Dlaczego miałbyś używać IPv6 wewnętrznie?

Oczywiście zdaję sobie sprawę z potrzeby przejścia na IPv6 w otwartym Internecie, ponieważ brakuje nam adresów, ale naprawdę nie rozumiem, dlaczego istnieje potrzeba korzystania z niego w sieci wewnętrznej. Zrobiłem zero z IPv6, więc zastanawiam się również: czy nowoczesne zapory ogniowe nie wykonają translacji NAT między wewnętrznymi adresami IPv4 a zewnętrznymi adresami IPv6?

Zastanawiałem się, odkąd widziałem tak wielu ludzi zmagających się z pytaniami IPv6 i zastanawiam się, po co się tym przejmować?

Nie ma NAT dla IPv6 (tak jak myślisz o NAT). NAT to $ EXPLETIVE tymczasowe rozwiązanie problemu braku adresów IPv4 (problem, który tak naprawdę nie istniał i został rozwiązany zanim NAT był kiedykolwiek potrzebny, ale historia to 20/20). Dodaje tylko złożoności i niewiele by zrobił, oprócz powodowania bólu głowy w IPv6 (mamy tak wiele adresów IPv6, że bez wahania je marnujemy). NAT66 istnieje i ma na celu zmniejszenie liczby adresów IPv6 używanych przez każdy host (normalne jest, że hosty IPv6 mają wiele adresów, IPv6 pod wieloma względami nieco różni się od IPv4, to jest jeden).

Internet miał być routowalny od końca do końca, co jest jednym z powodów wynalezienia IPv4 i dlaczego zyskał akceptację. Nie oznacza to, że wszystkie adresy w Internecie miały być osiągalne. NAT psuje oba. Zapory ogniowe zwiększają poziom bezpieczeństwa, przerywając osiągalność, ale zwykle jest to kosztem możliwości routingu.

Będziesz potrzebował IPv6 w swoich sieciach, ponieważ nie ma sposobu, aby określić punkt końcowy IPv6 z adresem IPv4. Odwrotna metoda działa, co umożliwia sieciom tylko IPv6 korzystającym z DNS64 i NAT64 dostęp do Internetu IPv4. Obecnie możliwe jest równoczesne porzucenie IPv4, choć konfiguracja jest trochę kłopotliwa. Możliwe byłoby proxy z wewnętrznych adresów IPv4 do serwerów IPv6. Dodanie i skonfigurowanie serwera proxy zwiększa koszty konfiguracji, sprzętu i konserwacji w sieci; zwykle znacznie więcej niż zwykłe włączenie IPv6.

NAT powoduje również własne problemy. Router musi być w stanie koordynować każde połączenie przez nie przechodzące, śledzić punkty końcowe, porty, limity czasu i inne. Cały ten ruch jest zazwyczaj kierowany przez ten jeden punkt. Chociaż możliwe jest budowanie redundantnych routerów NAT, technologia jest bardzo złożona i ogólnie droga. Nadmiarowe proste routery są łatwe i tanie (stosunkowo). Ponadto, aby przywrócić niektóre możliwości routingu, w systemie NAT należy ustalić zasady przekazywania i tłumaczenia. Nadal łamie to protokoły osadzające adresy IP, takie jak SIP. UPNP, STUN i inne protokoły zostały wymyślone, aby pomóc w rozwiązaniu tego problemu - większa złożoność, więcej konserwacji, więcej, które mogą pójść nie tak .

Skończyły się wewnętrzne (rfc1918) adresy IPv4 również może być bardzo ważnym powodem, aby przejść na IPv6.

Comcast wyjaśnił na Nanog37, dlaczego wybierają IPv6 dla swoich adresów zarządzania.

20 Million video customer
x 2.5 STB/customer
x 2 ip addresses/STB
--------------------  
= 100 Millions IP addresses

Dotyczy to tylko wideo , a nie danych / modemów.

W 2005 r. Wyczerpali pule RFC1918. Następnie użyli pul adresów publicznych (ponieważ nat nie jest opcją zarządzania) i poszli na ipv6, aby zaspokoić swoje potrzeby .

Kilka powodów:

• IPv6 nie obsługuje emisji. Zastąpiono go multiemisją. Nadawanie umożliwia jednemu węzłowi wysyłanie ruchu do wszystkich węzłów w podsieci. Zarządzanie domenami rozgłoszeniowymi stanowi poważny problem z utrzymaniem dużych sieci IPv4 działających szybko i płynnie. Multiemisja wymaga, aby węzły, które chcą odbierać styl „rozgłoszeniowy” faktycznie „rejestrują się” w tym celu, aby sieć nie była zalana ruchem docierającym do wszystkich hostów.

• Protokół IPv6 obsługuje natywnie szyfrowanie w stylu IPsec.

• IPv6 obsługuje autokonfigurację. Hosty za routerem mogą konfigurować się bez potrzeby DHCP, chociaż nadal potrzebujesz serwera DHCP, aby przekazywać opcje DHCP, takie jak serwer DNS, serwer TFTP itp.

Moja stara praca, na dużym uniwersytecie, polegałaby na wewnętrznej alokacji IPv6. Wcześniej otrzymali IPv4 / 16 i nawet dziś przekazują adresy IPv4 prawie każdemu klientowi wewnętrznemu. Sieci RFC1918 były ograniczone do sieci wyłącznie telekomunikacyjnej i niektórych wyspecjalizowanych zastosowań (standardy PCI wymagały użycia RFC1918 do października 2010 r.).

Z tego powodu aktywnie planowali również używać IPv6 wewnętrznie. Do rozwiązania były pewne problemy ze sprzętem, przełączniki brzegowe nie obsługiwały wystarczająco dobrze v6, ale rdzeń był gotowy. Pomysł polegał na tym, że uzyskanie wsparcia dla wersji 6 na publicznie widocznym końcu (dobrze, publicznie reagującym końcu) sieci wymagałoby 70% pracy, aby wdrożyć ją dla wszystkich, równie dobrze może wykonać dodatkowe 30% i przejść od początku do końca skończyć z tym.

Żyjąc tak długo z publicznym przydziałem IP, nasi ludzie byli bardzo świadomi powiedzenia: „tylko dlatego, że jest publiczny, nie znaczy, że jest osiągalny”. Jak powiedział Chris S., możliwy do wyznaczenia trasy nie oznacza osiągalny.

Właśnie dlatego przynajmniej jedna klasa organizacji wdroży IPv6 wewnętrznie: ponieważ już używają wewnętrznie IPv4 spoza RFC1918.

Protokół IPv6 oferuje pewne potencjalne udoskonalenia w porównaniu z protokołem IPv4, takie jak prostsza automatyczna konfiguracja i mechanizm automatycznego wykrywania, jest również bezpieczniejszy w tym sensie, że złośliwe oprogramowanie nie może replikować się w sieci przez skanowanie portów w zakresie adresów IP - - jest po prostu zbyt wiele adresów IP. Ale te ulepszenia nie są szczególnie dramatyczne i na pewno nie są warte kosztu zmiany.

Należy jednak pamiętać, że nie jest to decyzja jednoznaczna, możesz uruchomić obie jednocześnie, a jeśli tworzysz oprogramowanie, prawdopodobnie, jak wspomniało wiele osób, do celów testowych. Nie ma niezawodnego sposobu, aby program był zgodny z IPv6 bez wewnętrznej infrastruktury IPv6 do przetestowania. Większość współczesnych systemów operacyjnych automatycznie konfiguruje wewnętrzną sieć IPv6 między nimi - to tylko kwestia korzystania z niej.

10 lat temu zbudowałem trochę oprogramowania dla pracodawcy, którego klienci używają do pobierania aktualizacji programu. Podczas budowania komponentu sieciowego musiałem zdecydować między budowaniem w zgodności z IPv6, a jedynie zakładaniem, że wszystkie adresy IP będą miały 4 bajty. Postanowiłem wybrać prostą trasę, oszczędzając sobie około 4 godzin pracy, i stworzyłem aplikację tylko dla IPv4. Pomyślałem, że i tak zostanie zastąpiony za kilka lat. Nadal używają go dzisiaj, dlatego są zablokowani na niektórych mniejszych rynkach.

Pracując dla małej firmy, mogę tylko wymyślić powody, by NIE używać IPv6.

• Nie mamy nawet adresu publicznego IPv6, więc dlaczego, u licha, mielibyśmy go uruchamiać wewnętrznie?
• Musielibyśmy wymienić naszą zaporę ogniową, którą bardzo kocham, ponieważ nie obsługuje (jeszcze) IPv6
• Nie mamy możliwości przypisywania, a tym bardziej kontrolowania adresów IPv6
• Tylko połowa naszych komputerów obsługuje IPv6
• Żaden z naszych zakładów produkcyjnych nie obsługuje IPv6
• Nasze przełączniki nie obsługują IPv6
• Nigdy nawet nie widziałem drukarki obsługującej IPv6
• IPv6 jest znacznie trudniejszy w użyciu z wiersza poleceń - dla mnie bardzo ważny punkt
• Musiałbym w pełni przyspieszyć IPv6 - ciężko to zrobić, gdy nie jestem zainteresowany
• ... i wiele innych powodów, o których nie mogę teraz myśleć

Po prostu nie ma sensu, aby firma taka jak nasza dokonała zmiany, ponieważ wymagałoby to znacznych nakładów i wysiłku, z czego absolutnie nic nie skorzystałoby.

Szczerze mówiąc, podoba mi się NAT i korzyści, jakie czerpiemy z obsługi adresów lokalnych. Jeśli kiedykolwiek stanie się to konieczne (w przeciwieństwie do bycia maniakiem maniaków), abyśmy mogli wchodzić w interakcje z IPv6 w Internecie, zrobimy to przy bramie.

Nie oczekuję, że obecna moda na IPv6 stanie się koniecznością dla ogromnej większości świata, przynajmniej wewnętrznie, przez dekadę lub dłużej. Ponieważ spodziewam się, że do tego czasu przejdę na emeryturę, osobiście nie mam wiele motywacji do marnowania czasu i wysiłku.

Edytować:

Dostaję głosy negatywne, ale nie ma ani jednego logicznego i rozsądnego przeciwnego stanowiska. Sprawia, że ​​myślę, że to tylko banda skaczących maniaków modowych, którzy chcą podążać za trendem, nie myśląc o tym. Musi być POWÓD, aby dokonać tak drastycznej zmiany w sieci, a ja jej nie mam. Ponadto, podejrzewam, że tylko niewielu użytkowników SF ma taki system.

Mówimy tutaj o dwóch rzeczach - o działaniu sieci wewnętrznej na czystym IPv6 lub o podwójnym stosie IPv4 / IPv6. Myślę, że przedwczesne jest mówienie o uruchomieniu czystego IPv6 - w wielu systemach operacyjnych jest nawet niemożliwe korzystanie z IPv6 bez IPv4. Możesz jednak rozważyć uruchomienie podwójnego stosu z następujących powodów (a), jeśli tworzysz oprogramowanie (b) w celu przygotowania sieci do nieuchronnej migracji do IPv6. Jeśli twoja sytuacja to A, powinieneś działać teraz, jeśli to B, to według moich szacunków masz około 1-2 lat na przemyślenie tego (ale im szybciej zaczniesz, tym lepiej będziesz przygotowany).

Moja sytuacja to A i od 6 miesięcy stosujemy podwójny stos. W tym czasie zidentyfikowaliśmy i rozwiązaliśmy niektóre problemy z naszym publicznym / prywatnym DNS, alokacją adresów, DHCP, routingiem, zaporą ogniową i nie mogliśmy nawet przewidzieć wielu z tych problemów bez próby. Teraz jesteśmy w pełni gotowi na IPv6, a nawet mamy publiczny dostęp do IPv6 poprzez tunelowanie. Z mojego doświadczenia mogę śmiało powiedzieć, że IPv6 jest znacznie prostszym i bardziej eleganckim rozwiązaniem w porównaniu do starzejącego się IPv4, więc będę bardzo szczęśliwy, gdy przyjdzie czas na przejście na IPv6, ale zanim ten czas nadejdzie - sposób na dwa stosy iść.

Oprócz przestrzeni adresowej lagera, braku emisji, IPSec i prostszej automatycznej konfiguracji istnieją pewne „nie znane” zalety IPv6:

1. Większa przestrzeń adresowa oznacza, że ​​adres ma więcej bitów, które można wykorzystać do przechowywania danych. Na przykład liczba przeskoków między dwoma węzłami może wtedy być funkcją ich adresów IPv6, np .:
   adres IPv6 może mieć format, PREFIX:Country&Region:DC&Line:Rack&Unit:VM&IDwięc bliższe węzły będą miały więcej takich samych najważniejszych bitów. To tylko przykład, oczywiście mierniki „bliskości” mogą być przechowywane w jakiejś zewnętrznej bazie danych, takiej jak TXT|SRVrekordy DNS .

2. Istnieją pewne techniki wykorzystania przestrzeni adresowej IPv6 do celów kryptograficznych, takie jak adresy generowane kryptograficznie ( CGA ) i SEND (SEcure Neighbor Discovery)

3. Po włączeniu protokołu IPv6 wszystkie węzły w sieci mają lokalny adres IPv6 łącza (jeśli nie skonfigurowano inaczej). Jest więc szansa, że ​​możesz uzyskać dostęp nawet do źle skonfigurowanego węzła.

4. Adresy MAC węzłów można uzyskać bezpośrednio z lokalnego adresu IPv6 łącza (jeśli rozszerzenia prywatności IPv6 nie są skonfigurowane)

5. Nie ma możliwości wykorzystania IPv4 w podsieciach z tysiącami węzłów - Twoja sieć będzie przeciążona ruchem rozgłoszeniowym (np. ARP).

6. Możesz zapytać węzła o dodatkowe informacje za pomocą informacji o węźle , np. W BSD możesz zapytać hosta o ICMPv6 Informacje o węzłach Adresy węzłów:

$ ping6 -a Aacgsl ::1

PING6(72=40+8+24 bytes) ::1 --> ::1
136 bytes from ::1: 
  fe80::beae:c5ff:fe43:44a(TTL=infty)
  fe80::beae:c5ff:fe43:212(TTL=infty)
  ::1(TTL=infty)
  fe80::1(TTL=infty)
  2a02::9222(TTL=infty)

Mogę wymyślić dwa powody, aby używać IPv6 jako hosta wewnętrznego.

1. W przyszłości może się okazać, że ten host musi być teraz dostępny zewnętrznie przynajmniej na niektórych portach.

2. Może się okazać, że ten host musi połączyć się z innym hostem, który również wybrał ten sam adres wewnętrzny. Na przykład musisz połączyć się z 10.0.0.5 w Acme Corporation, a twój własny adres w Emca Corporation to również 10.0.0.5. Pamiętam, jak to miało miejsce podczas poprzedniej pracy, oboje używaliśmy tych samych adresów wewnętrznych.

Powiedziałbym, że we współczesnym świecie większość komputerów nie jest w 100% wewnętrzna. Większość komputerów stacjonarnych może nawiązywać pewne ograniczone połączenia ze światem zewnętrznym i odwrotnie.

Jedynym dobrym powodem, aby przejść na IPv6 wewnętrznie, jest być gotowym, gdy świat przejdzie na IPv6, i myślę, że to dość zły powód, biorąc pod uwagę tempo adopcji. Ponieważ większość wewnętrznych adresów IP nie będzie dostępna z zewnątrz, przetłumaczenie reszty nie byłoby wielkim problemem.

Moja korporacja prawdopodobnie nigdy nie przejdzie wewnętrznie na IPv6. Wymagałoby to zasadniczej zmiany polityki, tak wielkiej, że nie mogę uczciwie wyobrazić sobie, jak to się mogło stać. Wiele osób musiałoby zostać zabitych i musiałoby się dokonać wielu niewytłumaczalnych wyborów dotyczących zatrudnienia. Podobnie każda próba przestawienia się na IPv6 w swoich sieciach przez poszczególne jednostki biznesowe byłaby zmiażdżona z powodu uprzedzeń ze strony korporacyjnych zarządców sieci opartych na problemach związanych z interoperacyjnością i utrzymaniem (pozwalamy na dużą swobodę lokalnie, ale nie tak bardzo).

Zasadniczo, gdyby przejście na IPv6 było bezbolesne, zrobilibyśmy to lata temu.

IPv4 miał na celu, aby każde urządzenie było bezpośrednio w Internecie ... dopóki nie zabraknie miejsca na adres. Następnie spędziliśmy ostatnie 20 lat blokując to wszystko. Teraz IPv6 z założenia chce po raz kolejny umieścić każde urządzenie bezpośrednio w Internecie ... wynik będzie taki sam. Całkowicie się zgadzam, że NAT to jedna warstwa bezpieczeństwa, która nie zostanie porzucona bez równie skutecznego lub lepszego zastępstwa.

Niestety w zdecydowanej większości tych odpowiedzi i komentarzy jest wiele złych informacji. To bardzo smutne, że niewidomy prowadzi ślepotę w tak płodny sposób.

NAT nigdzie się nie wybiera, a ludzie, którzy mówią: „Och, ten NAT, jaka to okropna rzecz”… Och, ten NAT, to było tylko obejście ”… ad nasueum Jeśli zaczną używać języka takiego jak że skorzystaj z porady prawdziwego profesjonalnego architekta sieci, a nie weekendowego wojownika w sieci.

Czy musisz ładować ruch równoważący do wewnętrznych serwerów z Internetu? Zgadnij co, z IPv6 nie możesz tego zrobić tak, jak to robiłeś .... chyba że używasz NAT!

Tak to prawda. Niektórzy powiedzą, och, po prostu używasz równoważenia obciążenia zwrotnego serwera DSR / Direct. Zapominają jednak powiedzieć, że musisz się poddać 1) Wstawienie plików cookie 2) Przyspieszenie aplikacji 3) Tłumaczenie adresu portu

Więc jeśli chcesz uruchamiać swoje wewnętrzne serwery na porcie 8080, a zewnętrzne na porcie 80 ... Och, tak smutne, nie można poradzić sobie z IPv6 .... chyba że używasz dobrej ole NAT! Nawet z DSR.

Dodaj do tego „chełpienie się”, które ludzie mówią: „Och, tak, wszystkie propozycje NAT IPv6 zawiodły… dzięki Bogu” (a imperium umiera na dźwięk oklasków) Wiesz, co to oznacza? NAT będzie okropny, jeśli w ogóle będzie działał z IPv6, ponieważ wszyscy fanatyki IPv6 zaprzeczają wewnętrznej potrzebie NAT / PAT, a ludzie, którzy to robią, niechętnie. Taki smutny, tak źle zarządzany

Co więc robicie teraz, gdy prawda was wyzwoliła i możecie wznieść się ponad tłum lemingów, próbując zastosować taktykę odstraszania, aby zmusić was do przestrzegania?

Kupujesz lub nadal używasz modułu równoważenia obciążenia lub zapory ogniowej, który działa jako publiczny / prywatny broker Twojej sieci. Interfejsy strony publicznej obsługują tych samych VIP-ów, których już masz, ale z komplementarnym adresem IPv6, jeśli go potrzebujesz. Wszystko na północ od warstwy Loadbalancer / Firewall to także podwójny stos IPv4 / IPv6. Na wewnętrznych interfejsach modułu Loadbalancer / Firewall wszystkie są IPv4, a cała twoja sieć wewnętrzna jest IPv4 i pozostaje tak długo, jak chcesz. To tylko twój biznes. Loadbalancer wykonuje NAT / PAT pomiędzy zewnętrzem a wnętrzem ... ponieważ już jest i musi w pełni funkcjonować równoważenie obciążenia, a ponieważ teraz rozwiązuje również twój zewnętrzny problem IPv6.

Aha i sarkastycznej osobie, która zapytała „Jaki pojedynczy cel bezpieczeństwa służy NAT”

Bezpieczeństwo to dostępność na najbardziej podstawowym poziomie. Pomyśl o tym, zanim je odrzucisz.

Usługi równoważenia obciążenia zapewniają dostępność / bezpieczeństwo i MUSISZ użyć NAT / PAT, aby zrobić to poprawnie, niezależnie od używanej wersji adresu IP.

Cytowanie dotyczące niepowodzenia DSR: https://devcentral.f5.com/articles/the-disadvantages-of-dsr-direct-server-return

k dzięki

Używanie protokołu IPv6 w sieci wewnętrznej nie jest zbyt dobrym pomysłem, ponieważ wiele starszych urządzeń nie może się komunikować. Stare kopiarki / drukarki wielofunkcyjne, sprzęt medyczny, stare maszyny drukarskie, starsze serwery i urządzenia sieciowe. Schemat IPv4 jest znacznie łatwiejszy w zarządzaniu imo.

Przyjęta odpowiedź jest myląca

Koncepcje Chrisa S dotyczące NAT są całkowicie błędne; Jedną z najlepszych cech NAT oprócz sztucznego rozszerzenia schematu IPv4 jest BEZPIECZEŃSTWO. NAT to warstwa, która ukrywa rzeczywiste IP hosta, który jeśli jest bezpośrednio podłączony do Internetu, może być celem wszystkich możliwych ataków. Na szczęście mówienie o pozbyciu się NAT bez zachęcania do dodatkowych środków bezpieczeństwa jest po prostu ignorancją na ten temat.