Por que você usaria o IPv6 internamente?

Não há NAT para IPv6 (como você pensa no NAT). O NAT era uma solução temporária $ EXPLETIVE para o IPv4 que ficava sem endereços (um problema que não existia, e foi resolvido antes que o NAT fosse necessário, mas a história é 20/20). Não acrescenta nada além de complexidade e faria pouco além de causar dores de cabeça no IPv6 (nós temos tantos Endereços IPv6 que nós descaradamente os desperdiçamos). O NAT66 existe e tem como objetivo reduzir o número de endereços IPv6 usados por cada host (é normal que os hosts IPv6 tenham vários endereços, o IPv6 é um pouco diferente do IPv4 em muitos aspectos, esse é um).

Você desejará o IPv6 em suas redes, pois não há como especificar um ponto de extremidade IPv6 com um endereço IPv4. O contrário funciona, o que permite que redes somente IPv6 usando DNS64 e NAT64 acessem a Internet IPv4 ainda. Na verdade, é possível eliminar o IPv4 todos juntos, embora seja um pouco incômodo configurá-lo. Seria possível fazer proxy de endereços internos do IPv4 para servidores IPv6. Adicionar e configurar um servidor proxy adiciona custos de configuração, hardware e manutenção à rede; geralmente muito mais do que simplesmente ativar o IPv6.

O NAT também causa problemas. O roteador precisa ser capaz de coordenar todas as conexões que o executam, mantendo o controle de endpoints, portas, timeouts e muito mais. Todo esse tráfego está sendo canalizado através desse único ponto normalmente. Embora seja possível construir roteadores NAT redundantes, a tecnologia é maciçamente complexa e geralmente cara. Roteadores simples e redundantes são fáceis e baratos (comparativamente). Além disso, para restabelecer algumas das regras de roteamento, encaminhamento e tradução, é necessário estabelecer regras no sistema NAT. Isso ainda quebra protocolos que incorporam endereços IP, como o SIP. UPNP, STUN e outros protocolos foram inventados para ajudar com este problema também - mais complexidade, mais manutenção, mais que poderia dar errado .

A falta de endereços ipv4 internos (rfc1918) também pode ser uma razão muito válida para acessar o ipv6.

Comcast explicou na Nanog37 por que eles estavam indo ipv6 para seus endereços de gerenciamento.

20 Million video customer
x 2.5 STB/customer
x 2 ip addresses/STB
--------------------  
= 100 Millions IP addresses

E isso é somente para vídeo , não para dados / modems.

Eles esgotaram os pools RFC1918 em 2005. Então eles usaram pools de endereços públicos (como nat não é uma opção para gerenciamento), e foi o ipv6 para resolver suas necessidades .

Algumas razões:

• O IPv6 não suporta transmissão. É substituído por multicasting. Broadcasting permite que um nó envie tráfego para todos os nós em uma sub-rede. O gerenciamento de domínios de broadcast é um grande problema para manter grandes redes IPv4 funcionando com rapidez e facilidade. A multidifusão exige que os nós que desejam receber o estilo "broadcast" realmente "inscrevam-se" nela, para que a rede não seja inundada com tráfego que atinja todos os hosts.

• O IPv6 suporta a criptografia no estilo IPsec de forma nativa.

• O IPv6 é compatível com a autoconfiguração. É possível que os hosts por trás de um roteador se configurem sem a necessidade de DHCP, embora você ainda precise de um servidor DHCP para distribuir opções de DHCP, como servidor DNS, servidor TFTP, etc.

Meu antigo emprego, em uma grande universidade, usaria uma alocação de IPv6 internamente. Eles receberam um IPv4 / 16 no mesmo dia e até hoje estão distribuindo endereços IPv4 para quase todos os clientes internos. As redes RFC1918 eram restritas à rede somente de telecomunicações e a certos usos especializados (os padrões PCI exigiam o uso da RFC1918 até outubro de 2010).

Por causa disso, eles planejavam ativamente usar o IPv6 internamente também. Havia alguns problemas de hardware ainda a trabalhar, os switches de borda não estavam suportando v6 bem o suficiente, mas o núcleo estava pronto. A ideia era que obter suporte a v6 no final visível publicamente (ok, o fim publicamente responsivo ) da rede envolveria 70% do trabalho para implantá-lo para todos, bem como fazer o extra de 30 % e vai de ponta a ponta com isso.

Tendo vivido com uma alocação de IP público por tanto tempo, nosso pessoal estava muito consciente do ditado: "só porque é público, não significa que seja alcançável". Como Chris S disse, roteavel não implica alcançável.

É por isso que pelo menos uma classe de organização implantaria o IPv6 internamente: porque eles já estão usando IPv4 não-RFC1918 internamente.

O IPv6 oferece alguns aprimoramentos potenciais do mundo real sobre o IPv4, como um mecanismo mais simples de autoconfiguração e autodescoberta, e também mais seguro no sentido de se tornar inviável a replicação de malwares em uma rede por meio da varredura de portas Faixa de IP - existem muitos IPs. Mas essas melhorias não são particularmente dramáticas e certamente não valem o custo de mudança.

Mas note que não é uma decisão qualquer um / ou , você pode executar ambos em paralelo e, se desenvolver um software, você provavelmente deveria, como muitas pessoas mencionaram, para fins de teste. Não há nenhuma maneira confiável de tornar um programa compatível com IPv6 sem ter uma infraestrutura IPv6 interna para testar. A maioria dos sistemas operacionais modernos configurará automaticamente uma rede IPv6 interna entre eles - é apenas uma questão de usá-la.

Há 10 anos, desenvolvi um software para os clientes que usam o empregador para buscar atualizações do programa. Ao construir o componente de rede, tive que decidir entre construir em compatibilidade com IPv6 ou apenas assumir que todos os endereços IP serão de 4 bytes. Decidi seguir o caminho simples, economizando cerca de 4 horas de trabalho e tornando o aplicativo apenas IPv4. Eu imaginei que seria substituído em poucos anos de qualquer maneira. Eles ainda estão usando hoje e, portanto, estão bloqueados em alguns mercados menores.

Trabalhando para uma pequena empresa, só posso pensar em razões para NÃO usar o IPv6.

• Nós nem sequer temos um endereço público IPv6, então por que na Terra nós o rodaríamos internamente?
• Teríamos que substituir nosso firewall, o que eu amo muito, pois ele (ainda) não suporta IPv6
• Não temos como atribuir, e muito menos controlar, endereços IPv6
• Apenas metade dos nossos PCs suporta IPv6
• Nenhum de nossa fábrica suporta IPv6
• Nossos switches não suportam IPv6
• Eu nunca vi uma impressora que suporte IPv6
• O IPv6 é muito mais difícil de usar na linha de comando - um ponto muito importante para mim
• Eu precisaria estar totalmente informado sobre o IPv6 - difícil de fazer quando não estou interessado
• ... e um monte de outras razões que não consigo pensar agora

Não faz sentido para uma empresa como a nossa fazer a mudança, já que seria necessário um gasto e esforço consideráveis, sem absolutamente nada a ganhar com isso.

Francamente, gosto do NAT e dos benefícios que obtemos ao lidar com endereços locais. Se alguma vez se tornar necessário (ao invés de ser um geek querer fazer) para interagirmos com o IPv6 na Internet, faremos isso no gateway.

Não estou esperando que essa moda atual do IPv6 se torne uma necessidade para a grande maioria do mundo, pelo menos internamente, por uma década ou mais. Como espero estar aposentado, não há muito incentivo para que eu desperdice tempo e esforço nisso.

Editar:

Estou ganhando notas baixas, mas não uma visão oposta lógica e sensata. Faz-me pensar que é apenas um bando de geeks que querem seguir a tendência sem pensar nisso. Tem que haver uma razão para fazer uma mudança tão drástica em uma rede e eu não tenho uma. Além disso, suspeito strongmente que apenas alguns poucos usuários de SF tenham um.

Estamos falando de duas coisas aqui - executando a rede interna no IPv6 puro ou executando o IPv4 / IPv6 dual-stack. Eu acho que é prematuro falar sobre a execução do IPv6 puro - em muitos sistemas operacionais é até mesmo impossível usar IPv6 sem IPv4. No entanto, você pode considerar executar o dual-stack pelos seguintes motivos (a) se você desenvolver um software (b) para preparar sua rede para a inevitável migração para o IPv6. Se a situação é A, então você deve agir agora, se for B, então, segundo minha estimativa, você tem cerca de 1-2 anos para pensar sobre isso (mas quanto mais cedo você começar, mais preparado estará).

Minha situação é A e estamos executando o dual-stack por 6 meses agora. Durante esse período, identificamos e resolvemos alguns problemas com nosso DNS público / privado, alocação de endereços, DHCP, roteamento, firewall e não poderíamos nem antecipar muitos desses problemas sem tentar. Agora, estamos totalmente preparados para o IPv6 e até temos acesso público ao IPv6 via tunelamento. Pela minha experiência, posso dizer com confiança que o IPv6 é uma solução muito mais simples e elegante em comparação com o IPv4 antigo, por isso ficarei muito feliz quando chegar a hora de mudar para o IPv6, mas antes dessa hora - dual-stack é o caminho para ir.

Além do espaço de endereço lager, ausência de transmissão, IPSec e autoconfiguração mais simples, há algumas vantagens "não tão conhecidas" do IPv6:

1. Espaço de endereço maior significa que o endereço tem mais bits que podem ser usados como armazenamento de dados. Por exemplo, a contagem de saltos entre dois nós pode ser uma função de seus endereços IPv6, por exemplo:
   O endereço IPv6 pode estar no formato PREFIX:Country&Region:DC&Line:Rack&Unit:VM&ID , de modo que nós mais próximos terão mais Bits Mais Significativos. Este é apenas um exemplo, é claro que métricas de "proximidade" podem ser armazenadas em algum tipo de banco de dados externo como o DNS TXT|SRV records.

2. Existem algumas técnicas de utilização do espaço de endereçamento do IPv6 para fins criptográficos, como Endereços Gerados por Criptografia ( CGA ) e ENVIAR (Verificar Descoberta de Vizinho)

3. Quando o IPv6 é habilitado, todos os nós da rede têm o endereço IPv6 local do link (se não estiver configurado de outra forma). Portanto, há uma chance de que você possa acessar até mesmo o nó configurado incorretamente.

4. Você pode obter os endereços MAC de nós diretamente do endereço IPv6 de conexão local (se extensões de privacidade de IPv6 forem não configurado)

5. Não há como usar o IPv4 em sub-redes com milhares de nós - sua rede ficará sobrecarregada com tráfego de broadcast (por exemplo, ARP).

6. Você pode consultar o nó para obter informações adicionais usando informações de nós , por exemplo no BSD, você pode consultar o host para os endereços do nó de informações do nó ICMPv6:

$ ping6 -a Aacgsl ::1

PING6(72=40+8+24 bytes) ::1 --> ::1
136 bytes from ::1: 
  fe80::beae:c5ff:fe43:44a(TTL=infty)
  fe80::beae:c5ff:fe43:212(TTL=infty)
  ::1(TTL=infty)
  fe80::1(TTL=infty)
  2a02::9222(TTL=infty)

Posso pensar em dois motivos para usar o IPv6 para um host interno.

1. Você pode encontrar no futuro que esse host precisa estar disponível externamente pelo menos em algumas portas.

2. Você pode achar que esse host precisa se conectar a outro host que também tenha escolhido o mesmo endereço interno. Por exemplo, você precisa se conectar ao 10.0.0.5 na corporação Acme e seu próprio endereço na empresa Emca também é 10.0.0.5. Eu lembro que isso aconteceu em um trabalho anterior, nós dois tínhamos usado os mesmos endereços internos.

Eu diria que no mundo moderno a maioria dos computadores não é 100% interna. A maioria dos desktops pode fazer algumas conexões limitadas com o mundo externo ou vice-versa.

A única boa razão para usar o IPv6 internamente é estar pronto quando o mundo mudar para o IPv6, e acho que essa é uma razão muito ruim, dada a taxa de adoção. Como a maioria dos IPs internos não será alcançável externamente, não seria um grande problema traduzir o restante.

Minha corporação provavelmente nunca mudará para o IPv6 internamente. Isso exigiria uma mudança fundamental na política tão grande que eu não posso conceber honestamente como isso poderia acontecer. Muitas pessoas teriam que ser mortas, e muitas escolhas inexplicáveis de contratação teriam que ser feitas. Da mesma forma, qualquer tentativa de unidades de negócios individuais de mudar para o IPv6 em suas LANs seria esmagada pelo preconceito dos senhores de redes corporativas com base na interoperabilidade e nas preocupações de manutenção (permitimos muita flexibilidade localmente, mas não isso muito.)

Basicamente, se a mudança para o IPv6 fosse indolor, teríamos feito isso anos atrás.

O IPv4 pretendia que todos os dispositivos estivessem diretamente na Internet ... até que ficássemos sem espaço de endereço. Então, passamos os últimos 20 anos bloqueando tudo. Agora, o IPv6 pelo design quer, mais uma vez, colocar todos os dispositivos diretamente na Internet ... o resultado será o mesmo. Concordo totalmente que o NAT é uma camada de segurança que não será abandonada sem uma substituição igualmente eficaz ou melhor.

Infelizmente, há muitas informações ruins na grande maioria dessas respostas e comentários. É tão triste ver o cego guiando os cegos sobre isso de maneira tão prolífica.

NAT não vai a lugar algum e pessoas que te dizem "Oh, que NAT, que coisa terrível é" ... "Oh que NAT, não foi nada além de um trabalho em volta" ... ad nasueum Se eles começarem a usar uma linguagem como essa, dirijam-se a um verdadeiro arquiteto de redes profissional para aconselhamento, e não a um guerreiro de poltrona em redes de fim de semana.

Você precisa carregar o tráfego de balanceamento para servidores internos da Internet? Bem, adivinhe, com o IPv6 você não pode fazer do jeito que você está fazendo ... a menos que você use NAT!

Sim, é verdade. Alguns dirão, oh, basta usar o balanceamento de carga de retorno do servidor DSR / Direct. Mas eles esquecem de te dizer que você tem que desistir 1) inserção de cookie 2) aceleração de aplicativos 3) tradução de endereço de porta

Então, se você quer rodar seus servidores internos na porta 8080, mas seu externo na porta 80 ... Ah, tão triste, não pode fazer com IPv6 ... a menos que você esteja usando NAT bom ole! Nem mesmo com o DSR.

Em seguida, adicione a isso o "orgulho" que as pessoas dizem "Ah, sim, todas as propostas de NAT do IPv6 falharam ... graças a Deus" (e o império morre ao som de aplausos) Você sabe o que isso significa? O NAT será terrível, se até funcionar com o IPv6, porque todos os fanáticos do IPv6 estão negando a necessidade do NAT / PAT intrinsecamente e as pessoas que o fazem estão fazendo isso com relutância. Tão triste, tão mal administrado

Então, o que você faz agora que a verdade o libertou e você pode se elevar acima da multidão de lemingues tentando usar táticas de intimidação para forçar sua adesão?

Você compra ou continua a usar um Loadbalancer ou Firewall que atua como o broder público / privado de sua rede. As interfaces laterais públicas hospedam os mesmos VIPs que você já possui, mas com um endereço IPv6 complementar, se necessário. Tudo ao norte da camada do Loadbalancer / Firewall também é dual stack IPv4 / IPv6. Nas interfaces internas do Loadbalancer / Firewall, elas são todas IPv4 e toda a sua rede interna é IPv4 e permanece assim por quanto tempo você desejar. É apenas o seu negócio. O Loadbalancer faz NAT / PAT entre o exterior e o interior ... porque já é e precisa de um balanceamento de carga cheio de funcionalidades e porque agora também resolve o seu problema de IPv6 externo.

Ah, e para a pessoa sarcástica que perguntou "Qual finalidade de segurança única o NAT serve"

Segurança é sobre Disponibilidade no nível mais fundamental. Pense nisso antes de descartá-lo.

Os balanceadores de carga fornecem essa disponibilidade / segurança e você precisa usar o NAT / PAT para fazer isso corretamente, independentemente da versão do IP que estiver usando.

Citação sobre falha de DSR: link

k thnx

Não é uma boa ideia usar o IPv6 em uma rede interna, pois muitos dispositivos legados não conseguiriam se comunicar. Antigas copiadoras / impressoras multifuncionais, equipamentos médicos, máquinas de impressão antigas, servidores antigos e dispositivos de rede. O esquema IPv4 é muito mais fácil de gerenciar imo.

A resposta aceita é enganosa

Os conceitos de Chris S sobre o NAT estão errados; Uma das melhores características do NAT além da expansão artificial do esquema IPv4 é a SEGURANÇA. O NAT é a camada que oculta o IP real de um host que, se conectado diretamente à Internet, pode ser o alvo de todos os ataques imagináveis. Felizmente falando sobre se livrar do NAT sem incentivar medidas extras de segurança é simplesmente uma ignorância sobre o assunto.