当然,我意识到有必要在开放的互联网上使用 IPv6,因为我们的地址用完了,但我真的不明白为什么有必要在内部网络上使用它。我在 IPv6 上做了零,所以我也想知道:现代防火墙不会在内部 IPv4 地址和外部 IPv6 地址之间进行 NAT 吗?
我只是想知道,因为我在这里看到这么多人在为 IPv6 问题而苦苦挣扎,不知道为什么要麻烦?
Chr*_*s S 58
没有适用于 IPv6 的 NAT(正如您对 NAT 的看法)。NAT 是地址耗尽的 IPv4 的 $EXPLETIVE 临时解决方案(这个问题实际上并不存在,并且在需要 NAT 之前就已解决,但历史是 20/20)。它只增加了复杂性,除了在 IPv6 中引起头痛之外几乎没有任何作用(我们有太多的 IPv6 地址,我们毫不掩饰地浪费了它们)。NAT66 确实存在,旨在减少每个主机使用的 IPv6 地址数量(IPv6 主机有多个地址是正常的,IPv6 在许多方面与 IPv4 有所不同,这是其中之一)。
Internet 应该是端到端可路由的,这也是 IPv4 被发明并获得接受的部分原因。这并不是说 Internet 上的所有地址都应该是可访问的。NAT 破坏了两者。防火墙通过破坏可达性来增加安全层,但通常是以牺牲可路由性为代价的。
您将需要在您的网络中使用 IPv6,因为无法使用 IPv4 地址指定 IPv6 端点。另一种方法确实有效,它使使用 DNS64 和 NAT64 的纯 IPv6 网络仍然可以访问 IPv4 Internet。今天实际上可以完全抛弃 IPv4,尽管设置起来有点麻烦。可以从 IPv4 内部地址代理到 IPv6 服务器。添加和配置代理服务器会增加网络的配置、硬件和维护成本;通常不仅仅是启用 IPv6。
NAT 也会导致它自己的问题。路由器必须能够协调通过它运行的每个连接,跟踪端点、端口、超时等。通常,所有流量都通过该单一点汇集。尽管可以构建冗余 NAT 路由器,但该技术非常复杂且通常很昂贵。冗余简单路由器既简单又便宜(相对而言)。此外,为了重新建立一些可路由性,必须在 NAT 系统上建立转发和转换规则。这仍然会破坏嵌入 IP 地址的协议,例如 SIP。UPNP、STUN 和其他协议也被发明来帮助解决这个问题——更复杂、更多维护、更多可能出错。
pet*_*rus 22
内部 (rfc1918) ipv4 地址用完也可能是使用 ipv6 的一个非常有效的理由。
Comcast在 Nanog37 上解释了为什么他们的管理地址使用 ipv6。
20 Million video customer
x 2.5 STB/customer
x 2 ip addresses/STB
--------------------
= 100 Millions IP addresses
而这仅仅是视频,而不是数据/调制解调器。
他们在 2005 年用尽了 RFC1918 池。然后他们使用了公共地址池(因为 nat 不是管理选项),并转而使用 ipv6 来解决他们的需求。
Law*_*ceC 14
几个原因:
IPv6 不支持广播。它被多播取代。广播使一个节点能够向子网上的所有节点发送流量。广播域的管理是保持大型 IPv4 网络快速平稳运行的主要问题。多播要求想要接收“广播”式的节点实际“注册”它,因此网络不会充斥着到达所有主机的流量。
IPv6 本身支持 IPsec 风格的加密。
IPv6 支持自动配置。路由器后面的主机可以在不需要 DHCP 的情况下自行配置,尽管您仍然需要 DHCP 服务器来分发 DHCP 选项,例如 DNS 服务器、TFTP 服务器等。
sys*_*138 13
我在一家大型大学的旧工作将在内部使用 IPv6 分配。他们在当天被分配了 IPv4 /16,即使在今天也将 IPv4 地址传递给几乎每个内部客户端。RFC1918 网络仅限于电信专用网络和某些特定用途(PCI 标准要求 RFC1918 使用到 2010 年 10 月)。
因此,他们也积极计划在内部使用 IPv6。还有一些硬件问题需要解决,边缘交换机对 v6 的支持不够好,但核心已经准备好了。这个想法是,在网络的公开可见端(好吧,公开响应端)获得 v6 支持将需要 70% 的工作来将它部署到每个人,也可以做额外的 30% 并进行端到端 -以它结束。
在公共 IP 分配中生活了这么久,我们的人非常清楚这句格言:“仅仅因为它是公共的,并不意味着它可以访问。” 正如 Chris S 所说,可路由并不意味着可达。
这就是为什么至少有一类组织会在内部部署 IPv6:因为他们已经在内部使用非 RFC1918 IPv4。
Joh*_*ers 10
在一家小公司工作,我只能想到不使用 IPv6 的理由。
像我们这样的公司做出改变是没有意义的,因为这会花费大量的费用和精力,而且绝对不会从中获得任何收益。
坦率地说,我喜欢 NAT 以及我们从处理本地地址中获得的好处。如果我们有必要(而不是成为极客想做的事情)在 Internet 上与 IPv6 交互,我们将在网关上进行。
我并不指望这种当前的 IPv6 时尚会成为世界上绝大多数国家的必需品,至少在十年或更长时间内是这样。因为我预计到那时就退休了,所以我个人没有太多的动力去浪费时间和精力。
编辑:
我得到了反对票,但没有一个合乎逻辑且明智的反对意见。让我觉得这只是一群想跟风不假思索地跟风的极客。必须有一个理由对网络进行如此剧烈的改变,而我没有。此外,我强烈怀疑只有极少数 SF 用户有一个。
与 IPv4 相比,IPv6 确实提供了一些潜在的现实改进,例如更简单的自动配置和自动发现机制,它也更安全,因为恶意软件无法通过端口扫描 IP 范围在网络上复制 - - IP 太多了。但这些改进并不是特别引人注目,当然也不值得转换成本。
但请注意,这不是一个非此即彼的决定,您可以并行运行两者,如果您开发软件,您可能应该,正如许多人提到的那样,用于测试目的。如果没有内部 IPv6 基础设施进行测试,就没有可靠的方法使程序与 IPv6 兼容。大多数现代操作系统会在它们之间自动建立一个内部 IPv6 网络——这只是使用它的问题。
10 年前,我为雇主客户开发了一些软件,用于获取程序更新。在构建网络组件时,我必须决定是构建 IPv6 兼容性还是假设所有 IP 地址都是 4 个字节。我决定走简单的路线,节省了大约 4 个小时的工作时间,并使应用程序仅支持 IPv4。我想无论如何它都会在几年内被取代。他们今天仍在使用它,因此被排除在一些较小的市场之外。
我们在这里谈论两件事 - 在纯 IPv6 上运行内部网络或运行 IPv4/IPv6 双栈。我认为现在谈论运行纯 IPv6 还为时过早——在许多操作系统上,没有 IPv4 甚至不可能使用 IPv6。但是,如果您开发软件 (b) 以便为不可避免地迁移到 IPv6 的网络做好准备,您可能会出于以下原因考虑运行双栈 (a)。如果您的情况是 A,那么您应该立即采取行动,如果是 B,那么根据我的估计,您有大约 1-2 年的时间来考虑(但越早开始,您就越有准备)。
我的情况是 A,我们现在双栈运行了 6 个月。在此期间,我们发现并解决了公共/私有 DNS、地址分配、DHCP、路由、防火墙方面的一些问题,如果不尝试,我们甚至无法预料其中的许多问题。现在,我们已经完全准备好 IPv6,我们甚至可以通过隧道进行 IPv6 公共访问。根据我的经验,我可以自信地说,与过时的 IPv4 相比,IPv6 是更简单、更优雅的解决方案,所以当切换到 IPv6 时我会很高兴,但在这个时间到来之前 - 双栈是一种方式去。