Вопрос: Почему вы используете IPv6 внутри?


Конечно, я понимаю, что нужно идти на IPv6 в открытом Интернете, так как у нас заканчиваются адреса, но я действительно не понимаю, почему есть необходимость использовать его во внутренней сети. Я сделал ноль с IPv6, поэтому я также задаюсь вопросом: не будут ли современные межсетевые экраны делать NAT между внутренними адресами IPv4 и внешними адресами IPv6?

Мне просто интересно, так как я видел так много людей, которые борется с вопросами IPv6 здесь и задаются вопросом, зачем беспокоиться?


47
2018-05-26 19:17


Источник




Ответы:


Нет NAT для IPv6 (как вы думаете об NAT в любом случае). NAT был временным решением $ EXPLETIVE для IPv4, заканчивающимся адресами (проблема на самом деле не существовала и была решена до того, как NAT был когда-либо необходим, но история - 20/20). Он не добавляет ничего, кроме сложности и мало что сделает, за исключением возникновения головных болей в IPv6 (у нас так много адресов IPv6, которые мы беззастенчиво тратим их). NAT66 существует и предназначен для уменьшения количества IPv6-адресов, используемых каждым хостом (обычным для хостов IPv6 является наличие нескольких адресов, IPv6 несколько отличается от IPv4, это один).

Предполагалось, что Интернет будет сквозным маршрутизируемым, что является частью причины, по которой IPv4 был изобретен и почему он получил признание. Это не значит, что весь адрес в Интернете должен был быть доступен. NAT ломает оба. Брандмауэры добавляют уровни безопасности, нарушая достижимость, но обычно это происходит за счет маршрутизации.

Вы будете хотеть IPv6 в своих сетях, поскольку нет способа указать конечную точку IPv6 с адресом IPv4. С другой стороны, это работает, что позволяет сетям IPv6 только с использованием DNS64 и NAT64 для доступа к Интернету IPv4. На самом деле, сегодня возможно, чтобы IPv4 все вместе, хотя это немного хлопот, устанавливая его. Можно было бы прокси-сервера от внутренних адресов IPv4 до серверов IPv6. Добавление и настройка прокси-сервера добавляет в сеть затраты на конфигурацию, оборудование и обслуживание; обычно намного больше, чем просто включение IPv6.

NAT также вызывает проблемы. Маршрутизатор должен быть способен координировать каждое подключенное через него соединение, отслеживать конечные точки, порты, тайм-ауты и многое другое. Обычно этот трафик проходит через эту единую точку. Хотя можно построить избыточные маршрутизаторы NAT, технология является массово сложной и, как правило, дорогой. Резервные простые маршрутизаторы легки и дешевы (сравнительно). Кроме того, чтобы восстановить некоторую маршрутизацию, правила трансляции и перевода должны быть установлены в системе NAT. Это по-прежнему прерывает протоколы, в которые встроены IP-адреса, такие как SIP. UPNP, STUN и другие протоколы, чтобы помочь справиться с этой проблемой - больше сложности, большего обслуживания, более того может пойти не так,


54
2018-05-26 19:21



Маршрутизатор, на котором работает NAT, разделяет сети, что маршрутизатор все равно будет разделять сети, ничего не изменилось, за исключением того, что маршрутизатор должен быть правильно запрограммирован для IPv6. Маршрутизация да, не обязательно достижимая (правила брандмауэра, скорее всего, блокируют большинство трафика). - Chris S
@Tomtom: Любой, кто считает, что он нужен, не знает, что им нужен брандмауэр. В буквальном смысле нет проблем, что NAT - лучшее решение для, помимо проблем, вызванных нехваткой адресации. Нет недостатка в адресации в IPv6 (пока!). Это может быть в разработке, но это не значит, что это не глупая идея :) - growse
@JimB - насколько я знаю, было по крайней мере 4 разных предложения IPv6 NAT, которые были в разработке, и все они потерпели неудачу. Учитывая, что этой странице почти 3 года, я собираюсь догадаться, что к настоящему времени это тоже не сработало - Mark Henderson♦
Я знаю, это звучит оскорбительно, поэтому я извиняюсь перед вами, но если вы не повар, оставайтесь на кухне. Люди понимают, работают ли они на собственной машине, они могут сломать что-то, что наносит ущерб миру ... То же самое касается компьютерной безопасности, если вы не знаете, как это сделать, вы, скорее всего, принесете больше вреда, чем пользы. У вас есть точка, что NAT упрощает некоторые уровни безопасности (в особенности и почти исключительно, что ваша внутренняя сеть не маршрутизируется через Интернет). Даже на большинстве NAT-маршрутизаторов сегодня это только значение по умолчанию, и «безопасность», предоставляемая NAT, может быть отключена. - Chris S
Давайте не начинаем перебирать слова типа «БЕЗОПАСНОСТЬ» без разумной дискуссии об уязвимостях и угрозах. Какая конкретная уязвимость защищает NAT? О каких конкретных «атак» вы говорите? Являются ли они теми же атаками, что и весь профессиональный мир смягчается с помощью брандмауэра с состоянием? Если это так, NAT не покупает вас много. - growse


Выполнение внутренних (rfc1918) адресов ipv4 также может быть очень веской причиной для перехода ipv6.

Comcast объяснено в Nanog37 почему они пошли ipv6 для своих адресов управления.

20 Million video customer
x 2.5 STB/customer
x 2 ip addresses/STB
--------------------  
= 100 Millions IP addresses

А также это только для видео, а не данные / модемы.

Они исчерпали пулы RFC1918 в 2005 году. Затем они использовали пулы открытых адресов (поскольку nat не является вариантом для управления) и пошел ipv6, чтобы решить их потребности,


22
2018-05-26 20:40



А как насчет не-мегакорпораций? - Cypher
ну, есть еще все другие ответы;) - petrus
Я не думаю, что любая корпорация будет использовать более 16 777 216 ВНУТРЕННИХ ... Конечно, внешне для своих клиентов. Никто не спорит, что нам нужно больше публичных IP-адресов. - KCotreau
Я не говорил об общедоступном / wan ip-адресе маршрутизатора, но IP-адрес управления на кабельном модемом или приставке. Так что да, Comcast и все крупные кабельные провайдеры делать требуется более 2 ^ 24 ip @. - petrus


Пара причин:

  • IPv6 не поддерживает вещание. Он заменяется многоадресной рассылкой. Broadcasting позволяет одному узлу отправлять трафик всем узлам в подсети. Управление широковещательными доменами является одной из основных проблем, связанных с тем, что большие сети IPv4 работают быстро и плавно. Для многоадресной рассылки требуется, чтобы узлы, которые хотят получать «широковещательный» -стиль, фактически подписываются на него, поэтому сеть не заполняется трафиком, который попадает на все хосты.

  • IPv6 поддерживает шифрование стиля IPsec изначально.

  • IPv6 поддерживает автоконфигурацию. Возможно, что хосты за маршрутизатором настроены самостоятельно, не требуя DHCP, хотя вам по-прежнему нужен DHCP-сервер для передачи параметров DHCP, таких как DNS-сервер, TFTP-сервер и т. Д.


14
2018-05-26 20:16



IPv6 позволяет перенумеровать всю подсеть практически без осложнений. Это также позволяет слияние подсетей. Он имеет невероятно грамотный контроль над многоадресным трафиком ... есть еще больше причин, но это было навсегда, так как я взял курс IPv6. - Matthew
Это все популярные мифы, вот немного больше информации: многоадресная передача IPv6 является обязательной для базовых функций: например, для проведения IP-трансляции IPv4, равной вам, ping6 до FF02 :: 1 для всех обычных узлов и FF02 :: 2 для всех маршрутизаторов. IPSec IPv6 не изменяет ничего с IPv4. Вы не получаете никакой безопасности бесплатно. Все еще нужно настроить все режимы и иметь дело с распределением ключей. Автоконфигурация IPv6 - это полный мусор; по умолчанию это небезопасно, как MAC <-> IPv4, и он не передает DNS. Если вы хотите DNS, вам нужно установить DHCPv6, так что не получится. - Marcin
Я считаю, что 3-й пункт является слабостью ip6. Сколько раз вы проверяли, получил ли компьютер IP-адрес в процессе устранения неполадок? Эта часть только усложнилась. - Joel Coel


Моя старая работа в крупном университете будет использовать внутреннее распределение IPv6. Им был присвоен IPv4 / 16 в тот же день, и даже сегодня он пропускает адреса IPv4 почти каждому внутреннему клиенту. Сети RFC1918 были ограничены только сетью телекоммуникаций и определенными специальными обычаями (стандарты PCI требовали использования RFC1918 до октября 2010 года).

Из-за этого они активно планировали также использовать IPv6. Были проблемы с аппаратным обеспечением, которые по-прежнему решались, граничные переключатели не поддерживали v6 достаточно хорошо, но ядро ​​было готово. Идея заключалась в том, что поддержка v6 на публично видимом конце (хорошо, публично отзывчивый конец) сети будет включать в себя 70% работы, чтобы развернуть ее всем, может также сделать дополнительные 30% и перейти от конца к концу.

Живя с публичным распределением ИС так долго, наши люди прекрасно понимали эту поговорку: «просто потому, что она общедоступна, это не значит, что она доступна». Как сказал Крис С, маршрутизация не предполагает достижения цели.

Вот почему, по крайней мере, один класс организации будет развертывать IPv6 внутренне: потому что они уже используют не-RFC1918 IPv4 внутренне.


13
2018-05-26 21:28





IPv6 предлагает некоторые потенциальные улучшения в реальном мире по сравнению с IPv4, такие как более простой механизм автоматической настройки и автоматического обнаружения, а также безопаснее в том смысле, что вредоносное ПО становится нецелесообразным для репликации по сети путем сканирования портов в диапазоне IP - - слишком много IP-адресов. Но эти улучшения не особенно драматичны и, безусловно, не стоят стоимости переключения.

Но учтите, что это не или / или решение, вы можете запускать оба параллельно, и если вы разрабатываете программное обеспечение, вы, вероятно, должны, как и многие люди, упомянуть для тестирования. Нет надежного способа сделать программу совместимой с IPv6 без наличия внутренней инфраструктуры IPv6 для тестирования. Большинство современных ОС автоматически настраивают внутреннюю сеть IPv6 между ними - это просто вопрос ее использования.

10 лет назад я создал немного программного обеспечения для клиентов-работодателей, чтобы получать обновления программы. При создании сетевого компонента мне приходилось выбирать между построением в совместимости с IPv6 или просто предполагать, что все IP-адреса будут 4 байта. Я решил взять простой маршрут, сэкономив около 4 часов работы и сделал приложение только IPv4. Я решил, что это будет заменено через несколько лет. Они все еще используют его сегодня и поэтому блокируются на некоторых более мелких рынках.


7
2018-05-26 20:29





Мы говорим здесь о двух вещах: работа с внутренней сетью на чистом IPv6 или работающий двойной стек IPv4 / IPv6. Я думаю, что преждевременно говорить о запуске чистого IPv6 - во многих операционных системах даже невозможно использовать IPv6 без IPv4. Тем не менее, вы можете подумать о запуске двойного стека по следующим причинам (а), если вы разрабатываете программное обеспечение (б), чтобы подготовить свою сеть к неизбежной миграции на IPv6. Если вы находитесь в ситуации A, тогда вы должны действовать сейчас, если это B, то по моей оценке у вас есть около 1-2 лет, чтобы подумать об этом (но чем скорее вы начнете, тем более подготовленными вы будете).

Моя ситуация - A, и мы работаем с двумя стеками уже 6 месяцев. За это время мы определили и решили некоторые проблемы с нашим публичным / частным DNS, распределением адресов, DHCP, маршрутизацией, брандмауэром, и мы не могли даже ожидать многих из этих проблем, не пытаясь. Теперь мы полностью готовы к IPv6, и у нас даже есть открытый доступ IPv6 через туннелирование. По моему опыту могу с уверенностью сказать, что IPv6 намного проще и элегантнее по сравнению со старым IPv4, поэтому я буду очень рад, когда придет время переключиться на IPv6, но до этого времени - двойной стек - это путь идти.


5
2018-06-15 03:46





Работая в небольшой компании, я могу думать только о причинах НЕ использовать IPv6.

  • У нас даже нет публичного адреса IPv6, так почему же мы будем запускать его внутри страны?
  • Нам нужно будет заменить наш брандмауэр, который мне очень нравится, поскольку он еще не поддерживает IPv6
  • У нас нет способа назначить, не говоря уже о контроле, адресах IPv6
  • Только половина наших ПК поддерживает IPv6
  • Ни один из наших производственных предприятий не поддерживает IPv6
  • Наши коммутаторы не поддерживают IPv6
  • Я даже не видел принтер, поддерживающий IPv6
  • IPv6 намного сложнее использовать из командной строки - довольно важный момент для меня
  • Мне нужно будет полностью ускориться на IPv6 - трудно сделать, когда я не заинтересован
  • ... и множество других причин, о которых я не могу сейчас думать

Для такой компании, как наша, просто не имеет смысла вносить изменения, поскольку это потребует значительных затрат и усилий, абсолютно ничего не выиграть от нее.

Честно говоря, мне нравится NAT и преимущества, которые мы получаем от решения локальных адресов. Если это когда-либо будет необходимо (в отличие от того, чтобы быть geek want-to-do), чтобы мы могли взаимодействовать с IPv6 в Интернете, мы сделаем это на шлюзе.

Я не ожидаю, что нынешняя причуда IPv6 станет необходимостью для подавляющего большинства стран мира, по крайней мере, по крайней мере, на протяжении десятилетия или более. Поскольку я рассчитываю на то, что уйду на пенсию к тому времени, для меня лично не будет большого стимула тратить время и силы на это.

Редактировать:

Я получаю downvotes, но не один логичный и разумный противоположный взгляд. Заставляет меня думать, что это всего лишь кучка побеждающих всадников, которые хотят следить за трендом, не задумываясь об этом. Должно быть ПРИЧИН, чтобы сделать такое радикальное изменение в сети, и у меня его нет. Кроме того, я сильно подозреваю, что только у немногих пользователей SF есть один.


4
2018-06-15 00:15



1. спросите своего провайдера о размещении. В отличие от IPv4, вы не можете просто запросить блок. вы должны иметь возможность использовать до X количество из них в течение 6 месяцев. - Brian
3. Вы назначаете, настраивая маршрутизатор с адресом IPv6, и дайте авторам автоконфигурировать машины. (или настроить Dhcp6) - Brian
4. Windows XP SP2 поддерживает IPv6. 6. Коммутаторы не говорят IP. Они говорят, что уровень 2. они отлично работают с Ipv6. Я запускал Ipv6 по сравнению с некоторыми коммутаторами 3com 2001 года. Возможно, вам потребуется поддержка ipv4, чтобы получить доступ к управлению некоторыми из них. Любой принтер HP с картой jetdirect, проданной за последние 5 лет (или больше), поддерживает IPv6 - Brian
«Наши коммутаторы не поддерживают IPv6». Не проблема. «Я даже не видел принтер, поддерживающий IPv6». Я делаю, мне 6 лет, и я сижу рядом со мной. (Дешевый лазер Dell). «Мне нужно будет полностью ускориться на IPv6 - трудно сделать, когда я не заинтересован». Здесь я согласен. Изучать что-то новое сложно. Но быть единственным, кто его понимает (и вам это понадобится через несколько лет), является довольно преимуществом. - Hennes
@Hennes, все, что уже было покрыто, и насколько я могу судить, мне не понадобится IPv6 во время остатков моей трудовой жизни, и мне это никогда не понадобится дома. IOW, нет абсолютно никаких стимулов для изучения технологии, для которой, по крайней мере, в этой части мира нет необходимости и не будет в обозримом будущем. Я не согласен с тем, что изучать что-то новое сложно. Я делаю это каждый день в своей жизни и надеюсь продолжать это делать, пока не упаду с окуня. - John Gardeniers


Помимо адресного пространства lager, отсутствия широковещательной рассылки, IPSec и более простой автоконфигурации есть некоторые «не столь известные» преимущества IPv6:

  1. Большее адресное пространство означает, что адрес имеет больше битов, которые могут использоваться в качестве хранилища данных. Например, подсчет прыжка между двумя узлами может быть функцией их адресов IPv6, например:
    Адрес IPv6 может быть в формате PREFIX:Country&Region:DC&Line:Rack&Unit:VM&ID поэтому более узкие узлы будут иметь более значимые биты. Это всего лишь пример, конечно, метрики «близости» могут храниться в какой-то внешней базе данных, такой как DNS TXT|SRV записей.

  2. Существуют некоторые методы использования адресного пространства IPv6 для криптографических целей, таких как криптографически сгенерированные адреса (CGA) и отправить (Обнаружение соседей SEcure) 

  3. Когда IPv6 включен, все узлы в сети имеют локальный IPv6-адрес (если не настроен иначе). Таким образом, есть вероятность, что вы сможете получить доступ даже к некорректированному узлу.

  4. Вы можете получить MAC-адреса узлов непосредственно из локального IPv6-адреса (если Расширения конфиденциальности IPv6 не настроены)

  5. Вы не можете использовать IPv4 в подсетях с тысячами узлов - ваша сеть будет перегружена широковещательным трафиком (например, ARP).

  6. Вы можете запросить узел для получения дополнительной информации, используя информация о узле, например. в BSD вы можете запросить узел для ICMPv6 Узел адресов узла узла:

$ ping6 -a Aacgsl ::1

PING6(72=40+8+24 bytes) ::1 --> ::1
136 bytes from ::1: 
  fe80::beae:c5ff:fe43:44a(TTL=infty)
  fe80::beae:c5ff:fe43:212(TTL=infty)
  ::1(TTL=infty)
  fe80::1(TTL=infty)
  2a02::9222(TTL=infty)

4
2018-06-13 20:27





Я могу думать о двух причинах использования IPv6 для внутреннего хоста.

  1. В будущем вы можете найти, что этот хост теперь должен быть доступен извне по крайней мере на определенных портах.

  2. Вы можете обнаружить, что этому хосту необходимо подключиться к другому хосту, который также выбрал тот же внутренний адрес. Например, вам необходимо подключиться к 10.0.0.5 в корпорации Acme, а ваш собственный адрес в корпорации Emca также будет 10.0.0.5. Я помню, как это происходило на предыдущей работе, мы оба использовали одни и те же внутренние адреса.

Я бы сказал, что в современном мире большинство компьютеров не являются 100% внутренними. Большинство настольных компьютеров могут создавать ограниченные подключения к внешнему миру или наоборот.


2
2018-05-27 14:21