Vraag Waarom zou u IPv6 intern gebruiken?


Natuurlijk besef ik de noodzaak om naar IPv6 te gaan op het open internet, omdat we bijna geen adressen meer hebben, maar ik begrijp echt niet waarom het nodig is om het op een intern netwerk te gebruiken. Ik heb nul gedaan met IPv6, dus ik vraag me ook af: zullen moderne firewalls geen NAT doen tussen interne IPv4-adressen en externe IPv6-adressen?

Ik vroeg het me gewoon af, omdat ik zoveel mensen heb zien worstelen met IPv6-vragen hier, en vraag me af waarom moeite doen?


48
2018-05-26 19:17


oorsprong




antwoorden:


Er is geen NAT voor IPv6 (zoals je trouwens aan NAT denkt). NAT was een $ EXPLETIVE tijdelijke oplossing voor IPv4 zonder adressen (een probleem dat eigenlijk niet bestond, en werd opgelost voordat NAT ooit nodig was, maar de geschiedenis is 20/20). Het voegt niets dan complexiteit toe en zou weinig doen behalve hoofdpijn veroorzaken in IPv6 (we hebben zoveel IPv6-adressen dat we ze onbeschaamd verspillen). NAT66 bestaat en is bedoeld om het aantal IPv6-adressen te verminderen dat door elke host wordt gebruikt (het is normaal dat IPv6-hosts meerdere adressen hebben, IPv6 is in veel opzichten enigszins anders dan IPv4, dit is er één).

Internet zou end-to-end routeerbaar moeten zijn, dat is een deel van de reden waarom IPv4 is uitgevonden en waarom het acceptatie kreeg. Dat wil niet zeggen dat alle adressen op het internet bereikbaar moesten zijn. NAT breekt beide. Firewalls voegen beveiligingslagen toe door de bereikbaarheid te onderbreken, maar normaal gesproken gaat dit ten koste van de routeerbaarheid.

U wilt IPv6 in uw netwerken omdat er geen manier is om een ​​IPv6-eindpunt met een IPv4-adres op te geven. Andersom werkt het wel, waardoor alleen IPv6-netwerken met DNS64 en NAT64 toegang krijgen tot het IPv4-internet. Het is vandaag mogelijk om IPv4 helemaal te vernietigen, hoewel het een beetje gedoe is om het op te zetten. Het is mogelijk om van IPv4-interne adressen naar IPv6-servers te proxyen. Het toevoegen en configureren van een proxyserver voegt configuratie-, hardware- en onderhoudskosten toe aan het netwerk; meestal veel meer dan alleen het inschakelen van IPv6.

NAT veroorzaakt ook zijn eigen problemen. De router moet in staat zijn om elke verbinding die er doorheen loopt te coördineren, waarbij endpoints, poorten, time-outs en meer worden bijgehouden. Al dat verkeer wordt meestal via dat ene punt doorgesluisd. Hoewel het mogelijk is om redundante NAT-routers te bouwen, is de technologie enorm complex en over het algemeen duur. Overbodige eenvoudige routers zijn eenvoudig en goedkoop (in vergelijking). Om ook een deel van de routeerbaarheid te herstellen, moeten regels voor doorsturen en vertalen worden vastgelegd op het NAT-systeem. Dit verbreekt nog steeds protocollen die IP-adressen insluiten, zoals SIP. UPNP, STUN en andere protocollen zijn uitgevonden om ook met dit probleem te helpen - meer complexiteit, meer onderhoud, meer dat kan fout gaan.


54
2018-05-26 19:21



De router waarop de NAT draaide, scheidde de netwerken, die router scheidt nog steeds de netwerken, er is niets veranderd behalve dat de router correct moet worden geprogrammeerd voor IPv6. Routeerbaar ja, niet noodzakelijk bereikbaar (firewallregels zullen waarschijnlijk het meeste verkeer blokkeren). - Chris S
@Tomtom: Iedereen die denkt dat ze het nodig hebben, weet niet dat ze in plaats daarvan een firewall nodig hebben. Er is letterlijk geen probleem dat NAT de beste oplossing is voor andere dan problemen veroorzaakt door een gebrek aan adressering. Er is nog geen adresschaarste in IPv6 (nog niet!). Het is misschien wel in ontwikkeling, maar dat betekent niet dat het geen stom idee is :) - growse
@JimB - voor zover ik weet zijn er ten minste 4 verschillende IPv6 NAT-voorstellen die in ontwikkeling waren en allemaal mislukt. Gezien het feit dat die pagina bijna drie jaar oud is, ga ik veronderstellen dat die nu ook is mislukt - Mark Henderson♦
Ik weet dat dit beledigend klinkt, dus verontschuldig ik me vooraan, maar als je niet de kok bent, blijf dan uit de keuken. Mensen begrijpen dat als ze in hun eigen auto werken ze iets kunnen breken dat een wereld van schade veroorzaakt ... Hetzelfde geldt voor computerbeveiliging, als je niet weet hoe, zul je waarschijnlijk meer kwaad dan goed doen. U hebt wel een punt, dat NAT sommige beveiligingsniveaus vereenvoudigt (met name en bijna uitsluitend dat uw interne netwerk niet via het internet kan worden geleid). Zelfs op de meeste NAT-routers van vandaag is dit slechts een standaardinstelling en kan de "beveiliging" van NAT worden uitgeschakeld. - Chris S
Laten we niet beginnen met het omzeilen van woorden als 'SECURITY' zonder een verstandige discussie over kwetsbaarheden en bedreigingen. Welke specifieke kwetsbaarheid beschermt NAT? Over welke specifieke 'aanvallen' heb je het? Zijn het dezelfde aanvallen die de rest van de professionele wereld verzacht met een stateful firewall? Als dat zo is, koopt NAT je niet echt veel. - growse


Het opraken van interne (rfc1918) ipv4-adressen kan ook een zeer geldige reden zijn om ipv6 te gebruiken.

Comcast uitgelegd bij Nanog37 waarom ze ipv6 gingen gebruiken voor hun managementadressen.

20 Million video customer
x 2.5 STB/customer
x 2 ip addresses/STB
--------------------  
= 100 Millions IP addresses

En dit is alleen voor video, geen data / modems.

Ze hebben de RFC1918-pools in 2005 uitgeput. Daarna gebruikten ze pools met openbare adressen (aangezien nat geen optie is voor beheer), en ging ipv6 om hun behoeften op te lossen.


22
2018-05-26 20:40



Hoe zit het met de niet-mega-bedrijven? - Cypher
nou, er zijn nog steeds alle andere antwoorden;) - petrus
Ik denk niet dat een bedrijf meer dan 16.777.216 INTERN zal gebruiken ... Zeker, extern voor hun klanten. Niemand betwist dat we meer openbare IP-adressen nodig hebben. - KCotreau
Ik had het niet over het publieke / blanco ip-adres van een router, maar de beheer-ip-adressen op een kabelmodem of settopbox. Dus ja, Comcast en alle grote kabelaanbieders do heb meer dan 2 ^ 24 ip @ nodig. - petrus


Een paar redenen:

  • IPv6 ondersteunt geen uitzendingen. Het wordt vervangen door multicasting. Met Broadcasting kan één knooppunt verkeer naar alle knooppunten in een subnet verzenden. Beheer van broadcast-domeinen is een groot probleem bij het snel en soepel laten verlopen van grote IPv4-netwerken. Multicasting vereist dat nodes die "broadcast" -stijl willen ontvangen, zich er daadwerkelijk voor aanmelden, zodat het netwerk niet overstroomd wordt met verkeer dat alle hosts raakt.

  • IPv6 ondersteunt native codering in IPsec-stijl.

  • IPv6 ondersteunt autoconfiguratie. Het is mogelijk voor hosts achter een router om zichzelf te configureren zonder de noodzaak van DHCP, hoewel je nog steeds een DHCP-server nodig hebt om DHCP-opties zoals DNS-server, TFTP-server, etc. uit te delen.


14
2018-05-26 20:16



IPv6 staat het hernummeren van een heel subnet toe met bijna geen complicaties. Het maakt ook het samenvoegen van subnetten mogelijk. Het heeft ongelofelijk gedetailleerde controle over multicast-verkeer ... er zijn nog meer redenen, maar het is voor altijd geweest sinds ik mijn IPv6-cursus heb gevolgd. - Matthew
Dit zijn allemaal populaire mythes, hier is de bit meer info: IPv6's multicasting is verplicht voor basisfunctionaliteit: om bijvoorbeeld een IPv4-equivalente ping-uitzending uit te voeren, ping je 6 naar FF02 :: 1 voor alle reguliere knooppunten en FF02 :: 2 voor alle routers. IPv6's IPSec verandert niets van IPv4. U krijgt geen enkele beveiliging gratis. Moet nog steeds alle modi configureren en omgaan met sleuteldistributie. IPv6's autoconfiguratie is volslagen rommel; standaard is het zo onveilig als MAC <-> IPv4 en deelt het GEEN DNS uit. Als je DNS wilt, moet je DHCPv6 installeren, dus geen winst daar. - Marcin
Ik beschouw het derde punt als zwakheid van ip6. Hoe vaak hebt u gecontroleerd of een apparaat een IP-adres heeft ontvangen als onderdeel van het probleemoplossingsproces? Dat deel werd alleen maar moeilijker. - Joel Coel


Mijn oude baan bij een grote universiteit zou intern een IPv6-toewijzing gebruiken. Ze kregen op de dag van vandaag een IPv4 / 16 toegewezen en zelfs vandaag deelt ze IPv4-adressen uit aan bijna elke interne klant. De RFC1918-netwerken waren beperkt tot het telecom-only netwerk en bepaalde gespecialiseerde toepassingen (de PCI-normen vereisten RFC1918 tot oktober 2010).

Daarom waren ze ook actief van plan om IPv6 intern te gebruiken. Er waren nog wat hardwareproblemen, de edge-switches ondersteunden v6 niet goed genoeg, maar de kern was klaar. Het idee was dat het krijgen van v6-ondersteuning aan het publiekelijk zichtbare einde (oke, het publiekelijk) sympathiek einde) van het netwerk zou 70% van het werk met zich meebrengen om het voor iedereen te gebruiken, zou net zo goed de extra 30% kunnen doen en er end-to-end mee kunnen werken.

Omdat we al zo lang met een publieke IP-toewijzing hebben geleefd, waren onze mensen erg bewust van het adagium: "alleen omdat het openbaar is, wil nog niet zeggen dat het bereikbaar is." Zoals Chris S al zei, betekent routeable niet dat het bereikbaar is.

Dat is de reden waarom ten minste één klasse van organisaties IPv6 intern zou implementeren: omdat ze intern al non-RFC1918 IPv4 gebruiken.


13
2018-05-26 21:28





IPv6 biedt een aantal mogelijke verbeteringen in de praktijk ten opzichte van IPv4, zoals een eenvoudiger automatische configuratie en automatisch detectiemechanisme, het is ook veiliger in de zin dat het voor een netwerk door replicatie van een IP-bereik onmogelijk wordt voor malware om te repliceren - - er zijn gewoon te veel IP's. Maar die verbeteringen zijn niet bijzonder dramatisch en zeker niet de switchkosten waard.

Maar merk op dat het geen of / of Als u besluit, kunt u beide tegelijk uitvoeren en als u software ontwikkelt, moet u waarschijnlijk, zoals veel mensen hebben gezegd, voor testdoeleinden. Er is geen betrouwbare manier om een ​​IPv6-compatibel programma te maken zonder een interne IPv6-infrastructuur te testen. De meeste moderne besturingssystemen zullen automatisch een intern IPv6-netwerk opzetten - het is gewoon een kwestie van het gebruiken ervan.

10 jaar geleden bouwde ik een beetje software voor een werkgever die klanten gebruiken om programma-updates op te halen. Bij het bouwen van de netwerkcomponent moest ik kiezen tussen het inbouwen van IPv6-compatibiliteit, of gewoon aannemen dat alle IP-adressen 4 bytes zijn. Ik besloot om de eenvoudige route te nemen, mezelf ongeveer 4 uur aan werk te besparen en maakte de applicatie alleen voor IPv4. Ik dacht dat het over een paar jaar hoe dan ook zou worden vervangen. Ze gebruiken het nog steeds en zijn daarom uitgesloten van een aantal kleinere markten.


7
2018-05-26 20:29





We hebben het hier over twee dingen: intern netwerk uitvoeren op pure IPv6 of IPv4 / IPv6 dual-stack draaien. Ik denk dat het voorbarig is om te praten over het uitvoeren van pure IPv6 - op veel besturingssystemen is het zelfs onmogelijk om IPv6 zonder IPv4 te gebruiken. U kunt overwegen om dual-stack uit te voeren om de volgende redenen (a) als u software ontwikkelt (b) om uw netwerk voor te bereiden op onvermijdelijke migratie naar IPv6. Als je situatie A is, zou je nu moeten handelen, als het B is, dan heb je volgens mijn schatting ongeveer 1-2 jaar de tijd om erover na te denken (maar hoe sneller je begint, hoe beter je voorbereid zult zijn).

Mijn situatie is A en we hebben nu een dual-stack van 6 maanden. Gedurende deze tijd hebben we enkele problemen geïdentificeerd en opgelost met onze public / private DNS, adrestoewijzing, DHCP, routering, firewalling en we konden zelfs niet veel van deze problemen verwachten zonder te proberen. Nu zijn we volledig klaar voor IPv6 en hebben we zelfs IPv6 openbare toegang via tunneling. Uit mijn ervaring kan ik met vertrouwen zeggen dat IPv6 een veel eenvoudigere en elegantere oplossing is in vergelijking met verouderde IPv4, dus ik zal heel blij zijn als het tijd is om over te schakelen naar IPv6, maar voor die tijd komt - dual-stack is de manier gaan.


5
2018-06-15 03:46





Werkend voor een klein bedrijf kan ik alleen maar redenen bedenken om IPv6 NIET te gebruiken.

  • We hebben zelfs geen IPv6-public address, dus waarom zouden we het in vredesnaam intern uitvoeren?
  • We zouden onze firewall, waar ik echt van houd, moeten vervangen, omdat IPv6 (nog) niet wordt ondersteund
  • We hebben geen manier om IPv6-adressen toe te wijzen, laat staan ​​te controleren
  • Slechts de helft van onze pc's ondersteunt IPv6
  • Geen van onze productiefaciliteiten ondersteunt IPv6
  • Onze switches ondersteunen IPv6 niet
  • Ik heb nog nooit een printer gezien die IPv6 ondersteunt
  • IPv6 is veel moeilijker te gebruiken vanaf de opdrachtregel - vrij belangrijk punt voor mij
  • Ik zou volledig op de hoogte moeten zijn van IPv6 - moeilijk om te doen als ik niet geïnteresseerd ben
  • ... en nog een heleboel andere redenen waar ik nu niet aan kan denken

Het is gewoon niet logisch dat een bedrijf als het onze de verandering doorvoert, omdat het aanzienlijke kosten en moeite kost en er absoluut niets aan te winnen valt.

Eerlijk gezegd hou ik van NAT en de voordelen die we krijgen als we omgaan met lokale adressen. Als het ooit wordt noodzakelijk (in tegenstelling tot een geek-willen-doen-zijn) voor ons om te communiceren met IPv6 op het internet, doen we dit bij de gateway.

Ik verwacht niet dat deze huidige IPv6-rage een noodzaak wordt voor de overgrote meerderheid van de wereld, intern tenminste voor een decennium of langer. Aangezien ik tegen die tijd verwacht met pensioen te gaan, is er voor mij persoonlijk niet heel veel reden om er tijd en moeite aan te besteden.

Bewerk:

Ik krijg downvotes, maar geen enkele logische en verstandige tegengestelde mening. Laat me denken dat het gewoon een stel springkarren is die op zoek zijn naar de trend zonder er over na te denken. Er moet een REDEN zijn om zo'n drastische verandering in een netwerk aan te brengen en ik heb er geen. Verder vermoed ik sterk dat maar een paar SF-gebruikers er een hebben.


4
2018-06-15 00:15



1. vraag uw ISP om een ​​toewijzing. In tegenstelling tot IPv4 kunt u niet zomaar om een ​​blokkering vragen. je moet de mogelijkheid hebben om X aantal binnen 6 maanden te gebruiken. - Brian
3. u toewijst door uw router in te stellen met een IPv6-adres en de machines automatisch te laten configureren. (of setup Dhcp6) - Brian
4. Windows XP SP2 ondersteunt IPv6. 6. Schakelaars praten niet over IP. Ze praten over laag 2. ze werken goed met Ipv6. Ik heb Ipv6 op een aantal 2001 3com-switches uitgevoerd. Het kan zijn dat je ipv4 nog moet ondersteunen om een ​​aantal van hen te beheren. Elke HP-printer met een jetdirect-kaart die in de afgelopen 5 jaar is verkocht (of meer) ondersteunt IPv6 - Brian
"Onze switches ondersteunen IPv6 niet". Geen probleem. "Ik heb nog nooit een printer gezien die IPv6 ondersteunt". Ik doe het, hij is 6 jaar oud en zit naast me. (Een goedkope Dell-laser). "Ik zou volledig op de hoogte moeten zijn van IPv6 - moeilijk om te doen als ik niet geïnteresseerd ben" Aye. Hier ben ik het mee eens. Het is moeilijk om iets nieuws te leren. Maar de enige zijn die het begrijpt (en u zult het over een paar jaar nodig hebben) is een groot voordeel. - Hennes
@Hennes, dat is al geregeld en voor zover ik weet, heb ik IPv6 niet nodig tijdens de overblijfselen van mijn beroepsleven en heb ik het thuis nooit nodig. IOW, er is absoluut geen reden voor mij om een ​​technologie te leren waarvoor in dit deel van de wereld op zijn minst geen behoefte is en die niet binnen afzienbare tijd zal zijn. Ik ben het er niet mee eens dat het leren van iets nieuws moeilijk is. Ik doe dat elke dag van mijn leven en verwacht dit te blijven doen totdat ik van de baars val. - John Gardeniers


Afgezien van lager adres ruimte, afwezigheid van uitzending, IPSec en eenvoudiger automatische configuratie zijn er enkele "niet zo bekende" voordelen van IPv6:

  1. Een grotere adresruimte betekent dat het adres meer bits heeft die kunnen worden gebruikt als gegevensopslag. Bijvoorbeeld kan hopteller tussen twee knooppunten dan een functie zijn van hun IPv6-adressen, bijvoorbeeld:
    IPv6-adres kan in het formaat zijn PREFIX:Country&Region:DC&Line:Rack&Unit:VM&ID dus nauwere knooppunten hebben meer Most-Significant-Bits hetzelfde. Dit is slechts een voorbeeld, natuurlijk kunnen "nabijheids" -statistieken worden opgeslagen in een soort externe database zoals DNS TXT|SRV Records.

  2. Er zijn enkele technieken voor het gebruik van adresruimte van IPv6 voor cryptografische doeleinden, zoals cryptografisch gegenereerde adressen (CGA) en verzend (SEcure Neighbor Discovery) 

  3. Wanneer IPv6 is ingeschakeld, hebben alle knooppunten in het netwerk een link-local IPv6-adres (indien niet anders geconfigureerd). Dus er is een kans dat je toegang hebt tot zelfs verkeerd geconfigureerde knooppunten.

  4. U kunt de MAC-adressen van knooppunten rechtstreeks verkrijgen via link-local IPv6-adres (indien IPv6 privacy-extensies zijn niet geconfigureerd)

  5. Het is onmogelijk dat u IPv4 in subnetten met duizenden knooppunten kunt gebruiken - uw netwerk zal worden overladen met broadcast-verkeer (bijvoorbeeld ARP).

  6. U kunt een knooppunt zoeken voor aanvullende informatie met behulp van knoop informatieb.v. in BSD kunt u een query uitvoeren op de host voor ICMPv6 knooppuntinformatieknooppuntadressen:

$ ping6 -a Aacgsl ::1

PING6(72=40+8+24 bytes) ::1 --> ::1
136 bytes from ::1: 
  fe80::beae:c5ff:fe43:44a(TTL=infty)
  fe80::beae:c5ff:fe43:212(TTL=infty)
  ::1(TTL=infty)
  fe80::1(TTL=infty)
  2a02::9222(TTL=infty)

4
2018-06-13 20:27