Que*_*ark 19 nat routing ip ipv6 ip-address
我一直在阅读Debian 系统管理员手册,我在网关部分看到了这段话:
...请注意,NAT 仅与 IPv4 及其有限的地址空间相关;在 IPv6 中,地址的广泛可用性通过允许所有“内部”地址在 Internet 上直接路由(这并不意味着内部机器可以访问,因为中间防火墙可以过滤流量)大大降低了 NAT 的实用性。
这让我想到... IPv6 仍然有一个私有范围。请参阅:RFC4193。公司真的会用公共地址设置他们所有的内部机器吗?这就是 IPv6 的工作方式吗?
Rya*_*ger 29
这就是 IPv6 的工作方式吗?
简而言之,是的。使用 IPv6 大幅增加地址空间的主要原因之一是摆脱 NAT 等创可贴技术并使网络路由更简单。
但不要混淆公共地址和可公开访问的主机的概念。仍然会有“内部”服务器无法访问 Internet,即使它们有公共地址。他们将像使用 IPv4 一样受到防火墙的保护。但是,决定今天的内部专用服务器明天需要向互联网开放特定服务也会容易得多。
公司真的会用公共地址设置他们所有的内部机器吗?
在我看来,聪明的人会。但正如您可能已经注意到的那样,这将需要相当长的时间。
Yar*_*Dot 20
我们在公司网络中为所有设备使用公共 IPv6 地址。
我们在网关上使用有状态防火墙,即:
任何公共流量(ICMP 和已建立的连接除外)都不应进入我们的网络。
到目前为止,我们对这个设置没有任何问题,而且效果很好。
Ter*_*nen 14
如果不需要外部连接,则可以使用专用网络。这就是在 IPv6 中也定义私有地址空间的原因。
NAT 是一种被发明来延迟 IPv4 地址空间耗尽的黑客。NAT 会导致应用程序出现问题,并且要使应用程序与 NAT 一起工作,需要进行更多与 IP 原始设计相冲突的 hack。
因此,首选方法是像 Yarik 回答的那样工作,在网络边缘使用适当的有状态防火墙。
如前所述,这就是 IP 设计的工作方式,而且效果很好。NAT 有时会引入烦人的问题。有些人将 NAT 对内部 IP 的“隐藏”描述为一个优势,但它也可能是一个劣势。
我在一个有 /16 的地方工作,我们在每台设备(包括打印机、手机和电子时钟)上使用了可公开路由的 IPv4 地址。它工作得很好,此外,它还使追踪行为不端的用户和设备变得更加容易。它还限制了这些用户的影响,因此,如果有人设法开始传播恶意软件或被抓到种子下载,则不太可能影响(例如)您的邮件服务器的不受阻碍的通信能力,因为它位于黑名单中。
| 归档时间: |
|
| 查看次数: |
8062 次 |
| 最近记录: |