отримую опромінення, але жодної логічної та розумної протилежної точки зору. Змушує мене думати, що це лише купа стрибків-стрибунів, які хочуть слідувати за тенденцією, не замислюючись над цим. Має бути ПРИЧИНА, щоб зробити такі кардинальні зміни в мережі, а у мене її немає. Крім того, я дуже підозрюю, що лише деякі користувачі SF мають такого.


2
1. запитайте у свого провайдера про розподіл. На відміну від IPv4, ви не можете просто запитувати блок. ви повинні мати можливість використовувати до X кількість їх протягом 6 місяців.
Брайан

2
3. Ви призначаєте, встановивши свій маршрутизатор з IPv6 адресою, і дозвольте машинам самостійно налаштувати. (або налаштування Dhcp6)
Брайан

4
4. Windows XP SP2 підтримує IPv6. 6. Перемикачі не говорять про IP. Вони розмовляють шар 2. Вони добре працюють з Ipv6 Я запустив Ipv6 через деякі комутатори 3com 2001 року. Можливо, вам знадобиться підтримати ipv4, щоб перейти до управління деякими з них. Будь-який принтер HP з карткою jetdirect проданий за останні 5 років (або це більше) підтримує IPv6
Brian

1
"Наші комутатори не підтримують IPv6". Не проблема. "Я ніколи не бачив принтер, який підтримує IPv6" Я роблю це, 6 років і сидить поруч зі мною. (Дешевий лазер Dell). "Мені потрібно було б повністю набрати швидкість на IPv6 - це важко зробити, коли я нецікавий" Так. Тут я згоден. Дізнатися щось нове важко. Але бути єдиним, хто це розуміє (і вам це знадобиться через кілька років) - цілком перевага.
Hennes

1
@Hennes, все, що вже було висвітлено, і наскільки я можу сказати, мені не буде потрібно IPv6 під час того, що залишається від мого трудового життя, і я ніколи не потребуватиму його вдома. IOW, для мене абсолютно не стимулює освоювати технології, для яких, принаймні, у цій частині світу немає потреби та не буде в осяжному майбутньому. Я не згоден, що навчитися чомусь новому важко. Я роблю це кожен день свого життя і розраховую продовжувати це робити, поки не впаду з окуня.
Джон Гарденєр

5

Тут ми говоримо про дві речі - запуск внутрішньої мережі на чистому IPv6 або запуск двоякого стека IPv4 / IPv6. Я вважаю, що говорити про запуску чистого IPv6 - поки що зарано - у багатьох операційних системах навіть неможливо використовувати IPv6 без IPv4. Однак ви можете розглянути можливість використання подвійного стека з наступних причин (а), якщо ви розробляєте програмне забезпечення (b) для того, щоб підготувати вашу мережу до неминучої міграції до IPv6. Якщо у вас ситуація A, то вам слід діяти зараз, якщо це B, то, на мою думку, у вас є близько 1-2 років, щоб подумати над цим (але чим швидше ви почнете, тим готовіше ви будете).

Моя ситуація A, і ми працюємо з двома стеками вже 6 місяців. За цей час ми визначили та вирішили деякі проблеми з нашим державним / приватним DNS, розподілом адреси, DHCP, маршрутизацією, брандмауером, і ми навіть не могли передбачити багато цих проблем без спроб. Тепер ми повністю готові до IPv6, і навіть у нас є доступ до публічного доступу IPv6 через тунелювання. Зі свого досвіду я можу з упевненістю сказати, що IPv6 є набагато простішим та елегантнішим рішенням порівняно зі старінням IPv4, тому я буду дуже радий, коли настане час переходу на IPv6, але до того, як настане цей час - подвійний стек - це шлях йти.


4

Окрім простого адресного простору, відсутності трансляції, IPSec та простої автоматичної конфігурації, є деякі «не такі відомі» переваги IPv6:

  1. Більший адресний простір означає, що адреса має більше бітів, які можна використовувати як сховище даних. Наприклад, кількість переходів між двома вузлами може бути функцією їх IPv6-адрес, наприклад:
    IPv6-адреса може бути у форматі, PREFIX:Country&Region:DC&Line:Rack&Unit:VM&IDтому ближчі вузли матимуть більше самих значущих-бітів. Це лише приклад, звичайно, метрики "близькості" можуть зберігатися у якійсь зовнішній базі даних, як DNS- TXT|SRVзаписи.

  2. Існують деякі методи використання адресного простору IPv6 для криптографічних цілей, такі як криптографічно генеровані адреси ( CGA ) та SEND (SEcure Neighbor Discovery)

  3. Коли IPv6 увімкнено, усі вузли мережі мають локальну адресу IPv6 локальної посилання (якщо не налаштовано інакше). Тож є ймовірність, що ви можете отримати доступ навіть до неправильно налаштованого вузла.

  4. Ви можете отримати MAC-адреси вузлів безпосередньо з локальної IPv6-адреси (якщо розширення конфіденційності IPv6 не налаштовано)

  5. Ви не можете використовувати IPv4 в підмережах з тисячами вузлів - ваша мережа буде перевантажена трансляційним трафіком (наприклад, ARP).

  6. Ви можете запитувати вузол для отримання додаткової інформації, використовуючи інформацію про вузол , наприклад, у BSD ви можете запросити хост для адресних вузлів інформаційних вузлів ICMPv6:

$ ping6 -a Aacgsl ::1

PING6(72=40+8+24 bytes) ::1 --> ::1
136 bytes from ::1: 
  fe80::beae:c5ff:fe43:44a(TTL=infty)
  fe80::beae:c5ff:fe43:212(TTL=infty)
  ::1(TTL=infty)
  fe80::1(TTL=infty)
  2a02::9222(TTL=infty)

2

Я можу придумати дві причини використовувати IPv6 для внутрішнього хоста.

  1. Ви можете в майбутньому виявити, що цьому хосту зараз потрібно бути доступним зовні, принаймні на певних портах.

  2. Ви можете виявити, що цей хост повинен підключитися до іншого хоста, який також вибрав ту саму внутрішню адресу. Наприклад, вам потрібно підключитися до 10.0.0.5 в корпорації Acme, а ваша власна адреса в корпорації Emca також 10.0.0.5. Я пам’ятаю, що це відбувалося на попередній роботі, ми обидва використовували однакові внутрішні адреси.

Я б сказав, що в сучасному світі більшість комп'ютерів не на 100% внутрішні. Більшість настільних комп'ютерів можуть робити обмежені зв'язки із зовнішнім світом або навпаки.


1

Єдина вагома причина для IPv6 внутрішньої роботи - це бути готовим, коли світ переходить на IPv6, і я думаю, що це досить погана причина, враховуючи швидкість прийняття. Оскільки більшість внутрішніх IP-адрес не будуть доступні зовні, переклад решти не буде великою справою.

Моя корпорація, ймовірно, ніколи не перейде на IPv6 внутрішньо. Це вимагатиме кардинального зрушення політики настільки масового, що я не можу чесно уявити, як це могло виникнути. Багатьом людям доведеться вбити, і доведеться зробити багато незрозумілих варіантів найму. Крім того, будь-яка спроба окремих бізнес - одиниць , щоб перейти на IPv6 на своїх локальних мереж буде стисло з пристрастю по повелителів корпоративних мереж на основі сумісності і maintainablity проблем (ми допускаємо багато свободи дій на місцевому рівні, але не що багато.)

В основному, якби перехід на IPv6 був безболісним, ми б це зробили років тому.


16
"Моя корпорація, ймовірно, ніколи не перейде на IPv6 внутрішньо." <- це досить сміливе і, можливо, наївне твердження ІМХО.
ЄЕАА

4
@erika: Коли стане важко отримати апаратне забезпечення, яке підтримує IPv4. До цього часу ні. Ділового випадку для цього немає. Вони з більшою ймовірністю повністю закриють внутрішні мережі та десь будуть влаштовувати весь свій бізнес у хмарі.
Satanicpuppy

3
Що станеться, коли Google або якась інша зовнішня служба втрачає підтримку IPv4. Неможливість підключитися до людей поза вашою мережею буде проблемою в майбутньому.
Зоредаче

3
@zoredache: Ми говоримо про внутрішню підтримку тут. Навіть зараз не важко перевести IPv4 на IPv6, доки не потрібно, щоб кожна машина була доступна зовні. Чорт, наше поточне обладнання підтримує це.
Satanicpuppy

2
Пам'ятайте, що всі вікна з моменту запуску подвійних стеків з вікна. Немає жодної причини НЕ дозволяти йому залишатись так, як реалізовано
Джим Б

-1

IPv4 призначений для того, щоб кожен пристрій знаходився безпосередньо в Інтернеті ... поки ми не закінчилися адресного простору. Тоді ми провели останні 20 років, замикаючи все це. Тепер IPv6 за задумом хоче ще раз розмістити кожен пристрій безпосередньо в Інтернеті ... результат буде таким самим. Я повністю погоджуюся, що NAT - це один рівень безпеки, який не буде відмовлено без настільки ж ефективної або, що краще, заміни.


1
Як брандмауер?
Майкл Хемптон

3
NAT - це не безпека. Брандмауер - це те, що забезпечує безпеку, а не NAT. Брандмауэры не потребують NAT. І брандмауери IPv4, і IPv6 прекрасно працюють, не вмикаючи NAT, ви можете включити NAT на маршрутизаторі, який не працює між брандмауером, і брандмауери навіть не потребують маршрутизації. Ви не можете виглядати погладжуючими все-в-одному споживчі пристрої. NAT, маршрутизація та брандмауер часто зручні в одному пристрої, але це окремі функції.
Рон Мопін

2
Чому люди все ще говорять такі речі? NAT навіть не є шаром безпеки, і він не був розроблений таким, щоб бути таким. Це просто некрасивий злом навколо недостатньо довгих адрес. Це не перешкода для більшості нападників. Відхилення, тому що це неправильно і не відповідає на питання.
Falcon Momot

-3

На жаль, в переважній більшості цих відповідей та коментарів є багато поганої інформації. Так сумно бачити сліпого, який веде сліпого на це настільки плодотворно.

NAT нікуди не їде, і люди, які говорять вам "О, що NAT, яка жахлива річ це" ... "О, NAT, це було не що інше, як робота навколо" ... ad nasueum Якщо вони почнуть використовувати мову, як що, переходьте до справжнього професійного мережевого архітектора за порадою, а не до воїна-крісла, що займається мережею.

Чи потрібно завантажувати баланс трафіку на внутрішні сервери з Інтернету? Здогадайтесь, що з IPv6 ви не можете зробити так, як це робили .... якщо ви не використовуєте NAT!

Так, це правда. Деякі скажуть, о, ви просто використовуєте балансування зворотного навантаження DSR / Direct. Але вони забувають сказати вам, що вам потрібно відмовитись 1) Вставлення файлів cookie 2) Прискорення програми 3) Переклад адрес порту

Тож якщо ви хочете запустити внутрішні сервери на порт 8080, а зовнішні на порт 80 ... О, так сумно, що з IPv6 .... не можна робити, якщо ви не використовуєте хороший ole NAT! Навіть з DSR.

Потім додайте до цього "хвалиться", що люди кажуть: "О, так, усі пропозиції IPv6 NAT провалилися ... дякую добру" (і імперія вмирає під звуки оплесків) Ви знаєте, що це означає? NAT стане жахливим, якщо він взагалі працює з IPv6, тому що всі завзятці IPv6 заперечують необхідність NAT / PAT по суті, і люди, які це роблять, роблять це неохоче. Так сумно, так погано вдається

Отже, що ви робите зараз, коли правда звільнила вас, і ви можете піднятися над натовпом лемінгів, намагаючись використати тактику відлякування, щоб змусити дотримуватися своїх правил?

Ви купуєте або продовжуєте використовувати Loadbalancer або Firewall, який виступає публічним / приватним бродером вашої мережі. Загальнодоступні інтерфейси розміщують тих самих VIP-персон, які ви вже маєте, але з компліментарною IPv6-адресою, якщо вона вам потрібна. Все, що знаходиться на північ від шару Loadbalancer / Firewall, також є подвійним стеком IPv4 / IPv6. У внутрішніх інтерфейсах Loadbalancer / Firewall - це все IPv4, і вся ваша внутрішня мережа - IPv4, і вона залишається такою, скільки вам подобається. Це лише ваш бізнес. Loadbalancer виконує NAT / PAT між зовнішньою і внутрішньою стороною ... тому що вона вже є і потребує для повноцінного балансування навантаження і тому, що тепер вона також вирішує вашу зовнішню проблему IPv6.

Ну і саркастичній людині, яка запитала "Яку єдину мету безпеки виконує НАТ"

Безпека - це доступність на самому фундаментальному рівні. Подумайте над цим, перш ніж звільнити його.

Балансори завантаження забезпечують доступність / безпеку, і ви повинні використовувати NAT / PAT, щоб зробити це належним чином незалежно від версії IP, яку ви використовуєте.

Цитування щодо відмови в DSR: https://devcentral.f5.com/articles/the-dis nedostaasures-of-dsr-direct-server- return

k thnx


2
Я думаю, що ваша відповідь намагається сказати, що потрібен NAT, щоб мати нетривіальний балансир навантаження, але це, очевидно, не так і не стосується питання ...
Falcon Momot

-4

Використовувати IPv6 у внутрішній мережі не дуже добре, оскільки багато застарілих пристроїв не зможуть спілкуватися. Старі копіювальні / багатофункціональні принтери, медичне обладнання, старі друкарські машини, старі сервери та мережеві пристрої. Схемою IPv4 набагато простіше керувати imo.


-12

Прийнята відповідь вводить в оману

Концепції Кріса S щодо NAT - це неправильно; однією з найкращих особливостей NAT, крім штучного розширення схеми IPv4, є БЕЗПЕКА. NAT - це шар, який приховує реальний IP-адресу хоста, який при прямому підключенні до Інтернету може бути об'єктом всіх можливих атак. На щастя, говорити про позбавлення від NAT без заохочення додаткових заходів безпеки - це просто невігластво цієї теми.


5
Яким саме NAT є захисним шаром?
MDMarra
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.