Mengapa Anda menggunakan IPv6 secara internal?

50

Tentu saja, saya menyadari perlunya pergi ke IPv6 di Internet terbuka karena kita kehabisan alamat, tetapi saya benar-benar tidak mengerti mengapa ada kebutuhan untuk menggunakannya di jaringan internal. Saya telah melakukan nol dengan IPv6, jadi saya juga bertanya-tanya: Tidakkah firewall modern melakukan NAT antara alamat IPv4 internal, dan alamat IPv6 eksternal?

Saya hanya ingin tahu karena saya telah melihat begitu banyak orang berjuang dengan pertanyaan IPv6 di sini, dan bertanya-tanya mengapa repot-repot?

KCotreau
sumber

Jawaban:

55

Tidak ada NAT untuk IPv6 (seperti yang Anda pikirkan tentang NAT). NAT adalah solusi sementara $ EXPLETIVE untuk IPv4 kehabisan alamat (masalah yang sebenarnya tidak ada, dan dipecahkan sebelum NAT diperlukan, tetapi sejarah adalah 20/20). Ini menambahkan apa-apa selain kompleksitas dan akan melakukan sedikit kecuali menyebabkan sakit kepala di IPv6 (kami memiliki begitu banyak Alamat IPv6 kami tanpa malu-malu menyia-nyiakannya). NAT66 memang ada, dan dimaksudkan untuk mengurangi jumlah alamat IPv6 yang digunakan oleh masing-masing host (itu normal bagi host IPv6 untuk memiliki beberapa alamat, IPv6 agak berbeda dari IPv4 dalam banyak hal, ini adalah satu).

Internet seharusnya dapat dialihkan secara end-to-end, itu adalah bagian dari alasan IPv4 ditemukan dan mengapa hal itu diterima. Itu tidak berarti bahwa semua alamat di Internet seharusnya dapat dijangkau. NAT mematahkan keduanya. Firewall menambah lapisan keamanan dengan memutus jangkauan, tetapi biasanya dengan mengorbankan routability.

Anda akan menginginkan IPv6 di jaringan Anda karena tidak ada cara untuk menentukan titik akhir IPv6 dengan alamat IPv4. Cara sebaliknya berfungsi, yang memungkinkan jaringan hanya-IPv6 menggunakan DNS64 dan NAT64 untuk tetap mengakses Internet IPv4. Sebenarnya hari ini mungkin untuk membuang IPv4 bersama-sama, meskipun agak merepotkan. Itu mungkin untuk proxy dari alamat internal IPv4 ke server IPv6. Menambah dan mengonfigurasi server proxy menambah konfigurasi, perangkat keras, dan biaya pemeliharaan ke jaringan; biasanya jauh lebih dari sekadar mengaktifkan IPv6.

NAT menyebabkan masalah sendiri juga. Router harus mampu mengoordinasikan setiap koneksi yang melewatinya, melacak titik akhir, port, timeout, dan banyak lagi. Semua lalu lintas sedang disalurkan melalui satu titik itu biasanya. Meskipun dimungkinkan untuk membangun router NAT yang redundan, teknologinya sangat kompleks dan umumnya mahal. Router sederhana yang redundan mudah dan murah (komparatif). Juga, untuk membangun kembali beberapa routabilitas, aturan penerusan dan penerjemahan harus ditetapkan pada sistem NAT. Ini masih memecah protokol yang menyematkan alamat IP, seperti SIP. UPNP, STUN, dan protokol lain diciptakan untuk membantu masalah ini juga - lebih banyak kerumitan, lebih banyak pemeliharaan, lebih banyak yang bisa salah .

Chris S
sumber
29
Router yang dijalankan NAT adalah yang memisahkan jaringan, router itu masih akan memisahkan jaringan, tidak ada yang berubah kecuali router harus diprogram dengan benar untuk IPv6. Dapat dialihkan ya, belum tentu dapat dijangkau (aturan firewall kemungkinan akan memblokir sebagian besar lalu lintas).
Chris S
12
@ Tomtom: Siapa pun yang berpikir mereka membutuhkannya tidak tahu mereka membutuhkan firewall. Secara harfiah tidak ada masalah bahwa NAT adalah solusi terbaik untuk, selain masalah yang disebabkan oleh kelangkaan mengatasi. Tidak ada kelangkaan dalam menangani IPv6 (belum!). Mungkin dalam pengembangan, tapi itu tidak berarti itu bukan ide bodoh :)
growse
6
@ JimB - sejauh yang saya tahu ada setidaknya 4 proposal NAT IPv6 berbeda yang telah dikembangkan dan semuanya gagal. Mengingat bahwa halaman itu sudah hampir 3 tahun, saya akan menebak bahwa sekarang ini sudah gagal juga
Mark Henderson
14
Saya tahu ini akan terdengar ofensif, jadi saya minta maaf di depan, tetapi jika Anda bukan juru masaknya, tetap di dapur. Orang-orang mengerti jika mereka bekerja pada mobil mereka sendiri, mereka mungkin merusak sesuatu yang menyebabkan dunia rusak ... Hal yang sama berlaku untuk keamanan komputer, jika Anda tidak tahu caranya, Anda mungkin akan lebih banyak melakukan kerusakan daripada kebaikan. Anda ada benarnya, bahwa NAT membuat beberapa tingkat keamanan lebih mudah (terutama dan hampir secara eksklusif bahwa jaringan internal Anda tidak dapat dialihkan ke Internet). Bahkan pada sebagian besar router NAT saat ini, ini hanya pengaturan default, dan "keamanan" yang disediakan oleh NAT dapat dinonaktifkan.
Chris S
8
Mari kita tidak mulai bersuara di sekitar kata-kata seperti 'KEAMANAN' tanpa diskusi yang masuk akal tentang kerentanan dan ancaman. Kerentanan spesifik apa yang dilindungi NAT? 'Serangan' spesifik apa yang Anda bicarakan? Apakah mereka serangan yang sama yang mitigasi dunia profesional lainnya dengan firewall stateful? Jika demikian, NAT tidak benar-benar membelikanmu banyak.
growse
22

Kehabisan alamat ipv4 internal (rfc1918) juga bisa menjadi alasan yang sangat sah untuk menggunakan ipv6.

Comcast menjelaskan di Nanog37 mengapa mereka menggunakan ipv6 untuk alamat manajemen mereka.

20 Million video customer
x 2.5 STB/customer
x 2 ip addresses/STB
--------------------  
= 100 Millions IP addresses

Dan ini hanya untuk video , bukan data / modem.

Mereka kehabisan kolam RFC1918 pada tahun 2005. Kemudian mereka menggunakan kolam alamat publik (karena nat bukan pilihan untuk manajemen), dan pergi ipv6 untuk menyelesaikan kebutuhan mereka .

petrus
sumber
2
Bagaimana dengan korporasi non-mega?
Cypher
1
baik, masih ada semua jawaban lain;)
petrus
Saya tidak berpikir bahwa perusahaan mana pun akan menggunakan lebih dari 16.777.216 INTERNAL ... Tentu, secara eksternal untuk pelanggan mereka. Tidak ada yang membantah bahwa kita memerlukan lebih banyak alamat IP publik.
KCotreau
5
Saya tidak berbicara tentang alamat IP publik / router router, tetapi manajemen alamat ip pada modem kabel atau set-top box. Jadi ya, Comcast dan semua penyedia kabel besar memang membutuhkan lebih dari 2 ^ 24 ip @.
petrus
14

Beberapa alasan:

  • IPv6 tidak mendukung penyiaran. Itu diganti dengan multicasting. Penyiaran memungkinkan satu node untuk mengirim lalu lintas ke semua node di subnet. Manajemen domain siaran adalah masalah utama dengan menjaga jaringan IPv4 besar berjalan cepat dan lancar. Multicasting mengharuskan node yang ingin menerima "broadcast" -style sebenarnya "sign-up" untuk itu, sehingga jaringan tidak dibanjiri dengan lalu lintas yang mengenai semua host.

  • IPv6 mendukung enkripsi gaya IPsec secara asli.

  • IPv6 mendukung konfigurasi otomatis. Host di belakang router dapat mengkonfigurasi diri mereka sendiri tanpa perlu DHCP, walaupun Anda masih membutuhkan server DHCP untuk membagikan opsi DHCP seperti server DNS, server TFTP, dll.

LawrenceC
sumber
3
IPv6 memungkinkan penomoran ulang seluruh subnet dengan hampir tanpa komplikasi. Ini juga memungkinkan penggabungan subnet. Ini memiliki kontrol yang sangat terperinci atas lalu lintas multicast ... bahkan ada lebih banyak alasan tetapi sudah selamanya sejak saya mengambil kursus IPv6 saya.
Matius
4
Ini semua adalah mitos populer, inilah info lebih lanjut: Multicasting IPv6 wajib untuk fungsi dasar: misalnya untuk melakukan ping broadcast IPv4, Anda ping6 ke FF02 :: 1 untuk semua node biasa, dan FF02 :: 2 untuk semua router. IPSec IPv6 tidak mengubah APA PUN dari IPv4. Anda tidak mendapatkan keamanan apa pun secara gratis. Masih harus mengkonfigurasi semua mode, dan berurusan dengan distribusi kunci. Konfigurasi otomatis IPv6 benar-benar sampah; secara default tidak aman seperti MAC <-> IPv4, dan TIDAK membagikan DNS. Jika Anda ingin DNS, Anda harus menginstal DHCPv6, jadi tidak ada untungnya.
Marcin
1
Saya menganggap poin ke-3 kelemahan dari ip6. Berapa kali Anda memeriksa untuk melihat apakah mesin telah menerima IP sebagai bagian dari proses pemecahan masalah? Bagian itu semakin sulit.
Joel Coel
13

Pekerjaan lama saya, di Universitas besar, akan menggunakan alokasi IPv6 secara internal. Mereka diberi IPv4 / 16 kembali pada hari itu dan bahkan hari ini membagikan alamat IPv4 ke hampir setiap klien internal. Jaringan RFC1918 dibatasi untuk jaringan telekomunikasi saja dan penggunaan khusus tertentu (standar PCI mengharuskan penggunaan RFC1918 hingga Oktober 2010).

Karena itu, mereka secara aktif berencana untuk menggunakan IPv6 secara internal juga. Ada beberapa masalah perangkat keras yang masih berjalan, switch tepi tidak cukup mendukung v6, tetapi intinya sudah siap. Idenya adalah bahwa mendapatkan dukungan v6 pada ujung yang dapat dilihat secara publik (oke, ujung responsif publik ) dari jaringan akan melibatkan 70% dari pekerjaan untuk menyebarkannya ke semua orang, mungkin juga melakukan 30% tambahan dan melakukan end-to- akhiri dengan itu.

Setelah hidup dengan alokasi IP publik begitu lama, orang-orang kami sangat menyadari pepatah: "hanya karena itu bersifat publik, tidak berarti itu dapat dijangkau." Seperti yang dikatakan Chris S, routeable tidak menyiratkan dapat dicapai.

Itulah sebabnya setidaknya satu kelas organisasi akan menggunakan IPv6 secara internal: karena mereka sudah menggunakan IPv4 non-RFC1918 secara internal.

sysadmin1138
sumber
7

IPv6 memang menawarkan beberapa potensi peningkatan dunia nyata atas IPv4, seperti konfigurasi otomatis yang lebih sederhana dan mekanisme penemuan otomatis, itu juga lebih aman dalam arti bahwa tidak mungkin bagi malware untuk mereplikasi seluruh jaringan dengan memindai port pada kisaran IP - - terlalu banyak IP. Tetapi peningkatan itu tidak terlalu dramatis, dan tentu saja tidak sebanding dengan biaya pergantian.

Tetapi perhatikan bahwa ini bukan salah satu atau salah satu keputusan, Anda dapat menjalankan keduanya secara paralel, dan jika Anda mengembangkan perangkat lunak, Anda mungkin harus, seperti banyak orang katakan, untuk tujuan pengujian. Tidak ada cara yang dapat diandalkan untuk membuat program yang kompatibel dengan IPv6 tanpa memiliki infrastruktur IPv6 internal untuk diuji. Sebagian besar OS modern akan mengatur jaringan IPv6 internal secara otomatis di antara mereka - itu hanya masalah menggunakannya.

10 tahun yang lalu saya membangun sedikit perangkat lunak untuk majikan yang digunakan pelanggan untuk mengambil pembaruan program. Ketika membangun komponen jaringan, saya harus memutuskan antara membangun kompatibilitas IPv6, atau hanya mengasumsikan semua alamat IP akan menjadi 4 byte. Saya memutuskan untuk mengambil rute sederhana, menghemat waktu sekitar 4 jam kerja, dan membuat aplikasi hanya IPv4. Saya pikir itu akan diganti dalam beberapa tahun lagi. Mereka masih menggunakannya hari ini, dan karenanya dikunci dari beberapa pasar yang lebih kecil.

tylerl
sumber
6

Bekerja untuk perusahaan kecil, saya hanya bisa memikirkan alasan untuk TIDAK menggunakan IPv6.

  • Kami bahkan tidak memiliki alamat publik IPv6, jadi mengapa kita akan menjalankannya secara internal?
  • Kita harus mengganti firewall kita, yang sangat kucintai, karena tidak (belum) mendukung IPv6
  • Kami tidak memiliki cara untuk menetapkan, apalagi mengontrol, alamat IPv6
  • Hanya setengah dari PC kami yang mendukung IPv6
  • Tidak ada pabrik kami yang mendukung IPv6
  • Switch kami tidak mendukung IPv6
  • Saya bahkan belum pernah melihat printer yang mendukung IPv6
  • IPv6 jauh lebih sulit digunakan dari baris perintah - poin yang cukup penting bagi saya
  • Saya perlu sepenuhnya untuk mempercepat IPv6 - sulit dilakukan ketika saya tidak tertarik
  • ... dan banyak alasan lain yang tidak bisa saya pikirkan barusan

Tidak masuk akal bagi perusahaan seperti kami untuk melakukan perubahan, karena akan membutuhkan biaya dan usaha yang besar tanpa ada untungnya.

Sejujurnya, saya suka NAT dan manfaat yang kami dapatkan dari berurusan dengan alamat lokal. Jika perlu (bukan sebagai geek yang ingin dilakukan) agar kami dapat berinteraksi dengan IPv6 di Internet, kami akan melakukannya di gateway.

Saya tidak berharap mode IPv6 saat ini menjadi kebutuhan bagi sebagian besar dunia, setidaknya secara internal, selama satu dekade atau lebih. Seperti yang saya perkirakan akan pensiun pada saat itu, tidak ada banyak insentif bagi saya secara pribadi untuk membuang waktu dan tenaga untuk itu.

Sunting:

Saya mendapatkan downvotes tetapi tidak satu pun pandangan yang masuk akal dan masuk akal. Membuat saya berpikir itu hanya sekelompok geek melompat yang ingin mengikuti tren tanpa memikirkannya. Harus ada ALASAN untuk membuat perubahan drastis ke jaringan dan saya tidak memilikinya. Lebih lanjut, saya sangat curiga hanya sedikit pengguna SF yang memilikinya.

John Gardeniers
sumber
2
1. minta alokasi dari ISP Anda .. Tidak seperti IPv4, Anda tidak bisa hanya meminta blok. Anda harus memiliki kemampuan untuk menggunakan jumlah X dari mereka dalam waktu 6 bulan.
Brian
2
3. Anda menetapkan dengan mengatur router Anda dengan alamat IPv6, dan membiarkan mesin mengkonfigurasi sendiri. (atau setup Dhcp6)
Brian
4
4. Windows XP SP2 mendukung IPv6. 6. Switch tidak berbicara IP. Mereka berbicara layer 2. Mereka bekerja dengan baik dengan Ipv6 Saya telah menjalankan Ipv6 selama beberapa switch 3com 2001. Anda mungkin perlu mendukung ipv4 masih untuk sampai ke manajemen beberapa dari mereka .. Printer HP dengan kartu jetdirect dijual dalam 5 tahun terakhir (atau lebih banyak) mendukung IPv6
Brian
1
"Switch kami tidak mendukung IPv6". Bukan masalah. "Aku bahkan belum pernah melihat printer yang mendukung IPv6" Ya, sudah 6 tahun dan duduk di sebelahku. (Laser Dell murah). "Saya perlu sepenuhnya mempercepat IPv6 - sulit dilakukan ketika saya tidak tertarik" Aye. Di sini saya setuju. Belajar sesuatu yang baru itu sulit. Tetapi menjadi satu-satunya yang memahaminya (dan Anda akan membutuhkannya dalam beberapa tahun) adalah keuntungan yang cukup.
Hennes
1
@ Hennes, semua yang telah dibahas dan sejauh yang saya tahu saya tidak akan membutuhkan IPv6 selama sisa masa kerja saya dan saya tidak akan pernah membutuhkannya di rumah. TKI, sama sekali tidak ada insentif bagi saya untuk belajar teknologi yang, di bagian dunia ini setidaknya, tidak perlu dan tidak akan ada dalam masa mendatang. Saya tidak setuju bahwa belajar sesuatu yang baru itu sulit. Saya melakukan itu setiap hari dalam hidup saya dan berharap untuk terus melakukannya sampai saya jatuh dari tempat bertengger.
John Gardeniers
5

Kita berbicara dua hal di sini - menjalankan jaringan internal pada IPv6 murni atau menjalankan dual-stack IPv4 / IPv6. Saya pikir itu terlalu dini untuk berbicara tentang menjalankan IPv6 murni - pada banyak sistem operasi bahkan tidak mungkin menggunakan IPv6 tanpa IPv4. Namun, Anda dapat mempertimbangkan menjalankan dual-stack untuk alasan berikut (a) jika Anda mengembangkan perangkat lunak (b) untuk mempersiapkan jaringan Anda untuk migrasi yang tidak terhindarkan ke IPv6. Jika situasi Anda A maka Anda harus bertindak sekarang, jika B maka menurut perkiraan saya Anda memiliki sekitar 1-2 tahun untuk memikirkannya (tetapi semakin cepat Anda memulai semakin siap Anda akan).

Situasi saya adalah A dan kami menjalankan dual-stack selama 6 bulan sekarang. Selama waktu ini kami mengidentifikasi dan memecahkan beberapa masalah dengan DNS publik / pribadi kami, alokasi alamat, DHCP, perutean, firewall dan kami bahkan tidak dapat mengantisipasi banyak masalah ini tanpa mencoba. Sekarang, kami sepenuhnya siap IPv6 dan kami bahkan memiliki akses publik IPv6 melalui tunneling. Dari pengalaman saya, saya dapat mengatakan dengan yakin bahwa IPv6 adalah solusi yang jauh lebih sederhana dan lebih elegan dibandingkan dengan penuaan IPv4, jadi saya akan sangat senang ketika saatnya tiba untuk beralih ke IPv6, tetapi sebelum waktu ini tiba - dual-stack adalah caranya untuk pergi.

dtoubelis
sumber
4

Selain ruang alamat lager, tidak adanya siaran, IPSec dan konfigurasi otomatis yang lebih sederhana ada beberapa keuntungan "tidak begitu dikenal" dari IPv6:

  1. Ruang alamat yang lebih besar berarti bahwa alamat memiliki lebih banyak bit yang dapat digunakan sebagai penyimpanan data. Misalnya hop-count antara dua node kemudian dapat menjadi fungsi dari alamat IPv6 mereka misalnya:
    alamat IPv6 dapat dalam format PREFIX:Country&Region:DC&Line:Rack&Unit:VM&IDsehingga lebih dekat node akan memiliki lebih banyak Most-Significant-Bits yang sama. Ini hanyalah sebuah contoh, tentu saja metrik "kedekatan" dapat disimpan dalam beberapa jenis basis data eksternal seperti TXT|SRVcatatan DNS .

  2. Ada beberapa teknik menggunakan ruang alamat IPv6 untuk keperluan kriptografi seperti Cryptographically Generated Addresses ( CGA ) dan SEND (SEcure Neighbor Discovery)

  3. Ketika IPv6 diaktifkan, semua node dalam jaringan memiliki alamat IPv6 tautan-lokal (jika tidak dikonfigurasi sebaliknya). Jadi ada kemungkinan Anda dapat mengakses bahkan simpul yang salah dikonfigurasi.

  4. Anda bisa mendapatkan alamat MAC node langsung dari alamat IPv6 link-lokal (jika ekstensi privasi IPv6 tidak dikonfigurasi)

  5. Tidak mungkin Anda dapat menggunakan IPv4 dalam subnet dengan ribuan node - jaringan Anda akan kelebihan beban dengan lalu lintas siaran (misalnya ARP).

  6. Anda dapat meminta node untuk informasi tambahan menggunakan informasi node , misalnya dalam BSD Anda dapat meminta host untuk ICMPv6 Node Information Node Addresses:

$ ping6 -a Aacgsl ::1

PING6(72=40+8+24 bytes) ::1 --> ::1
136 bytes from ::1: 
  fe80::beae:c5ff:fe43:44a(TTL=infty)
  fe80::beae:c5ff:fe43:212(TTL=infty)
  ::1(TTL=infty)
  fe80::1(TTL=infty)
  2a02::9222(TTL=infty)
SaveTheRbtz
sumber
2

Saya dapat memikirkan dua alasan untuk menggunakan IPv6 untuk host internal.

  1. Anda mungkin menemukan di masa depan bahwa host ini sekarang harus tersedia secara eksternal setidaknya pada port tertentu.

  2. Anda mungkin menemukan bahwa host ini perlu terhubung ke host lain yang juga telah memilih alamat internal yang sama. Misalnya Anda perlu terhubung ke 10.0.0.5 di Acme corporation dan alamat Anda sendiri di Emca corporation juga 10.0.0.5. Saya ingat ini terjadi di pekerjaan sebelumnya, kami berdua menggunakan alamat internal yang sama.

Saya akan mengatakan bahwa di dunia modern kebanyakan komputer tidak 100% internal. Sebagian besar desktop dapat membuat beberapa koneksi terbatas ke dunia luar atau sebaliknya.

Mike F
sumber
1

Satu-satunya alasan bagus untuk menggunakan IPv6 secara internal adalah untuk siap ketika dunia beralih ke IPv6, dan saya pikir itu alasan yang cukup buruk, mengingat tingkat adopsi. Karena sebagian besar IP internal tidak akan dapat dijangkau secara eksternal, itu tidak akan menjadi masalah besar untuk menerjemahkan sisanya.

Perusahaan saya mungkin tidak akan pernah beralih ke IPv6 secara internal. Ini akan membutuhkan perubahan mendasar dalam kebijakan yang begitu besar sehingga saya tidak bisa membayangkan bagaimana itu bisa terjadi. Banyak orang harus terbunuh, dan banyak pilihan perekrutan yang tidak bisa dijelaskan harus dibuat. Demikian juga, setiap upaya oleh unit-unit bisnis individu untuk beralih ke IPv6 pada LAN mereka akan terjepit dengan prasangka oleh jaringan perusahaan tuan berdasarkan keprihatinan interoperabilitas dan maintainablity (kita membiarkan banyak kelonggaran secara lokal, tapi tidak yang banyak.)

Pada dasarnya, jika beralih ke IPv6 tidak menyakitkan, kami akan melakukannya bertahun-tahun yang lalu.

Satanicpuppy
sumber
16
"Perusahaan saya mungkin tidak akan pernah beralih ke IPv6 secara internal." <- itu pernyataan IMHO yang cukup berani dan mungkin naif.
EEAA
4
@ erika: Mereka akan melakukannya ketika menjadi sulit untuk mendapatkan perangkat keras yang mendukung IPv4. Sampai saat itu, tidak. Tidak ada alasan bisnis untuk itu. Mereka akan lebih cenderung untuk membuang jaringan internal sepenuhnya, dan meng-host seluruh bisnis mereka di cloud di suatu tempat.
Satanicpuppy
3
Apa yang terjadi ketika Google atau beberapa layanan eksternal lainnya menjatuhkan dukungan untuk IPv4. Tidak dapat terhubung dengan orang di luar jaringan Anda akan menjadi masalah di masa depan.
Zoredache
3
@zoredache: Kami sedang berbicara tentang dukungan internal di sini. Bahkan sekarang, tidak sulit untuk menjembatani IPv4 ke IPv6, selama Anda tidak perlu setiap mesin tersedia secara eksternal. Sial, perangkat keras kami saat ini mendukung itu.
Satanicpuppy
2
Ingat bahwa semua kotak windows sejak vista menjalankan dual stack di luar kotak. Tidak ada alasan untuk TIDAK membiarkannya tetap seperti yang diterapkan
Jim B
-1

IPv4 dimaksudkan agar setiap perangkat langsung di Internet ... sampai kami kehabisan ruang alamat. Kemudian, kami menghabiskan 20 tahun terakhir untuk mengunci semuanya. Sekarang, IPv6 secara desain ingin, sekali lagi, menempatkan setiap perangkat langsung di Internet ... hasilnya akan sama. Saya sepenuhnya setuju bahwa NAT adalah satu lapisan keamanan yang tidak akan ditinggalkan tanpa penggantian yang sama efektif atau lebih baik.

Bart
sumber
1
Seperti firewall?
Michael Hampton
3
NAT bukan keamanan. Firewall adalah apa yang memberi Anda keamanan, bukan NAT. Firewall tidak membutuhkan NAT. Baik firewall IPv4 dan IPv6 bekerja dengan sangat baik tanpa mengaktifkan NAT, Anda dapat mengaktifkan NAT pada router yang tidak firewall, dan firewall bahkan tidak perlu merutekan. Tampaknya Anda tidak dapat melihat tepuk perangkat konsumen all-in-one. Seringkali nyaman untuk NAT, rute, dan firewall dalam satu perangkat, tetapi keduanya merupakan fungsi yang terpisah.
Ron Maupin
2
Kenapa orang masih mengatakan hal seperti ini? NAT bahkan bukan lapisan keamanan, dan itu tidak dirancang untuk menjadi satu. Itu hanya hack jelek di sekitar alamat yang tidak cukup panjang. Itu bukan halangan bagi kebanyakan penyerang. Menunduk karena salah dan tidak menjawab pertanyaan.
Falcon Momot
-3

Sayangnya, ada banyak informasi buruk di sebagian besar jawaban dan komentar ini. Sangat menyedihkan melihat orang buta memimpin orang buta dalam hal ini dengan cara yang sangat produktif.

NAT tidak ke mana-mana dan orang-orang yang memberi tahu Anda "Oh, NAT itu, betapa mengerikannya itu" ... "Oh itu NAT, itu tidak lain adalah pekerjaan" ... ad nasueum Jika mereka mulai menggunakan bahasa seperti bahwa, pindah ke arsitek jaringan profesional sejati untuk saran, bukan prajurit kursi akhir pekan jaringan.

Apakah Anda perlu memuat keseimbangan lalu lintas ke server internal dari Internet? Yah coba tebak, dengan IPv6 Anda tidak dapat melakukannya dengan cara yang telah Anda lakukan .... kecuali Anda menggunakan NAT!

Ya itu benar. Beberapa akan berkata, oh Anda hanya menggunakan DSR / Direct server load balancing kembali. Tetapi mereka lupa memberi tahu Anda bahwa Anda harus menyerah 1) Penyisipan cookie 2) Akselerasi aplikasi 3) Terjemahan alamat port

Jadi jika Anda ingin menjalankan server internal Anda pada port 8080 tetapi eksternal Anda pada port 80 ... Oh, sangat menyedihkan, tidak ada hubungannya dengan IPv6 .... kecuali Anda menggunakan NAT ole yang bagus! Bahkan dengan DSR.

Kemudian tambahkan bahwa "membual" yang orang katakan "Oh, ya semua proposal IPv6 NAT telah gagal ... syukurlah" (dan kekaisaran mati karena suara tepuk tangan). Anda tahu apa artinya itu? NAT akan menjadi mengerikan, bahkan jika itu bekerja sama sekali dengan IPv6, karena semua fanatik IPv6 menyangkal tentang perlunya NAT / PAT secara intrinsik dan orang-orang yang melakukannya melakukannya dengan enggan. Sedih, begitu buruk dikelola

Jadi apa yang Anda lakukan sekarang karena kebenaran telah membebaskan Anda dan Anda bisa mengatasi kerumunan lemming yang mencoba menggunakan taktik menakut-nakuti untuk memaksa kepatuhan Anda?

Anda membeli atau terus menggunakan Loadbalancer atau Firewall yang bertindak sebagai perantara publik / pribadi dari jaringan Anda. Antarmuka sisi publik menampung VIP yang sama dengan yang sudah Anda miliki tetapi dengan alamat IPv6 yang memuji jika Anda membutuhkannya. Semuanya di utara dari lapisan Loadbalancer / Firewall juga merupakan tumpukan ganda IPv4 / IPv6. Pada antarmuka bagian dalam Loadbalancer / Firewall, semuanya adalah IPv4 dan seluruh jaringan internal Anda adalah IPv4 dan tetap seperti itu selama yang Anda inginkan. Ini hanya bisnis Anda. Loadbalancer melakukan NAT / PAT antara luar dan dalam ... karena sudah dan perlu untuk load balancing berfitur lengkap dan karena sekarang ini juga menyelesaikan masalah IPv6 eksternal Anda.

Oh dan kepada orang sarkastik yang bertanya "Apa tujuan keamanan tunggal yang dilayani NAT"

Keamanan adalah tentang Ketersediaan di tingkat paling mendasar. Pikirkan tentang hal ini, sebelum Anda mengabaikannya.

Load balancers menyediakan Ketersediaan / Keamanan dan Anda HARUS menggunakan NAT / PAT untuk melakukannya dengan benar terlepas dari versi IP yang Anda gunakan.

Kutipan tentang gagal DSR: https://devcentral.f5.com/articles/the-diskeuntungan-of-dsr-direct-server-return

k thnx

Nona
sumber
2
Saya pikir jawaban Anda mencoba untuk mengatakan bahwa seseorang perlu NAT untuk memiliki penyeimbang beban nontrivial, tapi itu jelas bukan itu masalahnya dan tidak menjawab pertanyaan ...
Falcon Momot
-4

Ini bukan ide yang sangat baik untuk menggunakan IPv6 pada jaringan internal karena banyak perangkat lama gagal berkomunikasi. Mesin fotokopi tua / printer multifungsi, peralatan medis, mesin cetak tua, server lama dan perangkat jaringan. Skema IPv4 jauh lebih mudah untuk mengelola imo.

Pria itu
sumber
-12

Jawaban yang diterima menyesatkan

Konsep Chris S tentang NAT salah; salah satu fitur terbaik dari NAT selain perluasan buatan skema IPv4 adalah SECURITY. NAT adalah lapisan yang menyembunyikan IP asli dari sebuah host yang jika terhubung langsung ke Internet dapat menjadi target dari semua serangan yang bisa dibayangkan. Bahagia tentang menyingkirkan NAT tanpa mendorong langkah-langkah keamanan tambahan hanyalah ketidaktahuan tentang topik tersebut.

Menepuk
sumber
5
Bagaimana sebenarnya NAT lapisan keamanan?
MDMarra