Dlaczego miałbyś używać IPv6 wewnętrznie?

50

Oczywiście zdaję sobie sprawę z potrzeby przejścia na IPv6 w otwartym Internecie, ponieważ brakuje nam adresów, ale naprawdę nie rozumiem, dlaczego istnieje potrzeba korzystania z niego w sieci wewnętrznej. Zrobiłem zero z IPv6, więc zastanawiam się również: czy nowoczesne zapory ogniowe nie wykonają translacji NAT między wewnętrznymi adresami IPv4 a zewnętrznymi adresami IPv6?

Zastanawiałem się, odkąd widziałem tak wielu ludzi zmagających się z pytaniami IPv6 i zastanawiam się, po co się tym przejmować?

KCotreau
źródło

Odpowiedzi:

55

Nie ma NAT dla IPv6 (tak jak myślisz o NAT). NAT to $ EXPLETIVE tymczasowe rozwiązanie problemu braku adresów IPv4 (problem, który tak naprawdę nie istniał i został rozwiązany zanim NAT był kiedykolwiek potrzebny, ale historia to 20/20). Dodaje tylko złożoności i niewiele by zrobił, oprócz powodowania bólu głowy w IPv6 (mamy tak wiele adresów IPv6, że bez wahania je marnujemy). NAT66 istnieje i ma na celu zmniejszenie liczby adresów IPv6 używanych przez każdy host (normalne jest, że hosty IPv6 mają wiele adresów, IPv6 pod wieloma względami nieco różni się od IPv4, to jest jeden).

Internet miał być routowalny od końca do końca, co jest jednym z powodów wynalezienia IPv4 i dlaczego zyskał akceptację. Nie oznacza to, że wszystkie adresy w Internecie miały być osiągalne. NAT psuje oba. Zapory ogniowe zwiększają poziom bezpieczeństwa, przerywając osiągalność, ale zwykle jest to kosztem możliwości routingu.

Będziesz potrzebował IPv6 w swoich sieciach, ponieważ nie ma sposobu, aby określić punkt końcowy IPv6 z adresem IPv4. Odwrotna metoda działa, co umożliwia sieciom tylko IPv6 korzystającym z DNS64 i NAT64 dostęp do Internetu IPv4. Obecnie możliwe jest równoczesne porzucenie IPv4, choć konfiguracja jest trochę kłopotliwa. Możliwe byłoby proxy z wewnętrznych adresów IPv4 do serwerów IPv6. Dodanie i skonfigurowanie serwera proxy zwiększa koszty konfiguracji, sprzętu i konserwacji w sieci; zwykle znacznie więcej niż zwykłe włączenie IPv6.

NAT powoduje również własne problemy. Router musi być w stanie koordynować każde połączenie przez nie przechodzące, śledzić punkty końcowe, porty, limity czasu i inne. Cały ten ruch jest zazwyczaj kierowany przez ten jeden punkt. Chociaż możliwe jest budowanie redundantnych routerów NAT, technologia jest bardzo złożona i ogólnie droga. Nadmiarowe proste routery są łatwe i tanie (stosunkowo). Ponadto, aby przywrócić niektóre możliwości routingu, w systemie NAT należy ustalić zasady przekazywania i tłumaczenia. Nadal łamie to protokoły osadzające adresy IP, takie jak SIP. UPNP, STUN i inne protokoły zostały wymyślone, aby pomóc w rozwiązaniu tego problemu - większa złożoność, więcej konserwacji, więcej, które mogą pójść nie tak .

Chris S.
źródło
29
Router, na którym NAT był uruchomiony, oddzielił sieci, router nadal będzie oddzielał sieci, nic się nie zmieniło, z wyjątkiem routera, który musi być poprawnie zaprogramowany dla IPv6. Routing tak, niekoniecznie osiągalny (reguły zapory prawdopodobnie zablokują większość ruchu).
Chris S
12
@Tomtom: Każdy, kto uważa, że ​​tego potrzebuje, nie wie, że potrzebuje zapory ogniowej. NAT nie jest dosłownie żadnym problemem, dla którego NAT jest najlepszym rozwiązaniem, oprócz problemów spowodowanych brakiem adresowania. W IPv6 nie ma już problemu z adresowaniem (jeszcze!). Być może jest w fazie rozwoju, ale to nie znaczy, że to nie jest głupi pomysł :)
rośnie
6
@JimB - o ile mi wiadomo, były co najmniej 4 różne propozycje NAT IPv6, które zostały opracowane i wszystkie zawiodły. Biorąc pod uwagę, że ta strona ma prawie 3 lata, zgaduję, że do tej pory też się nie udała
Mark Henderson
14
Wiem, że zabrzmi to obraźliwie, więc przepraszam z góry, ale jeśli nie jesteś kucharzem, trzymaj się z dala od kuchni. Ludzie rozumieją, że jeśli pracują nad własnym samochodem, mogą zepsuć coś, co powoduje świat szkód ... To samo dotyczy bezpieczeństwa komputerowego, jeśli nie wiesz jak, prawdopodobnie wyrządzisz więcej szkody niż pożytku. Masz rację, że NAT ułatwia niektóre poziomy bezpieczeństwa (przede wszystkim i prawie wyłącznie, że twoja sieć wewnętrzna nie jest routowalna przez Internet). Nawet w dzisiejszych routerach NAT jest to tylko ustawienie domyślne, a „zabezpieczenia” zapewniane przez NAT można wyłączyć.
Chris S
8
Nie zaczynajmy bandażować słów takich jak „BEZPIECZEŃSTWO” bez rozsądnej dyskusji na temat luk i zagrożeń. Jaką konkretną lukę chroni NAT? O jakich konkretnych „atakach” mówisz? Czy są to te same ataki, które reszta profesjonalnego świata łagodzi dzięki stanowej zaporze ogniowej? Jeśli tak, NAT tak naprawdę niewiele kupuje.
growse
22

Skończyły się wewnętrzne (rfc1918) adresy IPv4 również może być bardzo ważnym powodem, aby przejść na IPv6.

Comcast wyjaśnił na Nanog37, dlaczego wybierają IPv6 dla swoich adresów zarządzania.

20 Million video customer
x 2.5 STB/customer
x 2 ip addresses/STB
--------------------  
= 100 Millions IP addresses

Dotyczy to tylko wideo , a nie danych / modemów.

W 2005 r. Wyczerpali pule RFC1918. Następnie użyli pul adresów publicznych (ponieważ nat nie jest opcją zarządzania) i poszli na ipv6, aby zaspokoić swoje potrzeby .

petrus
źródło
2
Co z niemega korporacjami?
Cypher
1
cóż, są jeszcze wszystkie inne odpowiedzi;)
petrus
Nie sądzę, aby jakakolwiek korporacja używała więcej niż 16 777 216 WEWNĘTRZNIE ... Pewnie, zewnętrznie dla swoich klientów. Nikt nie kwestionuje, że potrzebujemy więcej publicznych adresów IP.
KCotreau
5
Nie mówiłem o publicznym / wannym adresie IP routera, ale o zarządzających adresach IP w modemie kablowym lub przystawce STB. Więc tak, Comcast i wszystkie duże operatorzy telewizji kablowej nie potrzebują więcej niż 2 ^ 24 ip @.
petrus
14

Kilka powodów:

  • IPv6 nie obsługuje emisji. Zastąpiono go multiemisją. Nadawanie umożliwia jednemu węzłowi wysyłanie ruchu do wszystkich węzłów w podsieci. Zarządzanie domenami rozgłoszeniowymi stanowi poważny problem z utrzymaniem dużych sieci IPv4 działających szybko i płynnie. Multiemisja wymaga, aby węzły, które chcą odbierać styl „rozgłoszeniowy” faktycznie „rejestrują się” w tym celu, aby sieć nie była zalana ruchem docierającym do wszystkich hostów.

  • Protokół IPv6 obsługuje natywnie szyfrowanie w stylu IPsec.

  • IPv6 obsługuje autokonfigurację. Hosty za routerem mogą konfigurować się bez potrzeby DHCP, chociaż nadal potrzebujesz serwera DHCP, aby przekazywać opcje DHCP, takie jak serwer DNS, serwer TFTP itp.

LawrenceC
źródło
3
IPv6 pozwala na zmianę numeracji całej podsieci bez prawie żadnych komplikacji. Umożliwia także łączenie podsieci. Ma niewiarygodnie szczegółową kontrolę nad ruchem multiemisji ... jest jeszcze więcej powodów, ale trwało to wiecznie, odkąd wziąłem kurs IPv6.
Matthew
4
Są to wszystkie popularne mity, oto trochę więcej informacji: multiemisja IPv6 jest obowiązkowa dla podstawowej funkcjonalności: na przykład, aby wykonać transmisję ping IPv4 równorzędną dla ciebie ping6 do FF02 :: 1 dla wszystkich regularnych węzłów i FF02 :: 2 dla wszystkich routerów. IPSec IPv6 nie zmienia NIC Z IPv4. Nie dostajesz żadnych zabezpieczeń za darmo. Nadal muszę skonfigurować wszystkie tryby i zająć się dystrybucją kluczy. Automatyczna konfiguracja IPv6 to kompletne śmieci; domyślnie jest tak niepewny jak MAC <-> IPv4 i NIE przekazuje DNS. Jeśli chcesz DNS, musisz zainstalować DHCPv6, więc nie zyskaj.
Marcin
1
Uważam trzeci punkt za słabość ip6. Ile razy sprawdzałeś, czy komputer otrzymał adres IP w ramach procesu rozwiązywania problemów? Ta część stała się trudniejsza.
Joel Coel,
13

Moja stara praca, na dużym uniwersytecie, polegałaby na wewnętrznej alokacji IPv6. Wcześniej otrzymali IPv4 / 16 i nawet dziś przekazują adresy IPv4 prawie każdemu klientowi wewnętrznemu. Sieci RFC1918 były ograniczone do sieci wyłącznie telekomunikacyjnej i niektórych wyspecjalizowanych zastosowań (standardy PCI wymagały użycia RFC1918 do października 2010 r.).

Z tego powodu aktywnie planowali również używać IPv6 wewnętrznie. Do rozwiązania były pewne problemy ze sprzętem, przełączniki brzegowe nie obsługiwały wystarczająco dobrze v6, ale rdzeń był gotowy. Pomysł polegał na tym, że uzyskanie wsparcia dla wersji 6 na publicznie widocznym końcu (dobrze, publicznie reagującym końcu) sieci wymagałoby 70% pracy, aby wdrożyć ją dla wszystkich, równie dobrze może wykonać dodatkowe 30% i przejść od początku do końca skończyć z tym.

Żyjąc tak długo z publicznym przydziałem IP, nasi ludzie byli bardzo świadomi powiedzenia: „tylko dlatego, że jest publiczny, nie znaczy, że jest osiągalny”. Jak powiedział Chris S., możliwy do wyznaczenia trasy nie oznacza osiągalny.

Właśnie dlatego przynajmniej jedna klasa organizacji wdroży IPv6 wewnętrznie: ponieważ już używają wewnętrznie IPv4 spoza RFC1918.

sysadmin1138
źródło
7

Protokół IPv6 oferuje pewne potencjalne udoskonalenia w porównaniu z protokołem IPv4, takie jak prostsza automatyczna konfiguracja i mechanizm automatycznego wykrywania, jest również bezpieczniejszy w tym sensie, że złośliwe oprogramowanie nie może replikować się w sieci przez skanowanie portów w zakresie adresów IP - - jest po prostu zbyt wiele adresów IP. Ale te ulepszenia nie są szczególnie dramatyczne i na pewno nie są warte kosztu zmiany.

Należy jednak pamiętać, że nie jest to decyzja jednoznaczna, możesz uruchomić obie jednocześnie, a jeśli tworzysz oprogramowanie, prawdopodobnie, jak wspomniało wiele osób, do celów testowych. Nie ma niezawodnego sposobu, aby program był zgodny z IPv6 bez wewnętrznej infrastruktury IPv6 do przetestowania. Większość współczesnych systemów operacyjnych automatycznie konfiguruje wewnętrzną sieć IPv6 między nimi - to tylko kwestia korzystania z niej.

10 lat temu zbudowałem trochę oprogramowania dla pracodawcy, którego klienci używają do pobierania aktualizacji programu. Podczas budowania komponentu sieciowego musiałem zdecydować między budowaniem w zgodności z IPv6, a jedynie zakładaniem, że wszystkie adresy IP będą miały 4 bajty. Postanowiłem wybrać prostą trasę, oszczędzając sobie około 4 godzin pracy, i stworzyłem aplikację tylko dla IPv4. Pomyślałem, że i tak zostanie zastąpiony za kilka lat. Nadal używają go dzisiaj, dlatego są zablokowani na niektórych mniejszych rynkach.

tylerl
źródło
6

Pracując dla małej firmy, mogę tylko wymyślić powody, by NIE używać IPv6.

  • Nie mamy nawet adresu publicznego IPv6, więc dlaczego, u licha, mielibyśmy go uruchamiać wewnętrznie?
  • Musielibyśmy wymienić naszą zaporę ogniową, którą bardzo kocham, ponieważ nie obsługuje (jeszcze) IPv6
  • Nie mamy możliwości przypisywania, a tym bardziej kontrolowania adresów IPv6
  • Tylko połowa naszych komputerów obsługuje IPv6
  • Żaden z naszych zakładów produkcyjnych nie obsługuje IPv6
  • Nasze przełączniki nie obsługują IPv6
  • Nigdy nawet nie widziałem drukarki obsługującej IPv6
  • IPv6 jest znacznie trudniejszy w użyciu z wiersza poleceń - dla mnie bardzo ważny punkt
  • Musiałbym w pełni przyspieszyć IPv6 - ciężko to zrobić, gdy nie jestem zainteresowany
  • ... i wiele innych powodów, o których nie mogę teraz myśleć

Po prostu nie ma sensu, aby firma taka jak nasza dokonała zmiany, ponieważ wymagałoby to znacznych nakładów i wysiłku, z czego absolutnie nic nie skorzystałoby.

Szczerze mówiąc, podoba mi się NAT i korzyści, jakie czerpiemy z obsługi adresów lokalnych. Jeśli kiedykolwiek stanie się to konieczne (w przeciwieństwie do bycia maniakiem maniaków), abyśmy mogli wchodzić w interakcje z IPv6 w Internecie, zrobimy to przy bramie.

Nie oczekuję, że obecna moda na IPv6 stanie się koniecznością dla ogromnej większości świata, przynajmniej wewnętrznie, przez dekadę lub dłużej. Ponieważ spodziewam się, że do tego czasu przejdę na emeryturę, osobiście nie mam wiele motywacji do marnowania czasu i wysiłku.

Edytować:

Dostaję głosy negatywne, ale nie ma ani jednego logicznego i rozsądnego przeciwnego stanowiska. Sprawia, że ​​myślę, że to tylko banda skaczących maniaków modowych, którzy chcą podążać za trendem, nie myśląc o tym. Musi być POWÓD, aby dokonać tak drastycznej zmiany w sieci, a ja jej nie mam. Ponadto, podejrzewam, że tylko niewielu użytkowników SF ma taki system.

John Gardeniers
źródło
2
1. poproś dostawcę usług internetowych o przydział. W przeciwieństwie do IPv4, nie możesz po prostu poprosić o blok. musisz mieć możliwość wykorzystania ich X w ciągu 6 miesięcy.
Brian
2
3. przypisujesz, ustawiając router z adresem IPv6 i pozwalając urządzeniom na automatyczną konfigurację. (lub konfiguracja Dhcp6)
Brian
4
4. Windows XP SP2 obsługuje IPv6. 6. Przełączniki nie mówią IP. Mówią warstwę 2. działają dobrze z Ipv6. Uruchomiłem Ipv6 na niektórych przełącznikach 3com z 2001 roku. Być może trzeba będzie w dalszym ciągu obsługiwać ipv4, aby uzyskać dostęp do zarządzania niektórymi z nich. Każda drukarka HP z kartą jetdirect sprzedawaną w ciągu ostatnich 5 lat (lub więcej) obsługuje IPv6
Brian
1
„Nasze przełączniki nie obsługują IPv6”. Żaden problem. „Nigdy nie widziałem drukarki obsługującej IPv6”. Tak, mam 6 lat i siedzi obok mnie. (Tani laser Dell). „Musiałbym w pełni przyspieszyć IPv6 - ciężko to zrobić, gdy jestem niezainteresowany” Aye. Zgadzam się. Uczenie się czegoś nowego jest trudne. Ale bycie jedynym, który to rozumie (i będziesz go potrzebował za kilka lat), jest sporą zaletą.
Hennes
1
@Hennes, wszystko to zostało już omówione i, o ile mogę powiedzieć, nie będę potrzebował IPv6 podczas resztek mojego życia zawodowego i nigdy nie będę go potrzebował w domu. IOW, nie ma absolutnie żadnej zachęty do nauki technologii, dla której przynajmniej w tej części świata nie ma takiej potrzeby i nie będzie ona w dającej się przewidzieć przyszłości. Nie zgadzam się, że nauka czegoś nowego jest trudna. Robię to każdego dnia w życiu i oczekuję, że będę to robić, dopóki nie spadnę z okoni.
John Gardeniers,
5

Mówimy tutaj o dwóch rzeczach - o działaniu sieci wewnętrznej na czystym IPv6 lub o podwójnym stosie IPv4 / IPv6. Myślę, że przedwczesne jest mówienie o uruchomieniu czystego IPv6 - w wielu systemach operacyjnych jest nawet niemożliwe korzystanie z IPv6 bez IPv4. Możesz jednak rozważyć uruchomienie podwójnego stosu z następujących powodów (a), jeśli tworzysz oprogramowanie (b) w celu przygotowania sieci do nieuchronnej migracji do IPv6. Jeśli twoja sytuacja to A, powinieneś działać teraz, jeśli to B, to według moich szacunków masz około 1-2 lat na przemyślenie tego (ale im szybciej zaczniesz, tym lepiej będziesz przygotowany).

Moja sytuacja to A i od 6 miesięcy stosujemy podwójny stos. W tym czasie zidentyfikowaliśmy i rozwiązaliśmy niektóre problemy z naszym publicznym / prywatnym DNS, alokacją adresów, DHCP, routingiem, zaporą ogniową i nie mogliśmy nawet przewidzieć wielu z tych problemów bez próby. Teraz jesteśmy w pełni gotowi na IPv6, a nawet mamy publiczny dostęp do IPv6 poprzez tunelowanie. Z mojego doświadczenia mogę śmiało powiedzieć, że IPv6 jest znacznie prostszym i bardziej eleganckim rozwiązaniem w porównaniu do starzejącego się IPv4, więc będę bardzo szczęśliwy, gdy przyjdzie czas na przejście na IPv6, ale zanim ten czas nadejdzie - sposób na dwa stosy iść.

dtoubelis
źródło
4

Oprócz przestrzeni adresowej lagera, braku emisji, IPSec i prostszej automatycznej konfiguracji istnieją pewne „nie znane” zalety IPv6:

  1. Większa przestrzeń adresowa oznacza, że ​​adres ma więcej bitów, które można wykorzystać do przechowywania danych. Na przykład liczba przeskoków między dwoma węzłami może wtedy być funkcją ich adresów IPv6, np .:
    adres IPv6 może mieć format, PREFIX:Country&Region:DC&Line:Rack&Unit:VM&IDwięc bliższe węzły będą miały więcej takich samych najważniejszych bitów. To tylko przykład, oczywiście mierniki „bliskości” mogą być przechowywane w jakiejś zewnętrznej bazie danych, takiej jak TXT|SRVrekordy DNS .

  2. Istnieją pewne techniki wykorzystania przestrzeni adresowej IPv6 do celów kryptograficznych, takie jak adresy generowane kryptograficznie ( CGA ) i SEND (SEcure Neighbor Discovery)

  3. Po włączeniu protokołu IPv6 wszystkie węzły w sieci mają lokalny adres IPv6 łącza (jeśli nie skonfigurowano inaczej). Jest więc szansa, że ​​możesz uzyskać dostęp nawet do źle skonfigurowanego węzła.

  4. Adresy MAC węzłów można uzyskać bezpośrednio z lokalnego adresu IPv6 łącza (jeśli rozszerzenia prywatności IPv6 nie są skonfigurowane)

  5. Nie ma możliwości wykorzystania IPv4 w podsieciach z tysiącami węzłów - Twoja sieć będzie przeciążona ruchem rozgłoszeniowym (np. ARP).

  6. Możesz zapytać węzła o dodatkowe informacje za pomocą informacji o węźle , np. W BSD możesz zapytać hosta o ICMPv6 Informacje o węzłach Adresy węzłów:

$ ping6 -a Aacgsl ::1

PING6(72=40+8+24 bytes) ::1 --> ::1
136 bytes from ::1: 
  fe80::beae:c5ff:fe43:44a(TTL=infty)
  fe80::beae:c5ff:fe43:212(TTL=infty)
  ::1(TTL=infty)
  fe80::1(TTL=infty)
  2a02::9222(TTL=infty)
SaveTheRbtz
źródło
2

Mogę wymyślić dwa powody, aby używać IPv6 jako hosta wewnętrznego.

  1. W przyszłości może się okazać, że ten host musi być teraz dostępny zewnętrznie przynajmniej na niektórych portach.

  2. Może się okazać, że ten host musi połączyć się z innym hostem, który również wybrał ten sam adres wewnętrzny. Na przykład musisz połączyć się z 10.0.0.5 w Acme Corporation, a twój własny adres w Emca Corporation to również 10.0.0.5. Pamiętam, jak to miało miejsce podczas poprzedniej pracy, oboje używaliśmy tych samych adresów wewnętrznych.

Powiedziałbym, że we współczesnym świecie większość komputerów nie jest w 100% wewnętrzna. Większość komputerów stacjonarnych może nawiązywać pewne ograniczone połączenia ze światem zewnętrznym i odwrotnie.

Mike F.
źródło
1

Jedynym dobrym powodem, aby przejść na IPv6 wewnętrznie, jest być gotowym, gdy świat przejdzie na IPv6, i myślę, że to dość zły powód, biorąc pod uwagę tempo adopcji. Ponieważ większość wewnętrznych adresów IP nie będzie dostępna z zewnątrz, przetłumaczenie reszty nie byłoby wielkim problemem.

Moja korporacja prawdopodobnie nigdy nie przejdzie wewnętrznie na IPv6. Wymagałoby to zasadniczej zmiany polityki, tak wielkiej, że nie mogę uczciwie wyobrazić sobie, jak to się mogło stać. Wiele osób musiałoby zostać zabitych i musiałoby się dokonać wielu niewytłumaczalnych wyborów dotyczących zatrudnienia. Podobnie każda próba przestawienia się na IPv6 w swoich sieciach przez poszczególne jednostki biznesowe byłaby zmiażdżona z powodu uprzedzeń ze strony korporacyjnych zarządców sieci opartych na problemach związanych z interoperacyjnością i utrzymaniem (pozwalamy na dużą swobodę lokalnie, ale nie tak bardzo).

Zasadniczo, gdyby przejście na IPv6 było bezbolesne, zrobilibyśmy to lata temu.

Satanicpuppy
źródło
16
„Moja korporacja prawdopodobnie nigdy nie przejdzie wewnętrznie na IPv6”. <- to dość odważne i być może naiwne stwierdzenie IMHO.
EEAA
4
@erika: Zrobią to, gdy będzie trudno uzyskać sprzęt obsługujący IPv4. Do tego czasu nie. Nie ma na to żadnego uzasadnienia biznesowego. Bardziej prawdopodobne jest, że całkowicie porzucą sieci wewnętrzne i gdzieś gdzieś całą swoją działalność w chmurze.
Satanicpuppy
3
Co się stanie, gdy Google lub inna usługa zewnętrzna porzuci obsługę IPv4. Brak możliwości połączenia się z osobami spoza Twojej sieci będzie problemem w przyszłości.
Zoredache
3
@zoredache: Mówimy tutaj o wewnętrznym wsparciu. Nawet teraz nie jest trudne zmostkowanie IPv4 z IPv6, o ile nie potrzebujesz, aby każda maszyna była dostępna zewnętrznie. Do diabła, nasz obecny sprzęt to obsługuje.
Satanicpuppy
2
Pamiętaj, że wszystkie okna systemu Windows, ponieważ Vista uruchamia podwójny stos po wyjęciu z pudełka. Nie ma powodu, aby NIE pozostawiać włączonego
Jim B
-1

IPv4 miał na celu, aby każde urządzenie było bezpośrednio w Internecie ... dopóki nie zabraknie miejsca na adres. Następnie spędziliśmy ostatnie 20 lat blokując to wszystko. Teraz IPv6 z założenia chce po raz kolejny umieścić każde urządzenie bezpośrednio w Internecie ... wynik będzie taki sam. Całkowicie się zgadzam, że NAT to jedna warstwa bezpieczeństwa, która nie zostanie porzucona bez równie skutecznego lub lepszego zastępstwa.

Bart
źródło
1
Jak zapora ogniowa?
Michael Hampton
3
NAT to nie bezpieczeństwo. Zapora ogniowa zapewnia bezpieczeństwo, a nie NAT. Zapory ogniowe nie potrzebują NAT. Zarówno zapory IPv4, jak i IPv6 działają doskonale bez włączania NAT, możesz włączyć NAT na routerze, który nie zaporę ogniową, a zapory nawet nie muszą trasować. Wygląda na to, że nie możesz patrzeć na urządzenia konsumenckie typu „wszystko w jednym”. Często wygodne jest NAT, trasowanie i zapora ogniowa w jednym urządzeniu, ale są to osobne funkcje.
Ron Maupin
2
Dlaczego ludzie nadal mówią takie rzeczy? NAT nie jest nawet warstwą bezpieczeństwa i nie został zaprojektowany jako taki. To po prostu brzydki hack wokół nieodpowiednio długich adresów. Dla większości atakujących nie jest to przeszkodą. Oddawanie głosu, ponieważ jest złe i nie odpowiada na pytanie.
Falcon Momot
-3

Niestety w zdecydowanej większości tych odpowiedzi i komentarzy jest wiele złych informacji. To bardzo smutne, że niewidomy prowadzi ślepotę w tak płodny sposób.

NAT nigdzie się nie wybiera, a ludzie, którzy mówią: „Och, ten NAT, jaka to okropna rzecz”… Och, ten NAT, to było tylko obejście ”… ad nasueum Jeśli zaczną używać języka takiego jak że skorzystaj z porady prawdziwego profesjonalnego architekta sieci, a nie weekendowego wojownika w sieci.

Czy musisz ładować ruch równoważący do wewnętrznych serwerów z Internetu? Zgadnij co, z IPv6 nie możesz tego zrobić tak, jak to robiłeś .... chyba że używasz NAT!

Tak to prawda. Niektórzy powiedzą, och, po prostu używasz równoważenia obciążenia zwrotnego serwera DSR / Direct. Zapominają jednak powiedzieć, że musisz się poddać 1) Wstawienie plików cookie 2) Przyspieszenie aplikacji 3) Tłumaczenie adresu portu

Więc jeśli chcesz uruchamiać swoje wewnętrzne serwery na porcie 8080, a zewnętrzne na porcie 80 ... Och, tak smutne, nie można poradzić sobie z IPv6 .... chyba że używasz dobrej ole NAT! Nawet z DSR.

Dodaj do tego „chełpienie się”, które ludzie mówią: „Och, tak, wszystkie propozycje NAT IPv6 zawiodły… dzięki Bogu” (a imperium umiera na dźwięk oklasków) Wiesz, co to oznacza? NAT będzie okropny, jeśli w ogóle będzie działał z IPv6, ponieważ wszyscy fanatyki IPv6 zaprzeczają wewnętrznej potrzebie NAT / PAT, a ludzie, którzy to robią, niechętnie. Taki smutny, tak źle zarządzany

Co więc robicie teraz, gdy prawda was wyzwoliła i możecie wznieść się ponad tłum lemingów, próbując zastosować taktykę odstraszania, aby zmusić was do przestrzegania?

Kupujesz lub nadal używasz modułu równoważenia obciążenia lub zapory ogniowej, który działa jako publiczny / prywatny broker Twojej sieci. Interfejsy strony publicznej obsługują tych samych VIP-ów, których już masz, ale z komplementarnym adresem IPv6, jeśli go potrzebujesz. Wszystko na północ od warstwy Loadbalancer / Firewall to także podwójny stos IPv4 / IPv6. Na wewnętrznych interfejsach modułu Loadbalancer / Firewall wszystkie są IPv4, a cała twoja sieć wewnętrzna jest IPv4 i pozostaje tak długo, jak chcesz. To tylko twój biznes. Loadbalancer wykonuje NAT / PAT pomiędzy zewnętrzem a wnętrzem ... ponieważ już jest i musi w pełni funkcjonować równoważenie obciążenia, a ponieważ teraz rozwiązuje również twój zewnętrzny problem IPv6.

Aha i sarkastycznej osobie, która zapytała „Jaki pojedynczy cel bezpieczeństwa służy NAT”

Bezpieczeństwo to dostępność na najbardziej podstawowym poziomie. Pomyśl o tym, zanim je odrzucisz.

Usługi równoważenia obciążenia zapewniają dostępność / bezpieczeństwo i MUSISZ użyć NAT / PAT, aby zrobić to poprawnie, niezależnie od używanej wersji adresu IP.

Cytowanie dotyczące niepowodzenia DSR: https://devcentral.f5.com/articles/the-disadvantages-of-dsr-direct-server-return

k dzięki

Mem
źródło
2
Myślę, że twoja odpowiedź próbuje powiedzieć, że NAT musi mieć nietrywialny moduł równoważenia obciążenia, ale oczywiście tak nie jest i nie odpowiada na pytanie ...
Falcon Momot
-4

Używanie protokołu IPv6 w sieci wewnętrznej nie jest zbyt dobrym pomysłem, ponieważ wiele starszych urządzeń nie może się komunikować. Stare kopiarki / drukarki wielofunkcyjne, sprzęt medyczny, stare maszyny drukarskie, starsze serwery i urządzenia sieciowe. Schemat IPv4 jest znacznie łatwiejszy w zarządzaniu imo.

Koleś
źródło
-12

Przyjęta odpowiedź jest myląca

Koncepcje Chrisa S dotyczące NAT są całkowicie błędne; Jedną z najlepszych cech NAT oprócz sztucznego rozszerzenia schematu IPv4 jest BEZPIECZEŃSTWO. NAT to warstwa, która ukrywa rzeczywiste IP hosta, który jeśli jest bezpośrednio podłączony do Internetu, może być celem wszystkich możliwych ataków. Na szczęście mówienie o pozbyciu się NAT bez zachęcania do dodatkowych środków bezpieczeństwa jest po prostu ignorancją na ten temat.

Poklepać
źródło
5
Jak dokładnie NAT jest warstwą bezpieczeństwa?
MD Marra