Bien sûr, je me rends compte de la nécessité de passer à IPv6 sur Internet ouvert car nous manquons d'adresses, mais je ne comprends vraiment pas pourquoi il est nécessaire de l'utiliser sur un réseau interne. J'ai fait zéro avec IPv6, donc je me demande aussi: les pare-feu modernes ne feront-ils pas NAT entre les adresses IPv4 internes et les adresses IPv6 externes?
Je me demandais juste depuis que j'ai vu tant de gens aux prises avec des questions IPv6 ici, et je me demande pourquoi s'embêter?
Il n'y a pas NAT pour IPv6 (comme vous pensez de NAT de toute façon). NAT était une solution temporaire $ EXPLETIVE pour IPv4 à court d'adresses (un problème qui n'existait pas réellement et qui a été résolu avant NAT était toujours nécessaire, mais l'historique est 20/20). Il n'ajoute rien d'autre que de la complexité et ne ferait pas grand-chose sauf provoquer des maux de tête dans IPv6 (nous avons tellement d'adresses IPv6 que nous les gaspillons sans vergogne). NAT66 existe et est destiné à réduire le nombre d'adresses IPv6 utilisées par chaque hôte (il est normal que les hôtes IPv6 aient plusieurs adresses, IPv6 est quelque peu différent de IPv4 à bien des égards, celui-ci est l'un).
Internet était censé être routable de bout en bout, c'est une des raisons pour lesquelles IPv4 a été inventé et pourquoi il a été accepté. Cela ne veut pas dire que toutes les adresses sur Internet étaient censées être accessibles. NAT casse les deux. Les pare-feu ajoutent des couches de sécurité en cassant l'accessibilité, mais normalement c'est au détriment de la routabilité.
Vous voudrez IPv6 dans vos réseaux car il n'y a aucun moyen de spécifier un point de terminaison IPv6 avec une adresse IPv4. L'inverse fonctionne, ce qui permet aux réseaux IPv6 uniquement utilisant DNS64 et NAT64 d'accéder encore à Internet IPv4. Il est en fait possible aujourd'hui d'abandonner IPv4 tous ensemble, bien que ce soit un peu compliqué de le configurer. Il serait possible de faire un proxy depuis des adresses internes IPv4 vers des serveurs IPv6. L'ajout et la configuration d'un serveur proxy ajoutent des coûts de configuration, de matériel et de maintenance au réseau; généralement bien plus que simplement activer IPv6.
NAT cause aussi ses propres problèmes. Le routeur doit être capable de coordonner chaque connexion qui le traverse, de garder une trace des points de terminaison, des ports, des délais d'expiration, etc. Tout ce trafic est généralement acheminé via ce point unique. Bien qu'il soit possible de créer des routeurs redondants NAT, la technologie est massivement complexe et généralement coûteuse. Les routeurs simples redondants sont faciles et bon marché (comparativement). De plus, pour rétablir une partie de la routabilité, le transfert et les règles de traduction doivent être établies sur le système NAT. Cela rompt toujours les protocoles qui incorporent des adresses IP, tels que SIP. UPNP, STUN et d'autres protocoles ont été inventés pour résoudre ce problème également - plus de complexité, plus de maintenance, plus que pourrait mal tourner.
Le manque d'adresses IPv4 internes (rfc1918) peut également être une raison très valable pour passer à ipv6.
Comcast expliqué à Nanog37 pourquoi ils utilisaient ipv6 pour leurs adresses de gestion.
20 Million video customer
x 2.5 STB/customer
x 2 ip addresses/STB
--------------------
= 100 Millions IP addresses
Et ce n'est que pour la vidéo , pas les données/modems.
Ils ont épuisé les pools RFC1918 en 2005. Ensuite, ils ont utilisé des pools d'adresses publiques (car nat n'est pas une option pour la gestion), et est allé ipv6 pour résoudre leurs besoins .
Quelques raisons:
IPv6 ne prend pas en charge la diffusion. Il est remplacé par la multidiffusion. La diffusion permet à un nœud d'envoyer du trafic à tous les nœuds d'un sous-réseau. La gestion des domaines de diffusion est un problème majeur pour assurer le fonctionnement rapide et fluide des grands réseaux IPv4. La multidiffusion nécessite que les nœuds qui souhaitent recevoir un style de "diffusion" y adhèrent réellement, afin que le réseau ne soit pas inondé de trafic qui frappe tous les hôtes.
IPv6 prend en charge le cryptage de style IPsec de manière native.
IPv6 prend en charge la configuration automatique. Il est possible que les hôtes derrière un routeur se configurent sans avoir besoin de DHCP, bien que vous ayez toujours besoin d'un serveur DHCP pour distribuer des options DHCP telles que le serveur DNS, le serveur TFTP, etc.
Mon ancien emploi, dans une grande université, utilisait une allocation IPv6 en interne. Un IPv4/16 leur a été attribué dans la journée et transmet encore aujourd'hui des adresses IPv4 à presque tous les clients internes. Les réseaux RFC1918 étaient limités au réseau de télécommunications uniquement et à certains usages spécialisés (les normes PCI exigeaient l'utilisation du RFC1918 jusqu'en octobre 2010).
Pour cette raison, ils prévoyaient activement d'utiliser IPv6 en interne également. Il y avait encore des problèmes matériels à résoudre, les commutateurs Edge ne prenaient pas assez bien en charge la v6, mais le cœur était prêt. L'idée était que la prise en charge de la v6 à l'extrémité visible du public (d'accord, la fin publique responsive) du réseau impliquerait 70% du travail pour la déployer à tout le monde, pourrait aussi faire le 30 supplémentaire % et aller de bout en bout avec elle.
Ayant vécu avec une allocation IP publique pendant si longtemps, nos gens étaient très conscients de l'adage: "ce n'est pas parce qu'il est public qu'il est accessible". Comme l'a dit Chris S, routeable n'implique pas accessible.
C'est pourquoi au moins une classe d'organisation déploierait IPv6 en interne: car ils utilisent déjà IPv4 non RFC1918 en interne.
IPv6 offre des améliorations potentielles dans le monde réel par rapport à IPv4, telles qu'un mécanisme de configuration automatique et de découverte automatique plus simple, il est également plus sûr dans le sens où il devient impossible pour les logiciels malveillants de se répliquer sur un réseau en scannant le port d'une plage IP - - il y a tout simplement trop d'adresses IP. Mais ces améliorations ne sont pas particulièrement spectaculaires et ne valent certainement pas le coût de commutation.
Mais notez que ce n'est pas une décision soit/o, vous pouvez exécuter les deux en parallèle, et si vous développez un logiciel, vous devriez probablement, comme beaucoup de gens l'ont mentionné, à des fins de test. Il n'y a aucun moyen fiable de rendre un programme compatible IPv6 sans avoir une infrastructure IPv6 interne sur laquelle tester. La plupart des systèmes d'exploitation modernes établiront automatiquement un réseau IPv6 interne entre eux - c'est juste une question d'utilisation.
Il y a 10 ans, j'ai créé un logiciel pour un employeur que les clients utilisent pour récupérer les mises à jour du programme. Lors de la création du composant réseau, j'ai dû choisir entre la création de la compatibilité IPv6, ou simplement en supposant que toutes les adresses IP seront de 4 octets. J'ai décidé de prendre la route simple, en économisant environ 4 heures de travail, et en faisant l'application IPv4 uniquement. J'ai pensé qu'il serait remplacé dans quelques années de toute façon. Ils l'utilisent encore aujourd'hui et sont donc exclus de certains marchés plus petits.
En travaillant pour une petite entreprise, je ne peux que penser à des raisons de NE PAS utiliser IPv6.
Cela n'a tout simplement pas de sens pour une entreprise comme la nôtre d'effectuer le changement, car cela nécessiterait des dépenses et des efforts considérables sans rien en retirer.
Franchement, j'aime NAT et les avantages que nous tirons du traitement des adresses locales. Si jamais cela devient nécessaire ( plutôt que d'être un geek à faire) pour que nous interagissions avec IPv6 sur Internet, nous le ferons à la passerelle.
Je ne m'attends pas à ce que cette mode IPv6 actuelle devienne une nécessité pour la très grande majorité du monde, au moins en interne, pendant une décennie ou plus. Comme je m'attends à être à la retraite d'ici là, il n'y a pas beaucoup d'incitation pour moi personnellement à perdre du temps et des efforts.
Modifier:
Je reçois des votes négatifs, mais pas une seule opinion opposée logique et sensée. Cela me fait penser que ce n'est qu'un groupe de geeks de saut en marche qui veulent suivre la tendance sans y penser. Il doit y avoir une RAISON pour apporter un changement aussi radical à un réseau et je n'en ai pas. De plus, je soupçonne fortement que très peu d'utilisateurs SF en ont un.
Nous parlons ici de deux choses: exécuter un réseau interne sur IPv6 pur ou exécuter une double pile IPv4/IPv6. Je pense qu'il est prématuré de parler d'exécuter IPv6 pur - sur de nombreux systèmes d'exploitation, il est même impossible d'utiliser IPv6 sans IPv4. Cependant, vous pouvez envisager d'exécuter la double pile pour les raisons suivantes (a) si vous développez un logiciel (b) afin de préparer votre réseau à une migration inévitable vers IPv6. Si votre situation est A, vous devez agir maintenant, si c'est B, alors selon mon estimation, vous avez environ 1-2 ans pour y penser (mais plus vous commencez tôt, plus vous serez préparé).
Ma situation est A et nous utilisons la double pile depuis 6 mois maintenant. Pendant ce temps, nous avons identifié et résolu certains problèmes avec notre DNS public/privé, l'allocation d'adresses, le DHCP, le routage, le pare-feu et nous ne pouvions même pas anticiper bon nombre de ces problèmes sans essayer. Maintenant, nous sommes entièrement prêts pour IPv6 et nous avons même un accès public IPv6 via tunneling. D'après mon expérience, je peux dire avec confiance qu'IPv6 est une solution beaucoup plus simple et plus élégante par rapport au vieillissement d'IPv4, donc je serai très heureux quand le moment sera venu de passer à IPv6, mais avant cette heure - la double pile est le moyen aller.
Mis à part l'espace d'adressage de la lager, l'absence de diffusion, l'IPSec et la configuration automatique plus simple, IPv6 présente certains avantages "peu connus":
Un espace d'adressage plus grand signifie que l'adresse a plus de bits qui peuvent être utilisés comme stockage de données. Par exemple, le nombre de sauts entre deux nœuds peut alors être fonction de leurs adresses IPv6, par exemple:
L'adresse IPv6 peut être au format PREFIX:Country&Region:DC&Line:Rack&Unit:VM&ID
donc les nœuds les plus proches auront plus de bits les plus significatifs. Ceci est juste un exemple, bien sûr, les mesures de "proximité" peuvent être stockées dans une sorte de base de données externe comme DNS TXT|SRV
enregistrements.
Il existe certaines techniques d'utilisation de l'espace d'adressage d'IPv6 à des fins cryptographiques telles que les adresses générées par cryptographie ( CGA ) et SEND (SEcure Neighbour Discovery)
Lorsque IPv6 est activé, tous les nœuds du réseau ont une adresse IPv6 de liaison locale (si ce n'est pas configuré autrement). Il est donc possible que vous puissiez accéder à un nœud même mal configuré.
Vous pouvez obtenir les adresses MAC des nœuds directement à partir de l'adresse IPv6 de liaison locale (si les extensions de confidentialité IPv6 ne sont pas configurées)
Il n'y a aucun moyen d'utiliser IPv4 dans des sous-réseaux avec des milliers de nœuds - votre réseau sera surchargé de trafic de diffusion (par exemple ARP).
Vous pouvez interroger le nœud pour des informations supplémentaires en utilisant informations sur le nœud , par ex. dans BSD, vous pouvez interroger l'hôte pour ICMPv6 Node Information Node Addresses:
$ ping6 -a Aacgsl ::1
PING6(72=40+8+24 bytes) ::1 --> ::1
136 bytes from ::1:
fe80::beae:c5ff:fe43:44a(TTL=infty)
fe80::beae:c5ff:fe43:212(TTL=infty)
::1(TTL=infty)
fe80::1(TTL=infty)
2a02::9222(TTL=infty)
Je peux penser à deux raisons d'utiliser IPv6 pour un hôte interne.
Il est possible que vous constatiez à l'avenir que cet hôte doit désormais être disponible en externe au moins sur certains ports.
Vous pouvez constater que cet hôte doit se connecter à un autre hôte qui a également choisi la même adresse interne. Par exemple, vous devez vous connecter à 10.0.0.5 chez Acme corporation et votre propre adresse chez Emca corporation est également 10.0.0.5. Je me souviens que cela s'était produit lors d'un précédent travail, nous avions tous les deux utilisé les mêmes adresses internes.
Je dirais que dans le monde moderne, la plupart des ordinateurs ne sont pas 100% internes. La plupart des ordinateurs de bureau peuvent établir des connexions limitées avec le monde extérieur ou vice versa.
La seule bonne raison d'aller IPv6 en interne est d'être prêt lorsque le monde passe à IPv6, et je pense que c'est une très mauvaise raison, compte tenu du taux d'adoption. Étant donné que la plupart des adresses IP internes ne seront pas accessibles en externe, il ne serait pas difficile de traduire le reste.
Ma société ne passera probablement jamais en IPv6 en interne. Cela nécessiterait un changement fondamental de politique si massif que je ne peux honnêtement pas imaginer comment cela pourrait se produire. Beaucoup de gens devraient être tués et beaucoup de choix d'embauche inexplicables devaient être faits. De même, toute tentative par des unités commerciales individuelles de passer à IPv6 sur leurs réseaux locaux serait écrasée par les préceptes des réseaux d'entreprise en raison de problèmes d'interopérabilité et de maintenabilité (nous accordons beaucoup de latitude localement, mais pas que beaucoup.)
Fondamentalement, si le passage à IPv6 était indolore, nous l'aurions fait il y a des années.
IPv4 était destiné à ce que chaque appareil soit directement sur Internet ... jusqu'à ce que nous manquions d'espace d'adressage. Ensuite, nous avons passé les 20 dernières années à tout verrouiller. Désormais, IPv6 par sa conception veut, une fois de plus, placer chaque appareil directement sur Internet ... le résultat sera le même. Je suis totalement d'accord que NAT est une couche de sécurité qui ne va pas être abandonnée sans un remplacement tout aussi efficace, ou mieux).