it-swarm.com.de

Warum sollten Sie IPv6 intern verwenden?

Natürlich ist mir klar, dass IPv6 im offenen Internet verwendet werden muss, da uns die Adressen ausgehen, aber ich verstehe wirklich nicht, warum es in einem internen Netzwerk erforderlich ist. Ich habe mit IPv6 Null gemacht, daher frage ich mich auch: Werden moderne Firewalls nicht NAT zwischen internen IPv4-Adressen und externen IPv6-Adressen?

Ich habe mich nur gefragt, seit ich so viele Leute gesehen habe, die hier mit IPv6-Fragen zu kämpfen haben, und mich gefragt, warum sie sich die Mühe machen?

54
KCotreau

Es gibt keine NAT für IPv6 (wie Sie denken NAT sowieso)). NAT war eine $ EXPLETIVE temporäre Lösung für IPv4 hat keine Adressen mehr (ein Problem, das eigentlich nicht existierte und zuvor gelöst wurde NAT war jemals notwendig, aber der Verlauf ist 20/20). Es fügt nichts als Komplexität hinzu und würde wenig bewirken mit Ausnahme von Kopfschmerzen in IPv6 (wir haben so viele IPv6-Adressen, dass wir sie unverfroren verschwenden). NAT66 existiert und soll die Anzahl der von jedem Host verwendeten IPv6-Adressen reduzieren (es ist normal, dass IPv6-Hosts mehrere Adressen haben, IPv6 ist etwas Dies unterscheidet sich in vielerlei Hinsicht von IPv4.

Das Internet sollte durchgängig routingfähig sein, das ist ein Teil des Grundes, warum IPv4 erfunden wurde und warum es Akzeptanz fand. Das heißt nicht, dass alle Adressen im Internet erreichbar sein sollten. NAT bricht beide. Firewalls erhöhen die Sicherheitsebenen, indem sie die Erreichbarkeit beeinträchtigen. Normalerweise geht dies jedoch zu Lasten der Routingfähigkeit.

Sie möchten IPv6 in Ihren Netzwerken, da es keine Möglichkeit gibt, einen IPv6-Endpunkt mit einer IPv4-Adresse anzugeben. Umgekehrt funktioniert dies, wodurch IPv6-Netzwerke, die DNS64 und NAT64 verwenden, weiterhin auf das IPv4-Internet zugreifen können. Es ist heute tatsächlich möglich, IPv4 alle zusammen loszuwerden, obwohl es ein bisschen mühsam ist, es einzurichten. Es wäre möglich, von internen IPv4-Adressen auf IPv6-Server zu übertragen. Durch Hinzufügen und Konfigurieren eines Proxyservers werden dem Netzwerk Konfigurations-, Hardware- und Wartungskosten hinzugefügt. normalerweise viel mehr als nur IPv6 zu aktivieren.

NAT verursacht auch eigene Probleme. Der Router muss in der Lage sein, jede Verbindung zu koordinieren und Endpunkte, Ports, Zeitüberschreitungen und mehr zu verfolgen. Der gesamte Verkehr wird normalerweise durch diesen einzelnen Punkt geleitet. Obwohl es möglich ist, redundante NAT Router) zu erstellen, ist die Technologie sehr komplex und im Allgemeinen teuer. Redundante einfache Router sind einfach und billig (vergleichsweise). Außerdem können Sie einen Teil der Routingfähigkeit und Weiterleitung wiederherstellen und Übersetzungsregeln müssen auf dem NAT System) festgelegt werden. Dies bricht immer noch Protokolle, die IP-Adressen einbetten, wie SIP. UPNP, STUN und andere Protokolle wurden erfunden, um auch bei diesem Problem zu helfen - mehr Komplexität, mehr Wartung, mehr als könnte schief gehen.

57
Chris S

Das Auslaufen interner (rfc1918) IPv4-Adressen kann auch ein sehr wichtiger Grund sein, auf IPv6 umzusteigen.

Comcast erklärt bei Nanog37 warum sie IPv6 für ihre Verwaltungsadressen verwenden.

20 Million video customer
x 2.5 STB/customer
x 2 ip addresses/STB
--------------------  
= 100 Millions IP addresses

Und dies gilt nur für Videos , nicht für Daten/Modems.

Sie haben die RFC1918-Pools im Jahr 2005 erschöpft. Dann haben sie Pools für öffentliche Adressen verwendet (da nat keine Option für die Verwaltung ist), und haben ipv6 verwendet, um ihre Anforderungen zu erfüllen .

22
petrus

Einige Gründe:

  • IPv6 unterstützt keine Übertragung. Es wird durch Multicasting ersetzt. Durch Broadcasting kann ein Knoten Datenverkehr an alle Knoten in einem Subnetz senden. Die Verwaltung von Broadcast-Domänen ist ein wichtiges Problem, damit große IPv4-Netzwerke schnell und reibungslos funktionieren. Multicasting erfordert, dass Knoten, die "Broadcast" -Stil empfangen möchten, sich tatsächlich "anmelden", damit das Netzwerk nicht mit Datenverkehr überflutet wird, der alle Hosts trifft.

  • IPv6 unterstützt die IPsec-Verschlüsselung nativ.

  • IPv6 unterstützt die automatische Konfiguration. Hosts hinter einem Router können sich selbst konfigurieren, ohne dass DHCP erforderlich ist. Sie benötigen jedoch weiterhin einen DHCP-Server, um DHCP-Optionen wie DNS-Server, TFTP-Server usw. auszugeben.

14
LawrenceC

Mein alter Job an einer großen Universität würde intern eine IPv6-Zuweisung verwenden. Früher wurde ihnen ein IPv4/16 zugewiesen, und bis heute werden IPv4-Adressen an fast jeden internen Client verteilt. Die RFC1918-Netzwerke waren auf das reine Telekommunikationsnetz und bestimmte spezielle Verwendungszwecke beschränkt (die PCI-Standards erforderten die Verwendung von RFC1918 bis Oktober 2010).

Aus diesem Grund planten sie aktiv, IPv6 auch intern zu verwenden. Es gab noch einige Hardwareprobleme zu lösen, die Edge-Switches unterstützten v6 nicht gut genug, aber der Kern war bereit. Die Idee war, dass das Erhalten von v6-Unterstützung am öffentlich sichtbaren Ende (okay, am öffentlich reaktionsschnellen Ende) des Netzwerks 70% der Arbeit für die Bereitstellung für alle umfassen würde, ebenso wie die zusätzlichen 30 % und gehen Sie damit durch.

Nachdem wir so lange mit einer öffentlichen IP-Zuweisung gelebt hatten, waren sich unsere Mitarbeiter des Sprichworts sehr bewusst: "Nur weil es öffentlich ist, heißt das nicht, dass es erreichbar ist." Wie Chris S sagte, bedeutet routing nicht erreichbar.

Aus diesem Grund würde mindestens eine Organisationsklasse IPv6 intern bereitstellen: weil sie IPv4, das nicht von RFC1918 stammt, bereits intern verwenden.

13
sysadmin1138

IPv6 bietet einige potenzielle Verbesserungen in der Praxis gegenüber IPv4, wie z. B. eine einfachere automatische Konfiguration und einen Mechanismus zur automatischen Erkennung. Es ist auch sicherer in dem Sinne, dass Malware nicht mehr durch Port-Scannen eines IP-Bereichs über ein Netzwerk repliziert werden kann. - Es gibt einfach zu viele IPs. Diese Verbesserungen sind jedoch nicht besonders dramatisch und die Umstellungskosten sicherlich nicht wert.

Beachten Sie jedoch, dass es sich nicht um eine entweder/oder Entscheidung handelt. Sie können beide parallel ausführen. Wenn Sie Software entwickeln, sollten Sie dies wahrscheinlich, wie viele erwähnt haben, zu Testzwecken tun. Es gibt keine zuverlässige Möglichkeit, ein Programm IPv6-kompatibel zu machen, ohne eine interne IPv6-Infrastruktur zum Testen zu haben. Die meisten modernen Betriebssysteme richten automatisch ein internes IPv6-Netzwerk zwischen ihnen ein - es ist nur eine Frage der Verwendung.

Vor 10 Jahren habe ich eine Software für einen Arbeitgeber entwickelt, mit der Kunden Programmaktualisierungen abrufen können. Beim Erstellen der Netzwerkkomponente musste ich mich zwischen der IPv6-Kompatibilität oder der Annahme entscheiden, dass alle IP-Adressen 4 Byte groß sind. Ich entschied mich für den einfachen Weg, sparte mir etwa 4 Stunden Arbeit und machte die Anwendung nur für IPv4. Ich dachte, es würde sowieso in ein paar Jahren ersetzt werden. Sie nutzen es noch heute und sind daher von einigen kleineren Märkten ausgeschlossen.

7
tylerl

Wenn ich für ein kleines Unternehmen arbeite, kann ich mir nur Gründe vorstellen, IPv6 NICHT zu verwenden.

  • Wir haben nicht einmal eine öffentliche IPv6-Adresse. Warum sollten wir sie also intern betreiben?
  • Wir müssten unsere Firewall ersetzen, die ich sehr liebe, da sie IPv6 (noch) nicht unterstützt
  • Wir haben keine Möglichkeit, IPv6-Adressen zuzuweisen, geschweige denn zu steuern
  • Nur die Hälfte unserer PCs unterstützt IPv6
  • Keine unserer Produktionsstätten unterstützt IPv6
  • Unsere Switches unterstützen IPv6 nicht
  • Ich habe noch nie einen Drucker gesehen, der IPv6 unterstützt
  • IPv6 ist über die Befehlszeile viel schwieriger zu verwenden - ein ziemlich wichtiger Punkt für mich
  • Ich müsste mich auf IPv6 voll auf den neuesten Stand bringen - schwer zu machen, wenn ich nicht interessiert bin
  • ... und viele andere Gründe, an die ich gerade nicht denken kann

Für ein Unternehmen wie das unsere ist es einfach nicht sinnvoll, die Änderung vorzunehmen, da dies erhebliche Kosten und Anstrengungen erfordern würde, ohne dass davon profitiert werden könnte.

Ehrlich gesagt mag ich NAT und die Vorteile, die wir durch den Umgang mit lokalen Adressen erhalten. Wenn es jemals notwendig wird ( Im Gegensatz dazu, dass wir ein Geek sind, der mit IPv6 im Internet interagieren möchte, tun wir dies am Gateway.

Ich erwarte nicht, dass diese aktuelle IPv6-Modeerscheinung für die überwiegende Mehrheit der Welt zumindest intern für ein Jahrzehnt oder länger zu einer Notwendigkeit wird. Da ich davon ausgehe, bis dahin in den Ruhestand zu gehen, gibt es für mich persönlich keinen großen Anreiz, Zeit und Mühe damit zu verschwenden.

Edit :

Ich bekomme Abstimmungen, aber keine einzige logische und vernünftige Gegenüberstellung. Ich denke, es sind nur ein paar Zugfreaks, die dem Trend folgen wollen, ohne darüber nachzudenken. Es muss einen GRUND geben, um eine so drastische Änderung an einem Netzwerk vorzunehmen, und ich habe keinen. Außerdem vermute ich stark, dass nur sehr wenige SF-Benutzer einen haben.

7
John Gardeniers

Wir sprechen hier über zwei Dinge: Ausführen eines internen Netzwerks auf reinem IPv6 oder Ausführen von IPv4/IPv6-Dual-Stack. Ich denke, es ist verfrüht, über die Ausführung von reinem IPv6 zu sprechen - auf vielen Betriebssystemen ist es sogar unmöglich, IPv6 ohne IPv4 zu verwenden. Sie können jedoch aus den folgenden Gründen (a) in Betracht ziehen, Dual-Stack auszuführen, wenn Sie Software entwickeln (b), um Ihr Netzwerk auf die unvermeidliche Migration auf IPv6 vorzubereiten. Wenn Ihre Situation A ist, sollten Sie jetzt handeln. Wenn es B ist, haben Sie meiner Schätzung nach ungefähr 1-2 Jahre Zeit, darüber nachzudenken (aber je früher Sie beginnen, desto besser sind Sie vorbereitet).

Meine Situation ist A und wir betreiben jetzt seit 6 Monaten Dual-Stack. Während dieser Zeit haben wir einige Probleme mit unserem öffentlichen/privaten DNS, der Adresszuweisung, DHCP, dem Routing und der Firewall identifiziert und gelöst, und wir konnten viele dieser Probleme nicht einmal vorhersehen, ohne es zu versuchen. Jetzt sind wir vollständig IPv6-fähig und haben sogar öffentlichen IPv6-Zugriff über Tunneling. Aus meiner Erfahrung kann ich mit Zuversicht sagen, dass IPv6 im Vergleich zu alterndem IPv4 eine viel einfachere und elegantere Lösung ist. Daher bin ich sehr glücklich, wenn es Zeit ist, auf IPv6 umzusteigen, aber bevor diese Zeit kommt, ist Dual-Stack der richtige Weg gehen.

5
dtoubelis

Abgesehen vom größeren Adressraum, dem Fehlen von Broadcast, IPSec und der einfacheren automatischen Konfiguration gibt es einige "nicht so bekannte" Vorteile von IPv6:

  1. Ein größerer Adressraum bedeutet, dass die Adresse mehr Bits enthält, die als Datenspeicher verwendet werden können. Beispielsweise kann die Sprungzahl zwischen zwei Knoten dann eine Funktion ihrer IPv6-Adressen sein, z.
    Die IPv6-Adresse kann das Format PREFIX:Country&Region:DC&Line:Rack&Unit:VM&ID Haben, sodass engere Knoten mehr Most-Significant-Bits haben. Dies ist nur ein Beispiel. Natürlich können "Nähe" -Metriken in einer externen Datenbank wie DNS-Einträgen TXT|SRV Gespeichert werden.

  2. Es gibt einige Techniken zur Verwendung des Adressraums von IPv6 für kryptografische Zwecke, z. B. kryptografisch generierte Adressen ( [~ # ~] cga [~ # ~] ) und SEND (SEcure Neighbor Discovery)

  3. Wenn IPv6 aktiviert ist, haben alle Knoten im Netzwerk eine verbindungslokale IPv6-Adresse (falls nicht anders konfiguriert). Es besteht also die Möglichkeit, dass Sie auch auf falsch konfigurierte Knoten zugreifen können.

  4. Sie können die MAC-Adressen der Knoten direkt von der verbindungslokalen IPv6-Adresse abrufen (wenn IPv6-Datenschutzerweiterungen nicht konfiguriert sind).

  5. Es gibt keine Möglichkeit, IPv4 in Subnetzen mit Tausenden von Knoten zu verwenden - Ihr Netzwerk wird mit Broadcast-Verkehr (z. B. ARP) überlastet.

  6. Sie können den Knoten nach zusätzlichen Informationen abfragen, indem Sie Knoteninformationen verwenden, z. In BSD können Sie Host nach ICMPv6 abfragen Node Information Node Adressen:

$ ping6 -a Aacgsl ::1

PING6(72=40+8+24 bytes) ::1 --> ::1
136 bytes from ::1: 
  fe80::beae:c5ff:fe43:44a(TTL=infty)
  fe80::beae:c5ff:fe43:212(TTL=infty)
  ::1(TTL=infty)
  fe80::1(TTL=infty)
  2a02::9222(TTL=infty)
4
SaveTheRbtz

Ich kann mir zwei Gründe vorstellen, IPv6 für einen internen Host zu verwenden.

  1. Möglicherweise müssen Sie in Zukunft feststellen, dass dieser Host jetzt zumindest an bestimmten Ports extern verfügbar sein muss.

  2. Möglicherweise muss dieser Host eine Verbindung zu einem anderen Host herstellen, der ebenfalls dieselbe interne Adresse ausgewählt hat. Beispielsweise müssen Sie bei Acme Corporation eine Verbindung zu 10.0.0.5 herstellen, und Ihre eigene Adresse bei Emca Corporation lautet ebenfalls 10.0.0.5. Ich erinnere mich, dass dies bei einem früheren Job passiert ist, wir hatten beide die gleichen internen Adressen verwendet.

Ich würde sagen, dass in der modernen Welt die meisten Computer nicht zu 100% intern sind. Die meisten Desktops können begrenzte Verbindungen zur Außenwelt herstellen oder umgekehrt.

2
Mike F

Der einzige gute Grund, intern auf IPv6 umzusteigen, besteht darin, bereit zu sein, wenn die Welt auf IPv6 umstellt, und ich denke, dass dies angesichts der Akzeptanzrate ein ziemlich schlechter Grund ist. Da die meisten internen IPs nicht extern erreichbar sind, wäre es keine große Sache, den Rest zu übersetzen.

Mein Unternehmen wird wahrscheinlich nie intern auf IPv6 umsteigen. Es würde eine grundlegende Änderung der Politik erfordern, die so massiv ist, dass ich mir nicht ehrlich vorstellen kann, wie es dazu kommen könnte. Viele Menschen müssten getötet werden, und viele unerklärliche Einstellungsentscheidungen müssten getroffen werden. Ebenso würde jeder Versuch einzelner Geschäftsbereiche, in ihren LANs auf IPv6 umzusteigen, von den Overlords der Unternehmensnetzwerke aufgrund von Interoperabilitäts- und Wartbarkeitsbedenken mit Vorurteilen unterdrückt (wir lassen lokal viel Spielraum, aber nicht das viel.)

Wenn der Wechsel zu IPv6 schmerzlos gewesen wäre, hätten wir das vor Jahren getan.

1
Satanicpuppy

IPv4 sollte, dass jedes Gerät direkt im Internet ist ... bis uns der Adressraum ausgeht. Dann haben wir die letzten 20 Jahre damit verbracht, alles zu sperren. IPv6 will nun wieder jedes Gerät direkt ins Internet stellen ... das Ergebnis wird das gleiche sein. Ich stimme voll und ganz zu, dass NAT eine Sicherheitsebene ist, die nicht ohne einen ebenso effektiven oder besseren Ersatz aufgegeben werden kann.

0
Bart