แน่นอนฉันตระหนักถึงความจำเป็นที่จะต้องไปที่ IPv6 บนอินเทอร์เน็ตเปิดเนื่องจากเราไม่มีที่อยู่ แต่ฉันไม่เข้าใจจริงๆว่าทำไมมีความจำเป็นต้องใช้มันในเครือข่ายภายใน ฉันได้ทำศูนย์กับ IPv6 แล้วดังนั้นฉันจึงสงสัยว่า: ไฟร์วอลล์สมัยใหม่จะไม่ทำ NAT ระหว่างที่อยู่ IPv4 ภายในและที่อยู่ IPv6 ภายนอกหรือไม่
ฉันเพิ่งสงสัยว่าตั้งแต่ฉันเห็นคนจำนวนมากที่ต้องดิ้นรนกับคำถาม IPv6 ที่นี่และสงสัยว่าทำไมต้องกังวล
คำตอบ:
ไม่มี NAT สำหรับ IPv6 (อย่างที่คุณคิดว่า NAT อยู่แล้ว) NAT เป็นโซลูชันชั่วคราว $ $ ที่สามารถเรียกใช้กับ IPv4 ที่อยู่ไม่เพียงพอ (ปัญหาที่ไม่มีอยู่จริงและได้รับการแก้ไขก่อนที่ NAT จะมีความจำเป็น แต่ประวัติคือ 20/20) มันไม่มีอะไรเพิ่มนอกจากความซับซ้อนและจะทำเพียงเล็กน้อยทำให้เกิดอาการปวดหัวใน IPv6 (เรามีที่อยู่ IPv6 มากมายที่เราเสียไปโดยไม่ได้ตั้งใจ) NAT66 มีอยู่และตั้งใจจะลดจำนวนที่อยู่ IPv6 ที่ใช้โดยแต่ละโฮสต์ (เป็นเรื่องปกติสำหรับโฮสต์ IPv6 ที่มีหลายที่อยู่ IPv6 ค่อนข้างแตกต่างจาก IPv4 ในหลาย ๆ วิธีนี่คือที่เดียว)
อินเทอร์เน็ตนั้นควรจะเป็นเส้นทางจากต้นทางถึงปลายทางซึ่งเป็นส่วนหนึ่งของเหตุผลในการคิดค้น IPv4 และทำไมมันถึงได้รับการยอมรับ ไม่ได้บอกว่าที่อยู่ทั้งหมดบนอินเทอร์เน็ตควรจะเข้าถึงได้ NAT แบ่งทั้งสองอย่าง ไฟร์วอลล์เพิ่มระดับความปลอดภัยโดยการทำลายการเข้าถึง แต่โดยปกติแล้วจะมีค่าใช้จ่ายในการกำหนดเส้นทาง
คุณจะต้องการ IPv6 ในเครือข่ายของคุณเนื่องจากไม่มีวิธีระบุปลายทาง IPv6 ด้วยที่อยู่ IPv4 อีกวิธีหนึ่งทำงานได้ซึ่งช่วยให้เครือข่าย IPv6 เท่านั้นที่ใช้ DNS64 และ NAT64 สามารถเข้าถึงอินเทอร์เน็ต IPv4 ได้ วันนี้เป็นไปได้จริง ๆ ที่จะรวม IPv4 เข้าด้วยกันแม้ว่าจะเป็นเรื่องยุ่งยากเล็กน้อยในการตั้งค่า เป็นไปได้ที่จะใช้พร็อกซีจากที่อยู่ภายใน IPv4 ไปยังเซิร์ฟเวอร์ IPv6 การเพิ่มและกำหนดค่าพร็อกซีเซิร์ฟเวอร์เพิ่มการกำหนดค่าฮาร์ดแวร์และค่าบำรุงรักษาให้กับเครือข่าย มักจะมากกว่าเพียงแค่เปิดใช้งาน IPv6
NAT ทำให้เกิดปัญหาของตัวเองเช่นกัน เราเตอร์จะต้องมีความสามารถในการประสานงานทุกการเชื่อมต่อที่ทำงานผ่านการติดตามจุดสิ้นสุดพอร์ตหมดเวลาและอื่น ๆ การรับส่งข้อมูลทั้งหมดนั้นถูกส่งผ่านช่องทางผ่านจุดเดียวโดยปกติ แม้ว่าจะเป็นไปได้ที่จะสร้างเราเตอร์ NAT ซ้ำซ้อน แต่เทคโนโลยีมีความซับซ้อนอย่างมากและมีราคาแพงโดยทั่วไป เราเตอร์ที่เรียบง่ายซ้ำซ้อนนั้นง่ายและราคาถูก (เมื่อเปรียบเทียบ) นอกจากนี้ในการสร้างความสามารถในการกำหนดเส้นทางใหม่บางครั้งต้องมีการสร้างกฎการส่งต่อและการแปลบนระบบ NAT ยังคงแบ่งโปรโตคอลที่ฝังที่อยู่ IP เช่น SIP UPNP, STUN และโปรโตคอลอื่น ๆ ได้รับการคิดค้นขึ้นเพื่อช่วยแก้ไขปัญหานี้เช่นกัน - ความซับซ้อนมากขึ้นการบำรุงรักษาที่มากขึ้นและสิ่งที่ผิดพลาดมากขึ้น
การเรียกใช้ที่อยู่ ipv4 ภายใน (rfc1918) นั้นอาจเป็นเหตุผลที่ถูกต้องในการไปที่ ipv6
Comcast อธิบายที่ Nanog37ว่าทำไมพวกเขาถึง ipv6 สำหรับที่อยู่การจัดการ
20 Million video customer
x 2.5 STB/customer
x 2 ip addresses/STB
--------------------
= 100 Millions IP addresses
และนี่เป็นเพียงวิดีโอไม่ใช่ข้อมูล / โมเด็ม
พวกเขาหมดสระว่ายน้ำ RFC1918 ในปี 2005 จากนั้นพวกเขาใช้สระว่ายน้ำที่อยู่ของประชาชน (ตามที่นัทไม่ได้เป็นตัวเลือกสำหรับการจัดการ) และไป IPv6 เพื่อแก้ปัญหาความต้องการของพวกเขา
เหตุผลสองประการ:
IPv6 ไม่รองรับการออกอากาศ มันถูกแทนที่ด้วย multicasting การกระจายสัญญาณทำให้หนึ่งโหนดสามารถส่งทราฟฟิกไปยังโหนดทั้งหมดบนซับเน็ต การจัดการโดเมนออกอากาศเป็นปัญหาสำคัญที่ทำให้เครือข่าย IPv4 ขนาดใหญ่ทำงานได้อย่างรวดเร็วและราบรื่น Multicasting ต้องการโหนดที่ต้องการรับ "Broadcast" - สไตล์จริง ๆ "สมัครใช้งาน" เพื่อให้เครือข่ายไม่ได้รับการรับส่งข้อมูลที่กระทบโฮสต์ทั้งหมด
IPv6 รองรับการเข้ารหัสสไตล์ IPsec โดยกำเนิด
IPv6 รองรับการกำหนดค่าอัตโนมัติ เป็นไปได้สำหรับโฮสต์ที่อยู่เบื้องหลังเราเตอร์เพื่อกำหนดค่าตัวเองโดยไม่จำเป็นต้องใช้ DHCP ถึงแม้ว่าคุณยังต้องการเซิร์ฟเวอร์ DHCP เพื่อแจกแจงตัวเลือก DHCP เช่นเซิร์ฟเวอร์ DNS, เซิร์ฟเวอร์ TFTP เป็นต้น
งานเก่าของฉันที่มหาวิทยาลัยขนาดใหญ่จะใช้การจัดสรร IPv6 ภายใน พวกเขาได้รับมอบหมาย IPv4 / 16 ย้อนกลับไปในวันนี้และแม้กระทั่งวันนี้จะผ่านที่อยู่ IPv4 ให้กับลูกค้าภายในเกือบทุก เครือข่าย RFC1918 ถูก จำกัด เฉพาะเครือข่ายโทรคมนาคมเท่านั้นและการใช้งานเฉพาะบางอย่าง (มาตรฐาน PCI ต้องการการใช้งาน RFC1918 จนถึงเดือนตุลาคม 2010)
ด้วยเหตุนี้พวกเขาจึงวางแผนที่จะใช้ IPv6 ภายในเช่นกัน ยังคงมีปัญหาฮาร์ดแวร์บางอย่างที่ต้องดำเนินการสวิตช์ขอบไม่รองรับ v6 ได้ดีพอ แต่แกนก็พร้อม แนวคิดก็คือการได้รับการสนับสนุน v6 ที่จุดสิ้นสุดที่เปิดเผยต่อสาธารณชน (โอเค, การตอบสนองต่อสาธารณะ) ของเครือข่ายจะเกี่ยวข้องกับ 70% ของงานที่จะนำไปใช้กับทุกคนและอาจทำเพิ่ม 30% จบด้วยมัน
เมื่อใช้ชีวิตกับการจัดสรร IP สาธารณะมานานผู้คนของเราจึงได้ตระหนักถึงสุภาษิต: "เพียงเพราะมันเป็นสาธารณะไม่ได้หมายความว่ามันสามารถเข้าถึงได้" ดังที่ Chris S บอกไว้ว่าเส้นทางที่ใช้ประจำนั้นไม่สามารถเข้าถึงได้
นั่นคือเหตุผลที่องค์กรอย่างน้อยหนึ่งคลาสจะปรับใช้ IPv6 ภายใน: เนื่องจากพวกเขาใช้ non-RFC1918 IPv4 ภายในอยู่แล้ว
IPv6 เสนอการปรับปรุงที่เป็นไปได้ในโลกแห่งความเป็นจริงมากกว่า IPv4 เช่นการกำหนดค่าอัตโนมัติที่ง่ายขึ้นและกลไกการค้นพบอัตโนมัตินอกจากนี้ยังปลอดภัยกว่าในแง่ที่ว่ามัลแวร์ไม่สามารถจำลองแบบทั่วทั้งเครือข่ายได้ - มี IP มากเกินไป แต่การปรับปรุงเหล่านั้นไม่ได้น่าทึ่งเป็นพิเศษและไม่คุ้มกับต้นทุนการเปลี่ยน
แต่โปรดทราบว่ามันไม่ใช่การตัดสินใจหรือคุณสามารถรันทั้งคู่ขนานและหากคุณพัฒนาซอฟต์แวร์คุณอาจต้องพูดถึงคนจำนวนมากเพื่อการทดสอบ ไม่มีวิธีที่เชื่อถือได้ในการทำโปรแกรมที่รองรับ IPv6 โดยไม่ต้องมีโครงสร้างพื้นฐาน IPv6 ภายในเพื่อทดสอบ ระบบปฏิบัติการที่ทันสมัยส่วนใหญ่จะตั้งค่าเครือข่าย IPv6 ภายในโดยอัตโนมัติระหว่างกัน - เป็นเพียงเรื่องของการใช้งาน
10 ปีที่แล้วฉันได้สร้างซอฟต์แวร์เล็กน้อยสำหรับลูกค้าที่เป็นนายจ้างใช้เพื่อดึงข้อมูลอัปเดตโปรแกรม เมื่อสร้างองค์ประกอบเครือข่ายฉันต้องตัดสินใจระหว่างการสร้างความเข้ากันได้ของ IPv6 หรือเพียงแค่สมมติว่าที่อยู่ IP ทั้งหมดจะเป็น 4 ไบต์ ฉันตัดสินใจที่จะใช้เส้นทางที่เรียบง่ายช่วยตัวเองให้ทำงานประมาณ 4 ชั่วโมงและทำให้แอปพลิเคชั่นเป็น IPv4 เท่านั้น ฉันคิดว่ามันจะถูกแทนที่ในไม่กี่ปีต่อไป พวกเขายังคงใช้มันในวันนี้และถูกขังอยู่ในตลาดเล็ก ๆ
การทำงานกับ บริษัท เล็ก ๆ ฉันคิดได้แค่เหตุผลที่จะไม่ใช้ IPv6
มันไม่สมเหตุสมผลสำหรับ บริษัท อย่างพวกเราที่จะทำการเปลี่ยนแปลงเพราะมันต้องใช้จ่ายและความพยายามอย่างมากโดยไม่มีอะไรจะได้รับจากมันเลย
ค่อนข้างตรงไปตรงมาฉันชอบ NAT และประโยชน์ที่เราได้รับจากการจัดการกับที่อยู่ในท้องถิ่น ถ้าหากจำเป็น (แทนที่จะเป็นสิ่งที่เกินความต้องการ) เพื่อให้เราสามารถโต้ตอบกับ IPv6 บนอินเทอร์เน็ตเราจะดำเนินการดังกล่าวที่เกตเวย์
ฉันไม่ได้คาดหวังว่า IPv6 ปัจจุบันนี้จะกลายเป็นสิ่งจำเป็นสำหรับส่วนใหญ่ของโลกอย่างน้อยก็ภายในอย่างน้อยหนึ่งทศวรรษหรือมากกว่านั้น ตามที่ฉันคาดว่าจะได้รับการเกษียณอายุในตอนนั้นไม่มีแรงจูงใจมากมายเหลือเกินสำหรับฉันที่จะเสียเวลาและความพยายามกับมัน
แก้ไข:
ฉันกำลังลงคะแนน แต่ไม่ใช่มุมมองเชิงตรรกะและสมเหตุสมผลที่เป็นมุมมองเดียว ทำให้ฉันคิดว่ามันเป็นเพียงแค่กลุ่มของนักกระโดดกระโดดกระโดดแบนราบที่ต้องการติดตามแนวโน้มโดยไม่ต้องคิดถึงมัน จะต้องมีเหตุผลเพื่อให้การเปลี่ยนแปลงที่รุนแรงในเครือข่ายและฉันไม่ได้มีหนึ่ง นอกจากนี้ฉันสงสัยอย่างยิ่งว่ามีผู้ใช้ SF เพียงไม่กี่คนเท่านั้นที่มีหนึ่ง
เรากำลังพูดถึงสองสิ่งที่นี่ - การใช้เครือข่ายภายในกับ pure IPv6 หรือการเรียกใช้ dual-stack IPv4 / IPv6 ฉันคิดว่ามันเร็วเกินไปที่จะพูดคุยเกี่ยวกับการใช้งาน IPv6 ล้วน ๆ - บนระบบปฏิบัติการหลายระบบมันเป็นไปไม่ได้แม้แต่ที่จะใช้ IPv6 ที่ไม่มี IPv4 อย่างไรก็ตามคุณอาจพิจารณาใช้ dual-stack ด้วยเหตุผลต่อไปนี้ (a) ถ้าคุณพัฒนาซอฟต์แวร์ (b) เพื่อเตรียมเครือข่ายของคุณสำหรับการโยกย้ายไปยัง IPv6 ที่หลีกเลี่ยงไม่ได้ ถ้าสถานการณ์ของคุณคือ A คุณควรลงมือทันทีถ้าเป็น B ถ้างั้นคุณก็มีเวลาประมาณ 1-2 ปีในการคิด (แต่ยิ่งคุณเริ่มเตรียมตัวเร็วเท่าไหร่คุณก็จะพร้อม)
สถานการณ์ของฉันคือ A และเรากำลังเรียกใช้ดูอัลสแต็คเป็นเวลา 6 เดือนแล้ว ในช่วงเวลานี้เราระบุและแก้ไขปัญหาบางอย่างกับ DNS สาธารณะ / ส่วนตัวการจัดสรรที่อยู่ DHCP การกำหนดเส้นทางไฟร์วอลล์และเราไม่สามารถคาดการณ์ปัญหาเหล่านี้ได้โดยไม่ต้องลอง ตอนนี้เราพร้อมใช้งาน IPv6 อย่างเต็มที่แล้วและเรายังสามารถเข้าถึง IPv6 สาธารณะได้โดยผ่านการขุดอุโมงค์ จากประสบการณ์ของฉันฉันสามารถพูดได้ด้วยความมั่นใจว่า IPv6 เป็นวิธีที่ง่ายกว่าและสวยงามกว่าเมื่อเปรียบเทียบกับอายุของ IPv4 ดังนั้นฉันจะมีความสุขมากเมื่อถึงเวลาเปลี่ยนเป็น IPv6 แต่ก่อนเวลานี้มาถึง ไป.
นอกเหนือจากพื้นที่ที่อยู่ลาเกอร์, การขาดการออกอากาศ, IPSec และการกำหนดค่าอัตโนมัติที่ง่ายขึ้นมีข้อดีของ IPv6 ที่ "ไม่เป็นที่รู้จัก":
พื้นที่ที่อยู่ที่ใหญ่กว่าหมายถึงที่อยู่นั้นมีบิตมากกว่าที่สามารถใช้เป็นที่เก็บข้อมูลได้ ตัวอย่างเช่น hop-count ระหว่างสองโหนดจากนั้นสามารถทำงานของที่อยู่ IPv6 ของตนเช่น: ที่
อยู่ IPv6 สามารถอยู่ในรูปแบบPREFIX:Country&Region:DC&Line:Rack&Unit:VM&IDเพื่อให้โหนดที่อยู่ใกล้ยิ่งขึ้นจะมีบิตที่สำคัญที่สุดเหมือนกัน นี่เป็นเพียงตัวอย่างของการวัด "ความใกล้ชิด" แน่นอนสามารถเก็บไว้ในฐานข้อมูลภายนอกบางประเภทเช่นTXT|SRVระเบียน DNS
มีเทคนิคบางอย่างในการใช้พื้นที่ที่อยู่ของ IPv6 สำหรับวัตถุประสงค์ในการเข้ารหัสเช่น Cryptographically Generated Addresses ( CGA ) และ SEND (SEcure Neighbor Discovery)
เมื่อเปิดใช้งาน IPv6 โหนดทั้งหมดในเครือข่ายจะมีที่อยู่ IPv6 ในการเชื่อมโยงโลคัล (หากไม่ได้กำหนดค่าไว้เป็นอย่างอื่น) ดังนั้นจึงมีโอกาสที่คุณสามารถเข้าถึงได้แม้กระทั่งโหนดที่กำหนดค่าผิดพลาด
คุณสามารถรับที่อยู่ MAC ของโหนดได้โดยตรงจากที่อยู่ IPv6 ของ link-local (หากไม่ได้กำหนดค่าส่วนขยายความเป็นส่วนตัวของ IPv6 )
ไม่มีวิธีใดที่คุณสามารถใช้ IPv4 ในซับเน็ตที่มีหลายพันโหนด - เครือข่ายของคุณจะเต็มไปด้วยทราฟฟิกที่ออกอากาศ (เช่น ARP)
คุณสามารถสอบถามโหนดสำหรับข้อมูลเพิ่มเติมโดยใช้ข้อมูลโหนดเช่นใน BSD คุณสามารถสอบถามโฮสต์สำหรับ ICMPv6 ที่อยู่โหนดข้อมูลโหนด:
$ ping6 -a Aacgsl ::1
PING6(72=40+8+24 bytes) ::1 --> ::1
136 bytes from ::1:
fe80::beae:c5ff:fe43:44a(TTL=infty)
fe80::beae:c5ff:fe43:212(TTL=infty)
::1(TTL=infty)
fe80::1(TTL=infty)
2a02::9222(TTL=infty)
ฉันนึกถึงเหตุผลสองข้อในการใช้ IPv6 สำหรับโฮสต์ภายใน
คุณอาจพบในอนาคตว่าตอนนี้โฮสต์นี้จะต้องให้บริการอย่างน้อยภายนอกบนพอร์ตบางอย่าง
คุณอาจพบว่าโฮสต์นี้ต้องเชื่อมต่อกับโฮสต์อื่นที่ได้เลือกที่อยู่ภายในเดียวกัน ตัวอย่างเช่นคุณต้องเชื่อมต่อกับ 10.0.0.5 ที่ Acme corporation และที่อยู่ของคุณที่ Emca corporation นั้นก็เช่นกัน 10.0.0.5 ฉันจำได้ว่าสิ่งนี้เกิดขึ้นที่งานก่อนหน้าเราทั้งคู่ใช้ที่อยู่ภายในเดียวกัน
ฉันจะบอกว่าในโลกสมัยใหม่คอมพิวเตอร์ส่วนใหญ่ไม่ได้อยู่ภายใน 100% เดสก์ท็อปส่วนใหญ่สามารถทำการเชื่อมต่อที่ จำกัด กับโลกภายนอกหรือในทางกลับกัน
เหตุผลเดียวที่ดีในการไปใช้ IPv6 ภายในคือเตรียมพร้อมเมื่อโลกเปลี่ยนเป็น IPv6 และฉันคิดว่านั่นเป็นเหตุผลที่ไม่ดีเลยทีเดียวเนื่องจากอัตราการยอมรับ เนื่องจาก IP ภายในส่วนใหญ่จะไม่สามารถเข้าถึงได้จากภายนอกจึงไม่ใช่เรื่องใหญ่ที่จะแปลส่วนที่เหลือ
บริษัท ของฉันอาจจะไม่เปลี่ยนไปใช้ IPv6 ภายใน มันจะต้องมีการเปลี่ยนแปลงพื้นฐานในนโยบายขนาดใหญ่มากฉันไม่สามารถเข้าใจได้อย่างจริงใจว่ามันจะเกิดขึ้นได้อย่างไร ผู้คนจำนวนมากจะต้องถูกฆ่าและต้องเลือกตัวเลือกที่ไม่สามารถอธิบายได้มากมาย ในทำนองเดียวกันความพยายามใด ๆ โดยแต่ละหน่วยธุรกิจที่จะเปลี่ยนไปใช้ IPv6 บน LANs ของพวกเขาจะถูกแบนด้วยอคติโดยเจ้านายเครือข่ายขององค์กรขึ้นอยู่กับการทำงานร่วมกันและความกังวล maintainablity (เราช่วยให้จำนวนมากของงานที่คั่งค้างอยู่ภายในเครื่อง แต่ไม่ว่ามาก.)
โดยทั่วไปหากการเปลี่ยนไปใช้ IPv6 ไม่เจ็บปวดเราต้องทำมันเมื่อหลายปีก่อน
IPv4 ตั้งใจให้อุปกรณ์ทุกตัวเชื่อมต่อโดยตรงบนอินเทอร์เน็ต ... จนกว่าเราจะหมดพื้นที่ที่อยู่ จากนั้นเราใช้เวลาตลอด 20 ปีที่ผ่านมาล็อคมันทั้งหมด ตอนนี้ IPv6 โดยการออกแบบต้องการอีกครั้งวางทุกอุปกรณ์โดยตรงบนอินเทอร์เน็ต ... ผลลัพธ์จะเหมือนกัน ฉันเห็นด้วยอย่างยิ่งว่า NAT เป็นชั้นความปลอดภัยหนึ่งที่จะไม่ถูกยกเลิกโดยไม่มีประสิทธิภาพเท่ากันหรือดีกว่าแทนที่
น่าเสียดายที่มีข้อมูลที่ไม่ดีมากมายในคำตอบและความคิดเห็นเหล่านี้ส่วนใหญ่ มันเป็นเรื่องน่าเศร้าที่เห็นคนตาบอดนำคนตาบอดมาด้วยวิธีนี้อย่างอุดมสมบูรณ์
NAT ไม่ได้ไปทุกที่และผู้คนที่บอกคุณว่า "โอ้ NAT นั้นช่างเป็นสิ่งที่แย่มาก" ... "โอ้ NAT นั้นมันไม่มีอะไรเลยนอกจากการทำงานรอบ ๆ " ... ad nasueum หากพวกเขาเริ่มใช้ภาษาเช่น ไปที่สถาปนิกเครือข่ายมืออาชีพที่แท้จริงเพื่อขอคำแนะนำไม่ใช่นักรบเครือข่ายเก้าอี้ช่วงสุดสัปดาห์
คุณต้องการโหลดทราฟฟิกยอดคงเหลือไปยังเซิร์ฟเวอร์ภายในจากอินเทอร์เน็ตหรือไม่ ทีนี้ลองเดาดูสิว่าด้วย IPv6 คุณไม่สามารถทำได้ในแบบที่คุณทำ .... เว้นแต่คุณจะใช้ NAT!
ใช่มันเป็นความจริง บางคนจะบอกว่าคุณแค่ใช้ DSR / Direct server return load balancing แต่พวกเขาลืมที่จะบอกคุณว่าคุณต้องยอมแพ้ 1) การแทรกคุกกี้ 2) การเร่งความเร็วแอพพลิเคชัน 3) การแปลที่อยู่พอร์ต
ดังนั้นหากคุณต้องการเรียกใช้เซิร์ฟเวอร์ภายในของคุณบนพอร์ต 8080 แต่ภายนอกของคุณบนพอร์ต 80 ... โอ้เศร้าเหลือเกินไม่สามารถทำกับ IPv6 .... เว้นแต่ว่าคุณกำลังใช้ NAT NAT ที่ดี! ไม่แม้แต่กับ DSR
จากนั้นเพิ่มไปที่ "โอ้อวด" ที่ผู้คนพูดว่า "โอใช่ข้อเสนอ IPv6 NAT ทั้งหมดล้มเหลว ... ขอบคุณพระเจ้า" (และจักรวรรดิก็ตายเพราะเสียงปรบมือ) คุณรู้ไหมว่ามันหมายถึงอะไร? NAT จะแย่มากหากใช้งานได้กับ IPv6 เพราะความกระตือรือร้นของ IPv6 ทั้งหมดปฏิเสธความต้องการ NAT / PAT อย่างแท้จริงและผู้คนที่ทำมันก็ทำอย่างไม่เต็มใจ เศร้ามากจัดการไม่ดี
ดังนั้นคุณจะทำอย่างไรในตอนนี้ความจริงทำให้คุณเป็นอิสระและคุณสามารถก้าวขึ้นไปเหนือฝูงชนที่พยายามใช้กลเม็ดกลยุทธ์เพื่อบังคับให้คุณทำตาม?
คุณซื้อหรือใช้งาน Loadbalancer หรือไฟร์วอลล์ต่อที่ทำหน้าที่เป็นเครือข่ายสาธารณะ / ส่วนตัวของเครือข่ายของคุณ อินเทอร์เฟซด้านสาธารณะเป็นโฮสต์วีไอพีเดียวกันกับที่คุณมีอยู่แล้ว แต่ใช้ที่อยู่ IPv6 ซึ่งเป็นคำชมหากคุณต้องการ ทุกอย่างทางตอนเหนือของเลเยอร์ Loadbalancer / ไฟร์วอลล์ก็เป็น IPv4 คู่ / IPv6 ในอินเทอร์เฟซภายในของ Loadbalancer / ไฟร์วอลล์นั้นเป็น IPv4 ทั้งหมดและเครือข่ายภายในทั้งหมดของคุณคือ IPv4 และมันยังคงอยู่ในแบบนั้นตราบเท่าที่คุณต้องการ มันเป็นเพียงธุรกิจของคุณ ตัวโหลดบาลานซ์ทำ NAT / PAT ระหว่างภายนอกและภายใน ... เพราะมันอยู่แล้วและจำเป็นต้องมีการทำโหลดบาลานซ์ที่มีคุณสมบัติครบถ้วนและเพราะตอนนี้มันยังแก้ปัญหา IPv6 ภายนอกของคุณได้ด้วย
โอ้และผู้ประชดที่ถามว่า "NAT มีจุดประสงค์เพื่อความปลอดภัยเพียงใด"
ความปลอดภัยเป็นเรื่องของความพร้อมใช้งานในระดับพื้นฐานที่สุด คิดเกี่ยวกับมันก่อนที่คุณจะยกเลิก
ตัวโหลดบาลานซ์จัดเตรียมความพร้อมใช้งาน / ความปลอดภัยและคุณต้องใช้ NAT / PAT เพื่อทำอย่างถูกต้องโดยไม่คำนึงถึงเวอร์ชันของ IP ที่คุณใช้
การอ้างอิงเกี่ยวกับ DSR ล้มเหลว: https://devcentral.f5.com/articles/the-disadvantages-of-dsr-direct-server-return
k ขอบคุณ
ไม่ใช่ความคิดที่ดีที่จะใช้ IPv6 บนเครือข่ายภายในเนื่องจากอุปกรณ์รุ่นเก่าจำนวนมากไม่สามารถสื่อสารได้ เครื่องพิมพ์เครื่องถ่ายเอกสารเก่า / มัลติฟังก์ชั่นอุปกรณ์การแพทย์เครื่องพิมพ์เก่าเซิร์ฟเวอร์เก่าและอุปกรณ์เครือข่าย รูปแบบ IPv4 นั้นจัดการได้ง่ายกว่ามาก
คำตอบที่ยอมรับนั้นทำให้เข้าใจผิด
แนวคิดของ Chris S ใน NAT นั้นผิดพลาด หนึ่งในคุณสมบัติที่ดีที่สุดของ NAT นอกเหนือจากการขยายตัวของสคีมา IPv4 คือความปลอดภัย NAT คือเลเยอร์ที่ซ่อน IP จริงของโฮสต์ที่หากเชื่อมต่อโดยตรงกับอินเทอร์เน็ตสามารถเป็นเป้าหมายของการโจมตีทั้งหมดเท่าที่จะเป็นไปได้ การพูดอย่างมีความสุขเกี่ยวกับการกำจัด NAT โดยไม่สนับสนุนมาตรการรักษาความปลอดภัยเพิ่มเติมเป็นเพียงแค่ความไม่รู้ธรรมดาในหัวข้อ