Warum sollten Sie IPv6 intern verwenden?

Natürlich ist mir klar, dass wir im offenen Internet auf IPv6 umsteigen müssen, da uns die Adressen ausgehen, aber ich verstehe wirklich nicht, warum dies in einem internen Netzwerk erforderlich ist. Ich habe mit IPv6 null gemacht, daher frage ich mich auch: Werden moderne Firewalls NAT nicht zwischen internen IPv4-Adressen und externen IPv6-Adressen durchführen?

Ich habe mich nur gewundert, weil ich hier so viele Leute gesehen habe, die mit IPv6-Fragen zu kämpfen haben, und mich gefragt habe, warum sie sich die Mühe machen?

Es gibt kein NAT für IPv6 (wie Sie sowieso an NAT denken). NAT war eine $ EXPLETIVE temporäre Lösung für IPv4 ohne Adressen (ein Problem, das nicht existierte und gelöst wurde, bevor NAT jemals notwendig war, aber der Verlauf ist 20/20). Es fügt nichts als Komplexität hinzu und würde wenig bewirken, außer Kopfschmerzen in IPv6 zu verursachen (wir haben so viele IPv6-Adressen, dass wir sie unbegründet verschwenden). NAT66 ist vorhanden und soll die Anzahl der von jedem Host verwendeten IPv6-Adressen verringern. (Es ist normal, dass IPv6-Hosts mehrere Adressen haben. IPv6 unterscheidet sich in vielerlei Hinsicht von IPv4. Dies ist eine.)

Das Internet sollte durchgängig routingfähig sein. Dies ist einer der Gründe, warum IPv4 erfunden wurde und warum es Akzeptanz fand. Das heißt nicht, dass alle Adressen im Internet erreichbar sein sollten. NAT unterbricht beide. Firewalls erhöhen die Sicherheitsebenen, indem sie die Erreichbarkeit aufheben. In der Regel geht dies jedoch zu Lasten der Routingfähigkeit.

Sie möchten IPv6 in Ihren Netzwerken, da es keine Möglichkeit gibt, einen IPv6-Endpunkt mit einer IPv4-Adresse anzugeben. Der andere Weg funktioniert, wodurch IPv6-Netzwerke, die DNS64 und NAT64 verwenden, weiterhin auf das IPv4-Internet zugreifen können. Es ist heutzutage tatsächlich möglich, IPv4 alle zusammen loszuwerden, obwohl es ein bisschen mühsam ist, es einzurichten. Es ist möglich, IPv4-interne Adressen auf IPv6-Server zu übertragen. Durch Hinzufügen und Konfigurieren eines Proxyservers werden Konfigurations-, Hardware- und Wartungskosten zum Netzwerk hinzugefügt. in der Regel viel mehr als nur IPv6 aktivieren.

NAT verursacht auch eigene Probleme. Der Router muss in der Lage sein, jede über ihn laufende Verbindung zu koordinieren und Endpunkte, Ports, Timeouts und mehr zu überwachen. Der gesamte Datenverkehr wird normalerweise über diesen einzelnen Punkt geleitet. Obwohl es möglich ist, redundante NAT-Router aufzubauen, ist die Technologie sehr komplex und im Allgemeinen teuer. Redundante einfache Router sind einfach und kostengünstig (vergleichsweise). Um einen Teil der Routingfähigkeit wiederherzustellen, müssen auf dem NAT-System Weiterleitungs- und Übersetzungsregeln festgelegt werden. Hierdurch werden weiterhin Protokolle unterbrochen, in denen IP-Adressen wie SIP eingebettet sind. UPNP, STUN und andere Protokolle wurden erfunden, um auch bei diesem Problem zu helfen - mehr Komplexität, mehr Wartung, mehr Fehlfunktionen .

Das Fehlen interner (rfc1918) IPv4-Adressen kann auch ein sehr wichtiger Grund sein, auf IPv6 umzusteigen.

Comcast erklärte auf der Nanog37, warum sie für ihre Management-Adressen IPv6 nutzen.

20 Million video customer
x 2.5 STB/customer
x 2 ip addresses/STB
--------------------  
= 100 Millions IP addresses

Und dies ist nur für Video , nicht für Daten / Modems.

Sie haben die RFC1918-Pools im Jahr 2005 erschöpft. Dann haben sie Pools für öffentliche Adressen verwendet (da dies keine Option für das Management ist) und sind auf IPv6 umgestiegen, um ihre Anforderungen zu erfüllen .

Einige Gründe:

• IPv6 unterstützt kein Broadcasting. Es wird durch Multicasting ersetzt. Broadcasting ermöglicht es einem Knoten, Datenverkehr an alle Knoten in einem Subnetz zu senden. Die Verwaltung von Broadcast-Domänen ist ein wichtiges Problem, wenn große IPv4-Netzwerke schnell und reibungslos funktionieren sollen. Multicasting setzt voraus, dass Knoten, die im Broadcast-Stil empfangen möchten, sich tatsächlich dafür "anmelden", damit das Netzwerk nicht mit Datenverkehr überflutet wird, der alle Hosts erreicht.

• IPv6 unterstützt die IPsec-Verschlüsselung von Haus aus.

• IPv6 unterstützt die automatische Konfiguration. Hosts hinter einem Router können sich selbst konfigurieren, ohne dass DHCP erforderlich ist. Sie benötigen jedoch weiterhin einen DHCP-Server, um DHCP-Optionen wie DNS-Server, TFTP-Server usw. auszugeben.

Mein alter Job an einer großen Universität würde intern eine IPv6-Zuweisung verwenden. Sie erhielten damals IPv4 / 16 und verteilen auch heute noch IPv4-Adressen an nahezu jeden internen Client. Die RFC1918-Netzwerke waren auf das reine Telekommunikationsnetzwerk und bestimmte spezialisierte Verwendungen beschränkt (die PCI-Standards erforderten die Verwendung von RFC1918 bis Oktober 2010).

Aus diesem Grund planten sie aktiv, IPv6 auch intern zu verwenden. Es waren noch einige Hardwareprobleme zu lösen, die Edge-Switches unterstützten Version 6 nicht gut genug, aber der Core war bereit. Die Idee war, dass 70% der Arbeit für die Bereitstellung des v6-Supports am öffentlich sichtbaren Ende des Netzwerks (in Ordnung, am öffentlich reagierenden Ende) für alle Benutzer erforderlich sind. Schluss damit.

Nachdem wir so lange mit einer öffentlichen IP-Vergabe gelebt hatten, waren sich unsere Mitarbeiter des Sprichworts sehr bewusst: "Nur weil es öffentlich ist, heißt es nicht, dass es erreichbar ist." Wie Chris S sagte, bedeutet routingfähig nicht erreichbar.

Aus diesem Grund würde mindestens eine Organisationsklasse IPv6 intern bereitstellen: weil sie bereits IPv4 verwenden, das nicht RFC1918-konform ist.

IPv6 bietet im Vergleich zu IPv4 einige potenzielle Verbesserungen in der Praxis, z. B. eine einfachere automatische Konfiguration und automatische Erkennung. Es ist auch sicherer, da Malware durch Port-Scannen eines IP-Bereichs keine Replikation über ein Netzwerk durchführen kann. - Es gibt einfach zu viele IPs. Aber diese Verbesserungen sind nicht besonders dramatisch und sicherlich die Umstellungskosten nicht wert.

Beachten Sie jedoch, dass dies keine Entweder-Oder- Entscheidung ist. Sie können beide parallel ausführen. Wenn Sie Software entwickeln, sollten Sie wahrscheinlich, wie viele Leute bereits erwähnt haben, zu Testzwecken. Es gibt keine zuverlässige Möglichkeit, ein Programm IPv6-kompatibel zu machen, ohne eine interne IPv6-Infrastruktur zum Testen zu haben. Die meisten modernen Betriebssysteme richten automatisch ein internes IPv6-Netzwerk zwischen ihnen ein - es ist nur eine Frage der Verwendung.

Vor 10 Jahren habe ich ein bisschen Software für einen Arbeitgeber entwickelt, mit der Kunden Programmupdates abrufen können. Beim Erstellen der Netzwerkkomponente musste ich entscheiden, ob die IPv6-Kompatibilität eingebaut werden soll oder ob alle IP-Adressen 4 Byte lang sein sollen. Ich entschied mich für den einfachen Weg, ersparte mir 4 Stunden Arbeit und erstellte die Anwendung nur für IPv4. Ich dachte, es würde sowieso in ein paar Jahren ersetzt werden. Sie nutzen es noch heute und sind daher von einigen kleineren Märkten ausgeschlossen.

Wenn ich für ein kleines Unternehmen arbeite, kann ich mir nur Gründe vorstellen, IPv6 NICHT zu verwenden.

• Wir haben noch nicht einmal eine öffentliche IPv6-Adresse. Warum sollten wir sie dann intern betreiben?
• Wir müssten unsere Firewall ersetzen, die ich sehr liebe, da sie IPv6 (noch) nicht unterstützt
• Wir haben keine Möglichkeit, IPv6-Adressen zuzuweisen, geschweige denn zu steuern
• Nur die Hälfte unserer PCs unterstützt IPv6
• Keine unserer Produktionsstätten unterstützt IPv6
• Unsere Switches unterstützen kein IPv6
• Ich habe noch nie einen Drucker gesehen, der IPv6 unterstützt
• Die Verwendung von IPv6 über die Befehlszeile ist viel schwieriger - ein ziemlich wichtiger Punkt für mich
• Ich müsste auf IPv6 vollständig auf dem neuesten Stand sein - schwer zu tun, wenn ich nicht interessiert bin
• ... und viele andere Gründe, an die ich gerade nicht denken kann

Es macht für ein Unternehmen wie das unsrige einfach keinen Sinn, die Änderung vorzunehmen, da dies erhebliche Kosten und Mühen mit absolut keinem Gewinn bedeuten würde.

Offen gesagt, ich mag NAT und die Vorteile, die sich aus dem Umgang mit lokalen Adressen ergeben. Sollte es jemals notwendig werden (anstatt ein Geek-Wunsch zu sein), mit IPv6 im Internet zu interagieren, werden wir dies am Gateway tun.

Ich erwarte nicht, dass diese aktuelle IPv6-Modeerscheinung ein Jahrzehnt oder länger für die überwiegende Mehrheit der Welt von interner Bedeutung sein wird. Da ich davon ausgehe, bis dahin in Rente zu sein, besteht für mich persönlich kein großer Anreiz, Zeit und Mühe damit zu verschwenden.

Bearbeiten:

Ich bekomme Ablehnungen, aber keine einzige logische und vernünftige Gegenüberstellung. Ich denke, es sind nur ein paar Bandwagon-Jumping-Freaks, die dem Trend folgen wollen, ohne darüber nachzudenken. Es muss einen GRUND geben, ein Netzwerk so drastisch zu verändern, und ich habe keinen. Außerdem vermute ich stark, dass nur sehr wenige SF-Benutzer einen haben.

Wir sprechen hier über zwei Dinge - das Ausführen eines internen Netzwerks auf reinem IPv6 oder das Ausführen von IPv4 / IPv6-Dual-Stack. Ich halte es für verfrüht, über das Ausführen von reinem IPv6 zu sprechen - auf vielen Betriebssystemen ist es sogar unmöglich, IPv6 ohne IPv4 zu verwenden. Sie können jedoch aus den folgenden Gründen in Betracht ziehen, Dual-Stack auszuführen (a), wenn Sie Software entwickeln (b), um Ihr Netzwerk auf die unvermeidliche Migration auf IPv6 vorzubereiten. Wenn Ihre Situation A ist, sollten Sie jetzt handeln, wenn es B ist, dann haben Sie nach meiner Schätzung ungefähr 1-2 Jahre Zeit, darüber nachzudenken (aber je früher Sie anfangen, desto besser sind Sie vorbereitet).

Meine Situation ist A und wir laufen jetzt seit 6 Monaten Dual-Stack. In dieser Zeit haben wir einige Probleme mit öffentlichem / privatem DNS, Adresszuweisung, DHCP, Routing und Firewall identifiziert und behoben, und wir konnten viele dieser Probleme nicht einmal vorhersehen, ohne es zu versuchen. Jetzt sind wir voll IPv6-fähig und haben sogar öffentlichen IPv6-Zugang über Tunneling. Aus meiner Erfahrung kann ich mit Zuversicht sagen, dass IPv6 im Vergleich zu alterndem IPv4 eine viel einfachere und elegantere Lösung ist. Daher bin ich sehr froh, wenn die Zeit für einen Wechsel zu IPv6 gekommen ist. Bevor dies jedoch eintritt, ist Dual-Stack der richtige Weg gehen.

Abgesehen vom größeren Adressraum, dem Fehlen von Broadcast, IPSec und der einfacheren Autokonfiguration gibt es einige "nicht so bekannte" Vorteile von IPv6:

1. Größerer Adressraum bedeutet, dass die Adresse mehr Bits hat, die als Datenspeicher verwendet werden können. Beispielsweise kann die Anzahl der Hops zwischen zwei Knoten eine Funktion ihrer IPv6-Adressen sein, z. B .: Die
   IPv6-Adresse kann im Format vorliegen, PREFIX:Country&Region:DC&Line:Rack&Unit:VM&IDsodass engere Knoten die gleichen höchstwertigen Bits haben. Dies ist nur ein Beispiel. Natürlich können "Nähe" -Metriken in einer externen Datenbank wie DNS- TXT|SRVEinträgen gespeichert werden .

2. Es gibt einige Techniken zur Verwendung des IPv6-Adressraums für kryptografische Zwecke, z. B. kryptografisch generierte Adressen ( CGA ) und SEND (SEcure Neighbor Discovery).

3. Wenn IPv6 aktiviert ist, haben alle Knoten im Netzwerk eine verbindungslokale IPv6-Adresse (sofern nicht anders konfiguriert). Es besteht also die Möglichkeit, dass Sie auch auf falsch konfigurierte Knoten zugreifen können.

4. Sie können die MAC-Adressen der Knoten direkt von der verbindungslokalen IPv6-Adresse abrufen (wenn keine IPv6-Datenschutzerweiterungen konfiguriert sind).

5. Es gibt keine Möglichkeit, IPv4 in Subnetzen mit Tausenden von Knoten zu verwenden - Ihr Netzwerk wird mit Broadcast-Verkehr (z. B. ARP) überlastet.

6. Sie können den Knoten mit Hilfe von Knoteninformationen nach zusätzlichen Informationen abfragen , z. B. können Sie in BSD den Host nach ICMPv6- Knoteninformationen abfragen. Knotenadressen:

$ ping6 -a Aacgsl ::1

PING6(72=40+8+24 bytes) ::1 --> ::1
136 bytes from ::1: 
  fe80::beae:c5ff:fe43:44a(TTL=infty)
  fe80::beae:c5ff:fe43:212(TTL=infty)
  ::1(TTL=infty)
  fe80::1(TTL=infty)
  2a02::9222(TTL=infty)

Ich kann mir zwei Gründe vorstellen, IPv6 für einen internen Host zu verwenden.

1. Möglicherweise müssen Sie in Zukunft feststellen, dass dieser Host zumindest an bestimmten Ports extern verfügbar sein muss.

2. Möglicherweise muss dieser Host eine Verbindung zu einem anderen Host herstellen, der ebenfalls dieselbe interne Adresse ausgewählt hat. Beispielsweise müssen Sie eine Verbindung zu 10.0.0.5 bei der Acme Corporation herstellen und Ihre eigene Adresse bei der Emca Corporation lautet ebenfalls 10.0.0.5. Ich erinnere mich, dass dies bei einem früheren Job passiert ist und wir beide die gleichen internen Adressen verwendet hatten.

Ich würde sagen, dass in der modernen Welt die meisten Computer nicht zu 100% intern sind. Die meisten Desktops können eingeschränkte Verbindungen zur Außenwelt herstellen oder umgekehrt.

Der einzige gute Grund, intern auf IPv6 umzusteigen, besteht darin, bereit zu sein, wenn die Welt auf IPv6 umschaltet, und ich denke, das ist ein ziemlich schlechter Grund angesichts der Akzeptanzrate. Da die meisten internen IPs nicht von außen erreichbar sind, wäre es keine große Sache, den Rest zu übersetzen.

Mein Unternehmen wird wahrscheinlich nie intern auf IPv6 umsteigen. Es würde eine grundlegende Änderung der Politik erfordern, die so massiv ist, dass ich mir nicht wirklich vorstellen kann, wie sie zustande kommen könnte. Viele Menschen müssten getötet werden und es müssten viele unerklärliche Einstellungsentscheidungen getroffen werden. Ebenso würde jeder Versuch einzelner Geschäftsbereiche, in ihrem LAN auf IPv6 umzusteigen, von den Netzwerk-Overlords des Unternehmens aufgrund von Interoperabilitäts- und Wartungsproblemen beeinträchtigt (wir lassen vor Ort viel Spielraum, aber nicht so viel).

Wenn der Wechsel zu IPv6 schmerzlos gewesen wäre, hätten wir das schon vor Jahren getan.

IPv4 sollte für jedes Gerät direkt im Internet verfügbar sein ... bis der Adressraum ausgeht. Dann haben wir die letzten 20 Jahre damit verbracht, alles abzuschließen. Jetzt möchte IPv6 von Anfang an jedes Gerät direkt im Internet platzieren. Das Ergebnis ist dasselbe. Ich stimme voll und ganz zu, dass NAT eine Sicherheitsstufe ist, die ohne einen ebenso effektiven oder besseren Ersatz nicht aufgegeben werden kann.

Leider enthält die überwiegende Mehrheit dieser Antworten und Kommentare viele schlechte Informationen. Es ist so traurig zu sehen, wie die Blinden die Blinden auf so produktive Weise führen.

NAT geht nirgendwo hin und Leute, die dir sagen "Oh, dieses NAT, was für eine schreckliche Sache ist es" ... "Oh, dieses NAT, es war nichts als eine Umgehung" ... ad nasueum Wenn sie anfangen, Sprache wie zu benutzen Lassen Sie sich von einem echten professionellen Netzwerkarchitekten beraten und nicht von einem vernetzten Wochenend-Sessel.

Müssen Sie den Datenverkehr auf internen Servern aus dem Internet ausgleichen? Nun raten Sie mal, mit IPv6 können Sie es nicht so machen, wie Sie es gemacht haben ... es sei denn, Sie verwenden NAT!

Ja, das ist wahr. Einige werden sagen, oh, Sie verwenden nur DSR / Direct Server-Lastausgleich. Aber sie vergessen, Ihnen mitzuteilen, dass Sie aufgeben müssen 1) Einfügen von Cookies 2) Anwendungsbeschleunigung 3) Portadressen-Übersetzung

Wenn Sie also Ihre internen Server auf Port 8080, aber Ihre externen auf Port 80 ausführen möchten ... Oh, so traurig, mit IPv6 kann man nichts anfangen ... es sei denn, Sie verwenden gutes, altes NAT! Nicht einmal mit DSR.

Fügen Sie noch das "Prahlen" hinzu, dass die Leute sagen "Oh, ja, alle IPv6-NAT-Vorschläge sind gescheitert ... Gott sei Dank" (und das Imperium stirbt nach dem Applaus). Wissen Sie, was das bedeutet? NAT wird schrecklich, wenn es überhaupt mit IPv6 funktioniert, weil alle IPv6-Eiferer die Notwendigkeit von NAT / PAT von sich aus leugnen und die Leute, die es tun, es widerwillig tun. So traurig, so schlecht geschafft

Also, was machen Sie jetzt, wenn die Wahrheit Sie befreit hat und Sie sich über die Menge der Lemminge erheben können, die versuchen, Ihre Befolgung durch Schreckenstaktiken zu erzwingen?

Sie kaufen oder verwenden weiterhin einen Loadbalancer oder eine Firewall, die als öffentlicher / privater Broder Ihres Netzwerks fungiert. Öffentliche Schnittstellen hosten dieselben VIPs, die Sie bereits haben, aber mit einer passenden IPv6-Adresse, falls Sie diese benötigen. Alles nördlich der Loadbalancer / Firewall-Schicht ist ebenfalls Dual-Stack-IPv4 / IPv6. Auf den internen Schnittstellen des Loadbalancers / der Firewall sind alle IPv4 und Ihr gesamtes internes Netzwerk ist IPv4 und dies bleibt so lange, wie Sie möchten. Es ist nur deine Sache. Der Loadbalancer erledigt NAT / PAT zwischen außen und innen ... weil es für einen vollständigen Lastenausgleich bereits vorhanden ist und sein muss und weil es jetzt auch Ihr externes IPv6-Problem löst.

Oh und zu der sarkastischen Person, die fragte "Welchem ​​einzigen Sicherheitszweck dient NAT?"

Bei Sicherheit geht es um Verfügbarkeit auf der grundlegendsten Ebene. Denken Sie darüber nach, bevor Sie es entlassen.

Load Balancer bieten diese Verfügbarkeit / Sicherheit, und Sie MÜSSEN NAT / PAT verwenden, um dies unabhängig von der von Ihnen verwendeten IP-Version ordnungsgemäß durchzuführen.

Zitat zu DSR-Fehlern: https://devcentral.f5.com/articles/the-disadvantages-of-dsr-direct-server-return

k thnx

Es ist keine gute Idee, IPv6 in einem internen Netzwerk zu verwenden, da viele ältere Geräte nicht miteinander kommunizieren können. Alte Kopierer / Multifunktionsdrucker, medizinische Geräte, alte Druckmaschinen, ältere Server und Netzwerkgeräte. Das IPv4-Schema ist imo viel einfacher zu verwalten.

Die akzeptierte Antwort ist irreführend

Chris 'Konzepte zu NAT sind falsch. Neben der künstlichen Erweiterung des IPv4-Schemas ist SECURITY eines der besten Merkmale von NAT. NAT ist die Ebene, die die reale IP eines Hosts verbirgt, die, wenn sie direkt mit dem Internet verbunden ist, das Ziel aller vorstellbaren Angriffe sein kann. Es ist einfach nur Ignoranz, darüber zu reden, NAT loszuwerden, ohne zusätzliche Sicherheitsmaßnahmen zu fördern.