web-dev-qa-db-fra.com

Les gens vont-ils vraiment utiliser des adresses IPv6 publiques sur leurs réseaux privés?

J'ai lu le Manuel de Debian System Administrator et je suis tombé sur ce passage dans la section de la passerelle:

... Notez que =NAT est uniquement pertinent pour IPv4 et son espace d'adressage limité; dans IPv6, la grande disponibilité d'adresses réduit considérablement l'utilité de NAT par Autoriser toutes les adresses "internes" à être directement routables sur Internet (cela n'implique pas que les machines internes sont accessibles, car les pare-feu intermédiaires peuvent filtrer le trafic).

Cela m'a fait penser ... avec IPv6, il reste encore une gamme privée. Voir: RFC419 . Les entreprises vont-elles vraiment mettre en place toutes leurs machines internes avec des adresses publiques? Est-ce la mesure où IPv6 est destiné à fonctionner?

19
Questionmark

Est-ce la mesure où IPv6 est destiné à fonctionner?

En bref, oui. L'une des principales raisons d'augmenter l'espace d'adresses si radicalement avec IPv6 est de se débarrasser des technologies de bande-aidation telles que NAT et de créer un acheminement de réseau plus simple.

Mais ne confondez pas le concept d'adresse publique et d'un hôte accessible au public. Il y aura toujours des serveurs "internes" qui ne sont pas accessibles Internet même s'ils ont une adresse publique. Ils seront protégés avec des pare-feu comme ils sont avec IPv4. Mais il sera également beaucoup plus facile de décider que le serveur interne qu'à l'aujourd'hui a besoin d'ouvrir un service spécifique à Internet demain.

Les entreprises vont-elles vraiment mettre en place toutes leurs machines internes avec des adresses publiques?

À mon avis, les intelligents vont. Mais comme vous l'avez probablement remarqué, cela va prendre un assez longtemps.

29
Ryan Bolger

S'il n'y a pas besoin de connectivité extérieure, les réseaux privés peuvent être utilisés. C'est la raison de définir l'espace d'adresses privé également dans IPv6.

NAT est un piratage qui a été inventé pour retarder l'épuisement de l'espace d'adresses IPv4. NAT Cause des problèmes avec les applications et pour obtenir les candidatures à travailler avec NAT, de plus en plus de hacks sont nécessaires en conflit avec la conception originale de la propriété intellectuelle.

Ainsi, la manière préférée est de fonctionner comme Yarik répondit, utilisez un pare-feu d'état approprié au bord du réseau.

14
Tero Kilkanen

Comme indiqué, c'est la façon dont la propriété intellectuelle a été conçue pour fonctionner et cela fonctionne bien. NAT introduit parfois des problèmes ennuyeux. Certains ont décrit "la cachette" de Nat de la propriété intellectuelle interne comme un avantage, mais cela peut également être désavantagé.

J'ai travaillé dans une place avec A/16 et nous avons utilisé des adresses IPv4 roulées publiquement sur chaque appareil (y compris les imprimantes et les téléphones mobiles et les timbolages électroniques). Cela a bien fonctionné, et en outre, il a permis de suivre une mauvaise conduite des utilisateurs et des appareils tout cela beaucoup plus facilement. Il limitait également l'impact de ces utilisateurs, de sorte que si une personne réussisse à commencer à épandrer des logiciels malveillants ou se fait du torrent, il est moins susceptible d'affecter (dire) votre capacité de serveurs de messagerie à communiquer sans entrave à cause d'une liste noire.

7
briantist

Les Proponeets IPv6 SAW NAT comme un piratage temporaire pour alléger l'épuisement de l'adresse IPv4 et donc NAT ne serait pas nécessaire avec IPv6.

Cependant NAT a quelques avantages autres que d'arrêter l'épuisement de l'adresse.

  1. Nat découle votre adressage interne de votre connectivité Internet.
  2. Au moins sur Linux, NAT a tendance à échouer - fermé. Si les règles IPTABLES omettent de charger, les périphériques IPS privés n'auront aucune connectivité à Internet, cela sera rapidement remarqué et corrigé. Paquet. Les pare-feu d'inspection de l'autre côté peuvent échouer facilement s'ouvrir si le transfert IP est activé, mais les règles IPTABLES ne sont pas chargées.
  3. NAT Hides Quelle machine interne a fait une demande. Les extensions de confidentialité aident dans une certaine mesure à cela, mais elles ne cachent pas le sous-réseau et ils sont une fonctionnalité côté client de sorte que le système d'exploitation client, et non l'administrateur réseau, choisit si elles sont utilisées ou non.

En tant que tel, je m'attendrais à ce que j'attendrait au moins certaines entreprises qui choisissent de déployer V6 avec NAT de la même manière que possible pour IPv4. D'autres personnes peuvent être côte à côte avec les promoteurs IPv6 et aller pour des pare-feu mais aucune traduction de l'adresse.


Je vous encouragerais fortement (et quelqu'un d'autre envisage d'implémenter NAT avec IPv6) de reconsidérer, après avoir lu RFC 4864 pour obtenir des conseils sur ce qu'il faut faire au lieu de NAT

Je l'ai lu mais je ne pense pas qu'il fournisse une réplique complète pour NAT.

  1. Nat découle votre adressage interne de votre connectivité Internet.

L'IPv6 Propnents "SolOUTION" à ceci est triple, exécutez plusieurs adresses à Paralell, automatisez l'affectation d'adresses dynamiques de fournisseur (s) à des netWrks internes et utilisez ULAS pour fournir des adtrès locales à long terme.

Les adresses en cours d'exécution de différentes difficultés à vie en parallèle gèrent le risque que les adresses non permanentes finiront par une configuration à long terme. Exécution de plusieurs adresses Internet à Paralell a le problème que les systèmes d'exploitation des clients ne sont pas équipés pour savoir quelle passerelle Internet de leurs paquets partira.

La délégation de préfixes a été solidement mise en œuvre pour les scénarios à un seul niveau où un seul routeur CPE demande un préfixe de la FAI et l'attribue à une ou plusieurs interfaces locales, mais il ne semble actuellement pas être une bonne mise en œuvre pour la délivrance multi-niveaux dans un site client.

  1. Au moins sur Linux, NAT a tendance à échouer - fermé. Si les règles IPTABLES omettent de charger, les périphériques IPS privés n'auront aucune connectivité à Internet, cela sera rapidement remarqué et corrigé. Paquet. Les pare-feu d'inspection de l'autre côté peuvent échouer facilement s'ouvrir si le transfert IP est activé, mais les règles IPTABLES ne sont pas chargées.

Les promoteurs IPv6 ne semblent fournir aucune réponse à cela. Ils semblent simplement supposer que les accidents ne se produiront pas.

  1. NAT Hides Quelle machine interne a fait une demande.

Les extensions de confidentialité aident dans une certaine mesure à cela, mais elles ne cachent pas le sous-réseau et ils sont une fonctionnalité côté client de sorte que le système d'exploitation client, et non l'administrateur réseau, choisit si elles sont utilisées ou non.

Il existe une proposition de frottage/128s à des machines individuelles, puis à créer des entrées IGP pour les acheminer, mais je ne suis au courant de personne en train de la mettre en œuvre dans la pratique.

4
Peter Green