Зачем вам использовать IPv6 внутри?

Конечно, я понимаю необходимость перехода на IPv6 в открытом Интернете, поскольку у нас заканчиваются адреса, но я действительно не понимаю, почему есть необходимость использовать его во внутренней сети. Я сделал ноль с IPv6, поэтому я также задаюсь вопросом: разве современные брандмауэры не делают NAT между внутренними адресами IPv4 и внешними адресами IPv6?

Мне было просто интересно, так как я видел так много людей, борющихся с вопросами IPv6 здесь, и удивляюсь, зачем беспокоиться?

Для IPv6 нет NAT (как вы думаете о NAT в любом случае). NAT был временным решением $ EXPLETIVE для IPv4, у которого заканчивались адреса (проблема, которая на самом деле не существовала и была решена до того, как NAT когда-либо понадобился, но история 20/20). Он не добавляет ничего, кроме сложности, и мало что делает, кроме причин головной боли в IPv6 (у нас так много IPv6-адресов, что мы их бесцеремонно тратим). NAT66 существует и предназначен для уменьшения количества адресов IPv6, используемых каждым хостом (для хостов IPv6 нормально иметь несколько адресов, во многих отношениях IPv6 несколько отличается от IPv4, это один).

Предполагалось, что Интернет должен быть сквозным и маршрутизируемым, что является одной из причин изобретения IPv4 и его признания. Это не означает, что все адреса в Интернете должны были быть доступны. NAT ломает оба. Брандмауэры добавляют уровни безопасности, нарушая достижимость, но обычно это происходит за счет маршрутизируемости.

Вам понадобится IPv6 в ваших сетях, поскольку невозможно указать конечную точку IPv6 с адресом IPv4. И наоборот, работает, что позволяет сетям, использующим только IPv6, использующим DNS64 и NAT64, по-прежнему иметь доступ к Интернету IPv4. Сегодня на самом деле возможно полностью отказаться от IPv4, хотя это немного затрудняет его настройку. Можно было бы прокси с внутренних адресов IPv4 на серверы IPv6. Добавление и настройка прокси-сервера увеличивает стоимость конфигурации, оборудования и обслуживания сети; обычно гораздо больше, чем просто включение IPv6.

NAT тоже вызывает свои проблемы. Маршрутизатор должен быть способен координировать каждое соединение, проходящее через него, отслеживать конечные точки, порты, тайм-ауты и многое другое. Весь этот трафик обычно проходит через эту единственную точку. Хотя возможно создание избыточных NAT-маршрутизаторов, технология чрезвычайно сложна и в целом дорогая. Избыточные простые маршрутизаторы легки и дешевы (сравнительно). Кроме того, для восстановления некоторых правил маршрутизации в системе NAT должны быть установлены правила пересылки и трансляции. Это все еще нарушает протоколы, которые встраивают IP-адреса, такие как SIP. UPNP, STUN и другие протоколы были изобретены для решения этой проблемы - больше сложности, больше обслуживания, больше ошибок .

Исчерпание внутренних (rfc1918) адресов ipv4 также может быть очень веской причиной для перехода на ipv6.

Comcast объяснил в Nanog37, почему они используют ipv6 для своих адресов управления.

20 Million video customer
x 2.5 STB/customer
x 2 ip addresses/STB
--------------------  
= 100 Millions IP addresses

И это только для видео , а не для данных / модемов.

Они исчерпали пулы RFC1918 в 2005 году. Затем они использовали пулы публичных адресов (так как nat не подходит для управления) и использовали ipv6 для решения своих задач .

Пара причин:

• IPv6 не поддерживает вещание. Он заменен на многоадресный. Вещание позволяет одному узлу отправлять трафик всем узлам в подсети. Управление широковещательными доменами является основной проблемой, обеспечивающей быструю и бесперебойную работу крупных сетей IPv4. Многоадресная рассылка требует, чтобы узлы, которые хотят получить «широковещательный» стиль, фактически «подписались» на него, чтобы сеть не была заполнена трафиком, охватывающим все хосты.

• IPv6 изначально поддерживает шифрование в стиле IPsec.

• IPv6 поддерживает автоконфигурацию. Хосты за маршрутизатором могут настраивать себя без необходимости использования DHCP, хотя вам все еще нужен DHCP-сервер для выдачи таких параметров DHCP, как DNS-сервер, TFTP-сервер и т. Д.

Моя старая работа в большом университете будет использовать распределение IPv6 внутри страны. Им был назначен IPv4 / 16 в тот же день, и даже сегодня он передает адреса IPv4 почти каждому внутреннему клиенту. Сети RFC1918 были ограничены сетью только для телекоммуникаций и определенным специализированным использованием (стандарты PCI требовали использования RFC1918 до октября 2010 года).

Из-за этого они активно планировали использовать IPv6 и внутри страны. Были некоторые аппаратные проблемы, которые еще нужно было решить, пограничные коммутаторы не поддерживали v6 достаточно хорошо, но ядро ​​было готово. Идея заключалась в том , что получение поддержки v6 на общедоступное конце ( в порядке, публично отзывчивым конец) сети будет включать 70% работы , чтобы развернуть его на всех, а также может сделать дополнительные 30% и перейти конец-to покончить с этим.

Прожив с публичным распределением ИС в течение столь длительного времени, наши люди очень хорошо понимали пословицу: «только то, что она публичная, не означает, что она достижима». Как сказал Крис С., маршрутизация не подразумевает достижимость.

Вот почему, по крайней мере, один класс организации будет развертывать IPv6 внутри: потому что они уже используют не RFC1918 IPv4 внутри.

IPv6 действительно предлагает некоторые потенциальные реальные усовершенствования по сравнению с IPv4, такие как более простая автоконфигурация и механизм автообнаружения, а также безопаснее в том смысле, что вредоносным программам становится невозможно выполнять репликацию через сеть путем сканирования портов в диапазоне IP - - слишком много IP-адресов. Но эти улучшения не особенно драматичны и, безусловно, не стоят затрат на переключение.

Но обратите внимание, что это не то или иное решение, вы можете запускать оба параллельно, и если вы разрабатываете программное обеспечение, вы, вероятно, должны, как упоминали многие люди, для целей тестирования. Не существует надежного способа сделать программу совместимой с IPv6 без внутренней инфраструктуры IPv6 для тестирования. Большинство современных ОС автоматически устанавливают между собой внутреннюю сеть IPv6 - это просто вопрос ее использования.

10 лет назад я создал немного программного обеспечения, которое клиенты могут использовать для получения обновлений программ. При создании сетевого компонента мне пришлось выбирать между созданием совместимости с IPv6 или предположением, что все IP-адреса будут 4 байта. Я решил пойти по простому маршруту, сэкономив около 4 часов работы, и сделал приложение только для IPv4. Я полагал, что это все равно будет заменено через несколько лет. Они по-прежнему используют его сегодня, и поэтому не имеют доступа к небольшим рынкам.

Работая в небольшой компании, я могу думать только о причинах НЕ использовать IPv6.

• У нас даже нет публичного адреса IPv6, так с какой стати мы будем использовать его внутри?
• Мы должны заменить наш брандмауэр, который мне очень нравится, так как он (пока) не поддерживает IPv6
• У нас нет способа назначать, не говоря уже о контроле, адреса IPv6
• Только половина наших ПК поддерживает IPv6
• Ни один из наших заводов-производителей не поддерживает IPv6
• Наши коммутаторы не поддерживают IPv6
• Я никогда не видел принтер, который поддерживает IPv6
• IPv6 намного сложнее использовать из командной строки - довольно важный момент для меня
• Мне нужно полностью освоиться с IPv6 - это трудно сделать, когда я не заинтересован
• ... и множество других причин, о которых я не могу думать сейчас

Для такой компании, как наша, просто не имеет смысла вносить изменения, так как это потребует значительных затрат и усилий, абсолютно ничего не получая от этого.

Откровенно говоря, мне нравится NAT и преимущества, которые мы получаем от работы с локальными адресами. Если нам когда-нибудь понадобится (а не быть фанатом), чтобы мы могли взаимодействовать с IPv6 в Интернете, мы сделаем это на шлюзе.

Я не ожидаю, что нынешнее увлечение IPv6 станет необходимостью для подавляющего большинства мира, по крайней мере, на внутреннем рынке, на десятилетие или более. Поскольку я ожидаю выхода на пенсию, лично у меня не будет большого стимула тратить на это время и силы.

Редактировать:

Я получаю отрицательные отзывы, но ни одного логического и разумного противоположного взгляда. Заставляет меня думать, что это просто группа фанатов прыжков с парашютом, которые хотят следовать за трендом, не думая об этом. Должна быть ПРИЧИНА, чтобы сделать такое радикальное изменение в сети, а у меня его нет. Кроме того, я сильно подозреваю, что только очень немногие пользователи SF имеют его.

Здесь мы говорим о двух вещах: внутренняя сеть на чистом IPv6 или двойная стека IPv4 / IPv6. Я думаю, что преждевременно говорить о запуске чистого IPv6 - во многих операционных системах даже невозможно использовать IPv6 без IPv4. Однако вы можете рассмотреть возможность использования двойного стека по следующим причинам: (а) если вы разрабатываете программное обеспечение (б), чтобы подготовить сеть к неизбежному переходу на IPv6. Если у вас ситуация А, то вам следует действовать сейчас, если это Б, то, по моей оценке, у вас есть около 1-2 лет, чтобы подумать об этом (но чем раньше вы начнете, тем более подготовленным вы будете).

У меня ситуация А, и мы работаем с двойным стеком уже 6 месяцев. За это время мы выявили и решили некоторые проблемы с нашей общедоступной / частной DNS, распределением адресов, DHCP, маршрутизацией, межсетевым экраном и даже не могли предвидеть многие из этих проблем, не пытаясь. Теперь мы полностью готовы к IPv6, и у нас даже есть публичный доступ к IPv6 через туннелирование. Исходя из своего опыта, я могу с уверенностью сказать, что IPv6 является гораздо более простым и элегантным решением по сравнению со стареющим IPv4, поэтому я буду очень рад, когда придет время перейти на IPv6, но до того, как наступит это время, путь с двойным стеком идти.

Помимо адресного пространства лагера, отсутствия широковещательной рассылки, IPSec и более простой автоматической настройки существуют некоторые «не очень известные» преимущества IPv6:

1. Увеличенное адресное пространство означает, что адрес имеет больше битов, которые можно использовать в качестве хранилища данных. Например, количество переходов между двумя узлами может быть функцией их IPv6-адресов, например:
   IPv6-адрес может быть в формате, PREFIX:Country&Region:DC&Line:Rack&Unit:VM&IDчтобы у более близких узлов было больше одинаковых старших битов. Это всего лишь пример, конечно, метрики «близости» могут храниться в некоторой внешней базе данных, такой как TXT|SRVзаписи DNS .

2. Существует несколько способов использования адресного пространства IPv6 для криптографических целей, таких как криптографически сгенерированные адреса ( CGA ) и SEND (SEcure Neighbor Discovery)

3. Когда IPv6 включен, все узлы в сети имеют локальный IPv6-адрес канала (если не настроено иначе). Таким образом, есть вероятность, что вы можете получить доступ даже к неправильно настроенному узлу.

4. Вы можете получить MAC-адреса узлов непосредственно с локального IPv6-адреса канала (если расширения конфиденциальности IPv6 не настроены)

5. Невозможно использовать IPv4 в подсетях с тысячами узлов - ваша сеть будет перегружена широковещательным трафиком (например, ARP).

6. Вы можете запросить у узла дополнительную информацию, используя информацию об узле , например, в BSD вы можете запросить у хоста адреса узла информации ICMPv6:

$ ping6 -a Aacgsl ::1

PING6(72=40+8+24 bytes) ::1 --> ::1
136 bytes from ::1: 
  fe80::beae:c5ff:fe43:44a(TTL=infty)
  fe80::beae:c5ff:fe43:212(TTL=infty)
  ::1(TTL=infty)
  fe80::1(TTL=infty)
  2a02::9222(TTL=infty)

Я могу думать о двух причинах использовать IPv6 для внутреннего хоста.

1. В будущем вы можете обнаружить, что этот хост должен быть доступен извне, по крайней мере, на определенных портах.

2. Вы можете обнаружить, что этому хосту необходимо подключиться к другому хосту, который также выбрал тот же внутренний адрес. Например, вам необходимо подключиться к 10.0.0.5 в корпорации Acme, а ваш собственный адрес в корпорации Emca также 10.0.0.5. Я помню, как это происходило на предыдущей работе, мы оба использовали одни и те же внутренние адреса.

Я бы сказал, что в современном мире большинство компьютеров не являются на 100% внутренними. Большинство настольных компьютеров могут устанавливать некоторые ограниченные соединения с внешним миром или наоборот.

Единственная хорошая причина для внутреннего использования IPv6 - это быть готовым, когда мир перейдет на IPv6, и я думаю, что это довольно плохая причина, учитывая скорость принятия. Поскольку большинство внутренних IP-адресов не будут доступны извне, перевод остальных не составит большого труда.

Моя корпорация, вероятно, никогда не перейдет на IPv6 внутри страны. Это потребовало бы фундаментального изменения политики, столь масштабного, что я не могу честно представить, как это могло произойти. Многие люди должны были бы быть убиты, и нужно было бы сделать много необъяснимых решений о найме. Кроме того, любая попытка отдельных бизнес - единиц , чтобы перейти на IPv6 на своих локальных сетей будет сжато с пристрастием на корпоративных сетей повелители на основе совместимости и maintainablity проблем (мы допускаем много свободы действий на местном уровне, но не что много.)

По сути, если бы переход на IPv6 был безболезненным, мы бы сделали это много лет назад.

IPv4 предназначался для того, чтобы каждое устройство было напрямую в Интернете ... пока у нас не закончилась адресная область. Затем мы провели последние 20 лет, запирая все это. Теперь IPv6 по своему дизайну хочет снова разместить каждое устройство непосредственно в Интернете ... результат будет таким же. Я полностью согласен с тем, что NAT - это один уровень безопасности, от которого нельзя отказаться без столь же эффективной или лучшей замены.

К сожалению, в подавляющем большинстве этих ответов и комментариев содержится много плохой информации. Так грустно видеть, как слепой ведет слепого так плодотворно.

NAT никуда не денется, и люди, которые говорят вам: «О, этот NAT, какая это ужасная вещь» ... «О, этот NAT, это была просто работа вокруг» ... ad nasueum Если они начнут использовать такой язык, как это, перейдите к настоящему профессиональному сетевому архитектору за советом, а не военному креслу на выходных.

Вам нужно загрузить баланс трафика на внутренние серверы из Интернета? Ну, угадайте, что с IPv6 вы не можете сделать это так, как вы это делали .... если только вы не используете NAT!

Да, это правда. Кто-то скажет: «О, вы просто используете балансировку обратной нагрузки сервера DSR / Direct». Но они забывают сказать вам, что вы должны отказаться от 1) Вставка cookie 2) Ускорение приложения 3) Трансляция адреса порта

Так что, если вы хотите запустить свои внутренние серверы на порту 8080, а свои внешние на порту 80 ... Ой, как жаль, никто не может сделать с IPv6 .... если вы не используете хороший ole NAT! Даже с DSR.

Затем добавьте к этому "хвастовство", которое люди говорят: "О, да, все предложения NAT IPv6 провалились ... слава Богу" (и империя умирает под звуки аплодисментов). Вы знаете, что это значит? NAT будет ужасным, если он вообще будет работать с IPv6, потому что все фанатики IPv6 отрицают необходимость NAT / PAT по своей природе, и люди, делающие это, делают это неохотно. Так грустно, так плохо удалось

Итак, что вы делаете сейчас, когда правда освободила вас, и вы можете подняться над толпами леммингов, пытаясь использовать тактику запугивания, чтобы заставить вас подчиниться?

Вы покупаете или продолжаете использовать Loadbalancer или Firewall, который действует как публичный / частный посредник вашей сети. Открытые интерфейсы содержат те же VIP-адреса, которые у вас уже есть, но с дополнительным IPv6-адресом, если вам это нужно. Все к северу от уровня Loadbalancer / Firewall также является двойным стеком IPv4 / IPv6. На внутренних интерфейсах Loadbalancer / Firewall все они - IPv4, а вся ваша внутренняя сеть - IPv4, и она остается такой, сколько вы захотите. Это только твое дело. Loadbalancer выполняет NAT / PAT между внешним и внутренним ... потому что он уже есть и нужен для полнофункциональной балансировки нагрузки и потому что теперь он также решает вашу внешнюю проблему IPv6.

Да, и саркастическому человеку, который спросил: «Какой единственной цели безопасности служит NAT»

Безопасность - это доступность на самом фундаментальном уровне. Подумайте об этом, прежде чем уволить.

Балансировщики нагрузки обеспечивают доступность / безопасность, и вы ДОЛЖНЫ использовать NAT / PAT для правильной работы независимо от используемой версии IP.

Цитирование относительно сбоя DSR: https://devcentral.f5.com/articles/the-disadvantages-of-dsr-direct-server-return

K Thnx

Не очень хорошая идея использовать IPv6 во внутренней сети, поскольку многие устаревшие устройства не смогут обмениваться данными. Старые копировальные / многофункциональные принтеры, медицинское оборудование, старые печатные машины, старые серверы и сетевые устройства. Схема IPv4 намного проще в управлении imo.

Принятый ответ вводит в заблуждение

Концепции Chris S по NAT неверны; Одной из лучших функций NAT, помимо искусственного расширения схемы IPv4, является БЕЗОПАСНОСТЬ. NAT - это уровень, скрывающий реальный IP-адрес хоста, который при прямом подключении к Интернету может стать целью всех возможных атак. Счастливо говорить о том, что избавиться от NAT без поощрения дополнительных мер безопасности - это просто незнание этой темы.