Mengapa Anda menggunakan IPv6 secara internal?

Tentu saja, saya menyadari perlunya pergi ke IPv6 di Internet terbuka karena kita kehabisan alamat, tetapi saya benar-benar tidak mengerti mengapa ada kebutuhan untuk menggunakannya di jaringan internal. Saya telah melakukan nol dengan IPv6, jadi saya juga bertanya-tanya: Tidakkah firewall modern melakukan NAT antara alamat IPv4 internal, dan alamat IPv6 eksternal?

Saya hanya ingin tahu karena saya telah melihat begitu banyak orang berjuang dengan pertanyaan IPv6 di sini, dan bertanya-tanya mengapa repot-repot?

Tidak ada NAT untuk IPv6 (seperti yang Anda pikirkan tentang NAT). NAT adalah solusi sementara $ EXPLETIVE untuk IPv4 kehabisan alamat (masalah yang sebenarnya tidak ada, dan dipecahkan sebelum NAT diperlukan, tetapi sejarah adalah 20/20). Ini menambahkan apa-apa selain kompleksitas dan akan melakukan sedikit kecuali menyebabkan sakit kepala di IPv6 (kami memiliki begitu banyak Alamat IPv6 kami tanpa malu-malu menyia-nyiakannya). NAT66 memang ada, dan dimaksudkan untuk mengurangi jumlah alamat IPv6 yang digunakan oleh masing-masing host (itu normal bagi host IPv6 untuk memiliki beberapa alamat, IPv6 agak berbeda dari IPv4 dalam banyak hal, ini adalah satu).

Internet seharusnya dapat dialihkan secara end-to-end, itu adalah bagian dari alasan IPv4 ditemukan dan mengapa hal itu diterima. Itu tidak berarti bahwa semua alamat di Internet seharusnya dapat dijangkau. NAT mematahkan keduanya. Firewall menambah lapisan keamanan dengan memutus jangkauan, tetapi biasanya dengan mengorbankan routability.

Anda akan menginginkan IPv6 di jaringan Anda karena tidak ada cara untuk menentukan titik akhir IPv6 dengan alamat IPv4. Cara sebaliknya berfungsi, yang memungkinkan jaringan hanya-IPv6 menggunakan DNS64 dan NAT64 untuk tetap mengakses Internet IPv4. Sebenarnya hari ini mungkin untuk membuang IPv4 bersama-sama, meskipun agak merepotkan. Itu mungkin untuk proxy dari alamat internal IPv4 ke server IPv6. Menambah dan mengonfigurasi server proxy menambah konfigurasi, perangkat keras, dan biaya pemeliharaan ke jaringan; biasanya jauh lebih dari sekadar mengaktifkan IPv6.

NAT menyebabkan masalah sendiri juga. Router harus mampu mengoordinasikan setiap koneksi yang melewatinya, melacak titik akhir, port, timeout, dan banyak lagi. Semua lalu lintas sedang disalurkan melalui satu titik itu biasanya. Meskipun dimungkinkan untuk membangun router NAT yang redundan, teknologinya sangat kompleks dan umumnya mahal. Router sederhana yang redundan mudah dan murah (komparatif). Juga, untuk membangun kembali beberapa routabilitas, aturan penerusan dan penerjemahan harus ditetapkan pada sistem NAT. Ini masih memecah protokol yang menyematkan alamat IP, seperti SIP. UPNP, STUN, dan protokol lain diciptakan untuk membantu masalah ini juga - lebih banyak kerumitan, lebih banyak pemeliharaan, lebih banyak yang bisa salah .

Kehabisan alamat ipv4 internal (rfc1918) juga bisa menjadi alasan yang sangat sah untuk menggunakan ipv6.

Comcast menjelaskan di Nanog37 mengapa mereka menggunakan ipv6 untuk alamat manajemen mereka.

20 Million video customer
x 2.5 STB/customer
x 2 ip addresses/STB
--------------------  
= 100 Millions IP addresses

Dan ini hanya untuk video , bukan data / modem.

Mereka kehabisan kolam RFC1918 pada tahun 2005. Kemudian mereka menggunakan kolam alamat publik (karena nat bukan pilihan untuk manajemen), dan pergi ipv6 untuk menyelesaikan kebutuhan mereka .

Beberapa alasan:

• IPv6 tidak mendukung penyiaran. Itu diganti dengan multicasting. Penyiaran memungkinkan satu node untuk mengirim lalu lintas ke semua node di subnet. Manajemen domain siaran adalah masalah utama dengan menjaga jaringan IPv4 besar berjalan cepat dan lancar. Multicasting mengharuskan node yang ingin menerima "broadcast" -style sebenarnya "sign-up" untuk itu, sehingga jaringan tidak dibanjiri dengan lalu lintas yang mengenai semua host.

• IPv6 mendukung enkripsi gaya IPsec secara asli.

• IPv6 mendukung konfigurasi otomatis. Host di belakang router dapat mengkonfigurasi diri mereka sendiri tanpa perlu DHCP, walaupun Anda masih membutuhkan server DHCP untuk membagikan opsi DHCP seperti server DNS, server TFTP, dll.

Pekerjaan lama saya, di Universitas besar, akan menggunakan alokasi IPv6 secara internal. Mereka diberi IPv4 / 16 kembali pada hari itu dan bahkan hari ini membagikan alamat IPv4 ke hampir setiap klien internal. Jaringan RFC1918 dibatasi untuk jaringan telekomunikasi saja dan penggunaan khusus tertentu (standar PCI mengharuskan penggunaan RFC1918 hingga Oktober 2010).

Karena itu, mereka secara aktif berencana untuk menggunakan IPv6 secara internal juga. Ada beberapa masalah perangkat keras yang masih berjalan, switch tepi tidak cukup mendukung v6, tetapi intinya sudah siap. Idenya adalah bahwa mendapatkan dukungan v6 pada ujung yang dapat dilihat secara publik (oke, ujung responsif publik ) dari jaringan akan melibatkan 70% dari pekerjaan untuk menyebarkannya ke semua orang, mungkin juga melakukan 30% tambahan dan melakukan end-to- akhiri dengan itu.

Setelah hidup dengan alokasi IP publik begitu lama, orang-orang kami sangat menyadari pepatah: "hanya karena itu bersifat publik, tidak berarti itu dapat dijangkau." Seperti yang dikatakan Chris S, routeable tidak menyiratkan dapat dicapai.

Itulah sebabnya setidaknya satu kelas organisasi akan menggunakan IPv6 secara internal: karena mereka sudah menggunakan IPv4 non-RFC1918 secara internal.

IPv6 memang menawarkan beberapa potensi peningkatan dunia nyata atas IPv4, seperti konfigurasi otomatis yang lebih sederhana dan mekanisme penemuan otomatis, itu juga lebih aman dalam arti bahwa tidak mungkin bagi malware untuk mereplikasi seluruh jaringan dengan memindai port pada kisaran IP - - terlalu banyak IP. Tetapi peningkatan itu tidak terlalu dramatis, dan tentu saja tidak sebanding dengan biaya pergantian.

Tetapi perhatikan bahwa ini bukan salah satu atau salah satu keputusan, Anda dapat menjalankan keduanya secara paralel, dan jika Anda mengembangkan perangkat lunak, Anda mungkin harus, seperti banyak orang katakan, untuk tujuan pengujian. Tidak ada cara yang dapat diandalkan untuk membuat program yang kompatibel dengan IPv6 tanpa memiliki infrastruktur IPv6 internal untuk diuji. Sebagian besar OS modern akan mengatur jaringan IPv6 internal secara otomatis di antara mereka - itu hanya masalah menggunakannya.

10 tahun yang lalu saya membangun sedikit perangkat lunak untuk majikan yang digunakan pelanggan untuk mengambil pembaruan program. Ketika membangun komponen jaringan, saya harus memutuskan antara membangun kompatibilitas IPv6, atau hanya mengasumsikan semua alamat IP akan menjadi 4 byte. Saya memutuskan untuk mengambil rute sederhana, menghemat waktu sekitar 4 jam kerja, dan membuat aplikasi hanya IPv4. Saya pikir itu akan diganti dalam beberapa tahun lagi. Mereka masih menggunakannya hari ini, dan karenanya dikunci dari beberapa pasar yang lebih kecil.

Bekerja untuk perusahaan kecil, saya hanya bisa memikirkan alasan untuk TIDAK menggunakan IPv6.

• Kami bahkan tidak memiliki alamat publik IPv6, jadi mengapa kita akan menjalankannya secara internal?
• Kita harus mengganti firewall kita, yang sangat kucintai, karena tidak (belum) mendukung IPv6
• Kami tidak memiliki cara untuk menetapkan, apalagi mengontrol, alamat IPv6
• Hanya setengah dari PC kami yang mendukung IPv6
• Tidak ada pabrik kami yang mendukung IPv6
• Switch kami tidak mendukung IPv6
• Saya bahkan belum pernah melihat printer yang mendukung IPv6
• IPv6 jauh lebih sulit digunakan dari baris perintah - poin yang cukup penting bagi saya
• Saya perlu sepenuhnya untuk mempercepat IPv6 - sulit dilakukan ketika saya tidak tertarik
• ... dan banyak alasan lain yang tidak bisa saya pikirkan barusan

Tidak masuk akal bagi perusahaan seperti kami untuk melakukan perubahan, karena akan membutuhkan biaya dan usaha yang besar tanpa ada untungnya.

Sejujurnya, saya suka NAT dan manfaat yang kami dapatkan dari berurusan dengan alamat lokal. Jika perlu (bukan sebagai geek yang ingin dilakukan) agar kami dapat berinteraksi dengan IPv6 di Internet, kami akan melakukannya di gateway.

Saya tidak berharap mode IPv6 saat ini menjadi kebutuhan bagi sebagian besar dunia, setidaknya secara internal, selama satu dekade atau lebih. Seperti yang saya perkirakan akan pensiun pada saat itu, tidak ada banyak insentif bagi saya secara pribadi untuk membuang waktu dan tenaga untuk itu.

Sunting:

Saya mendapatkan downvotes tetapi tidak satu pun pandangan yang masuk akal dan masuk akal. Membuat saya berpikir itu hanya sekelompok geek melompat yang ingin mengikuti tren tanpa memikirkannya. Harus ada ALASAN untuk membuat perubahan drastis ke jaringan dan saya tidak memilikinya. Lebih lanjut, saya sangat curiga hanya sedikit pengguna SF yang memilikinya.

Kita berbicara dua hal di sini - menjalankan jaringan internal pada IPv6 murni atau menjalankan dual-stack IPv4 / IPv6. Saya pikir itu terlalu dini untuk berbicara tentang menjalankan IPv6 murni - pada banyak sistem operasi bahkan tidak mungkin menggunakan IPv6 tanpa IPv4. Namun, Anda dapat mempertimbangkan menjalankan dual-stack untuk alasan berikut (a) jika Anda mengembangkan perangkat lunak (b) untuk mempersiapkan jaringan Anda untuk migrasi yang tidak terhindarkan ke IPv6. Jika situasi Anda A maka Anda harus bertindak sekarang, jika B maka menurut perkiraan saya Anda memiliki sekitar 1-2 tahun untuk memikirkannya (tetapi semakin cepat Anda memulai semakin siap Anda akan).

Situasi saya adalah A dan kami menjalankan dual-stack selama 6 bulan sekarang. Selama waktu ini kami mengidentifikasi dan memecahkan beberapa masalah dengan DNS publik / pribadi kami, alokasi alamat, DHCP, perutean, firewall dan kami bahkan tidak dapat mengantisipasi banyak masalah ini tanpa mencoba. Sekarang, kami sepenuhnya siap IPv6 dan kami bahkan memiliki akses publik IPv6 melalui tunneling. Dari pengalaman saya, saya dapat mengatakan dengan yakin bahwa IPv6 adalah solusi yang jauh lebih sederhana dan lebih elegan dibandingkan dengan penuaan IPv4, jadi saya akan sangat senang ketika saatnya tiba untuk beralih ke IPv6, tetapi sebelum waktu ini tiba - dual-stack adalah caranya untuk pergi.

Selain ruang alamat lager, tidak adanya siaran, IPSec dan konfigurasi otomatis yang lebih sederhana ada beberapa keuntungan "tidak begitu dikenal" dari IPv6:

1. Ruang alamat yang lebih besar berarti bahwa alamat memiliki lebih banyak bit yang dapat digunakan sebagai penyimpanan data. Misalnya hop-count antara dua node kemudian dapat menjadi fungsi dari alamat IPv6 mereka misalnya:
   alamat IPv6 dapat dalam format PREFIX:Country&Region:DC&Line:Rack&Unit:VM&IDsehingga lebih dekat node akan memiliki lebih banyak Most-Significant-Bits yang sama. Ini hanyalah sebuah contoh, tentu saja metrik "kedekatan" dapat disimpan dalam beberapa jenis basis data eksternal seperti TXT|SRVcatatan DNS .

2. Ada beberapa teknik menggunakan ruang alamat IPv6 untuk keperluan kriptografi seperti Cryptographically Generated Addresses ( CGA ) dan SEND (SEcure Neighbor Discovery)

3. Ketika IPv6 diaktifkan, semua node dalam jaringan memiliki alamat IPv6 tautan-lokal (jika tidak dikonfigurasi sebaliknya). Jadi ada kemungkinan Anda dapat mengakses bahkan simpul yang salah dikonfigurasi.

4. Anda bisa mendapatkan alamat MAC node langsung dari alamat IPv6 link-lokal (jika ekstensi privasi IPv6 tidak dikonfigurasi)

5. Tidak mungkin Anda dapat menggunakan IPv4 dalam subnet dengan ribuan node - jaringan Anda akan kelebihan beban dengan lalu lintas siaran (misalnya ARP).

6. Anda dapat meminta node untuk informasi tambahan menggunakan informasi node , misalnya dalam BSD Anda dapat meminta host untuk ICMPv6 Node Information Node Addresses:

$ ping6 -a Aacgsl ::1

PING6(72=40+8+24 bytes) ::1 --> ::1
136 bytes from ::1: 
  fe80::beae:c5ff:fe43:44a(TTL=infty)
  fe80::beae:c5ff:fe43:212(TTL=infty)
  ::1(TTL=infty)
  fe80::1(TTL=infty)
  2a02::9222(TTL=infty)

Saya dapat memikirkan dua alasan untuk menggunakan IPv6 untuk host internal.

1. Anda mungkin menemukan di masa depan bahwa host ini sekarang harus tersedia secara eksternal setidaknya pada port tertentu.

2. Anda mungkin menemukan bahwa host ini perlu terhubung ke host lain yang juga telah memilih alamat internal yang sama. Misalnya Anda perlu terhubung ke 10.0.0.5 di Acme corporation dan alamat Anda sendiri di Emca corporation juga 10.0.0.5. Saya ingat ini terjadi di pekerjaan sebelumnya, kami berdua menggunakan alamat internal yang sama.

Saya akan mengatakan bahwa di dunia modern kebanyakan komputer tidak 100% internal. Sebagian besar desktop dapat membuat beberapa koneksi terbatas ke dunia luar atau sebaliknya.

Satu-satunya alasan bagus untuk menggunakan IPv6 secara internal adalah untuk siap ketika dunia beralih ke IPv6, dan saya pikir itu alasan yang cukup buruk, mengingat tingkat adopsi. Karena sebagian besar IP internal tidak akan dapat dijangkau secara eksternal, itu tidak akan menjadi masalah besar untuk menerjemahkan sisanya.

Perusahaan saya mungkin tidak akan pernah beralih ke IPv6 secara internal. Ini akan membutuhkan perubahan mendasar dalam kebijakan yang begitu besar sehingga saya tidak bisa membayangkan bagaimana itu bisa terjadi. Banyak orang harus terbunuh, dan banyak pilihan perekrutan yang tidak bisa dijelaskan harus dibuat. Demikian juga, setiap upaya oleh unit-unit bisnis individu untuk beralih ke IPv6 pada LAN mereka akan terjepit dengan prasangka oleh jaringan perusahaan tuan berdasarkan keprihatinan interoperabilitas dan maintainablity (kita membiarkan banyak kelonggaran secara lokal, tapi tidak yang banyak.)

Pada dasarnya, jika beralih ke IPv6 tidak menyakitkan, kami akan melakukannya bertahun-tahun yang lalu.

IPv4 dimaksudkan agar setiap perangkat langsung di Internet ... sampai kami kehabisan ruang alamat. Kemudian, kami menghabiskan 20 tahun terakhir untuk mengunci semuanya. Sekarang, IPv6 secara desain ingin, sekali lagi, menempatkan setiap perangkat langsung di Internet ... hasilnya akan sama. Saya sepenuhnya setuju bahwa NAT adalah satu lapisan keamanan yang tidak akan ditinggalkan tanpa penggantian yang sama efektif atau lebih baik.

Sayangnya, ada banyak informasi buruk di sebagian besar jawaban dan komentar ini. Sangat menyedihkan melihat orang buta memimpin orang buta dalam hal ini dengan cara yang sangat produktif.

NAT tidak ke mana-mana dan orang-orang yang memberi tahu Anda "Oh, NAT itu, betapa mengerikannya itu" ... "Oh itu NAT, itu tidak lain adalah pekerjaan" ... ad nasueum Jika mereka mulai menggunakan bahasa seperti bahwa, pindah ke arsitek jaringan profesional sejati untuk saran, bukan prajurit kursi akhir pekan jaringan.

Apakah Anda perlu memuat keseimbangan lalu lintas ke server internal dari Internet? Yah coba tebak, dengan IPv6 Anda tidak dapat melakukannya dengan cara yang telah Anda lakukan .... kecuali Anda menggunakan NAT!

Ya itu benar. Beberapa akan berkata, oh Anda hanya menggunakan DSR / Direct server load balancing kembali. Tetapi mereka lupa memberi tahu Anda bahwa Anda harus menyerah 1) Penyisipan cookie 2) Akselerasi aplikasi 3) Terjemahan alamat port

Jadi jika Anda ingin menjalankan server internal Anda pada port 8080 tetapi eksternal Anda pada port 80 ... Oh, sangat menyedihkan, tidak ada hubungannya dengan IPv6 .... kecuali Anda menggunakan NAT ole yang bagus! Bahkan dengan DSR.

Kemudian tambahkan bahwa "membual" yang orang katakan "Oh, ya semua proposal IPv6 NAT telah gagal ... syukurlah" (dan kekaisaran mati karena suara tepuk tangan). Anda tahu apa artinya itu? NAT akan menjadi mengerikan, bahkan jika itu bekerja sama sekali dengan IPv6, karena semua fanatik IPv6 menyangkal tentang perlunya NAT / PAT secara intrinsik dan orang-orang yang melakukannya melakukannya dengan enggan. Sedih, begitu buruk dikelola

Jadi apa yang Anda lakukan sekarang karena kebenaran telah membebaskan Anda dan Anda bisa mengatasi kerumunan lemming yang mencoba menggunakan taktik menakut-nakuti untuk memaksa kepatuhan Anda?

Anda membeli atau terus menggunakan Loadbalancer atau Firewall yang bertindak sebagai perantara publik / pribadi dari jaringan Anda. Antarmuka sisi publik menampung VIP yang sama dengan yang sudah Anda miliki tetapi dengan alamat IPv6 yang memuji jika Anda membutuhkannya. Semuanya di utara dari lapisan Loadbalancer / Firewall juga merupakan tumpukan ganda IPv4 / IPv6. Pada antarmuka bagian dalam Loadbalancer / Firewall, semuanya adalah IPv4 dan seluruh jaringan internal Anda adalah IPv4 dan tetap seperti itu selama yang Anda inginkan. Ini hanya bisnis Anda. Loadbalancer melakukan NAT / PAT antara luar dan dalam ... karena sudah dan perlu untuk load balancing berfitur lengkap dan karena sekarang ini juga menyelesaikan masalah IPv6 eksternal Anda.

Oh dan kepada orang sarkastik yang bertanya "Apa tujuan keamanan tunggal yang dilayani NAT"

Keamanan adalah tentang Ketersediaan di tingkat paling mendasar. Pikirkan tentang hal ini, sebelum Anda mengabaikannya.

Load balancers menyediakan Ketersediaan / Keamanan dan Anda HARUS menggunakan NAT / PAT untuk melakukannya dengan benar terlepas dari versi IP yang Anda gunakan.

Kutipan tentang gagal DSR: https://devcentral.f5.com/articles/the-diskeuntungan-of-dsr-direct-server-return

k thnx

Ini bukan ide yang sangat baik untuk menggunakan IPv6 pada jaringan internal karena banyak perangkat lama gagal berkomunikasi. Mesin fotokopi tua / printer multifungsi, peralatan medis, mesin cetak tua, server lama dan perangkat jaringan. Skema IPv4 jauh lebih mudah untuk mengelola imo.

Jawaban yang diterima menyesatkan

Konsep Chris S tentang NAT salah; salah satu fitur terbaik dari NAT selain perluasan buatan skema IPv4 adalah SECURITY. NAT adalah lapisan yang menyembunyikan IP asli dari sebuah host yang jika terhubung langsung ke Internet dapat menjadi target dari semua serangan yang bisa dibayangkan. Bahagia tentang menyingkirkan NAT tanpa mendorong langkah-langkah keamanan tambahan hanyalah ketidaktahuan tentang topik tersebut.