Навіщо використовувати IPv6 внутрішньо?

Звичайно, я усвідомлюю необхідність переходу на IPv6 у відкритому Інтернеті, оскільки у нас не вистачає адрес, але я дійсно не розумію, чому є необхідність використовувати його у внутрішній мережі. Я зробив нуль за допомогою IPv6, тому мені також цікаво: чи сучасні брандмауери не роблять NAT між внутрішніми адресами IPv4 та зовнішніми IPv6 адресами?

Мені було просто цікаво, оскільки я бачив тут багато людей, які борються з питаннями IPv6, і цікаво, чому це турбує?

Не існує NAT для IPv6 (як ви все одно думаєте про NAT). NAT був $ EXPLETIVE тимчасовим рішенням IPv4, у якому не вистачало адрес (проблема, яка насправді не існувала, і була вирішена ще до того, як NAT був необхідним, але історія - 20/20). Це не додає нічого, крім складності, і мало би зробити, окрім як спричинити головні болі в IPv6 (у нас так багато IPv6-адреси, що ми їх без сумніву витрачаємо). NAT66 існує, і призначений для зменшення кількості IPv6-адрес, які використовуються кожним хостом (нормально, щоб хости IPv6 мали декілька адрес, IPv6 багато в чому відрізняється від IPv4, це один).

Інтернет повинен був бути орієнтованим на кінець, що є частиною причини IPv4 у винахідництві і чому він отримав прийняття. Це не означає, що всі адреси в Інтернеті повинні були бути доступними. NAT ламає обидва. Брандмауери додають шари безпеки, порушуючи доступність, але зазвичай це за рахунок маршрутизації.

Вам потрібно буде IPv6 у ваших мережах, оскільки немає можливості вказати кінцеву точку IPv6 з IPv4 адресою. З іншого боку, це працює, що дозволяє мережам, що працюють лише для IPv6, використовуючи DNS64 та NAT64, все ще доступ до Інтернету IPv4. Сьогодні насправді можливо вирвати IPv4 всі разом, хоча це налаштувати трохи клопоту. Можна було б проксі від внутрішніх адрес IPv4 до серверів IPv6. Додавання та налаштування проксі-сервера додає в мережу витрати на конфігурацію, обладнання та обслуговування; зазвичай набагато більше, ніж просто включення IPv6.

NAT викликає і власні проблеми. Маршрутизатор повинен бути здатний координувати кожне з'єднання, що проходить через нього, відслідковуючи кінцеві точки, порти, тайм-аути тощо. Весь цей трафік, як правило, проходить через ту єдину точку. Хоча можна створити надлишкові NAT-роутери, технологія є надзвичайно складною і загалом дорогою. Надлишкові прості маршрутизатори прості та дешеві (порівняно). Крім того, для відновлення деяких правил маршрутизації, в системі NAT повинні бути встановлені правила переадресації та перекладу. Це все ще порушує протоколи, в які вбудовуються IP-адреси, наприклад, SIP. UPNP, STUN та інші протоколи були винайдені і для вирішення цієї проблеми - більше складності, більше обслуговування, більше, що може піти не так .

Вичерпання внутрішніх (rfc1918) ipv4 адрес також може бути дуже вагомою причиною переходу на ipv6.

Comcast пояснив у Nanog37, чому вони збираються ipv6 для своїх адрес управління.

20 Million video customer
x 2.5 STB/customer
x 2 ip addresses/STB
--------------------  
= 100 Millions IP addresses

І це лише для відео , а не для даних / модемів.

Вони вичерпали басейни RFC1918 у 2005 році. Потім вони використовували пули публічних адрес (оскільки nat не є варіантом для управління), і пішли ipv6 для вирішення своїх потреб .

Пара причин:

• IPv6 не підтримує мовлення. Він замінюється на багатоадресну передачу. Трансляція дозволяє одному вузлу надсилати трафік до всіх вузлів підмережі. Управління доменами широкомовного зв'язку є головною проблемою із забезпеченням швидкої та плавної роботи великих мереж IPv4. Багатоадресна передача вимагає, щоб вузли, які хочуть отримати "широкомовний" стиль, насправді "підписалися" на нього, тому мережа не затоплена трафіком, який охоплює всіх хостів.

• IPv6 спочатку підтримує шифрування стилю IPsec.

• IPv6 підтримує автоконфігурацію. Хости, що стоять за маршрутизатором, можуть налаштувати себе без необхідності DHCP, хоча вам все ще потрібен сервер DHCP для роздачі параметрів DHCP, таких як DNS-сервер, TFTP-сервер тощо.

Моя стара робота у великому університеті використовувала б внутрішнє розподілення IPv6. Їм було призначено IPv4 / 16 ще в той день, і навіть сьогодні він передає IPv4 адреси майже кожному внутрішньому клієнту. Мережі RFC1918 були обмежені лише для телекомунікаційних мереж та певних спеціалізованих звичаїв (стандарти PCI вимагали використання RFC1918 до жовтня 2010 року).

Через це вони активно планували використовувати IPv6 і внутрішньо. Деякі проблеми з обладнанням ще не вдається виправити, крайові комутатори не підтримували v6 досить добре, але ядро ​​було готове. Ідея полягала в тому, що отримання підтримки v6 на публічно видимому кінці (добре, публічно чуйний кінець) мережі залучатиме 70% роботи для її розгортання для всіх, а також може зробити додаткові 30% і перейти до кінця- закінчуються цим.

Проживши так довго публічне виділення ІР, наші люди були дуже обізнані з приказкою: "тільки те, що воно є загальнодоступним, не означає, що воно є доступним". Як сказав Кріс С., маршрутний маршрут не передбачає доступності.

Ось чому хоча б один клас організації розгортає IPv6 внутрішньо: тому що вони вже використовують IP-IP не RFC1918.

IPv6 пропонує деякі потенційні вдосконалення в реальному світі щодо IPv4, такі як простіший механізм автоматичної конфігурації та автоматичного виявлення; це також безпечніше в тому сенсі, що зловмисне програмне забезпечення стає неможливим для копіювання через мережу через сканування портів діапазоном IP - - занадто багато IP-адрес. Але ці вдосконалення не особливо драматичні, і, звичайно, не варті перемикання.

Але зауважте, що це не те / або рішення, ви можете запускати і паралельно, і якщо ви розробляєте програмне забезпечення, ви, мабуть, повинні, як багато людей згадували, для тестування. Немає надійного способу зробити програму сумісною з IPv6, не маючи внутрішньої інфраструктури IPv6 для тестування. Більшість сучасних ОС автоматично встановить внутрішню мережу IPv6 між ними - це лише питання використання.

10 років тому я створив трохи програмного забезпечення для роботодавців, які клієнти використовують для отримання оновлень програм. Створюючи мережевий компонент, я повинен був вирішити між побудовою сумісності з IPv6 або просто припустити, що всі IP-адреси будуть 4 байти. Я вирішив взяти простий маршрут, заощадивши собі близько 4 годин роботи, і зробив додаток лише для IPv4. Я подумав, що його замінять через кілька років. Вони все ще використовують його сьогодні, і тому вимкнені на деяких менших ринках.

Працюючи в невеликій компанії, я можу лише думати про причини НЕ використовувати IPv6.

• У нас навіть немає загальнодоступної адреси IPv6, то чому б на Землі ми її запускали внутрішньо?
• Нам доведеться замінити брандмауер, який я дуже люблю, оскільки він (ще) не підтримує IPv6
• У нас немає способу призначити IPv6 адреси
• Лише половина наших ПК підтримує IPv6
• Жоден наш завод не підтримує IPv6
• Наші комутатори не підтримують IPv6
• Я ніколи навіть не бачив принтер, який підтримує IPv6
• IPv6 набагато складніше використовувати з командного рядка - досить важливий для мене момент
• Мені потрібно було б повністю набрати швидкість на IPv6 - це важко зробити, коли я нецікавий
• ... і ще безліч інших причин, про які я зараз не можу подумати

Це просто не має сенсу для такої компанії, як наша, вносити зміни, оскільки для цього знадобиться чималі витрати і зусилля, абсолютно нічого від цього не виграти.

Відверто кажучи, мені подобається NAT і переваги, які ми отримуємо від роботи з місцевими адресами. Якщо коли-небудь стане необхідним (на відміну від того, що хочеться зробити видовищем) для взаємодії з IPv6 в Інтернеті, ми зробимо це на шлюзі.

Я не очікую, що цей чинник IPv6 стане необхідністю для величезної більшості світу, як мінімум, протягом десятиліття і більше. Оскільки я очікую, що до цього можу звільнитись, для мене особисто не існує великого стимулу витрачати час і сили.

Редагувати:

Я отримую опромінення, але жодної логічної та розумної протилежної точки зору. Змушує мене думати, що це лише купа стрибків-стрибунів, які хочуть слідувати за тенденцією, не замислюючись над цим. Має бути ПРИЧИНА, щоб зробити такі кардинальні зміни в мережі, а у мене її немає. Крім того, я дуже підозрюю, що лише деякі користувачі SF мають такого.

Тут ми говоримо про дві речі - запуск внутрішньої мережі на чистому IPv6 або запуск двоякого стека IPv4 / IPv6. Я вважаю, що говорити про запуску чистого IPv6 - поки що зарано - у багатьох операційних системах навіть неможливо використовувати IPv6 без IPv4. Однак ви можете розглянути можливість використання подвійного стека з наступних причин (а), якщо ви розробляєте програмне забезпечення (b) для того, щоб підготувати вашу мережу до неминучої міграції до IPv6. Якщо у вас ситуація A, то вам слід діяти зараз, якщо це B, то, на мою думку, у вас є близько 1-2 років, щоб подумати над цим (але чим швидше ви почнете, тим готовіше ви будете).

Моя ситуація A, і ми працюємо з двома стеками вже 6 місяців. За цей час ми визначили та вирішили деякі проблеми з нашим державним / приватним DNS, розподілом адреси, DHCP, маршрутизацією, брандмауером, і ми навіть не могли передбачити багато цих проблем без спроб. Тепер ми повністю готові до IPv6, і навіть у нас є доступ до публічного доступу IPv6 через тунелювання. Зі свого досвіду я можу з упевненістю сказати, що IPv6 є набагато простішим та елегантнішим рішенням порівняно зі старінням IPv4, тому я буду дуже радий, коли настане час переходу на IPv6, але до того, як настане цей час - подвійний стек - це шлях йти.

Окрім простого адресного простору, відсутності трансляції, IPSec та простої автоматичної конфігурації, є деякі «не такі відомі» переваги IPv6:

1. Більший адресний простір означає, що адреса має більше бітів, які можна використовувати як сховище даних. Наприклад, кількість переходів між двома вузлами може бути функцією їх IPv6-адрес, наприклад:
   IPv6-адреса може бути у форматі, PREFIX:Country&Region:DC&Line:Rack&Unit:VM&IDтому ближчі вузли матимуть більше самих значущих-бітів. Це лише приклад, звичайно, метрики "близькості" можуть зберігатися у якійсь зовнішній базі даних, як DNS- TXT|SRVзаписи.

2. Існують деякі методи використання адресного простору IPv6 для криптографічних цілей, такі як криптографічно генеровані адреси ( CGA ) та SEND (SEcure Neighbor Discovery)

3. Коли IPv6 увімкнено, усі вузли мережі мають локальну адресу IPv6 локальної посилання (якщо не налаштовано інакше). Тож є ймовірність, що ви можете отримати доступ навіть до неправильно налаштованого вузла.

4. Ви можете отримати MAC-адреси вузлів безпосередньо з локальної IPv6-адреси (якщо розширення конфіденційності IPv6 не налаштовано)

5. Ви не можете використовувати IPv4 в підмережах з тисячами вузлів - ваша мережа буде перевантажена трансляційним трафіком (наприклад, ARP).

6. Ви можете запитувати вузол для отримання додаткової інформації, використовуючи інформацію про вузол , наприклад, у BSD ви можете запросити хост для адресних вузлів інформаційних вузлів ICMPv6:

$ ping6 -a Aacgsl ::1

PING6(72=40+8+24 bytes) ::1 --> ::1
136 bytes from ::1: 
  fe80::beae:c5ff:fe43:44a(TTL=infty)
  fe80::beae:c5ff:fe43:212(TTL=infty)
  ::1(TTL=infty)
  fe80::1(TTL=infty)
  2a02::9222(TTL=infty)

Я можу придумати дві причини використовувати IPv6 для внутрішнього хоста.

1. Ви можете в майбутньому виявити, що цьому хосту зараз потрібно бути доступним зовні, принаймні на певних портах.

2. Ви можете виявити, що цей хост повинен підключитися до іншого хоста, який також вибрав ту саму внутрішню адресу. Наприклад, вам потрібно підключитися до 10.0.0.5 в корпорації Acme, а ваша власна адреса в корпорації Emca також 10.0.0.5. Я пам’ятаю, що це відбувалося на попередній роботі, ми обидва використовували однакові внутрішні адреси.

Я б сказав, що в сучасному світі більшість комп'ютерів не на 100% внутрішні. Більшість настільних комп'ютерів можуть робити обмежені зв'язки із зовнішнім світом або навпаки.

Єдина вагома причина для IPv6 внутрішньої роботи - це бути готовим, коли світ переходить на IPv6, і я думаю, що це досить погана причина, враховуючи швидкість прийняття. Оскільки більшість внутрішніх IP-адрес не будуть доступні зовні, переклад решти не буде великою справою.

Моя корпорація, ймовірно, ніколи не перейде на IPv6 внутрішньо. Це вимагатиме кардинального зрушення політики настільки масового, що я не можу чесно уявити, як це могло виникнути. Багатьом людям доведеться вбити, і доведеться зробити багато незрозумілих варіантів найму. Крім того, будь-яка спроба окремих бізнес - одиниць , щоб перейти на IPv6 на своїх локальних мереж буде стисло з пристрастю по повелителів корпоративних мереж на основі сумісності і maintainablity проблем (ми допускаємо багато свободи дій на місцевому рівні, але не що багато.)

В основному, якби перехід на IPv6 був безболісним, ми б це зробили років тому.

IPv4 призначений для того, щоб кожен пристрій знаходився безпосередньо в Інтернеті ... поки ми не закінчилися адресного простору. Тоді ми провели останні 20 років, замикаючи все це. Тепер IPv6 за задумом хоче ще раз розмістити кожен пристрій безпосередньо в Інтернеті ... результат буде таким самим. Я повністю погоджуюся, що NAT - це один рівень безпеки, який не буде відмовлено без настільки ж ефективної або, що краще, заміни.

На жаль, в переважній більшості цих відповідей та коментарів є багато поганої інформації. Так сумно бачити сліпого, який веде сліпого на це настільки плодотворно.

NAT нікуди не їде, і люди, які говорять вам "О, що NAT, яка жахлива річ це" ... "О, NAT, це було не що інше, як робота навколо" ... ad nasueum Якщо вони почнуть використовувати мову, як що, переходьте до справжнього професійного мережевого архітектора за порадою, а не до воїна-крісла, що займається мережею.

Чи потрібно завантажувати баланс трафіку на внутрішні сервери з Інтернету? Здогадайтесь, що з IPv6 ви не можете зробити так, як це робили .... якщо ви не використовуєте NAT!

Так, це правда. Деякі скажуть, о, ви просто використовуєте балансування зворотного навантаження DSR / Direct. Але вони забувають сказати вам, що вам потрібно відмовитись 1) Вставлення файлів cookie 2) Прискорення програми 3) Переклад адрес порту

Тож якщо ви хочете запустити внутрішні сервери на порт 8080, а зовнішні на порт 80 ... О, так сумно, що з IPv6 .... не можна робити, якщо ви не використовуєте хороший ole NAT! Навіть з DSR.

Потім додайте до цього "хвалиться", що люди кажуть: "О, так, усі пропозиції IPv6 NAT провалилися ... дякую добру" (і імперія вмирає під звуки оплесків) Ви знаєте, що це означає? NAT стане жахливим, якщо він взагалі працює з IPv6, тому що всі завзятці IPv6 заперечують необхідність NAT / PAT по суті, і люди, які це роблять, роблять це неохоче. Так сумно, так погано вдається

Отже, що ви робите зараз, коли правда звільнила вас, і ви можете піднятися над натовпом лемінгів, намагаючись використати тактику відлякування, щоб змусити дотримуватися своїх правил?

Ви купуєте або продовжуєте використовувати Loadbalancer або Firewall, який виступає публічним / приватним бродером вашої мережі. Загальнодоступні інтерфейси розміщують тих самих VIP-персон, які ви вже маєте, але з компліментарною IPv6-адресою, якщо вона вам потрібна. Все, що знаходиться на північ від шару Loadbalancer / Firewall, також є подвійним стеком IPv4 / IPv6. У внутрішніх інтерфейсах Loadbalancer / Firewall - це все IPv4, і вся ваша внутрішня мережа - IPv4, і вона залишається такою, скільки вам подобається. Це лише ваш бізнес. Loadbalancer виконує NAT / PAT між зовнішньою і внутрішньою стороною ... тому що вона вже є і потребує для повноцінного балансування навантаження і тому, що тепер вона також вирішує вашу зовнішню проблему IPv6.

Ну і саркастичній людині, яка запитала "Яку єдину мету безпеки виконує НАТ"

Безпека - це доступність на самому фундаментальному рівні. Подумайте над цим, перш ніж звільнити його.

Балансори завантаження забезпечують доступність / безпеку, і ви повинні використовувати NAT / PAT, щоб зробити це належним чином незалежно від версії IP, яку ви використовуєте.

Цитування щодо відмови в DSR: https://devcentral.f5.com/articles/the-dis nedostaasures-of-dsr-direct-server- return

k thnx

Використовувати IPv6 у внутрішній мережі не дуже добре, оскільки багато застарілих пристроїв не зможуть спілкуватися. Старі копіювальні / багатофункціональні принтери, медичне обладнання, старі друкарські машини, старі сервери та мережеві пристрої. Схемою IPv4 набагато простіше керувати imo.

Прийнята відповідь вводить в оману

Концепції Кріса S щодо NAT - це неправильно; однією з найкращих особливостей NAT, крім штучного розширення схеми IPv4, є БЕЗПЕКА. NAT - це шар, який приховує реальний IP-адресу хоста, який при прямому підключенні до Інтернету може бути об'єктом всіх можливих атак. На щастя, говорити про позбавлення від NAT без заохочення додаткових заходів безпеки - це просто невігластво цієї теми.