ทำไมคุณถึงต้องใช้ IPv6 ภายใน


50

แน่นอนฉันตระหนักถึงความจำเป็นที่จะต้องไปที่ IPv6 บนอินเทอร์เน็ตเปิดเนื่องจากเราไม่มีที่อยู่ แต่ฉันไม่เข้าใจจริงๆว่าทำไมมีความจำเป็นต้องใช้มันในเครือข่ายภายใน ฉันได้ทำศูนย์กับ IPv6 แล้วดังนั้นฉันจึงสงสัยว่า: ไฟร์วอลล์สมัยใหม่จะไม่ทำ NAT ระหว่างที่อยู่ IPv4 ภายในและที่อยู่ IPv6 ภายนอกหรือไม่

ฉันเพิ่งสงสัยว่าตั้งแต่ฉันเห็นคนจำนวนมากที่ต้องดิ้นรนกับคำถาม IPv6 ที่นี่และสงสัยว่าทำไมต้องกังวล

คำตอบ:


55

ไม่มี NAT สำหรับ IPv6 (อย่างที่คุณคิดว่า NAT อยู่แล้ว) NAT เป็นโซลูชันชั่วคราว $ $ ที่สามารถเรียกใช้กับ IPv4 ที่อยู่ไม่เพียงพอ (ปัญหาที่ไม่มีอยู่จริงและได้รับการแก้ไขก่อนที่ NAT จะมีความจำเป็น แต่ประวัติคือ 20/20) มันไม่มีอะไรเพิ่มนอกจากความซับซ้อนและจะทำเพียงเล็กน้อยทำให้เกิดอาการปวดหัวใน IPv6 (เรามีที่อยู่ IPv6 มากมายที่เราเสียไปโดยไม่ได้ตั้งใจ) NAT66 มีอยู่และตั้งใจจะลดจำนวนที่อยู่ IPv6 ที่ใช้โดยแต่ละโฮสต์ (เป็นเรื่องปกติสำหรับโฮสต์ IPv6 ที่มีหลายที่อยู่ IPv6 ค่อนข้างแตกต่างจาก IPv4 ในหลาย ๆ วิธีนี่คือที่เดียว)

อินเทอร์เน็ตนั้นควรจะเป็นเส้นทางจากต้นทางถึงปลายทางซึ่งเป็นส่วนหนึ่งของเหตุผลในการคิดค้น IPv4 และทำไมมันถึงได้รับการยอมรับ ไม่ได้บอกว่าที่อยู่ทั้งหมดบนอินเทอร์เน็ตควรจะเข้าถึงได้ NAT แบ่งทั้งสองอย่าง ไฟร์วอลล์เพิ่มระดับความปลอดภัยโดยการทำลายการเข้าถึง แต่โดยปกติแล้วจะมีค่าใช้จ่ายในการกำหนดเส้นทาง

คุณจะต้องการ IPv6 ในเครือข่ายของคุณเนื่องจากไม่มีวิธีระบุปลายทาง IPv6 ด้วยที่อยู่ IPv4 อีกวิธีหนึ่งทำงานได้ซึ่งช่วยให้เครือข่าย IPv6 เท่านั้นที่ใช้ DNS64 และ NAT64 สามารถเข้าถึงอินเทอร์เน็ต IPv4 ได้ วันนี้เป็นไปได้จริง ๆ ที่จะรวม IPv4 เข้าด้วยกันแม้ว่าจะเป็นเรื่องยุ่งยากเล็กน้อยในการตั้งค่า เป็นไปได้ที่จะใช้พร็อกซีจากที่อยู่ภายใน IPv4 ไปยังเซิร์ฟเวอร์ IPv6 การเพิ่มและกำหนดค่าพร็อกซีเซิร์ฟเวอร์เพิ่มการกำหนดค่าฮาร์ดแวร์และค่าบำรุงรักษาให้กับเครือข่าย มักจะมากกว่าเพียงแค่เปิดใช้งาน IPv6

NAT ทำให้เกิดปัญหาของตัวเองเช่นกัน เราเตอร์จะต้องมีความสามารถในการประสานงานทุกการเชื่อมต่อที่ทำงานผ่านการติดตามจุดสิ้นสุดพอร์ตหมดเวลาและอื่น ๆ การรับส่งข้อมูลทั้งหมดนั้นถูกส่งผ่านช่องทางผ่านจุดเดียวโดยปกติ แม้ว่าจะเป็นไปได้ที่จะสร้างเราเตอร์ NAT ซ้ำซ้อน แต่เทคโนโลยีมีความซับซ้อนอย่างมากและมีราคาแพงโดยทั่วไป เราเตอร์ที่เรียบง่ายซ้ำซ้อนนั้นง่ายและราคาถูก (เมื่อเปรียบเทียบ) นอกจากนี้ในการสร้างความสามารถในการกำหนดเส้นทางใหม่บางครั้งต้องมีการสร้างกฎการส่งต่อและการแปลบนระบบ NAT ยังคงแบ่งโปรโตคอลที่ฝังที่อยู่ IP เช่น SIP UPNP, STUN และโปรโตคอลอื่น ๆ ได้รับการคิดค้นขึ้นเพื่อช่วยแก้ไขปัญหานี้เช่นกัน - ความซับซ้อนมากขึ้นการบำรุงรักษาที่มากขึ้นและสิ่งที่ผิดพลาดมากขึ้น


29
เราเตอร์ที่ NAT กำลังทำงานอยู่คือสิ่งที่แยกเครือข่ายเราเตอร์นั้นจะยังคงแยกเครือข่ายไม่มีอะไรเปลี่ยนแปลงยกเว้นว่าเราเตอร์จะต้องตั้งโปรแกรมให้ถูกต้องสำหรับ IPv6 สามารถกำหนดเส้นทางได้ใช่ไม่จำเป็นต้องเข้าถึงได้ (กฎไฟร์วอลล์อาจปิดกั้นการรับส่งข้อมูลส่วนใหญ่)
Chris S

12
@ Tomtom: ใครก็ตามที่คิดว่าพวกเขาต้องการมันไม่ทราบว่าพวกเขาต้องการไฟร์วอลล์แทน ไม่มีปัญหาอย่างแท้จริงที่ NAT เป็นทางออกที่ดีที่สุดนอกเหนือจากปัญหาที่เกิดจากการขาดแคลนที่อยู่ ไม่มีความขาดแคลนในการระบุที่อยู่ใน IPv6 (ยัง!) มันอาจจะอยู่ในการพัฒนา แต่นั่นไม่ได้หมายความว่ามันไม่ใช่ความคิดที่โง่ :)
Growse

6
@JimB - เท่าที่ฉันทราบมีข้อเสนอ IPv6 NAT แตกต่างกันอย่างน้อย 4 ข้อที่ได้รับการพัฒนาและข้อเสนอทั้งหมดล้มเหลว เนื่องจากหน้านั้นเกือบ 3 ปีฉันจะเดาว่าตอนนี้มันก็ล้มเหลวด้วย
มาร์คเฮนเดอร์สัน

14
ฉันรู้ว่าสิ่งนี้จะทำให้เกิดความไม่พอใจดังนั้นฉันจึงต้องขอโทษล่วงหน้า แต่ถ้าคุณไม่ใช่พ่อครัวที่อยู่นอกครัว ผู้คนเข้าใจว่าพวกเขาทำงานด้วยรถยนต์ของตัวเองพวกเขาอาจทำลายบางสิ่งที่ทำให้โลกเสียหาย ... เช่นเดียวกันกับความปลอดภัยของคอมพิวเตอร์ถ้าคุณไม่รู้ว่าจะทำอย่างไรคุณก็จะทำอันตรายมากกว่าดี คุณมีประเด็นหนึ่งที่ NAT ทำให้การรักษาความปลอดภัยระดับหนึ่งง่ายขึ้น (โดยเฉพาะอย่างยิ่งและเกือบทั้งหมดว่าเครือข่ายภายในของคุณไม่สามารถกำหนดเส้นทางอินเทอร์เน็ตได้) แม้ในเราเตอร์ NAT ส่วนใหญ่ในวันนี้นี่เป็นเพียงการตั้งค่าเริ่มต้นและ "ความปลอดภัย" ที่มีให้โดย NAT สามารถปิดใช้งานได้
Chris S

8
อย่าเริ่มต้นพูดคำว่า 'ความปลอดภัย' โดยไม่ต้องมีการสนทนาที่สมเหตุสมผลเกี่ยวกับช่องโหว่และภัยคุกคาม NAT มีช่องโหว่อะไรที่เฉพาะเจาะจงในการป้องกัน? คุณกำลังพูดถึง 'การโจมตี' โดยเฉพาะอะไร พวกเขาเป็นการโจมตีแบบเดียวกันกับที่คนอื่น ๆ ในโลกมืออาชีพใช้กับไฟร์วอลไฟร์วอลล์หรือไม่? ถ้าเป็นเช่นนั้น NAT ก็ไม่ได้ซื้อคุณมากนัก
Growse

22

การเรียกใช้ที่อยู่ ipv4 ภายใน (rfc1918) นั้นอาจเป็นเหตุผลที่ถูกต้องในการไปที่ ipv6

Comcast อธิบายที่ Nanog37ว่าทำไมพวกเขาถึง ipv6 สำหรับที่อยู่การจัดการ

20 Million video customer
x 2.5 STB/customer
x 2 ip addresses/STB
--------------------  
= 100 Millions IP addresses

และนี่เป็นเพียงวิดีโอไม่ใช่ข้อมูล / โมเด็ม

พวกเขาหมดสระว่ายน้ำ RFC1918 ในปี 2005 จากนั้นพวกเขาใช้สระว่ายน้ำที่อยู่ของประชาชน (ตามที่นัทไม่ได้เป็นตัวเลือกสำหรับการจัดการ) และไป IPv6 เพื่อแก้ปัญหาความต้องการของพวกเขา


2
แล้วองค์กรที่ไม่ใช่ บริษัท ยักษ์ใหญ่ล่ะ?
Cypher

1
ดียังคงมีทุกคำตอบอื่น ๆ ;)
Petrus

ฉันไม่คิดว่า บริษัท ใดจะใช้มากกว่า 16,777,216 ภายใน ... แน่นอนสำหรับลูกค้าภายนอก ไม่มีใครโต้แย้งว่าเราต้องการที่อยู่ IP สาธารณะเพิ่มเติม
KCotreau

5
ฉันไม่ได้พูดถึงที่อยู่สาธารณะ / วัน wan ของเราเตอร์ แต่การจัดการที่อยู่ ip ในเคเบิลโมเด็มหรือกล่องรับสัญญาณ ดังนั้นใช่ Comcast และทุกผู้ให้บริการเคเบิลขนาดใหญ่ไม่จำเป็นต้องมากกว่า 2 ^ 24 IP @
petrus

14

เหตุผลสองประการ:

  • IPv6 ไม่รองรับการออกอากาศ มันถูกแทนที่ด้วย multicasting การกระจายสัญญาณทำให้หนึ่งโหนดสามารถส่งทราฟฟิกไปยังโหนดทั้งหมดบนซับเน็ต การจัดการโดเมนออกอากาศเป็นปัญหาสำคัญที่ทำให้เครือข่าย IPv4 ขนาดใหญ่ทำงานได้อย่างรวดเร็วและราบรื่น Multicasting ต้องการโหนดที่ต้องการรับ "Broadcast" - สไตล์จริง ๆ "สมัครใช้งาน" เพื่อให้เครือข่ายไม่ได้รับการรับส่งข้อมูลที่กระทบโฮสต์ทั้งหมด

  • IPv6 รองรับการเข้ารหัสสไตล์ IPsec โดยกำเนิด

  • IPv6 รองรับการกำหนดค่าอัตโนมัติ เป็นไปได้สำหรับโฮสต์ที่อยู่เบื้องหลังเราเตอร์เพื่อกำหนดค่าตัวเองโดยไม่จำเป็นต้องใช้ DHCP ถึงแม้ว่าคุณยังต้องการเซิร์ฟเวอร์ DHCP เพื่อแจกแจงตัวเลือก DHCP เช่นเซิร์ฟเวอร์ DNS, เซิร์ฟเวอร์ TFTP เป็นต้น


3
IPv6 ช่วยให้การกำหนดหมายเลขเครือข่ายย่อยทั้งหมดใหม่โดยไม่มีความซับซ้อน นอกจากนี้ยังช่วยให้การรวมเครือข่ายย่อย มันมีการควบคุมอย่างละเอียดอย่างไม่น่าเชื่อในการรับส่งข้อมูลแบบหลายผู้รับ ... มีเหตุผลมากขึ้น แต่มันก็เป็นไปตลอดกาลตั้งแต่ฉันเข้าเรียนหลักสูตร IPv6
Matthew

4
นี่คือตำนานที่เป็นที่นิยมทั้งหมดนี่คือข้อมูลที่มากขึ้นอีกเล็กน้อย: มัลติคาสต์ของ IPv6 เป็นสิ่งจำเป็นสำหรับการใช้งานขั้นพื้นฐาน: ตัวอย่างเช่นทำการ ping Broadcast ของ IPv4 เท่ากับคุณ ping6 ถึง FF02 :: 1 สำหรับโหนดปกติทั้งหมดและ FF02 :: 2 สำหรับเราเตอร์ทั้งหมด IPSec ของ IPv6 ไม่เปลี่ยนแปลงอะไรจาก IPv4 คุณไม่ได้รับความปลอดภัยใด ๆ ฟรี ยังคงต้องกำหนดค่าโหมดทั้งหมดและจัดการกับการกระจายคีย์ การกำหนดค่าอัตโนมัติของ IPv6 เป็นขยะที่สุด โดยค่าเริ่มต้นมันไม่ปลอดภัยเท่ากับ MAC <-> IPv4 และไม่ได้แจก DNS หากคุณต้องการ DNS คุณต้องติดตั้ง DHCPv6 ดังนั้นอย่าไปรับที่นั่น
Marcin

1
ฉันพิจารณาจุดที่ 3 ว่าเป็นจุดอ่อนของ ip6 คุณตรวจสอบกี่ครั้งเพื่อดูว่าเครื่องได้รับ IP เป็นส่วนหนึ่งของกระบวนการแก้ไขปัญหาหรือไม่ ส่วนนั้นก็ยากขึ้น
Joel Coel

13

งานเก่าของฉันที่มหาวิทยาลัยขนาดใหญ่จะใช้การจัดสรร IPv6 ภายใน พวกเขาได้รับมอบหมาย IPv4 / 16 ย้อนกลับไปในวันนี้และแม้กระทั่งวันนี้จะผ่านที่อยู่ IPv4 ให้กับลูกค้าภายในเกือบทุก เครือข่าย RFC1918 ถูก จำกัด เฉพาะเครือข่ายโทรคมนาคมเท่านั้นและการใช้งานเฉพาะบางอย่าง (มาตรฐาน PCI ต้องการการใช้งาน RFC1918 จนถึงเดือนตุลาคม 2010)

ด้วยเหตุนี้พวกเขาจึงวางแผนที่จะใช้ IPv6 ภายในเช่นกัน ยังคงมีปัญหาฮาร์ดแวร์บางอย่างที่ต้องดำเนินการสวิตช์ขอบไม่รองรับ v6 ได้ดีพอ แต่แกนก็พร้อม แนวคิดก็คือการได้รับการสนับสนุน v6 ที่จุดสิ้นสุดที่เปิดเผยต่อสาธารณชน (โอเค, การตอบสนองต่อสาธารณะ) ของเครือข่ายจะเกี่ยวข้องกับ 70% ของงานที่จะนำไปใช้กับทุกคนและอาจทำเพิ่ม 30% จบด้วยมัน

เมื่อใช้ชีวิตกับการจัดสรร IP สาธารณะมานานผู้คนของเราจึงได้ตระหนักถึงสุภาษิต: "เพียงเพราะมันเป็นสาธารณะไม่ได้หมายความว่ามันสามารถเข้าถึงได้" ดังที่ Chris S บอกไว้ว่าเส้นทางที่ใช้ประจำนั้นไม่สามารถเข้าถึงได้

นั่นคือเหตุผลที่องค์กรอย่างน้อยหนึ่งคลาสจะปรับใช้ IPv6 ภายใน: เนื่องจากพวกเขาใช้ non-RFC1918 IPv4 ภายในอยู่แล้ว


7

IPv6 เสนอการปรับปรุงที่เป็นไปได้ในโลกแห่งความเป็นจริงมากกว่า IPv4 เช่นการกำหนดค่าอัตโนมัติที่ง่ายขึ้นและกลไกการค้นพบอัตโนมัตินอกจากนี้ยังปลอดภัยกว่าในแง่ที่ว่ามัลแวร์ไม่สามารถจำลองแบบทั่วทั้งเครือข่ายได้ - มี IP มากเกินไป แต่การปรับปรุงเหล่านั้นไม่ได้น่าทึ่งเป็นพิเศษและไม่คุ้มกับต้นทุนการเปลี่ยน

แต่โปรดทราบว่ามันไม่ใช่การตัดสินใจหรือคุณสามารถรันทั้งคู่ขนานและหากคุณพัฒนาซอฟต์แวร์คุณอาจต้องพูดถึงคนจำนวนมากเพื่อการทดสอบ ไม่มีวิธีที่เชื่อถือได้ในการทำโปรแกรมที่รองรับ IPv6 โดยไม่ต้องมีโครงสร้างพื้นฐาน IPv6 ภายในเพื่อทดสอบ ระบบปฏิบัติการที่ทันสมัยส่วนใหญ่จะตั้งค่าเครือข่าย IPv6 ภายในโดยอัตโนมัติระหว่างกัน - เป็นเพียงเรื่องของการใช้งาน

10 ปีที่แล้วฉันได้สร้างซอฟต์แวร์เล็กน้อยสำหรับลูกค้าที่เป็นนายจ้างใช้เพื่อดึงข้อมูลอัปเดตโปรแกรม เมื่อสร้างองค์ประกอบเครือข่ายฉันต้องตัดสินใจระหว่างการสร้างความเข้ากันได้ของ IPv6 หรือเพียงแค่สมมติว่าที่อยู่ IP ทั้งหมดจะเป็น 4 ไบต์ ฉันตัดสินใจที่จะใช้เส้นทางที่เรียบง่ายช่วยตัวเองให้ทำงานประมาณ 4 ชั่วโมงและทำให้แอปพลิเคชั่นเป็น IPv4 เท่านั้น ฉันคิดว่ามันจะถูกแทนที่ในไม่กี่ปีต่อไป พวกเขายังคงใช้มันในวันนี้และถูกขังอยู่ในตลาดเล็ก ๆ


6

การทำงานกับ บริษัท เล็ก ๆ ฉันคิดได้แค่เหตุผลที่จะไม่ใช้ IPv6

  • เราไม่มีที่อยู่สาธารณะของ IPv6 ดังนั้นทำไมบนโลกนี้ถึงเราเรียกใช้ภายใน
  • เราจะต้องเปลี่ยนไฟร์วอลล์ซึ่งฉันรักอย่างสุดซึ้งเพราะมันยังไม่รองรับ IPv6
  • เราไม่มีวิธีการกำหนดให้ควบคุม IPv6 ที่อยู่คนเดียว
  • มีพีซีของเราเพียงครึ่งเดียวที่รองรับ IPv6
  • ไม่มีโรงงานผลิตของเราที่รองรับ IPv6
  • สวิตช์ของเราไม่รองรับ IPv6
  • ฉันไม่เคยเห็นเครื่องพิมพ์ที่รองรับ IPv6
  • IPv6 นั้นใช้งานได้ยากกว่ามากจากบรรทัดคำสั่งซึ่งเป็นจุดสำคัญสำหรับฉัน
  • ฉันจะต้องเร่งความเร็ว IPv6 อย่างเต็มที่ - ทำได้ยากเมื่อฉันไม่สนใจ
  • ... และอีกหลายเหตุผลฉันไม่สามารถคิดได้ในตอนนี้

มันไม่สมเหตุสมผลสำหรับ บริษัท อย่างพวกเราที่จะทำการเปลี่ยนแปลงเพราะมันต้องใช้จ่ายและความพยายามอย่างมากโดยไม่มีอะไรจะได้รับจากมันเลย

ค่อนข้างตรงไปตรงมาฉันชอบ NAT และประโยชน์ที่เราได้รับจากการจัดการกับที่อยู่ในท้องถิ่น ถ้าหากจำเป็น (แทนที่จะเป็นสิ่งที่เกินความต้องการ) เพื่อให้เราสามารถโต้ตอบกับ IPv6 บนอินเทอร์เน็ตเราจะดำเนินการดังกล่าวที่เกตเวย์

ฉันไม่ได้คาดหวังว่า IPv6 ปัจจุบันนี้จะกลายเป็นสิ่งจำเป็นสำหรับส่วนใหญ่ของโลกอย่างน้อยก็ภายในอย่างน้อยหนึ่งทศวรรษหรือมากกว่านั้น ตามที่ฉันคาดว่าจะได้รับการเกษียณอายุในตอนนั้นไม่มีแรงจูงใจมากมายเหลือเกินสำหรับฉันที่จะเสียเวลาและความพยายามกับมัน

แก้ไข:

ฉันกำลังลงคะแนน แต่ไม่ใช่มุมมองเชิงตรรกะและสมเหตุสมผลที่เป็นมุมมองเดียว ทำให้ฉันคิดว่ามันเป็นเพียงแค่กลุ่มของนักกระโดดกระโดดกระโดดแบนราบที่ต้องการติดตามแนวโน้มโดยไม่ต้องคิดถึงมัน จะต้องมีเหตุผลเพื่อให้การเปลี่ยนแปลงที่รุนแรงในเครือข่ายและฉันไม่ได้มีหนึ่ง นอกจากนี้ฉันสงสัยอย่างยิ่งว่ามีผู้ใช้ SF เพียงไม่กี่คนเท่านั้นที่มีหนึ่ง


2
1. ถาม ISP ของคุณสำหรับการจัดสรร .. ไม่เหมือนกับ IPv4 คุณไม่สามารถขอบล็อกได้ คุณต้องมีความสามารถในการใช้จำนวน X ภายใน 6 เดือน
Brian

2
3. คุณกำหนดโดยการตั้งค่าเราเตอร์ของคุณด้วยที่อยู่ IPv6 และให้เครื่องกำหนดค่าอัตโนมัติ (หรือตั้งค่า Dhcp6)
Brian

4
4. Windows XP SP2 รองรับ IPv6 6. สวิตช์ไม่คุย IP พวกเขาพูดเลเยอร์ 2 พวกเขาทำงานได้ดีกับ Ipv6 ฉันได้เรียกใช้ Ipv6 ผ่านสวิตช์ 3com 2001 คุณอาจต้องสนับสนุน ipv4 เพื่อจัดการบางอย่าง .. เครื่องพิมพ์ HP ที่มีการ์ด jetdirect ที่ขายใน 5 ปีที่ผ่านมา (หรือมากกว่านั้น) รองรับ IPv6
Brian

1
"สวิตช์ของเราไม่รองรับ IPv6" ไม่ใช่ปัญหา. "ฉันไม่เคยเห็นเครื่องพิมพ์ที่รองรับ IPv6 เลย" ฉันอายุ 6 ปีและนั่งถัดจากฉัน (เลเซอร์ราคาถูกของ Dell) "ฉันต้องเร่งความเร็ว IPv6 ให้เต็มที่ - ยากที่จะทำเมื่อฉันไม่สนใจ" Aye ที่นี่ฉันเห็นด้วย การเรียนรู้สิ่งใหม่นั้นยาก แต่การเป็นคนเดียวที่เข้าใจ (และคุณจะต้องใช้ในอีกไม่กี่ปีข้างหน้า) จะได้เปรียบ
Hennes

1
@Hennes ทุกอย่างที่ได้รับการคุ้มครองและเท่าที่ฉันสามารถบอกได้ว่าฉันจะไม่ต้องการ IPv6 ในช่วงเวลาที่เหลือในชีวิตการทำงานของฉันและฉันจะไม่ต้องการมันที่บ้าน IOW ไม่มีแรงจูงใจให้ฉันเรียนรู้เทคโนโลยีที่อย่างน้อยในส่วนนี้ของโลกไม่จำเป็นต้องมีและจะไม่เกิดขึ้นในอนาคตอันใกล้นี้ ฉันไม่เห็นด้วยว่าการเรียนรู้สิ่งใหม่นั้นยาก ฉันทำอย่างนั้นทุกวันในชีวิตของฉันและคาดว่าจะทำเช่นนั้นต่อไปจนกว่าฉันจะตกจากที่สูง
John Gardeniers

5

เรากำลังพูดถึงสองสิ่งที่นี่ - การใช้เครือข่ายภายในกับ pure IPv6 หรือการเรียกใช้ dual-stack IPv4 / IPv6 ฉันคิดว่ามันเร็วเกินไปที่จะพูดคุยเกี่ยวกับการใช้งาน IPv6 ล้วน ๆ - บนระบบปฏิบัติการหลายระบบมันเป็นไปไม่ได้แม้แต่ที่จะใช้ IPv6 ที่ไม่มี IPv4 อย่างไรก็ตามคุณอาจพิจารณาใช้ dual-stack ด้วยเหตุผลต่อไปนี้ (a) ถ้าคุณพัฒนาซอฟต์แวร์ (b) เพื่อเตรียมเครือข่ายของคุณสำหรับการโยกย้ายไปยัง IPv6 ที่หลีกเลี่ยงไม่ได้ ถ้าสถานการณ์ของคุณคือ A คุณควรลงมือทันทีถ้าเป็น B ถ้างั้นคุณก็มีเวลาประมาณ 1-2 ปีในการคิด (แต่ยิ่งคุณเริ่มเตรียมตัวเร็วเท่าไหร่คุณก็จะพร้อม)

สถานการณ์ของฉันคือ A และเรากำลังเรียกใช้ดูอัลสแต็คเป็นเวลา 6 เดือนแล้ว ในช่วงเวลานี้เราระบุและแก้ไขปัญหาบางอย่างกับ DNS สาธารณะ / ส่วนตัวการจัดสรรที่อยู่ DHCP การกำหนดเส้นทางไฟร์วอลล์และเราไม่สามารถคาดการณ์ปัญหาเหล่านี้ได้โดยไม่ต้องลอง ตอนนี้เราพร้อมใช้งาน IPv6 อย่างเต็มที่แล้วและเรายังสามารถเข้าถึง IPv6 สาธารณะได้โดยผ่านการขุดอุโมงค์ จากประสบการณ์ของฉันฉันสามารถพูดได้ด้วยความมั่นใจว่า IPv6 เป็นวิธีที่ง่ายกว่าและสวยงามกว่าเมื่อเปรียบเทียบกับอายุของ IPv4 ดังนั้นฉันจะมีความสุขมากเมื่อถึงเวลาเปลี่ยนเป็น IPv6 แต่ก่อนเวลานี้มาถึง ไป.


4

นอกเหนือจากพื้นที่ที่อยู่ลาเกอร์, การขาดการออกอากาศ, IPSec และการกำหนดค่าอัตโนมัติที่ง่ายขึ้นมีข้อดีของ IPv6 ที่ "ไม่เป็นที่รู้จัก":

  1. พื้นที่ที่อยู่ที่ใหญ่กว่าหมายถึงที่อยู่นั้นมีบิตมากกว่าที่สามารถใช้เป็นที่เก็บข้อมูลได้ ตัวอย่างเช่น hop-count ระหว่างสองโหนดจากนั้นสามารถทำงานของที่อยู่ IPv6 ของตนเช่น: ที่
    อยู่ IPv6 สามารถอยู่ในรูปแบบPREFIX:Country&Region:DC&Line:Rack&Unit:VM&IDเพื่อให้โหนดที่อยู่ใกล้ยิ่งขึ้นจะมีบิตที่สำคัญที่สุดเหมือนกัน นี่เป็นเพียงตัวอย่างของการวัด "ความใกล้ชิด" แน่นอนสามารถเก็บไว้ในฐานข้อมูลภายนอกบางประเภทเช่นTXT|SRVระเบียน DNS

  2. มีเทคนิคบางอย่างในการใช้พื้นที่ที่อยู่ของ IPv6 สำหรับวัตถุประสงค์ในการเข้ารหัสเช่น Cryptographically Generated Addresses ( CGA ) และ SEND (SEcure Neighbor Discovery)

  3. เมื่อเปิดใช้งาน IPv6 โหนดทั้งหมดในเครือข่ายจะมีที่อยู่ IPv6 ในการเชื่อมโยงโลคัล (หากไม่ได้กำหนดค่าไว้เป็นอย่างอื่น) ดังนั้นจึงมีโอกาสที่คุณสามารถเข้าถึงได้แม้กระทั่งโหนดที่กำหนดค่าผิดพลาด

  4. คุณสามารถรับที่อยู่ MAC ของโหนดได้โดยตรงจากที่อยู่ IPv6 ของ link-local (หากไม่ได้กำหนดค่าส่วนขยายความเป็นส่วนตัวของ IPv6 )

  5. ไม่มีวิธีใดที่คุณสามารถใช้ IPv4 ในซับเน็ตที่มีหลายพันโหนด - เครือข่ายของคุณจะเต็มไปด้วยทราฟฟิกที่ออกอากาศ (เช่น ARP)

  6. คุณสามารถสอบถามโหนดสำหรับข้อมูลเพิ่มเติมโดยใช้ข้อมูลโหนดเช่นใน BSD คุณสามารถสอบถามโฮสต์สำหรับ ICMPv6 ที่อยู่โหนดข้อมูลโหนด:

$ ping6 -a Aacgsl ::1

PING6(72=40+8+24 bytes) ::1 --> ::1
136 bytes from ::1: 
  fe80::beae:c5ff:fe43:44a(TTL=infty)
  fe80::beae:c5ff:fe43:212(TTL=infty)
  ::1(TTL=infty)
  fe80::1(TTL=infty)
  2a02::9222(TTL=infty)

2

ฉันนึกถึงเหตุผลสองข้อในการใช้ IPv6 สำหรับโฮสต์ภายใน

  1. คุณอาจพบในอนาคตว่าตอนนี้โฮสต์นี้จะต้องให้บริการอย่างน้อยภายนอกบนพอร์ตบางอย่าง

  2. คุณอาจพบว่าโฮสต์นี้ต้องเชื่อมต่อกับโฮสต์อื่นที่ได้เลือกที่อยู่ภายในเดียวกัน ตัวอย่างเช่นคุณต้องเชื่อมต่อกับ 10.0.0.5 ที่ Acme corporation และที่อยู่ของคุณที่ Emca corporation นั้นก็เช่นกัน 10.0.0.5 ฉันจำได้ว่าสิ่งนี้เกิดขึ้นที่งานก่อนหน้าเราทั้งคู่ใช้ที่อยู่ภายในเดียวกัน

ฉันจะบอกว่าในโลกสมัยใหม่คอมพิวเตอร์ส่วนใหญ่ไม่ได้อยู่ภายใน 100% เดสก์ท็อปส่วนใหญ่สามารถทำการเชื่อมต่อที่ จำกัด กับโลกภายนอกหรือในทางกลับกัน


1

เหตุผลเดียวที่ดีในการไปใช้ IPv6 ภายในคือเตรียมพร้อมเมื่อโลกเปลี่ยนเป็น IPv6 และฉันคิดว่านั่นเป็นเหตุผลที่ไม่ดีเลยทีเดียวเนื่องจากอัตราการยอมรับ เนื่องจาก IP ภายในส่วนใหญ่จะไม่สามารถเข้าถึงได้จากภายนอกจึงไม่ใช่เรื่องใหญ่ที่จะแปลส่วนที่เหลือ

บริษัท ของฉันอาจจะไม่เปลี่ยนไปใช้ IPv6 ภายใน มันจะต้องมีการเปลี่ยนแปลงพื้นฐานในนโยบายขนาดใหญ่มากฉันไม่สามารถเข้าใจได้อย่างจริงใจว่ามันจะเกิดขึ้นได้อย่างไร ผู้คนจำนวนมากจะต้องถูกฆ่าและต้องเลือกตัวเลือกที่ไม่สามารถอธิบายได้มากมาย ในทำนองเดียวกันความพยายามใด ๆ โดยแต่ละหน่วยธุรกิจที่จะเปลี่ยนไปใช้ IPv6 บน LANs ของพวกเขาจะถูกแบนด้วยอคติโดยเจ้านายเครือข่ายขององค์กรขึ้นอยู่กับการทำงานร่วมกันและความกังวล maintainablity (เราช่วยให้จำนวนมากของงานที่คั่งค้างอยู่ภายในเครื่อง แต่ไม่ว่ามาก.)

โดยทั่วไปหากการเปลี่ยนไปใช้ IPv6 ไม่เจ็บปวดเราต้องทำมันเมื่อหลายปีก่อน


16
"บริษัท ของฉันอาจจะไม่เปลี่ยนไปใช้ IPv6 ภายใน" <- นั่นเป็นคำพูดที่กล้าหาญและไร้เดียงสา IMHO
EEAA

4
@erika: พวกเขาจะทำเมื่อมันยากที่จะได้รับฮาร์ดแวร์ที่รองรับ IPv4 จนกว่าจะถึงตอนนั้น ไม่มีกรณีธุรกิจสำหรับมัน พวกเขามีแนวโน้มที่จะทิ้งเครือข่ายภายในทั้งหมดและโฮสต์ธุรกิจทั้งหมดของพวกเขาในคลาวด์
Satanicpuppy

3
จะเกิดอะไรขึ้นเมื่อ Google หรือบริการภายนอกอื่น ๆ ลดการสนับสนุน IPv4 การไม่สามารถเชื่อมต่อกับคนที่อยู่นอกเครือข่ายของคุณจะเป็นปัญหาในอนาคต
Zoredache

3
@zoredache: เรากำลังพูดถึงการสนับสนุนภายในที่นี่ ถึงตอนนี้ก็ยังไม่ยากที่จะเชื่อมโยง IPv4 กับ IPv6 ตราบใดที่คุณไม่ต้องการให้ทุกเครื่องสามารถใช้งานได้จากภายนอก นรกฮาร์ดแวร์ปัจจุบันของเรารองรับสิ่งนั้น
Satanicpuppy

2
โปรดจำไว้ว่ากล่อง windows ทั้งหมดตั้งแต่ vista เรียกใช้ dual stack จากกล่อง ไม่มีเหตุผลที่จะไม่ปล่อยให้มันดำเนินต่อไปได้
Jim B

-1

IPv4 ตั้งใจให้อุปกรณ์ทุกตัวเชื่อมต่อโดยตรงบนอินเทอร์เน็ต ... จนกว่าเราจะหมดพื้นที่ที่อยู่ จากนั้นเราใช้เวลาตลอด 20 ปีที่ผ่านมาล็อคมันทั้งหมด ตอนนี้ IPv6 โดยการออกแบบต้องการอีกครั้งวางทุกอุปกรณ์โดยตรงบนอินเทอร์เน็ต ... ผลลัพธ์จะเหมือนกัน ฉันเห็นด้วยอย่างยิ่งว่า NAT เป็นชั้นความปลอดภัยหนึ่งที่จะไม่ถูกยกเลิกโดยไม่มีประสิทธิภาพเท่ากันหรือดีกว่าแทนที่


1
เหมือนไฟร์วอลล์หรือไม่?
Michael Hampton

3
NAT ไม่ใช่ความปลอดภัย ไฟร์วอลล์คือสิ่งที่ให้ความปลอดภัยแก่คุณไม่ใช่ NAT ไฟร์วอลล์ไม่จำเป็นต้องใช้ NAT ทั้งไฟร์วอลล์ IPv4 และ IPv6 ทำงานได้อย่างสมบูรณ์แบบโดยไม่ต้องเปิดใช้งาน NAT คุณสามารถเปิดใช้งาน NAT บนเราเตอร์ที่ไม่ใช้ไฟร์วอลล์และไฟร์วอลล์ไม่จำเป็นต้องมีเส้นทาง คุณดูเหมือนจะไม่สามารถดูอุปกรณ์ผู้บริโภคแบบครบวงจรได้ มันมักจะสะดวกในการ NAT เส้นทางและไฟร์วอลล์ในอุปกรณ์เดียว แต่มันเป็นฟังก์ชั่นที่แยกต่างหาก
Ron Maupin

2
ทำไมผู้คนถึงพูดอย่างนี้? NAT นั้นไม่ได้เป็นชั้นของความปลอดภัยและมันก็ไม่ได้ถูกออกแบบมาให้เป็นหนึ่งเดียว มันเป็นแค่การแฮ็กที่น่าเกลียดรอบ ๆ ที่อยู่ยาวไม่เพียงพอ มันไม่ใช่อุปสรรคสำหรับผู้โจมตีส่วนใหญ่ การลงคะแนนเนื่องจากผิดและไม่ตอบคำถาม
Falcon Momot

-3

น่าเสียดายที่มีข้อมูลที่ไม่ดีมากมายในคำตอบและความคิดเห็นเหล่านี้ส่วนใหญ่ มันเป็นเรื่องน่าเศร้าที่เห็นคนตาบอดนำคนตาบอดมาด้วยวิธีนี้อย่างอุดมสมบูรณ์

NAT ไม่ได้ไปทุกที่และผู้คนที่บอกคุณว่า "โอ้ NAT นั้นช่างเป็นสิ่งที่แย่มาก" ... "โอ้ NAT นั้นมันไม่มีอะไรเลยนอกจากการทำงานรอบ ๆ " ... ad nasueum หากพวกเขาเริ่มใช้ภาษาเช่น ไปที่สถาปนิกเครือข่ายมืออาชีพที่แท้จริงเพื่อขอคำแนะนำไม่ใช่นักรบเครือข่ายเก้าอี้ช่วงสุดสัปดาห์

คุณต้องการโหลดทราฟฟิกยอดคงเหลือไปยังเซิร์ฟเวอร์ภายในจากอินเทอร์เน็ตหรือไม่ ทีนี้ลองเดาดูสิว่าด้วย IPv6 คุณไม่สามารถทำได้ในแบบที่คุณทำ .... เว้นแต่คุณจะใช้ NAT!

ใช่มันเป็นความจริง บางคนจะบอกว่าคุณแค่ใช้ DSR / Direct server return load balancing แต่พวกเขาลืมที่จะบอกคุณว่าคุณต้องยอมแพ้ 1) การแทรกคุกกี้ 2) การเร่งความเร็วแอพพลิเคชัน 3) การแปลที่อยู่พอร์ต

ดังนั้นหากคุณต้องการเรียกใช้เซิร์ฟเวอร์ภายในของคุณบนพอร์ต 8080 แต่ภายนอกของคุณบนพอร์ต 80 ... โอ้เศร้าเหลือเกินไม่สามารถทำกับ IPv6 .... เว้นแต่ว่าคุณกำลังใช้ NAT NAT ที่ดี! ไม่แม้แต่กับ DSR

จากนั้นเพิ่มไปที่ "โอ้อวด" ที่ผู้คนพูดว่า "โอใช่ข้อเสนอ IPv6 NAT ทั้งหมดล้มเหลว ... ขอบคุณพระเจ้า" (และจักรวรรดิก็ตายเพราะเสียงปรบมือ) คุณรู้ไหมว่ามันหมายถึงอะไร? NAT จะแย่มากหากใช้งานได้กับ IPv6 เพราะความกระตือรือร้นของ IPv6 ทั้งหมดปฏิเสธความต้องการ NAT / PAT อย่างแท้จริงและผู้คนที่ทำมันก็ทำอย่างไม่เต็มใจ เศร้ามากจัดการไม่ดี

ดังนั้นคุณจะทำอย่างไรในตอนนี้ความจริงทำให้คุณเป็นอิสระและคุณสามารถก้าวขึ้นไปเหนือฝูงชนที่พยายามใช้กลเม็ดกลยุทธ์เพื่อบังคับให้คุณทำตาม?

คุณซื้อหรือใช้งาน Loadbalancer หรือไฟร์วอลล์ต่อที่ทำหน้าที่เป็นเครือข่ายสาธารณะ / ส่วนตัวของเครือข่ายของคุณ อินเทอร์เฟซด้านสาธารณะเป็นโฮสต์วีไอพีเดียวกันกับที่คุณมีอยู่แล้ว แต่ใช้ที่อยู่ IPv6 ซึ่งเป็นคำชมหากคุณต้องการ ทุกอย่างทางตอนเหนือของเลเยอร์ Loadbalancer / ไฟร์วอลล์ก็เป็น IPv4 คู่ / IPv6 ในอินเทอร์เฟซภายในของ Loadbalancer / ไฟร์วอลล์นั้นเป็น IPv4 ทั้งหมดและเครือข่ายภายในทั้งหมดของคุณคือ IPv4 และมันยังคงอยู่ในแบบนั้นตราบเท่าที่คุณต้องการ มันเป็นเพียงธุรกิจของคุณ ตัวโหลดบาลานซ์ทำ NAT / PAT ระหว่างภายนอกและภายใน ... เพราะมันอยู่แล้วและจำเป็นต้องมีการทำโหลดบาลานซ์ที่มีคุณสมบัติครบถ้วนและเพราะตอนนี้มันยังแก้ปัญหา IPv6 ภายนอกของคุณได้ด้วย

โอ้และผู้ประชดที่ถามว่า "NAT มีจุดประสงค์เพื่อความปลอดภัยเพียงใด"

ความปลอดภัยเป็นเรื่องของความพร้อมใช้งานในระดับพื้นฐานที่สุด คิดเกี่ยวกับมันก่อนที่คุณจะยกเลิก

ตัวโหลดบาลานซ์จัดเตรียมความพร้อมใช้งาน / ความปลอดภัยและคุณต้องใช้ NAT / PAT เพื่อทำอย่างถูกต้องโดยไม่คำนึงถึงเวอร์ชันของ IP ที่คุณใช้

การอ้างอิงเกี่ยวกับ DSR ล้มเหลว: https://devcentral.f5.com/articles/the-disadvantages-of-dsr-direct-server-return

k ขอบคุณ


2
ฉันคิดว่าคำตอบของคุณพยายามที่จะบอกว่าต้องการ NAT เพื่อให้มี load balancer ที่ไม่ใช่เรื่องธรรมดา แต่นั่นไม่ใช่กรณีที่เห็นได้ชัดและไม่ได้ตอบคำถาม ...
Falcon Momot

-4

ไม่ใช่ความคิดที่ดีที่จะใช้ IPv6 บนเครือข่ายภายในเนื่องจากอุปกรณ์รุ่นเก่าจำนวนมากไม่สามารถสื่อสารได้ เครื่องพิมพ์เครื่องถ่ายเอกสารเก่า / มัลติฟังก์ชั่นอุปกรณ์การแพทย์เครื่องพิมพ์เก่าเซิร์ฟเวอร์เก่าและอุปกรณ์เครือข่าย รูปแบบ IPv4 นั้นจัดการได้ง่ายกว่ามาก


-12

คำตอบที่ยอมรับนั้นทำให้เข้าใจผิด

แนวคิดของ Chris S ใน NAT นั้นผิดพลาด หนึ่งในคุณสมบัติที่ดีที่สุดของ NAT นอกเหนือจากการขยายตัวของสคีมา IPv4 คือความปลอดภัย NAT คือเลเยอร์ที่ซ่อน IP จริงของโฮสต์ที่หากเชื่อมต่อโดยตรงกับอินเทอร์เน็ตสามารถเป็นเป้าหมายของการโจมตีทั้งหมดเท่าที่จะเป็นไปได้ การพูดอย่างมีความสุขเกี่ยวกับการกำจัด NAT โดยไม่สนับสนุนมาตรการรักษาความปลอดภัยเพิ่มเติมเป็นเพียงแค่ความไม่รู้ธรรมดาในหัวข้อ


5
วิธีว่าเป็น NAT ชั้นรักษาความปลอดภัย?
MDMarra
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.