Perché dovresti usare IPv6 internamente?


50

Ovviamente, mi rendo conto della necessità di passare a IPv6 su Internet aperto poiché stiamo esaurendo gli indirizzi, ma non capisco davvero perché sia ​​necessario utilizzarlo su una rete interna. Ho fatto zero con IPv6, quindi mi chiedo anche: i firewall moderni non fanno il NAT tra indirizzi IPv4 interni e indirizzi IPv6 esterni?

Mi stavo solo chiedendo da quando ho visto così tante persone alle prese con domande IPv6 qui, e mi chiedo perché preoccuparsi?

Risposte:


55

Non esiste un NAT per IPv6 (come si pensa comunque al NAT). NAT era una soluzione temporanea di $ EXPLETIVE a IPv4 a corto di indirizzi (un problema che in realtà non esisteva e che era stato risolto prima che NAT fosse mai necessario, ma la cronologia è 20/20). Non aggiunge altro che complessità e farebbe ben poco a parte causare mal di testa in IPv6 (abbiamo così tanti indirizzi IPv6 che li sprechiamo in modo sfacciato). NAT66 esiste ed è pensato per ridurre il numero di indirizzi IPv6 utilizzati da ciascun host (è normale che gli host IPv6 abbiano più indirizzi, IPv6 è in qualche modo diverso da IPv4 in molti modi, questo è uno).

Si supponeva che Internet fosse instradabile end-to-end, questo è uno dei motivi per cui IPv4 è stato inventato e perché ha ottenuto l'accettazione. Ciò non significa che tutti gli indirizzi su Internet dovevano essere raggiungibili. NAT rompe entrambi. I firewall aggiungono livelli di sicurezza interrompendo la raggiungibilità, ma normalmente sono a scapito della instradabilità.

Si desidera IPv6 nelle proprie reti in quanto non è possibile specificare un endpoint IPv6 con un indirizzo IPv4. Il contrario funziona, il che consente alle reti solo IPv6 che utilizzano DNS64 e NAT64 di accedere ancora a Internet IPv4. Oggi è effettivamente possibile abbandonare IPv4 tutti insieme, anche se è un po 'fastidioso configurarlo. Sarebbe possibile eseguire il proxy dagli indirizzi interni IPv4 ai server IPv6. L'aggiunta e la configurazione di un server proxy aggiunge costi di configurazione, hardware e di manutenzione alla rete; di solito molto più che semplicemente abilitare IPv6.

NAT causa anche i propri problemi. Il router deve essere in grado di coordinare ogni connessione che lo attraversa, tenendo traccia di endpoint, porte, timeout e altro. Tutto quel traffico viene normalmente incanalato attraverso quel singolo punto. Sebbene sia possibile costruire router NAT ridondanti, la tecnologia è enormemente complessa e generalmente costosa. I router semplici ridondanti sono facili ed economici (relativamente). Inoltre, per ristabilire parte della instradabilità, è necessario stabilire le regole di inoltro e traduzione sul sistema NAT. Ciò rompe ancora i protocolli che incorporano indirizzi IP, come SIP. UPNP, STUN e altri protocolli sono stati inventati per aiutare anche con questo problema: più complessità, più manutenzione, più cose che potrebbero andare storte .


29
Il router su cui era in esecuzione NAT è ciò che separa le reti, quel router separerà comunque le reti, nulla è cambiato tranne il router deve essere programmato correttamente per IPv6. Instradabile sì, non necessariamente raggiungibile (le regole del firewall probabilmente bloccheranno la maggior parte del traffico).
Chris S,

12
@Tomtom: chiunque pensi di averne bisogno non sa di aver bisogno di un firewall. Non c'è letteralmente alcun problema per cui NAT sia la soluzione migliore, oltre ai problemi causati dalla scarsità di indirizzamento. Non c'è scarsità di indirizzamento in IPv6 (ancora!). Potrebbe anche essere in fase di sviluppo, ma ciò non significa che non sia un'idea stupida :)
Crescere

6
@JimB - per quanto ne so ci sono state almeno 4 diverse proposte NAT IPv6 che sono state in fase di sviluppo e tutte hanno fallito. Dato che quella pagina ha quasi 3 anni, suppongo che anche adesso sia fallita
Mark Henderson

14
So che sembrerà offensivo, quindi mi scuso in anticipo, ma se non sei il cuoco rimani fuori dalla cucina. Le persone capiscono che se lavorano sulla propria auto potrebbero rompere qualcosa che provoca un mondo di danni ... Lo stesso vale per la sicurezza del computer, se non sai come, probabilmente finirai per fare più male che bene. Hai un punto, che NAT rende alcuni livelli di sicurezza più facili (in particolare e quasi esclusivamente che la tua rete interna non è instradabile su Internet). Anche sulla maggior parte dei router NAT oggi questa è solo un'impostazione predefinita e la "sicurezza" fornita da NAT può essere disabilitata.
Chris S,

8
Non iniziamo a strisciare intorno a parole come "SICUREZZA" senza una discussione sensata su vulnerabilità e minacce. Quale specifica vulnerabilità protegge NAT? Di quali "attacchi" specifici stai parlando? Sono gli stessi attacchi che il resto del mondo professionale mitiga con un firewall stateful? Se è così, NAT non ti sta davvero comprando molto.
Crescere il

22

L'esaurimento degli indirizzi ipv4 interni (rfc1918) può anche essere un motivo molto valido per passare a ipv6.

Comcast ha spiegato a Nanog37 perché stavano andando ipv6 per i loro indirizzi di gestione.

20 Million video customer
x 2.5 STB/customer
x 2 ip addresses/STB
--------------------  
= 100 Millions IP addresses

E questo è solo per video , non per dati / modem.

Hanno esaurito i pool RFC1918 nel 2005. Quindi hanno utilizzato pool di indirizzi pubblici (poiché nat non è un'opzione per la gestione) e sono andati su ipv6 per risolvere le loro esigenze .


2
Che dire delle società non mega?
Cypher,

1
bene, ci sono ancora tutte le altre risposte;)
petrus,

Non credo che nessuna società userà più di 16.777.216 INTERAMENTE ... Certo, esternamente per i propri clienti. Nessuno contesta che abbiamo bisogno di più indirizzi IP pubblici.
KCotreau,

5
Non stavo parlando dell'indirizzo IP pubblico / debole di un router, ma degli indirizzi IP di gestione su un modem via cavo o set-top box. Quindi sì, Comcast e tutti i grandi fornitori di cavo non hanno bisogno di più di 2 ^ 24 ip @.
petrus,

14

Coppia di motivi:

  • IPv6 non supporta la trasmissione. Viene sostituito con il multicasting. La trasmissione consente a un nodo di inviare traffico a tutti i nodi su una sottorete. La gestione dei domini broadcast è un problema importante nel mantenere le reti IPv4 di grandi dimensioni in esecuzione veloce e senza problemi. Il multicast richiede che i nodi che desiderano ricevere lo stile "broadcast" siano effettivamente "registrati", quindi la rete non è invasa da traffico che colpisce tutti gli host.

  • IPv6 supporta la crittografia in stile IPsec in modo nativo.

  • IPv6 supporta la configurazione automatica. È possibile per gli host dietro un router configurarsi da soli senza la necessità di DHCP, anche se è ancora necessario un server DHCP per distribuire opzioni DHCP come server DNS, server TFTP, ecc.


3
IPv6 consente la rinumerazione di un'intera sottorete senza quasi nessuna complicazione. Consente inoltre l'unione di sottoreti. Ha un controllo incredibilmente granulare sul traffico multicast ... ci sono ancora più ragioni, ma è sempre stato da quando ho seguito il mio corso IPv6.
Matteo

4
Questi sono tutti miti popolari, ecco le altre informazioni: il multicast di IPv6 è obbligatorio per le funzionalità di base: ad esempio per eseguire una trasmissione ping di IPv4 equivale a ping6 a FF02 :: 1 per tutti i nodi regolari e FF02 :: 2 per tutti i router. IPSec di IPv6 non cambia NIENTE da IPv4. Non hai alcuna sicurezza gratis. Devo ancora configurare tutte le modalità e gestire la distribuzione delle chiavi. L'autoconfigurazione di IPv6 è completamente spazzatura; per impostazione predefinita non è sicuro come MAC <-> IPv4 e NON distribuisce DNS. Se vuoi DNS devi installare DHCPv6, quindi non guadagno lì.
Marcin,

1
Considero il terzo punto un punto debole di ip6. Quante volte hai verificato se una macchina aveva ricevuto un IP durante il processo di risoluzione dei problemi? Quella parte è diventata ancora più difficile.
Joel Coel,

13

Il mio vecchio lavoro, in una grande università, utilizzava un'allocazione IPv6 internamente. A loro è stato assegnato un IPv4 / 16 nel corso della giornata e anche oggi sta distribuendo gli indirizzi IPv4 a quasi tutti i client interni. Le reti RFC1918 erano limitate alla rete solo per telecomunicazioni e ad alcuni usi specializzati (gli standard PCI richiedevano l'utilizzo di RFC1918 fino a ottobre 2010).

Per questo motivo, stavano attivamente pianificando di utilizzare anche IPv6 internamente. C'erano ancora alcuni problemi hardware da risolvere, i edge switch non supportavano abbastanza bene la v6, ma il core era pronto. L'idea era che ottenere il supporto v6 dall'estremità pubblicamente visibile (ok, l' estremità responsive del pubblico ) della rete avrebbe comportato il 70% del lavoro per distribuirlo a tutti, potrebbe anche fare il 30% in più e andare fino in fondo finiscilo.

Avendo vissuto con un'allocazione IP pubblica per così tanto tempo, la nostra gente era molto consapevole dell'adagio: "solo perché è pubblico, non significa che sia raggiungibile". Come ha detto Chris S, il percorso non implica raggiungibile.

Ecco perché almeno una classe di organizzazioni dovrebbe distribuire IPv6 internamente: perché stanno già utilizzando IPv4 non RFC1918 internamente.


7

IPv6 offre alcuni potenziali miglioramenti del mondo reale rispetto a IPv4, come un più semplice meccanismo di autoconfigurazione e di rilevamento automatico, è anche più sicuro nel senso che diventa impossibile per il malware replicarsi attraverso una rete eseguendo la scansione delle porte in un intervallo IP: - ci sono troppi IP. Ma questi miglioramenti non sono particolarmente drammatici e certamente non valgono il costo di commutazione.

Ma nota che non è né una / né una decisione, puoi eseguirli entrambi in parallelo, e se sviluppi software, probabilmente dovresti, come molte persone hanno detto, a scopo di test. Non esiste un modo affidabile per rendere compatibile un programma IPv6 senza disporre di un'infrastruttura IPv6 interna su cui testare. La maggior parte dei sistemi operativi moderni installerà automaticamente una rete IPv6 interna tra loro - è solo una questione di usarla.

10 anni fa ho creato un po 'di software per un datore di lavoro che i clienti usano per recuperare gli aggiornamenti del programma. Durante la creazione del componente di rete, ho dovuto decidere tra la creazione in compatibilità IPv6 o semplicemente supponendo che tutti gli indirizzi IP fossero 4 byte. Ho deciso di prendere il percorso semplice, risparmiando circa 4 ore di lavoro, e ho reso l'applicazione solo IPv4. Ho pensato che sarebbe stato sostituito tra qualche anno. Lo usano ancora oggi e sono quindi esclusi da alcuni mercati minori.


6

Lavorando per una piccola azienda, posso solo pensare ai motivi per NON utilizzare IPv6.

  • Non abbiamo nemmeno un indirizzo pubblico IPv6, quindi perché mai dovremmo gestirlo internamente?
  • Dovremmo sostituire il nostro firewall, che adoro, poiché non supporta (ancora) IPv6
  • Non abbiamo modo di assegnare, per non parlare del controllo, indirizzi IPv6
  • Solo la metà dei nostri PC supporta IPv6
  • Nessuno dei nostri impianti di produzione supporta IPv6
  • I nostri switch non supportano IPv6
  • Non ho mai visto una stampante che supporti IPv6
  • IPv6 è molto più difficile da usare dalla riga di comando - punto abbastanza importante per me
  • Avrei bisogno di essere completamente aggiornato su IPv6 - difficile da fare quando non sono interessato
  • ... e molte altre ragioni a cui non riesco a pensare proprio ora

Non ha senso che una società come la nostra effettui il cambiamento, poiché richiederebbe notevoli spese e sforzi senza ottenere nulla da essa.

Francamente, mi piace il NAT e i vantaggi che otteniamo dalla gestione degli indirizzi locali. Se mai diventasse necessario (anziché essere un geek desideroso di fare) per noi interagire con IPv6 su Internet, lo faremo al gateway.

Non mi aspetto che l'attuale moda IPv6 diventi una necessità per la stragrande maggioranza del mondo, almeno internamente, per un decennio o più. Dato che mi aspetto di andare in pensione, non ho molti incentivi per me personalmente a perdere tempo e fatica.

Modificare:

Sto ricevendo voti negativi, ma non una singola visione logica e ragionevole opposta. Mi fa pensare che sia solo un gruppo di fanatici del salto del bandwagon che vogliono seguire la tendenza senza pensarci. Ci deve essere un MOTIVO per apportare un cambiamento così drastico a una rete e non ne ho una. Inoltre, sospetto fortemente che solo pochi utenti SF ne abbiano uno.


2
1. chiedi al tuo ISP un'allocazione. A differenza di IPv4, non puoi semplicemente richiedere un blocco. devi avere la possibilità di usarne una quantità X entro 6 mesi.
Brian,

2
3. si assegna impostando il router con un indirizzo IPv6 e si consente alle macchine di autoconfigurarsi. (o imposta Dhcp6)
Brian,

4
4. Windows XP SP2 supporta IPv6. 6. Gli switch non parlano IP. Parlano di livello 2. funzionano bene con Ipv6 Ho eseguito Ipv6 su alcuni switch 3com 2001. Potrebbe essere necessario supportare ancora ipv4 per arrivare alla gestione di alcuni di essi. Qualsiasi stampante HP con una scheda jetdirect venduta negli ultimi 5 anni (o è più) supporta IPv6
Brian

1
"I nostri switch non supportano IPv6". Non è un problema. "Non ho mai visto una stampante che supporti IPv6" Sì, ha 6 anni ed è seduto accanto a me. (Un laser Dell economico). "Avrei bisogno di essere completamente aggiornato su IPv6 - difficile da fare quando non sono interessato" Aye. Qui sono d'accordo. Imparare qualcosa di nuovo è difficile. Ma essere l'unico a capirlo (e ne avrai bisogno tra qualche anno) è piuttosto un vantaggio.
Hennes,

1
@Hennes, tutto ciò che è già stato coperto e per quanto posso dire non avrò bisogno dell'IPv6 durante ciò che resta della mia vita lavorativa e non ne avrò mai bisogno a casa. IOW, non ho assolutamente alcun incentivo per me imparare una tecnologia per la quale, almeno in questa parte del mondo, non c'è bisogno e non sarà nel prossimo futuro. Non sono d'accordo sul fatto che imparare qualcosa di nuovo sia difficile. Lo faccio ogni giorno della mia vita e mi aspetto di continuare a farlo fino a quando cadrò dal trespolo.
John Gardeniers,

5

Stiamo parlando di due cose qui: eseguire la rete interna su IPv6 puro o eseguire dual-stack IPv4 / IPv6. Penso che sia prematuro parlare di eseguire IPv6 puro - su molti sistemi operativi è persino impossibile usare IPv6 senza IPv4. Tuttavia, potresti considerare di eseguire il dual-stack per i seguenti motivi (a) se sviluppi software (b) al fine di preparare la tua rete per l'inevitabile migrazione a IPv6. Se la tua situazione è A, allora dovresti agire ora, se è B allora, secondo la mia stima, hai circa 1-2 anni per pensarci (ma prima inizi, più sarai pronto).

La mia situazione è A e stiamo eseguendo il dual-stack da 6 mesi. Durante questo periodo abbiamo identificato e risolto alcuni problemi con il nostro DNS pubblico / privato, allocazione degli indirizzi, DHCP, routing, firewall e non abbiamo nemmeno potuto anticipare molti di questi problemi senza provare. Ora siamo completamente pronti per IPv6 e abbiamo persino l'accesso pubblico IPv6 tramite tunneling. Dalla mia esperienza posso affermare con sicurezza che IPv6 è una soluzione molto più semplice ed elegante rispetto all'invecchiamento di IPv4, quindi sarò molto felice quando arriverà il momento di passare a IPv6, ma prima che arrivi questo momento - dual-stack è il modo andare.


4

A parte lo spazio degli indirizzi lager, l'assenza di trasmissione, IPSec e la configurazione automatica più semplice ci sono alcuni vantaggi "non così noti" di IPv6:

  1. Lo spazio di indirizzi più grande significa che l'indirizzo ha più bit che possono essere utilizzati come memoria dati. Ad esempio, il conteggio dei luppoli tra due nodi può quindi essere una funzione dei loro indirizzi IPv6, ad esempio: l'
    indirizzo IPv6 può essere in formato, PREFIX:Country&Region:DC&Line:Rack&Unit:VM&IDquindi i nodi più vicini avranno più Bit più significativi. Questo è solo un esempio, ovviamente le metriche di "vicinanza" potrebbero essere archiviate in un qualche tipo di database esterno come i TXT|SRVrecord DNS .

  2. Esistono alcune tecniche di utilizzo dello spazio degli indirizzi di IPv6 per scopi crittografici come Cryptographically Generated Addresses ( CGA ) e SEND (SEcure Neighbor Discovery)

  3. Quando IPv6 è abilitato, tutti i nodi della rete dispongono di un indirizzo IPv6 locale di collegamento (se non configurato diversamente). Quindi c'è la possibilità che tu possa accedere anche al nodo mal configurato.

  4. È possibile ottenere gli indirizzi MAC dei nodi direttamente dall'indirizzo IPv6 locale del collegamento (se le estensioni di privacy IPv6 non sono configurate)

  5. Non è possibile utilizzare IPv4 nelle sottoreti con migliaia di nodi: la rete sarà sovraccaricata di traffico di trasmissione (ad es. ARP).

  6. È possibile eseguire una query sul nodo per ulteriori informazioni utilizzando le informazioni sul nodo , ad esempio in BSD è possibile eseguire una query sull'host per gli indirizzi del nodo Informazioni nodo ICMPv6:

$ ping6 -a Aacgsl ::1

PING6(72=40+8+24 bytes) ::1 --> ::1
136 bytes from ::1: 
  fe80::beae:c5ff:fe43:44a(TTL=infty)
  fe80::beae:c5ff:fe43:212(TTL=infty)
  ::1(TTL=infty)
  fe80::1(TTL=infty)
  2a02::9222(TTL=infty)

2

Posso pensare a due motivi per usare IPv6 per un host interno.

  1. In futuro potresti scoprire che questo host deve essere disponibile esternamente almeno su determinate porte.

  2. È possibile che questo host debba connettersi a un altro host che ha anche scelto lo stesso indirizzo interno. Ad esempio, è necessario connettersi a 10.0.0.5 presso Acme corporation e il proprio indirizzo presso Emca corporation è anche 10.0.0.5. Ricordo che ciò accadeva in un precedente lavoro, entrambi avevamo usato gli stessi indirizzi interni.

Direi che nel mondo moderno la maggior parte dei computer non sono interni al 100%. La maggior parte dei desktop può stabilire connessioni limitate con il mondo esterno o viceversa.


1

L'unico buon motivo per passare internamente a IPv6 è essere pronti quando il mondo passa a IPv6, e penso che sia un motivo piuttosto negativo, dato il tasso di adozione. Dal momento che la maggior parte degli IP interni non saranno raggiungibili esternamente, non sarebbe molto importante tradurre il resto.

La mia società probabilmente non passerà mai internamente a IPv6. Richiederebbe un cambiamento radicale nella politica così massiccio che non riesco a concepire onestamente come potrebbe accadere. Molte persone dovrebbero essere uccise e molte scelte di assunzione inspiegabili dovrebbero essere fatte. Allo stesso modo, qualsiasi tentativo da parte delle singole unità aziendali di passare a IPv6 sulle loro LAN sarebbe schiacciato con pregiudizio dai signori delle reti aziendali in base a problemi di interoperabilità e di manutenibilità (permettiamo molto margine di manovra a livello locale, ma non così tanto).

Fondamentalmente, se passare a IPv6 fosse indolore, l'avremmo fatto anni fa.


16
"La mia società probabilmente non passerà mai internamente a IPv6". <- Questa è una frase IMHO piuttosto audace e forse ingenua.
EEAA,

4
@erika: Lo faranno quando diventa difficile ottenere hardware che supporti IPv4. Fino ad allora, no. Non c'è nessun caso aziendale per questo. Sarebbe più probabile che abbandonino del tutto la rete interna e ospiteranno da qualche parte l'intera attività nel cloud.
Satanicpuppy,

3
Cosa succede quando Google o altri servizi esterni non supportano IPv4. Non essere in grado di connettersi a persone esterne alla rete sarà un problema in futuro.
Zoredache,

3
@zoredache: stiamo parlando di supporto interno qui. Anche ora, non è difficile collegare IPv4 a IPv6, purché non sia necessario che tutte le macchine siano disponibili esternamente. Diavolo, il nostro hardware attuale lo supporta.
Satanicpuppy,

2
Ricorda che tutte le finestre di Windows da Vista eseguono lo stack doppio fuori dalla scatola. Non vi è alcun motivo per NON lasciarlo attivo come previsto
Jim B,

-1

IPv4 intendeva che tutti i dispositivi fossero direttamente su Internet ... fino a quando non rimanemmo esauriti lo spazio degli indirizzi. Quindi, abbiamo trascorso gli ultimi 20 anni a bloccare tutto. Ora, IPv6 di progettazione vuole, ancora una volta, posizionare tutti i dispositivi direttamente su Internet ... il risultato sarà lo stesso. Concordo pienamente sul fatto che NAT sia un livello di sicurezza che non verrà abbandonato senza una sostituzione altrettanto efficace o migliore.


1
Ti piace un firewall?
Michael Hampton

3
NAT non è sicurezza. Un firewall è ciò che ti dà sicurezza, non NAT. I firewall non hanno bisogno di NAT. Entrambi i firewall IPv4 e IPv6 funzionano perfettamente senza abilitare NAT, puoi abilitare NAT su un router che non fa firewall e i firewall non hanno nemmeno bisogno di instradarli. Non riesci a sembrare pat i dispositivi all-in-one consumer. Spesso è conveniente NAT, route e firewall in un singolo dispositivo, ma sono funzioni separate.
Ron Maupin

2
Perché la gente dice ancora cose del genere? NAT non è nemmeno un livello di sicurezza e non è stato progettato per esserlo. È solo un brutto trucco attorno a indirizzi inadeguatamente lunghi. Non è un ostacolo per la maggior parte degli aggressori. Downvoting perché è sbagliato e non risponde alla domanda.
Falcon Momot

-3

Sfortunatamente, ci sono molte cattive informazioni nella stragrande maggioranza di queste risposte e commenti. È così triste vedere il cieco guidare il cieco in questo modo in modo così prolifico.

Il NAT non va da nessuna parte e le persone che ti dicono "Oh, quel NAT, che cosa terribile è" ... "Oh quel NAT, non era altro che un problema" ... ad nasueum Se iniziano a usare un linguaggio come quello, passare a un vero architetto di rete professionale per un consiglio, non un guerriero di poltrona di rete di fine settimana.

Devi bilanciare il traffico sui server interni da Internet? Beh, indovina un po ', con IPv6 non puoi farlo come lo hai fatto tu .... a meno che tu non usi NAT!

Si è vero. Alcuni diranno, oh, basta usare il bilanciamento del carico di ritorno del server DSR / Direct. Ma si dimenticano di dirti che devi rinunciare 1) Inserimento cookie 2) Accelerazione dell'applicazione 3) Traduzione dell'indirizzo del porto

Quindi, se vuoi eseguire i tuoi server interni sulla porta 8080 ma quello esterno sulla porta 80 ... Oh, così triste, non puoi fare con IPv6 .... a meno che tu non stia usando un buon ole NAT! Nemmeno con DSR.

Quindi aggiungi a questo il "vanto" che la gente dice "Oh, sì, tutte le proposte NAT IPv6 sono fallite ... grazie al cielo" (e l'impero muore al suono di applausi) Sai cosa significa? NAT sarà terribile, se funziona addirittura con IPv6, perché tutti i fanatici di IPv6 negano intrinsecamente la necessità di NAT / PAT e le persone che lo fanno lo fanno con riluttanza. Così triste, così mal gestito

Quindi cosa fai ora che la verità ti ha liberato e puoi elevarti al di sopra delle folle di lemming cercando di usare tattiche spaventose per forzare la tua conformità?

Acquistate o continuate a utilizzare un Loadbalancer o Firewall che funge da intermediario pubblico / privato della vostra rete. Le interfacce lato pubblico ospitano gli stessi VIP che hai già ma con un indirizzo IPv6 complimentoso se ne hai bisogno. Tutto a nord del livello Loadbalancer / Firewall è anche dual stack IPv4 / IPv6. Sulle interfacce interne di Loadbalancer / Firewall sono tutte IPv4 e l'intera rete interna è IPv4 e rimane tale per tutto il tempo che desideri. Sono solo affari tuoi. Loadbalancer esegue NAT / PAT tra l'esterno e l'interno ... perché lo è già e deve farlo per il bilanciamento del carico completo e perché ora risolve anche il problema IPv6 esterno.

Oh, e alla persona sarcastica che ha chiesto "Quale unico scopo di sicurezza serve NAT"

La sicurezza riguarda la disponibilità al livello più fondamentale. Pensaci, prima di respingerlo.

I servizi di bilanciamento del carico forniscono disponibilità / sicurezza e DEVI utilizzare NAT / PAT per farlo correttamente, indipendentemente dalla versione dell'IP che stai utilizzando.

Citazione relativa al DSR fallito: https://devcentral.f5.com/articles/the-disadvantages-of-dsr-direct-server-return

k thnx


2
Penso che la tua risposta stia cercando di dire che uno ha bisogno di NAT per avere un bilanciamento del carico non banale, ma questo non è ovviamente il caso e non affronta la domanda ...
Falcon Momot

-4

Non è una buona idea usare IPv6 su una rete interna poiché molti dispositivi legacy non riuscirebbero a comunicare. Vecchie fotocopiatrici / stampanti multifunzione, apparecchiature mediche, vecchie macchine da stampa, server più vecchi e dispositivi di rete. Lo schema IPv4 è molto più semplice da gestire imo.


-12

La risposta accettata è fuorviante

I concetti di Chris S su NAT sono sbagliati; una delle migliori caratteristiche di NAT oltre all'espansione artificiale dello schema IPv4 è SICUREZZA. NAT è il livello che nasconde il vero IP di un host che, se collegato direttamente a Internet, può essere il bersaglio di tutti gli attacchi immaginabili. Parlare felicemente di sbarazzarsi di NAT senza incoraggiare ulteriori misure di sicurezza è semplicemente una semplice ignoranza sull'argomento.


5
In che modo esattamente NAT è un livello di sicurezza?
MDMarra,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.