Frage Werden die Leute wirklich öffentliche IPv6-Adressen in ihren privaten Netzwerken verwenden? [Duplikat]


Diese Frage hat hier bereits eine Antwort:

Ich habe die gelesen Debian-Systemverwalterhandbuchund ich stieß auf diese Passage im Gateway-Bereich:

... Beachten Sie, dass NAT nur für IPv4 und seinen begrenzten Adressraum relevant ist.   In IPv6 reduziert die große Verfügbarkeit von Adressen die   Nützlichkeit von NAT, indem alle "internen" Adressen direkt zugelassen werden   routingfähig im Internet (dies bedeutet nicht, dass interne Maschinen   zugänglich sind, da zwischengeschaltete Firewalls den Datenverkehr filtern können).

Das hat mich zum Nachdenken gebracht ... Bei IPv6 gibt es noch eine private Reihe. Sehen: RFC4193. Werden Unternehmen wirklich alle ihre internen Maschinen mit öffentlichen Adressen einrichten? Soll IPv6 so funktionieren?


19
2017-07-08 14:23


Ursprung


Eine Voraussetzung für IP ist, dass jedes Gerät eine eindeutige IP-Adresse hat. Dies ermöglicht die Ende-zu-Ende-Konnektivität, um welche IP herum entworfen wurde. NAT bricht das und IPv6 stellt das wieder her. - Ron Maupin
Ja, so soll IPv6 funktionieren. So sollte auch IPv4 funktionieren, bis offensichtlich wurde, dass es nicht genug Adressen gab .... Anfang der 90er Jahre! Siehe auch Wechseln Sie zu IPv6 und entfernen Sie NAT? Machst du Witze? was das ist wahrscheinlich ein Duplikat von ... - Michael Hampton♦
@MichaelHampton Definitiv ein Duplikat - Insane


Antworten:


Soll IPv6 so funktionieren?

Kurz gesagt, ja. Einer der Hauptgründe dafür, den Adressraum mit IPv6 so drastisch zu erhöhen, besteht darin, Band-Hilfstechnologien wie NAT loszuwerden und das Netzwerk-Routing zu vereinfachen.

Verwechseln Sie jedoch nicht das Konzept einer öffentlichen Adresse und eines öffentlich zugänglichen Hosts. Es wird immer noch "interne" Server geben, die nicht mit dem Internet erreichbar sind, obwohl sie eine öffentliche Adresse haben. Sie werden genauso mit Firewalls geschützt wie mit IPv4. Aber es ist auch viel einfacher zu entscheiden, dass der heute nur interne Server morgen einen bestimmten Dienst für das Internet öffnen muss.

Werden Unternehmen wirklich alle ihre internen Maschinen mit öffentlichen Adressen einrichten?

Meiner Meinung nach werden die Schlauen. Aber wie Sie wahrscheinlich bemerkt haben, wird es eine ganze Weile dauern.


28
2017-07-08 14:41



"Die Klugen werden" ist ein ... eigensinnig? Ein großer Teil / Bonus von NAT versteckt auch "Details" wie zB wie viele Computer, Servertypen, Layout, etc ... "öffentliche Adressen" geben Informationen leckt. - WernerCD
@WernerCD Nehmen wir an, ich habe ein IPv6-fähiges Netzwerk mit der Mindestanzahl von 2 ^ 64 individuell adressierbaren Hosts. Sie können jederzeit einen Ping-Sweep durchführen. Nun könnte eine Unternehmensaufgabe mehr in der Größenordnung von a / 48 zu a / 56 als a / 64 sein, was die Anzahl der möglichen Adressen um mehrere tausend Male erhöht ... - α CVn
@WernerCD public bedeutet nicht beworben oder gar veröffentlicht. Es bedeutet nur, dass die IPs alle aus dem gleichen Eimer sind. - njzk2
@WernerCD Die Verwendung von NAT kann noch mehr Lecks verursachen. Mit NAT ist es möglich, dass eine Portnummer wiederverwendet wird, während sie noch verwendet wird, wobei Pakete von einer Verbindung in eine andere Verbindung gelangen können. Und NAT verletzt die Garantie, dass IPID eindeutig ist, was bedeutet, dass fragmentierte Pakete falsch zusammengesetzt werden können, so dass Teilpakete zu einer falschen Verbindung gelangen können, ohne dass eine Verbindung überhaupt vorzeitig abgebrochen wird. - kasperd
@WernerCD Siehe RFC 4864, insbesondere Abschnitt 3.4, Nicht rückverfolgbare IPv6-Adressen. - Michael Hampton♦


Wir verwenden öffentliche IPv6-Adressen in unserem Firmennetzwerk für alle Geräte.

Wir verwenden eine Stateful Firewall auf unserem Gateway, die:

  • erlaubt alle icmpv6
  • ermöglicht neue Verbindungen aus dem internen Netzwerk heraus
  • ermöglicht etablierte Verbindungen von öffentlich zu intern

Kein öffentlicher Verkehr (außer ICMP und etablierten Verbindungen) sollte in unser Netzwerk gelangen.

Bis jetzt hatten wir keine Probleme mit diesem Setup und es funktioniert perfekt.


18
2017-07-08 14:29





Wenn keine externe Konnektivität erforderlich ist, können private Netzwerke verwendet werden. Dies ist der Grund für die Definition von privatem Adressraum auch in IPv6.

NAT ist ein Hack, der erfunden wurde, um die Erschöpfung von IPv4-Adressräumen zu verzögern. NAT verursacht Probleme mit Anwendungen, und um die Anwendungen mit NAT zu arbeiten, werden mehr Hacks benötigt, die dem ursprünglichen Design von IP widersprechen.

Also, der bevorzugte Weg ist, zu arbeiten, wie Yarik antwortete, verwenden Sie die richtige Stateful Firewall am Rande des Netzwerks.


14
2017-07-08 14:36





Wie gesagt, so ist IP so konzipiert, dass es funktioniert, und es funktioniert gut. NAT bringt manchmal lästige Probleme mit sich. Einige haben beschrieben, dass NAT das interne IP "versteckt", aber es kann auch ein Nachteil sein.

Ich arbeitete an einem Ort mit einer / 16 und wir verwendeten öffentlich routbare IPv4-Adressen auf jedem Gerät (einschließlich Drucker und Mobiltelefone und elektronische Uhren). Es funktionierte gut und zusätzlich wurde das Aufspüren fehlerhafter Benutzer und Geräte erleichtert. Es hat auch die Auswirkungen dieser Benutzer begrenzt, so dass es weniger wahrscheinlich ist, dass die Mail-Server ungehindert kommunizieren können, weil jemand auf einer Blacklist ist.


7
2017-07-08 19:27





Die IPv6-Proponets sahen NAT als einen temporären Hack, um die Erschöpfung der IPv4-Adressen zu verringern, und daher würde NAT bei IPv6 nicht benötigt.

NAT hat jedoch einige andere Vorteile als die Erschöpfung von Adressen zu stoppen.

  1. NAT entkoppelt Ihre interne Adressierung von Ihrer Internetverbindung.
  2. Zumindest unter Linux neigt NAT zum Scheitern. Wenn die iptables-Regeln nicht geladen werden können, haben Geräte mit privaten IPs keine Verbindung zum Internet, dies wird schnell bemerkt und behoben. Paket-Inspektions-Firewalls können andererseits leicht ausfallen, wenn die IP-Weiterleitung aktiviert ist, aber die iptables-Regeln nicht geladen sind.
  3. NAT verbirgt, welche interne Maschine eine Anfrage gestellt hat. Datenschutzerweiterungen helfen in gewissem Umfang dabei, aber sie verbergen das Subnetz nicht und sie sind eine clientseitige Funktion, so dass das Client-Betriebssystem und nicht der Netzwerkadministrator entscheidet, ob sie verwendet werden oder nicht.

Daher würde ich erwarten, dass sich zumindest einige Unternehmen für die Bereitstellung von v6 mit NAT genauso entscheiden wie für IPv4. Andere mögen sich den IPv6-Befürwortern anschließen und sich für Firewalls, aber keine Adressübersetzung entscheiden.


Ich möchte Sie (und alle anderen, die eine Implementierung von NAT mit IPv6 in Erwägung ziehen) nachdrücklich auffordern, sich nach dem Lesen von RFC 4864 zu überlegen, was Sie anstelle von NAT tun sollten

Ich habe es gelesen, aber ich denke nicht, dass es eine vollständige Replacement für NAT bietet.

  1. NAT entkoppelt Ihre interne Adressierung von Ihrer Internetverbindung.

Die IPv6-propnants "solution" zu diesem ist dreifach, führen Sie mehrere Adressen in paralell, automatische Zuweisung von dynamischen Adressen von Anbieter (n) zu internen Netzwerken und verwenden ULAs, um langfristige lokale Adressen bereitzustellen.

Das parallele Ausführen von Adressen mit unterschiedlicher Lebensdauer birgt das Risiko, dass nicht dauerhafte Adressen in der Langzeitkonfiguration versehentlich enden. Das parallele Ausführen mehrerer Internetadressen hat das Problem, dass die Clientbetriebssysteme nicht wissen, von welchem ​​Internet-Gateway ihre Pakete ausgehen.

Die Präfixdelegierung wurde für einstufige Szenarien, in denen ein einzelner CPE-Router ein Präfix vom ISP anfordert und es einer oder mehreren lokalen Schnittstellen zuweist, solide implementiert, aber derzeit scheint es keine gute Implementierung für eine mehrstufige Deklaration innerhalb eines zu sein Kundenseite.

  1. Zumindest unter Linux neigt NAT zum Scheitern. Wenn die iptables-Regeln nicht geladen werden können, haben Geräte mit privaten IPs keine Verbindung zum Internet, dies wird schnell bemerkt und behoben. Paket-Inspektions-Firewalls können andererseits leicht ausfallen, wenn die IP-Weiterleitung aktiviert ist, aber die iptables-Regeln nicht geladen sind.

Die IPv6-Befürworter scheinen darauf keine Antwort zu geben. Sie scheinen einfach davon auszugehen, dass Unfälle nicht passieren werden.

  1. NAT verbirgt, welche interne Maschine eine Anfrage gestellt hat.

Datenschutzerweiterungen helfen in gewissem Umfang dabei, aber sie verbergen das Subnetz nicht und sie sind eine clientseitige Funktion, so dass das Client-Betriebssystem und nicht der Netzwerkadministrator entscheidet, ob sie verwendet werden oder nicht.

Es gibt einen Vorschlag, einzelne Maschinen zu assemblieren und dann IGP-Einträge zu erstellen, um sie zu routen, aber ich bin mir nicht bewusst, dass irgendjemand dies tatsächlich in der Praxis implementiert.


4
2017-07-08 19:16



Ich würde stark ermutigen Sie (und alle anderen, die eine Implementierung von NAT mit IPv6 in Erwägung ziehen), nach dem Lesen zu überdenken RFC 4864 für Ratschläge, was Sie anstelle von NAT tun sollten. Das von Ihnen gespeicherte Netzwerk kann Ihr eigenes sein. - Michael Hampton♦