Tất nhiên, tôi nhận thấy sự cần thiết phải truy cập IPv6 trên Internet mở vì chúng tôi đang hết địa chỉ, nhưng tôi thực sự không hiểu tại sao có nhu cầu sử dụng nó trên mạng nội bộ. Tôi đã làm không với IPv6, vì vậy tôi cũng tự hỏi: Không phải tường lửa hiện đại làm NAT giữa các địa chỉ IPv4 nội bộ và địa chỉ IPv6 bên ngoài?
Tôi chỉ tự hỏi vì tôi đã thấy rất nhiều người đấu tranh với các câu hỏi IPv6 ở đây, và tự hỏi tại sao phải bận tâm?
Câu trả lời:
Không có NAT cho IPv6 (dù sao bạn nghĩ về NAT). NAT là một giải pháp tạm thời $ EXPLETIVE cho IPv4 hết địa chỉ (một vấn đề không thực sự tồn tại và đã được giải quyết trước khi NAT là cần thiết, nhưng lịch sử là 20/20). Nó không bổ sung gì ngoài sự phức tạp và sẽ làm được rất ít ngoại trừ gây đau đầu cho IPv6 (chúng tôi có rất nhiều Địa chỉ IPv6 mà chúng tôi vô tình lãng phí chúng). NAT66 tồn tại và có nghĩa là giảm số lượng địa chỉ IPv6 được sử dụng bởi mỗi máy chủ (thông thường đối với các máy chủ IPv6 có nhiều địa chỉ, IPv6 có phần khác với IPv4 theo nhiều cách, đây là một địa chỉ).
Internet được cho là có thể định tuyến từ đầu đến cuối, đó là một phần lý do khiến IPv4 được phát minh và lý do tại sao nó được chấp nhận. Điều đó không có nghĩa là tất cả các địa chỉ trên Internet được cho là có thể truy cập được. NAT phá vỡ cả hai. Tường lửa thêm các lớp bảo mật bằng cách phá vỡ khả năng tiếp cận, nhưng thông thường, đó là chi phí của khả năng định tuyến.
Bạn sẽ muốn IPv6 trong các mạng của mình vì không có cách nào để chỉ định điểm cuối IPv6 bằng địa chỉ IPv4. Một cách khác là hoạt động, cho phép các mạng chỉ IPv6 sử dụng DNS64 và NAT64 vẫn có thể truy cập Internet IPv4. Hôm nay thực sự có thể bỏ tất cả IPv4 lại với nhau, mặc dù có một chút rắc rối khi thiết lập nó. Có thể ủy quyền từ địa chỉ nội bộ IPv4 đến máy chủ IPv6. Thêm và cấu hình máy chủ proxy sẽ thêm chi phí cấu hình, phần cứng và bảo trì cho mạng; thường là nhiều hơn chỉ đơn giản là kích hoạt IPv6.
NAT cũng gây ra vấn đề của riêng nó. Bộ định tuyến phải có khả năng điều phối mọi kết nối chạy qua nó, theo dõi các điểm cuối, cổng, thời gian chờ, v.v. Tất cả lưu lượng truy cập đó đang được chuyển qua điểm duy nhất thường. Mặc dù có thể xây dựng các bộ định tuyến NAT dự phòng, công nghệ này rất phức tạp và thường rất tốn kém. Các bộ định tuyến đơn giản dự phòng rất dễ dàng và rẻ tiền (so sánh). Ngoài ra, để thiết lập lại một số khả năng định tuyến, các quy tắc chuyển tiếp và dịch phải được thiết lập trên hệ thống NAT. Điều này vẫn phá vỡ các giao thức nhúng địa chỉ IP, chẳng hạn như SIP. UPNP, STUN và các giao thức khác đã được phát minh để giúp giải quyết vấn đề này - phức tạp hơn, bảo trì nhiều hơn, nhiều điều có thể sai .
Hết địa chỉ ipv4 nội bộ (rfc1918) cũng có thể là một lý do rất hợp lệ để đi ipv6.
Comcast đã giải thích tại Nanog37 tại sao họ lại dùng ipv6 cho các địa chỉ quản lý của họ.
20 Million video customer
x 2.5 STB/customer
x 2 ip addresses/STB
--------------------
= 100 Millions IP addresses
Và điều này chỉ dành cho video , không phải dữ liệu / modem.
Họ đã sử dụng hết các nhóm RFC1918 vào năm 2005. Sau đó, họ đã sử dụng các nhóm địa chỉ công cộng (vì nat không phải là một lựa chọn để quản lý) và đã đi ipv6 để giải quyết nhu cầu của họ .
Vài lý do:
IPv6 không hỗ trợ phát sóng. Nó được thay thế bằng đa hướng. Phát sóng cho phép một nút gửi lưu lượng đến tất cả các nút trên mạng con. Quản lý các miền phát sóng là một vấn đề lớn với việc giữ cho các mạng IPv4 lớn chạy nhanh và trơn tru. Đa phát yêu cầu các nút muốn nhận kiểu "quảng bá" thực sự "đăng ký" cho nó, vì vậy mạng không bị ngập với lưu lượng truy cập vào tất cả các máy chủ.
IPv6 hỗ trợ mã hóa kiểu IPsec nguyên bản.
IPv6 hỗ trợ cấu hình tự động. Có thể các máy chủ phía sau bộ định tuyến tự cấu hình mà không cần DHCP, mặc dù bạn vẫn cần máy chủ DHCP để cung cấp các tùy chọn DHCP như máy chủ DNS, máy chủ TFTP, v.v.
Công việc cũ của tôi, tại một trường đại học lớn, sẽ sử dụng phân bổ IPv6 trong nội bộ. Họ đã được chỉ định một IPv4 / 16 trở lại trong ngày và thậm chí ngày nay đang phân phát địa chỉ IPv4 cho gần như mọi khách hàng nội bộ. Các mạng RFC1918 bị giới hạn trong mạng chỉ dành cho viễn thông và một số cách sử dụng chuyên biệt nhất định (các tiêu chuẩn PCI yêu cầu sử dụng RFC1918 cho đến tháng 10 năm 2010).
Vì điều này, họ cũng đã tích cực lên kế hoạch sử dụng IPv6 trong nội bộ. Vẫn còn một số vấn đề về phần cứng, các công tắc cạnh không hỗ trợ v6 đủ tốt, nhưng lõi đã sẵn sàng. Ý tưởng là việc nhận được hỗ trợ v6 ở đầu hiển thị công khai (được, kết thúc phản hồi công khai ) của mạng sẽ liên quan đến 70% công việc để triển khai nó cho mọi người, cũng có thể thực hiện thêm 30% và kết thúc kết thúc với nó
Sống với việc phân bổ IP công cộng quá lâu, người dân của chúng tôi đã nhận thức được câu ngạn ngữ này: "chỉ vì nó là công khai, không có nghĩa là nó có thể truy cập được." Như Chris S đã nói, định tuyến không có nghĩa là có thể truy cập.
Đó là lý do tại sao ít nhất một lớp tổ chức sẽ triển khai IPv6 trong nội bộ: bởi vì họ đã sử dụng IPv4 không phải RFC1918 trong nội bộ.
IPv6 cung cấp một số cải tiến trong thế giới thực tiềm năng so với IPv4, chẳng hạn như cơ chế tự động phát hiện và cấu hình tự động đơn giản hơn, theo nghĩa an toàn là phần mềm độc hại có thể sao chép qua mạng bằng cách quét cổng phạm vi IP - - có quá nhiều IP. Nhưng những cải tiến đó không đặc biệt ấn tượng và chắc chắn không đáng với chi phí chuyển đổi.
Nhưng lưu ý rằng đó không phải là một hoặc một quyết định, bạn có thể chạy cả hai song song và nếu bạn phát triển phần mềm, có lẽ bạn nên, như nhiều người đã đề cập, cho mục đích thử nghiệm. Không có cách nào đáng tin cậy để làm cho chương trình tương thích IPv6 mà không cần phải có cơ sở hạ tầng IPv6 nội bộ. Hầu hết các hệ điều hành hiện đại sẽ tự động thiết lập một mạng IPv6 nội bộ giữa chúng - đó chỉ là vấn đề sử dụng nó.
10 năm trước tôi đã xây dựng một chút phần mềm cho một chủ nhân mà khách hàng sử dụng để tìm nạp các bản cập nhật chương trình. Khi xây dựng thành phần mạng, tôi phải quyết định giữa việc xây dựng khả năng tương thích IPv6 hoặc chỉ giả sử tất cả các địa chỉ IP sẽ là 4 byte. Tôi quyết định đi theo con đường đơn giản, tiết kiệm cho mình khoảng 4 giờ làm việc và làm cho ứng dụng chỉ có IPv4. Tôi nghĩ rằng nó sẽ được thay thế trong một vài năm nữa. Họ vẫn đang sử dụng nó ngày hôm nay, và do đó bị khóa khỏi một số thị trường nhỏ hơn.
Làm việc cho một công ty nhỏ tôi chỉ có thể nghĩ ra lý do KHÔNG sử dụng IPv6.
Nó chỉ không có ý nghĩa đối với một công ty như chúng ta tạo ra sự thay đổi, vì nó sẽ tốn chi phí và nỗ lực đáng kể mà hoàn toàn không có gì để kiếm được từ nó.
Thẳng thắn mà nói, tôi thích NAT và những lợi ích chúng ta nhận được từ việc xử lý các địa chỉ địa phương. Nếu điều đó trở nên cần thiết (trái ngược với việc muốn làm điều đó) để chúng tôi tương tác với IPv6 trên Internet, chúng tôi sẽ làm như vậy tại cổng.
Tôi không hy vọng nhà mốt IPv6 hiện tại này sẽ trở thành một nhu cầu thiết yếu đối với đại đa số thế giới, ít nhất là trong nội bộ, trong một thập kỷ trở lên. Như tôi dự kiến sẽ nghỉ hưu trước đó, không có nhiều động lực cho cá nhân tôi để lãng phí thời gian và công sức cho nó.
Biên tập:
Tôi đang nhận được downvote nhưng không phải là một quan điểm đối lập hợp lý và hợp lý. Làm cho tôi nghĩ rằng đó chỉ là một nhóm các chuyên viên nhảy dù muốn theo xu hướng mà không nghĩ về nó. Phải có LÝ DO để thực hiện một sự thay đổi mạnh mẽ như vậy đối với mạng và tôi không có. Hơn nữa, tôi cực kỳ nghi ngờ chỉ có rất ít người dùng SF có một.
Chúng ta đang nói về hai điều ở đây - chạy mạng nội bộ trên IPv6 thuần túy hoặc chạy xếp chồng kép IPv4 / IPv6. Tôi nghĩ rằng còn quá sớm để nói về việc chạy IPv6 thuần túy - trên nhiều hệ điều hành, thậm chí không thể sử dụng IPv6 nếu không có IPv4. Tuy nhiên, bạn có thể xem xét việc chạy ngăn xếp kép vì những lý do sau (a) nếu bạn phát triển phần mềm (b) để chuẩn bị cho mạng của bạn chuyển đổi không thể tránh khỏi sang IPv6. Nếu tình huống của bạn là A thì bạn nên hành động ngay, nếu đó là B thì theo ước tính của tôi, bạn có khoảng 1-2 năm để suy nghĩ về nó (nhưng bạn càng bắt đầu sớm thì bạn càng chuẩn bị tốt hơn).
Tình hình của tôi là A và chúng tôi đang chạy dual-stack trong 6 tháng nay. Trong thời gian này, chúng tôi đã xác định và giải quyết một số vấn đề với DNS công cộng / riêng, phân bổ địa chỉ, DHCP, định tuyến, tường lửa và chúng tôi thậm chí không thể lường trước được nhiều vấn đề này mà không thử. Bây giờ, chúng tôi đã sẵn sàng IPv6 hoàn toàn và chúng tôi thậm chí có quyền truy cập công cộng IPv6 thông qua đường hầm. Từ kinh nghiệm của tôi, tôi có thể tự tin rằng IPv6 là giải pháp đơn giản và thanh lịch hơn nhiều so với IPv4 cũ, vì vậy tôi sẽ rất vui khi chuyển sang IPv6, nhưng trước khi đến lúc này - stack-stack là cách đi.
Ngoài không gian địa chỉ lager, không có phát sóng, IPSec và cấu hình tự động đơn giản hơn, có một số ưu điểm "không được biết đến" của IPv6:
Không gian địa chỉ lớn hơn có nghĩa là địa chỉ đó có nhiều bit hơn có thể được sử dụng làm lưu trữ dữ liệu. Ví dụ: hop-Count giữa hai nút sau đó có thể là một chức năng của các địa chỉ IPv6 của họ, ví dụ:
Địa chỉ IPv6 có thể ở định dạng PREFIX:Country&Region:DC&Line:Rack&Unit:VM&IDđể các nút gần hơn sẽ có nhiều bit đáng kể nhất. Đây chỉ là một ví dụ, tất nhiên các số liệu "gần gũi" có thể được lưu trữ trong một số loại cơ sở dữ liệu bên ngoài như TXT|SRVbản ghi DNS .
Có một số kỹ thuật sử dụng không gian địa chỉ của IPv6 cho các mục đích mã hóa như Địa chỉ được tạo bằng mật mã ( CGA ) và SEND (SEcure Neighbor Discovery)
Khi IPv6 được bật, tất cả các nút trong mạng đều có địa chỉ IPv6 liên kết cục bộ (nếu không được định cấu hình khác). Vì vậy, có một cơ hội mà bạn có thể truy cập ngay cả nút được cấu hình sai.
Bạn có thể nhận địa chỉ MAC của các nút trực tiếp từ địa chỉ IPv6 liên kết cục bộ (nếu tiện ích mở rộng quyền riêng tư IPv6 không được định cấu hình)
Không có cách nào bạn có thể có thể sử dụng IPv4 trong các mạng con với hàng ngàn nút - mạng của bạn sẽ bị quá tải với lưu lượng phát (ví dụ ARP).
Bạn có thể truy vấn nút để biết thêm thông tin bằng cách sử dụng thông tin nút , ví dụ: trong BSD, bạn có thể truy vấn máy chủ cho Địa chỉ nút thông tin nút ICMPv6:
$ ping6 -a Aacgsl ::1
PING6(72=40+8+24 bytes) ::1 --> ::1
136 bytes from ::1:
fe80::beae:c5ff:fe43:44a(TTL=infty)
fe80::beae:c5ff:fe43:212(TTL=infty)
::1(TTL=infty)
fe80::1(TTL=infty)
2a02::9222(TTL=infty)
Tôi có thể nghĩ ra hai lý do để sử dụng IPv6 cho máy chủ nội bộ.
Trong tương lai bạn có thể thấy rằng máy chủ này cần phải có sẵn bên ngoài ít nhất trên một số cổng nhất định.
Bạn có thể thấy rằng máy chủ này cần kết nối với một máy chủ khác cũng đã chọn cùng một địa chỉ nội bộ. Ví dụ: bạn cần kết nối với 10.0.0.5 tại tập đoàn Acme và địa chỉ của bạn tại tập đoàn Emca cũng là 10.0.0.5. Tôi nhớ điều này xảy ra ở một công việc trước đây, cả hai chúng tôi đã sử dụng cùng một địa chỉ nội bộ.
Tôi muốn nói rằng trong thế giới hiện đại, hầu hết các máy tính không phải là 100% nội bộ. Hầu hết các máy tính để bàn có thể thực hiện một số kết nối hạn chế với thế giới bên ngoài hoặc ngược lại.
Lý do chính đáng duy nhất để sử dụng IPv6 trong nội bộ là sẵn sàng khi thế giới chuyển sang IPv6 và tôi nghĩ đó là một lý do khá tồi tệ, với tỷ lệ chấp nhận. Vì hầu hết các IP nội bộ sẽ không thể truy cập được từ bên ngoài, nên việc dịch phần còn lại sẽ không phải là vấn đề lớn.
Tập đoàn của tôi có thể sẽ không bao giờ chuyển sang IPv6 trong nội bộ. Nó sẽ đòi hỏi một sự thay đổi cơ bản trong chính sách lớn đến mức tôi không thể hình dung một cách trung thực về cách nó có thể xảy ra. Rất nhiều người sẽ phải bị giết, và rất nhiều lựa chọn tuyển dụng không thể giải thích sẽ phải được thực hiện. Tương tự như vậy, bất kỳ nỗ lực của các đơn vị kinh doanh cá thể để chuyển sang IPv6 trên mạng LAN của họ sẽ bị bẹp với thành kiến bởi các mạng doanh nghiệp chúa dựa trên khả năng tương tác và maintainablity mối quan tâm (chúng tôi cho phép rất nhiều mất nhiều thời gian tại địa phương, nhưng không phải là nhiều.)
Về cơ bản, nếu chuyển sang IPv6 là không đau, chúng tôi đã thực hiện nó từ nhiều năm trước.
IPv4 được dự định là mọi thiết bị đều trực tiếp trên Internet ... cho đến khi chúng tôi hết dung lượng địa chỉ. Sau đó, chúng tôi đã dành 20 năm qua để khóa tất cả. Bây giờ, IPv6 theo thiết kế muốn, một lần nữa, đặt mọi thiết bị trực tiếp lên Internet ... kết quả sẽ giống nhau. Tôi hoàn toàn đồng ý rằng NAT là một lớp bảo mật sẽ không bị từ bỏ nếu không có sự thay thế hiệu quả tương đương hoặc tốt hơn.
Thật không may, có rất nhiều thông tin xấu trong phần lớn các câu trả lời và bình luận này. Thật buồn khi thấy người mù dẫn dắt người mù về điều này một cách sung mãn như vậy.
NAT sẽ không đi đâu cả và mọi người nói với bạn "Ồ, NAT đó, thật là một điều kinh khủng" ... "Ồ, NAT đó, không có gì ngoài một công việc xung quanh" ... quảng cáo nếu họ bắt đầu sử dụng ngôn ngữ như rằng, chuyển sang một kiến trúc sư mạng chuyên nghiệp thực sự để được tư vấn, không phải là một chiến binh ghế bành cuối tuần.
Bạn có cần tải lưu lượng cân bằng đến các máy chủ nội bộ từ Internet không? Hãy đoán xem, với IPv6, bạn không thể làm theo cách bạn đã làm .... trừ khi bạn sử dụng NAT!
Vâng, đó là sự thật. Một số người sẽ nói, oh bạn chỉ cần sử dụng cân bằng tải trở lại máy chủ DSR / Direct. Nhưng họ quên nói với bạn rằng bạn phải từ bỏ 1) Chèn cookie 2) Tăng tốc ứng dụng 3) Dịch địa chỉ cổng
Vì vậy, nếu bạn muốn chạy các máy chủ nội bộ của mình trên cổng 8080 nhưng bên ngoài của bạn trên cổng 80 ... Ôi, thật đáng buồn, không thể làm gì với IPv6 .... trừ khi bạn đang sử dụng NAT tốt! Ngay cả với DSR.
Sau đó thêm vào đó là "khoe khoang" mà mọi người nói "Ồ, vâng, tất cả các đề xuất NAT NAT đã thất bại ... cảm ơn chúa" (và đế chế chết vì tiếng vỗ tay) Bạn biết điều đó có nghĩa là gì không? NAT sẽ trở nên tồi tệ, nếu nó thậm chí hoạt động hoàn toàn với IPv6, bởi vì tất cả những người quá khích IPv6 đều phủ nhận về nhu cầu về NAT / PAT về bản chất và những người thực hiện nó đang miễn cưỡng. Buồn quá, quản lý quá kém
Vì vậy, bây giờ bạn phải làm gì khi sự thật đã giải phóng bạn và bạn có thể vượt lên trên những kẻ tà dâm đang cố gắng sử dụng các chiến thuật sợ hãi để buộc bạn tuân thủ?
Bạn mua hoặc tiếp tục sử dụng Loadbalancer hoặc Tường lửa hoạt động như một nhà môi giới công khai / riêng tư trong mạng của bạn. Giao diện phía công cộng lưu trữ cùng số VIP bạn đã có nhưng với địa chỉ IPv6 đáng khen nếu bạn cần. Mọi thứ ở phía bắc của lớp Loadbalancer / Firewall cũng là ngăn xếp kép IPv4 / IPv6. Trên các giao diện bên trong của Loadbalancer / Firewall, tất cả đều là IPv4 và toàn bộ mạng nội bộ của bạn là IPv4 và nó vẫn duy trì như vậy miễn là bạn muốn. Nó chỉ là doanh nghiệp của bạn. Loadbalancer thực hiện NAT / PAT giữa bên ngoài và bên trong ... bởi vì nó đã có và cần phải cân bằng tải đầy đủ tính năng và bởi vì bây giờ nó cũng giải quyết được vấn đề IPv6 bên ngoài của bạn.
Ồ và với người mỉa mai đã hỏi "NAT phục vụ mục đích bảo mật nào"
Bảo mật là về Tính khả dụng ở cấp độ cơ bản nhất. Hãy suy nghĩ về nó, trước khi bạn loại bỏ nó.
Bộ cân bằng tải cung cấp Tính khả dụng / Bảo mật và bạn phải sử dụng NAT / PAT để thực hiện đúng cách bất kể phiên bản IP bạn đang sử dụng.
Trích dẫn về DSR không thành công: https://devcentral.f5.com/articles/the-disabilitiesages-of-dsr-direct-server-return
k thnx
Câu trả lời được chấp nhận là sai lệch
Khái niệm của Chris S về NAT là sai lầm; một trong những tính năng tốt nhất của NAT bên cạnh việc mở rộng nhân tạo lược đồ IPv4 là BẢO MẬT. NAT là lớp ẩn IP thực của máy chủ mà nếu được kết nối trực tiếp với Internet có thể là mục tiêu của tất cả các cuộc tấn công có thể tưởng tượng được. Hạnh phúc nói về việc thoát khỏi NAT mà không khuyến khích các biện pháp bảo mật bổ sung chỉ là sự thiếu hiểu biết rõ ràng về chủ đề này.