Frage Warum würden Sie IPv6 intern verwenden?


Natürlich ist mir klar, dass wir im offenen Internet zu IPv6 gehen müssen, da uns die Adressen ausgehen, aber ich verstehe wirklich nicht, warum man es in einem internen Netzwerk verwenden muss. Ich habe null mit IPv6 gemacht, also frage ich mich auch: Werden moderne Firewalls NAT nicht zwischen internen IPv4-Adressen und externen IPv6-Adressen tun?

Ich habe mich nur gefragt, seit ich so viele Leute gesehen habe, die hier mit IPv6-Fragen kämpfen und sich fragen, warum sie sich die Mühe machen?


48
2018-05-26 19:17


Ursprung




Antworten:


Es gibt kein NAT für IPv6 (wie du sowieso von NAT denkst). NAT war eine $ EXPLETIVE temporäre Lösung für IPv4, die keine Adressen mehr hatte (ein Problem, das eigentlich nicht existierte und gelöst wurde, bevor NAT jemals notwendig wurde, aber die Historie ist 20/20). Es fügt nichts als Komplexität hinzu und würde wenig außer Kopfschmerzen in IPv6 tun (wir haben so viele IPv6-Adressen, dass wir sie verschwenderisch verschwenden). NAT66 existiert und soll die Anzahl der IPv6-Adressen reduzieren, die von jedem Host verwendet werden (es ist normal, dass IPv6-Hosts mehrere Adressen haben, IPv6 unterscheidet sich in vielerlei Hinsicht von IPv4, dies ist einer).

Das Internet sollte end-to-end routingfähig sein, das ist einer der Gründe, warum IPv4 erfunden wurde und warum es Akzeptanz fand. Das soll nicht heißen, dass alle Adressen im Internet erreichbar sein sollten. NAT bricht beides. Firewalls fügen Sicherheitsschichten hinzu, indem die Erreichbarkeit unterbrochen wird, normalerweise jedoch auf Kosten der Routingfähigkeit.

Sie werden IPv6 in Ihren Netzwerken wünschen, da es keinen Weg gibt, einen IPv6-Endpunkt mit einer IPv4-Adresse anzugeben. Umgekehrt funktioniert es, dass IPv6-only-Netzwerke, die DNS64 und NAT64 verwenden, weiterhin auf das IPv4-Internet zugreifen können. Es ist heute tatsächlich möglich, IPv4 alle zusammen zu entfernen, obwohl es ein bisschen mühsam ist, es einzurichten. Es wäre möglich, von IPv4-internen Adressen zu IPv6-Servern zu wechseln. Durch das Hinzufügen und Konfigurieren eines Proxyservers werden dem Netzwerk Kosten für Konfiguration, Hardware und Wartung hinzugefügt. in der Regel viel mehr als nur das Aktivieren von IPv6.

NAT verursacht auch eigene Probleme. Der Router muss in der Lage sein, jede Verbindung, die durch ihn läuft, zu koordinieren und Endpunkte, Ports, Timeouts und mehr zu überwachen. Der ganze Verkehr wird normalerweise durch diesen einzelnen Punkt geleitet. Obwohl es möglich ist, redundante NAT-Router zu bauen, ist die Technologie massiv komplex und im Allgemeinen teuer. Redundante einfache Router sind einfach und kostengünstig (vergleichsweise). Um einige der Routingfähigkeiten wieder herzustellen, müssen Weiterleitungs- und Übersetzungsregeln auf dem NAT-System eingerichtet werden. Dies bricht immer noch Protokolle, die IP-Adressen wie SIP einbetten. UPNP, STUN und andere Protokolle wurden erfunden, um auch bei diesem Problem zu helfen - mehr Komplexität, mehr Wartung, mehr könnte schief gehen.


54
2018-05-26 19:21



Der Router, auf dem das NAT lief, trennte die Netzwerke, der Router wird die Netzwerke immer noch trennen, nichts hat sich geändert, außer dass der Router für IPv6 richtig programmiert wurde. Routable Ja, nicht unbedingt erreichbar (Firewall-Regeln werden wahrscheinlich den meisten Verkehr blockieren). - Chris S
@Tomtom: Wer denkt, dass sie es brauchen, weiß nicht, dass sie stattdessen eine Firewall brauchen. Es gibt buchstäblich kein Problem, dass NAT die beste Lösung für andere Probleme ist, die durch die fehlende Adressierung verursacht werden. Es gibt keinen Mangel an Adressierung in IPv6 (noch!). Es könnte in Entwicklung sein, aber das bedeutet nicht, dass es keine dumme Idee ist :) - growse
@ JimB - soweit ich weiß, gab es mindestens 4 verschiedene IPv6-NAT-Vorschläge, die in der Entwicklung waren und alle von ihnen gescheitert sind. Angesichts der Tatsache, dass diese Seite fast 3 Jahre alt ist, gehe ich davon aus, dass es inzwischen auch gescheitert ist - Mark Henderson♦
Ich weiß, das wird beleidigend klingen, also entschuldige ich mich im Voraus, aber wenn du nicht der Koch bist, bleib aus der Küche. Leute verstehen, wenn sie an ihrem eigenen Auto arbeiten, können sie etwas brechen, das eine Welt des Schadens verursacht ... Gleiches gilt für Computersicherheit, wenn du nicht weißt, wie, wirst du am Ende mehr schaden als nützen. Sie haben einen Punkt, dass NAT einige Sicherheitsstufen erleichtert (am bemerkenswertesten und fast ausschließlich, dass Ihr internes Netzwerk nicht routingfähig ist). Selbst bei den meisten NAT-Routern ist dies heute nur eine Standardeinstellung, und die von NAT bereitgestellte "Sicherheit" kann deaktiviert werden. - Chris S
Lasst uns nicht mit Wörtern wie "SICHERHEIT" anfangen, ohne eine vernünftige Diskussion über Schwachstellen und Bedrohungen. Welche spezifische Sicherheitslücke schützt NAT? Von welchen spezifischen "Angriffen" sprichst du? Sind das die gleichen Angriffe, die der Rest der professionellen Welt mit einer Stateful Firewall abschwächt? Wenn das so ist, kauft NAT dich nicht wirklich viel. - growse


Das Auslaufen von internen (rfc1918) ipv4-Adressen kann auch ein sehr guter Grund sein, ipv6 zu verwenden.

Comcast erklärt bei Nanog37 Warum gingen sie IPv6 für ihre Management-Adressen?

20 Million video customer
x 2.5 STB/customer
x 2 ip addresses/STB
--------------------  
= 100 Millions IP addresses

Und Dies ist nur für Video, nicht Daten / Modems.

Sie haben die RFC1918-Pools im Jahr 2005 erschöpft. Dann verwendeten sie öffentliche Adressen Pools (da nat keine Option für die Verwaltung ist), und ging ipv6, um ihre Bedürfnisse zu lösen.


22
2018-05-26 20:40



Was ist mit den Nicht-Megakonzernen? - Cypher
naja, da gibt es noch alle anderen Antworten;) - petrus
Ich glaube nicht, dass irgendeine Firma mehr als 16.777.216 INTERN verwenden wird ... Sicher, extern für ihre Kunden. Niemand bestreitet, dass wir mehr öffentliche IP-Adressen benötigen. - KCotreau
Ich sprach nicht über die öffentliche / WLAN-Adresse eines Routers, aber die Verwaltung IP-Adressen auf einem Kabelmodem oder Set-Top-Box. Also ja, Comcast und alle großen Kabelanbieter tun brauche mehr als 2 ^ 24 ip @. - petrus


Einige Gründe:

  • IPv6 unterstützt keine Übertragung. Es wird durch Multicasting ersetzt. Broadcasting ermöglicht es einem Knoten, Datenverkehr an alle Knoten in einem Subnetz zu senden. Die Verwaltung von Broadcast-Domänen ist ein großes Problem, da große IPv4-Netzwerke schnell und problemlos ausgeführt werden können. Multicasting erfordert, dass Knoten, die den "Broadcast" -Stil erhalten möchten, sich tatsächlich für diesen "anmelden", so dass das Netzwerk nicht mit Datenverkehr überschwemmt wird, der alle Hosts erfasst.

  • IPv6 unterstützt nativ die Verschlüsselung im IPsec-Stil.

  • IPv6 unterstützt die automatische Konfiguration. Es ist möglich, dass sich Hosts hinter einem Router selbst ohne DHCP konfigurieren, obwohl Sie immer noch einen DHCP-Server benötigen, um DHCP-Optionen wie DNS-Server, TFTP-Server usw. zu verteilen.


14
2018-05-26 20:16



IPv6 erlaubt die Umnummerierung eines ganzen Subnetzes nahezu ohne Komplikationen. Es ermöglicht auch das Zusammenführen von Subnetzen. Es hat unglaublich granulare Kontrolle über den Multicast-Verkehr ... es gibt noch mehr Gründe, aber es war für immer, seit ich meinen IPv6-Kurs belegt habe. - Matthew
Dies sind alle populären Mythen, hier ist das bisschen mehr Info: IPv6 Multicasting ist obligatorisch für die grundlegende Funktionalität: zum Beispiel eine IPv4-Ping Broadcast äquivalent zu tun ping6 zu FF02 :: 1 für alle regulären Knoten und FF02 :: 2 für alle Router. IPv6 IPSec ändert nichts von IPv4. Sie erhalten keine Sicherheit kostenlos. Ich muss noch alle Modi konfigurieren und mit der Schlüsselverteilung umgehen. Die Autokonfiguration von IPv6 ist völliger Müll; Standardmäßig ist es so unsicher wie MAC <-> IPv4 und es gibt NICHT DNS aus. Wenn du DNS willst, musst du DHCPv6 installieren, also kein Gewinn. - Marcin
Ich halte den 3. Punkt für eine Schwäche von ip6. Wie oft haben Sie überprüft, ob ein Computer eine IP-Adresse als Teil des Fehlerbehebungsprozesses erhalten hat? Dieser Teil wurde nur schwieriger. - Joel Coel


Mein alter Job an einer großen Universität würde intern eine IPv6-Zuweisung verwenden. Ihnen wurde am Tag ein IPv4 / 16 zugewiesen, und selbst heute werden IPv4-Adressen an fast jeden internen Client weitergegeben. Die RFC1918-Netzwerke waren auf das reine Telekommunikationsnetz und bestimmte spezialisierte Nutzungen beschränkt (die PCI-Standards verlangten RFC1918 bis Oktober 2010).

Aus diesem Grund planten sie aktiv, IPv6 auch intern zu verwenden. Es gab noch einige Hardwareprobleme, die Edge-Switches unterstützten v6 nicht gut genug, aber der Core war bereit. Die Idee war, v6-Unterstützung am öffentlich sichtbaren Ende zu bekommen (okay, die öffentlich ansprechend Ende) des Netzwerks würde 70% der Arbeit umfassen, um es für alle bereitzustellen, kann auch die zusätzlichen 30% tun und Ende-zu-Ende damit gehen.

Nachdem wir so lange mit einer öffentlichen IP-Zuteilung gelebt hatten, waren sich unsere Leute des Spruchs bewusst: "Nur weil es öffentlich ist, bedeutet es nicht, dass es erreichbar ist." Wie Chris S sagte, impliziert routeable nicht erreichbar.

Aus diesem Grund würde mindestens eine Organisationsklasse IPv6 intern bereitstellen, da sie IPv4 intern bereits ohne RFC1918 verwenden.


13
2018-05-26 21:28





IPv6 bietet einige reale Verbesserungen gegenüber IPv4, z. B. eine einfachere Autokonfiguration und einen automatischen Erkennungsmechanismus. Es ist außerdem sicherer in dem Sinne, dass es für Malware nicht möglich ist, über einen IP-Bereich einen Port zu scannen. - Es gibt einfach zu viele IPs. Aber diese Verbesserungen sind nicht besonders dramatisch und sicherlich nicht wert die Wechselkosten.

Aber beachte, dass es kein entweder oder Entscheidung, können Sie beide parallel laufen, und wenn Sie Software entwickeln, sollten Sie wahrscheinlich, wie viele Leute erwähnt haben, zu Testzwecken. Es gibt keine zuverlässige Möglichkeit, ein Programm IPv6-kompatibel zu machen, ohne eine interne IPv6-Infrastruktur zum Testen zu haben. Die meisten modernen Betriebssysteme richten automatisch ein internes IPv6-Netzwerk zwischen ihnen ein - es ist nur eine Frage der Verwendung.

Vor 10 Jahren habe ich ein bisschen Software für einen Arbeitgeber gebaut, den Kunden benutzen, um Programm-Updates zu holen. Beim Aufbau der Netzwerkkomponente musste ich mich entscheiden, ob ich IPv6-Kompatibilität aufbauen oder einfach nur davon ausgehen sollte, dass alle IP-Adressen 4 Byte betragen. Ich entschied mich für den einfachen Weg, ersparte mir etwa 4 Stunden Arbeit und machte die Anwendung nur IPv4. Ich dachte mir, dass es in ein paar Jahren ersetzt werden würde. Sie benutzen es immer noch heute und sind daher von einigen kleineren Märkten ausgeschlossen.


7
2018-05-26 20:29





Wir reden hier über zwei Dinge - das Ausführen eines internen Netzwerks auf reinem IPv6 oder das Ausführen von IPv4 / IPv6 Dual-Stack. Ich halte es für verfrüht, über den Betrieb von reinem IPv6 zu sprechen - auf vielen Betriebssystemen ist es sogar unmöglich, IPv6 ohne IPv4 zu verwenden. Sie sollten jedoch Dual-Stack aus den folgenden Gründen ausführen: (a) wenn Sie Software (b) entwickeln, um Ihr Netzwerk auf die unvermeidliche Migration zu IPv6 vorzubereiten. Wenn Sie Situation A sind, dann sollten Sie jetzt handeln, wenn es B ist, dann haben Sie nach meiner Schätzung ungefähr 1-2 Jahre Zeit, darüber nachzudenken (aber je eher Sie anfangen, desto besser werden Sie vorbereitet sein).

Meine Situation ist A und wir laufen seit 6 Monaten Dual-Stack. Während dieser Zeit haben wir einige Probleme mit unserem öffentlichen / privaten DNS, Adressvergabe, DHCP, Routing, Firewalling identifiziert und gelöst und konnten viele dieser Probleme nicht vorhersehen, ohne es zu versuchen. Jetzt sind wir vollständig IPv6-fähig und wir haben sogar IPv6-öffentlichen Zugang über Tunneling. Aus meiner Erfahrung kann ich mit Zuversicht sagen, dass IPv6 eine viel einfachere und elegantere Lösung im Vergleich zu älterem IPv4 ist, also werde ich sehr glücklich sein, wenn die Zeit für den Wechsel zu IPv6 kommt, aber bevor diese Zeit kommt - Dual-Stack ist der Weg gehen.


5
2018-06-15 03:46





Wenn ich für ein kleines Unternehmen arbeite, kann ich nur an Gründe denken, IPv6 nicht zu benutzen.

  • Wir haben nicht einmal eine öffentliche IPv6-Adresse, also warum um alles in der Welt würden wir es intern betreiben?
  • Wir müssten unsere Firewall ersetzen, die ich sehr liebe, da sie IPv6 (noch) nicht unterstützt
  • Wir haben keine Möglichkeit, IPv6-Adressen zuzuordnen, geschweige denn zu steuern
  • Nur die Hälfte unserer PCs unterstützt IPv6
  • Keines unserer Herstellungswerke unterstützt IPv6
  • Unsere Switches unterstützen kein IPv6
  • Ich habe noch nie einen Drucker gesehen, der IPv6 unterstützt
  • IPv6 ist von der Kommandozeile aus viel schwieriger zu benutzen - ein wichtiger Punkt für mich
  • Ich müsste IPv6 auf den neuesten Stand bringen - schwer zu tun, wenn ich nicht interessiert bin
  • ... und eine ganze Reihe anderer Gründe, an die ich gerade nicht denken kann

Es macht einfach keinen Sinn, dass ein Unternehmen wie wir die Änderung vornimmt, da es einen beträchtlichen Aufwand und Aufwand mit sich bringen würde, ohne dass wir davon profitieren könnten.

Ehrlich gesagt, mag ich NAT und die Vorteile, die sich aus dem Umgang mit lokalen Adressen ergeben. Wenn es jemals wird notwendig (im Gegensatz zu einem Geek Will-to-Do) für uns, mit IPv6 im Internet zu interagieren, werden wir dies am Gateway tun.

Ich erwarte nicht, dass diese aktuelle IPv6-Mode für mindestens zehn Jahre zu einer Notwendigkeit für die große Mehrheit der Welt werden wird. Da ich bis dahin pensioniert bin, gibt es für mich persönlich keinen großen Anreiz, Zeit und Mühe damit zu verschwenden.

Bearbeiten:

Ich bekomme Downvotes, aber keine logische und vernünftige gegenteilige Ansicht. Ich denke, es ist nur ein Haufen tollkühner Geeks, die dem Trend folgen wollen, ohne darüber nachzudenken. Es muss einen Grund geben, solch eine drastische Änderung an einem Netzwerk vorzunehmen, und ich habe keins. Außerdem habe ich den starken Verdacht, dass nur wenige SF-Benutzer einen haben.


4
2018-06-15 00:15



1. Fragen Sie Ihren ISP nach einer Zuweisung. Im Gegensatz zu IPv4 können Sie nicht einfach einen Block anfordern. Sie müssen die Fähigkeit haben, X Menge von ihnen innerhalb von 6 Monaten zu verbrauchen. - Brian
3. Sie ordnen zu, indem Sie Ihren Router mit einer IPv6-Adresse einrichten und die Maschinen sich selbst konfigurieren lassen. (oder Setup Dhcp6) - Brian
4. Windows XP SP2 unterstützt IPv6. 6. Schalter sprechen IP nicht. Sie sprechen Ebene 2. Sie funktionieren gut mit IPv6 Ich habe IPV6 über einige 2001 3com-Switches ausgeführt. Sie müssen möglicherweise noch ipv4 unterstützen, um zur Verwaltung einiger von ihnen zu gelangen. Jeder HP Drucker mit einer Jetdirect-Karte, der in den letzten 5 Jahren verkauft wurde (oder mehr ist), unterstützt IPv6 - Brian
"Unsere Switches unterstützen kein IPv6". Kein Problem. "Ich habe noch nie einen Drucker gesehen, der IPv6 unterstützt" Ich tue es, es ist 6 Jahre alt und sitzt neben mir. (Ein billiger Dell Laser). "Ich müsste IPv6 vollständig auf den neuesten Stand bringen - schwer zu tun, wenn ich nicht interessiert bin." Aye. Hier stimme ich zu. Etwas Neues zu lernen ist schwer. Aber der einzige zu sein, der es versteht (und du wirst es in ein paar Jahren brauchen) ist ein ziemlicher Vorteil. - Hennes
@Hennes, alles, was bereits besprochen wurde und soweit ich es beurteilen kann, werde ich IPv6 nicht für den Rest meines Arbeitslebens brauchen und ich werde es nie zu Hause brauchen. Iow, für mich gibt es absolut keinen Anreiz, eine Technologie zu erlernen, für die es in diesem Teil der Welt zumindest keine Notwendigkeit gibt und in absehbarer Zeit auch nicht geben wird. Ich stimme nicht zu, dass etwas Neues lernen schwierig ist. Das tue ich jeden Tag meines Lebens und erwarte, dass ich so weitermache, bis ich von der Stange gefallen bin. - John Gardeniers


Abgesehen vom größeren Adressraum, dem Fehlen von Broadcast, IPSec und einfacherer Autokonfiguration gibt es einige "nicht so bekannte" Vorteile von IPv6:

  1. Größerer Adressraum bedeutet, dass die Adresse mehr Bits hat, die als Datenspeicher verwendet werden können. Zum Beispiel kann die Sprunganzahl zwischen zwei Knoten dann eine Funktion ihrer IPv6-Adressen sein, z.B.
    IPv6-Adresse kann im Format sein PREFIX:Country&Region:DC&Line:Rack&Unit:VM&ID also nähere Knoten werden mehr Most-Significant-Bits haben. Dies ist nur ein Beispiel, natürlich könnten "Nähe" -Messwerte in einer Art externer Datenbank wie DNS gespeichert werden TXT|SRV Aufzeichnungen.

  2. Es gibt einige Techniken zur Verwendung des Adressraums von IPv6 für kryptografische Zwecke, wie z. B. kryptographisch erzeugte Adressen (CGA) und senden (SEcure Neighbor Discovery) 

  3. Wenn IPv6 aktiviert ist, haben alle Knoten im Netzwerk eine verbindungslokale IPv6-Adresse (falls nicht anders konfiguriert). Es besteht also die Möglichkeit, dass Sie auch auf falsch konfigurierte Knoten zugreifen können.

  4. Sie können die MAC-Adressen von Knoten direkt von der verbindungslokalen IPv6-Adresse erhalten (wenn IPv6-Datenschutzerweiterungen sind nicht konfiguriert)

  5. Es gibt keine Möglichkeit, IPv4 in Subnetzen mit Tausenden von Knoten zu verwenden - Ihr Netzwerk wird mit Broadcast-Datenverkehr (z. B. ARP) überlastet.

  6. Sie können Knoten mit zusätzlichen Informationen abfragen Knoteninformationen, z.B. In BSD können Sie den Host nach ICMPv6 Knotenknotenadressen abfragen:

$ ping6 -a Aacgsl ::1

PING6(72=40+8+24 bytes) ::1 --> ::1
136 bytes from ::1: 
  fe80::beae:c5ff:fe43:44a(TTL=infty)
  fe80::beae:c5ff:fe43:212(TTL=infty)
  ::1(TTL=infty)
  fe80::1(TTL=infty)
  2a02::9222(TTL=infty)

4
2018-06-13 20:27





Ich kann mir zwei Gründe vorstellen, IPv6 für einen internen Host zu verwenden.

  1. Sie werden in Zukunft feststellen, dass dieser Host nun zumindest an bestimmten Ports extern verfügbar sein muss.

  2. Möglicherweise stellen Sie fest, dass dieser Host eine Verbindung zu einem anderen Host herstellen muss, der dieselbe interne Adresse ausgewählt hat. Zum Beispiel müssen Sie eine Verbindung zu 10.0.0.5 bei Acme Corporation herstellen und Ihre eigene Adresse bei Emca Corporation ist auch 10.0.0.5. Ich erinnere mich, dass dies bei einem früheren Job passiert ist, wir hatten beide die gleichen internen Adressen verwendet.

Ich würde sagen, dass in der modernen Welt die meisten Computer nicht zu 100% intern sind. Die meisten Desktops können begrenzte Verbindungen zur Außenwelt herstellen oder umgekehrt.


2
2018-05-27 14:21