回答:
IPv6用のNATはありません(とにかくNATについて考えるように)。NATは、アドレス不足のIPv4に対する$ EXPLETIVEの一時的な解決策でした(実際には存在しなかった問題で、NATが必要になる前に解決されましたが、歴史は20/20です)。それは複雑さだけを追加し、IPv6での頭痛の種以外はほとんど何もしません(IPv6アドレスが非常に多いので、それらを無駄に無駄にしません)。NAT66は存在し、各ホストが使用するIPv6アドレスの数を減らすことを意図しています(IPv6ホストが複数のアドレスを持つのは普通です。IPv6は多くの点でIPv4とは多少異なりますが、これは1つです)。
インターネットはエンドツーエンドのルーティングが可能であると想定されていました。これがIPv4が発明された理由の一部であり、受け入れられた理由です。それは、インターネット上のすべてのアドレスが到達可能であるはずであったと言うことではありません。NATは両方を壊します。ファイアウォールは到達可能性を破壊することでセキュリティのレイヤーを追加しますが、通常はルーティング可能性を犠牲にします。
IPv4アドレスでIPv6エンドポイントを指定する方法がないため、ネットワークにIPv6が必要になります。他の方法も機能します。これにより、DNS64とNAT64を使用するIPv6のみのネットワークがIPv4インターネットにアクセスできるようになります。実際、今日ではIPv4をすべて捨てることができますが、設定するのは少し面倒です。IPv4内部アドレスからIPv6サーバーにプロキシすることが可能です。プロキシサーバーを追加して構成すると、構成、ハードウェア、およびメンテナンスコストがネットワークに追加されます。通常、単にIPv6を有効にするだけではありません。
NATはそれ自身の問題も引き起こします。ルーターは、エンドポイント、ポート、タイムアウトなどを追跡しながら、実行中のすべての接続を調整できる必要があります。そのトラフィックはすべて、通常、その単一のポイントを通過します。冗長NATルーターを構築することは可能ですが、この技術は非常に複雑で一般的に高価です。冗長でシンプルなルーターは簡単で安価です(比較的)。また、ルーティング可能性の一部を再確立するには、NATシステムで転送ルールと変換ルールを確立する必要があります。これは、SIPなどのIPアドレスを埋め込むプロトコルを依然として破損します。UPNP、STUN、およびその他のプロトコルも、この問題を解決するために発明されました。
内部(rfc1918)ipv4アドレスが不足していることも、ipv6に移行する非常に有効な理由です。
Comcast はNanog37で、管理アドレスをipv6にする理由を説明しました。
20 Million video customer
x 2.5 STB/customer
x 2 ip addresses/STB
--------------------
= 100 Millions IP addresses
そして、これはビデオ専用であり、データ/モデム用ではありません。
彼らは2005年にRFC1918プールを使い果たしました。その後、パブリックアドレスプールを使用し(natは管理のオプションではないため)、ニーズを解決するためにipv6を使用しました。
いくつかの理由:
IPv6はブロードキャストをサポートしていません。マルチキャストに置き換えられます。ブロードキャストにより、1つのノードがサブネット上のすべてのノードにトラフィックを送信できます。ブロードキャストドメインの管理は、大規模なIPv4ネットワークを高速かつスムーズに実行するための大きな問題です。マルチキャストでは、「ブロードキャスト」スタイルの受信を希望するノードが実際に「サインアップ」する必要があるため、すべてのホストにヒットするトラフィックでネットワークがあふれることはありません。
IPv6は、IPsecスタイルの暗号化をネイティブでサポートします。
IPv6は自動構成をサポートしています。DNSサーバー、TFTPサーバーなどのDHCPオプションを配布するにはDHCPサーバーが必要ですが、ルーターの背後にあるホストがDHCPを必要とせずに自身を構成することは可能です。
私の以前の仕事は、大規模な大学で、内部でIPv6割り当てを使用していました。当時はIPv4 / 16が割り当てられていましたが、今日でもほぼすべての内部クライアントにIPv4アドレスが渡されています。RFC1918ネットワークは、通信専用ネットワークと特定の特殊な用途に制限されていました(PCI規格では、2010年10月までRFC1918の使用が必要でした)。
このため、IPv6を内部で使用することも積極的に計画していました。解決すべきハードウェアの問題がまだいくつかあり、エッジスイッチはv6を十分にサポートしていませんでしたが、コアの準備はできていました。アイデアは、ネットワークの一般に公開されている端(大丈夫、一般にレスポンシブな端)でv6サポートを得るには、全員に展開するための作業の70%が含まれ、さらに30%を追加してエンドツーエンドになる可能性があるということでしたそれで終わります。
パブリックIPの割り当てを長い間行ってきた私たちの人々は、「パブリックであるからといって、到達可能であるという意味ではない」という格言に非常に気付いていました。クリスSが言ったように、ルーティング可能は到達可能を意味しません。
少なくとも1つの組織のクラスが内部でIPv6を展開するのは、このためです。既に内部で非RFC1918 IPv4を使用しているためです。
IPv6は、より簡単な自動構成や自動検出メカニズムなど、IPv4に対する実際の改善の可能性を提供します。また、IP範囲をポートスキャンすることでマルウェアがネットワーク上で複製できないという意味でより安全です- -IPが多すぎます。しかし、これらの改善は特に劇的なものではなく、確かにスイッチングコストの価値はありません。
ただし、どちらかまたは両方の決定ではなく、両方を並行して実行できます。また、ソフトウェアを開発する場合は、多くの人が述べているように、テスト目的で行う必要があります。テストする内部IPv6インフラストラクチャがなくても、プログラムをIPv6互換にする信頼できる方法はありません。最新のOSのほとんどは、それらの間に内部IPv6ネットワークを自動的にセットアップします-それを使用するだけです。
10年前、顧客がプログラムの更新を取得するために使用する雇用主向けのソフトウェアを少し作成しました。ネットワークコンポーネントを構築するとき、IPv6互換性を構築するか、すべてのIPアドレスが4バイトになると想定するかを決定する必要がありました。単純なルートを採用して、作業時間を約4時間節約し、アプリケーションをIPv4専用にしました。とにかく数年後には交換されると思いました。彼らは今でもそれを使用しているため、いくつかの小さな市場から締め出されています。
小さな会社で働いているので、IPv6を使用しない理由しか考えられません。
私たちのような会社が変更を加えることは意味がありません。何も得るものがなく、かなりの費用と労力がかかるからです。
率直に言って、私はNATとローカルアドレスを処理することで得られる利点が好きです。それは今までになった場合に必要な、私たちは、インターネット上でのIPv6と対話するために(オタク希望ツー行うものではなく)私たちは、ゲートウェイでそうするでしょう。
この現在のIPv6の流行が、少なくとも10年以上、世界の大多数、少なくとも内部的には必要になるとは思っていません。それまでに引退することを期待しているので、個人的に時間と労力を無駄にするインセンティブはあまりありません。
編集:
私は下票を得ていますが、単一の論理的かつ賢明な反対意見ではありません。それを考えずにトレンドを追いかけたいと思うのは、ただの時流ジャンプオタクだと思うようになります。ネットワークにこのような抜本的な変更を加えるには理由が必要であり、私にはそれがありません。さらに、SFユーザーがいるのはごく少数のSFユーザーだけだと強く思います。
ここでは、純粋なIPv6で内部ネットワークを実行するか、IPv4 / IPv6デュアルスタックを実行するという2つのことを話します。純粋なIPv6の実行について話すのは時期尚早だと思います-多くのオペレーティングシステムでは、IPv4なしでIPv6を使用することさえ不可能です。ただし、次の理由でデュアルスタックの実行を検討することができます。(a)ソフトウェアを開発する場合(b)IPv6への避けられない移行のためにネットワークを準備するため。状況がAの場合は、今すぐ行動する必要があります。Bの場合は、1〜2年程度考えてみてください(ただし、開始時期が早ければ早いほど準備が整います)。
私の状況はAで、6か月間デュアルスタックを実行しています。この間に、パブリック/プライベートDNS、アドレス割り当て、DHCP、ルーティング、ファイアウォールに関する問題を特定して解決しましたが、これらの問題の多くは試してみなければ予測できませんでした。現在、私たちは完全にIPv6に対応しており、トンネリングを介したIPv6パブリックアクセスも可能です。私の経験から、IPv6は老朽化したIPv4に比べてはるかにシンプルでエレガントなソリューションであると自信を持って言うことができます。トーゴ。
大きいアドレス空間、ブロードキャストの欠如、IPSec、およびより単純な自動構成のほかに、IPv6の「あまり知られていない」利点がいくつかあります。
アドレス空間が大きいということは、アドレスにデータストレージとして使用できるビットが増えていることを意味します。たとえば、2つのノード間のホップカウントは、IPv6アドレスの関数になります。たとえば、IPv6アドレスは、より近いノードがより多くの最上位ビットを持つよう
にフォーマットPREFIX:Country&Region:DC&Line:Rack&Unit:VM&IDすることができます。これは単なる例であり、もちろん「近さ」メトリックは、DNS TXT|SRVレコードのような何らかの外部データベースに保存できます。
Cryptographically Generated Addresses(CGA)やSEND (SEcure Neighbor Discovery)などの暗号化目的でIPv6のアドレス空間を使用する手法がいくつかあります
IPv6を有効にすると、ネットワーク内のすべてのノードにリンクローカルIPv6アドレスが設定されます(他に設定されていない場合)。そのため、誤って構成されたノードにもアクセスできる可能性があります。
ノードのMACアドレスをリンクローカルIPv6アドレスから直接取得できます(IPv6プライバシー拡張が構成されていない場合)
数千のノードを持つサブネットでIPv4を使用できる方法はありません。ネットワークはブロードキャストトラフィック(ARPなど)で過負荷になります。
あなたは使用して、追加情報については、ノードを照会することができるノード情報を BSDにあなたはICMPv6のノード情報ノードアドレスのホストを照会することができ、例えば:
$ ping6 -a Aacgsl ::1
PING6(72=40+8+24 bytes) ::1 --> ::1
136 bytes from ::1:
fe80::beae:c5ff:fe43:44a(TTL=infty)
fe80::beae:c5ff:fe43:212(TTL=infty)
::1(TTL=infty)
fe80::1(TTL=infty)
2a02::9222(TTL=infty)
内部ホストにIPv6を使用する2つの理由が考えられます。
将来、少なくとも特定のポートでこのホストを外部で利用できるようにする必要があることに気付くでしょう。
このホストは、同じ内部アドレスを選択した別のホストに接続する必要がある場合があります。たとえば、Acme Corporationの10.0.0.5に接続する必要があり、Emca Corporationの自分のアドレスも10.0.0.5です。これは前の仕事で起こったことを覚えています。私たちは両方とも同じ内部アドレスを使用していました。
現代の世界では、ほとんどのコンピューターは100%内蔵されているわけではありません。ほとんどのデスクトップでは、外界との限られた接続、またはその逆を行うことができます。
内部でIPv6を使用する唯一の正当な理由は、世界がIPv6に切り替わったときに準備ができていることであり、採用率を考えると、これはかなり悪い理由だと思います。ほとんどの内部IPは外部からアクセスできないため、残りを翻訳することは大した問題にはなりません。
私の会社は、おそらく内部でIPv6に切り替えないでしょう。それは政策の根本的な転換を必要とするので、私はそれがどのように起こるかを正直に想像することはできません。多くの人々が殺されなければならず、多くの不可解な雇用の選択がなされなければなりません。同様に、LANでIPv6に切り替えようとする個々のビジネスユニットの試みは、相互運用性と保守性の懸念に基づいて、企業ネットワークオーバーロードによる偏見でつぶされます(ローカルでは多くの余裕がありますが、それほど多くはありません)。
基本的に、IPv6への切り替えが簡単であれば、数年前にそれを行っていたでしょう。
IPv4は、すべてのデバイスがインターネットに直接接続されることを意図していました...アドレス空間がなくなるまで。その後、私たちは過去20年間、すべてをロックダウンしてきました。現在、設計上のIPv6は、すべてのデバイスをインターネットに直接配置することを望んでいます...結果は同じです。NATはセキュリティの1つのレイヤーであり、同等の効果的な、またはより優れた代替物がなければ放棄されることはないということに完全に同意します。
残念ながら、これらの回答とコメントの大部分には多くの悪い情報があります。ブラインドがこれについて多くの方法でブラインドをリードしているのを見るのはとても悲しいです。
NATはどこにも行かないし、「ああ、あのNAT、なんてひどいことだ...」つまり、週末のネットワーキングアームチェアの戦士ではなく、アドバイスを求めて本物のプロのネットワークアーキテクトに移りましょう。
インターネットから内部サーバーへのトラフィックを負荷分散する必要がありますか?IPv6では、これまでやってきたようにできないのではないかと思います.... NATを使用しない限り!
はい、そうです。一部では、DSR / Directサーバーリターンロードバランシングのみを使用していると言うでしょう。ただし、1)Cookieの挿入2)アプリケーションアクセラレーション3)ポートアドレス変換
したがって、ポート8080で内部サーバーを実行し、ポート80で外部サーバーを実行する場合...ああ、とても悲しいことに、IPv6でできることはありません...良いole NATを使用していない限り!DSRでさえも。
それに加えて、人々が「ああ、ええ、すべてのIPv6 NAT提案が失敗しました...ありがとう」と言う「誇り」(そして帝国は拍手の音で死ぬ)あなたはそれが何を意味するか知っていますか?すべてのIPv6狂信者は本質的にNAT / PATの必要性を否定しており、それをしている人々はしぶしぶやっているので、NATはIPv6でもまったく動作する場合、ひどいものになるでしょう。とても悲しい、とてもうまく管理されていない
それで、真実があなたを自由にしたので、あなたは何をしますか、そしてあなたはあなたのコンプライアンスを強制するために怖い戦術を使用しようとしているレミングスの群れの上に立ち上がることができますか?
ネットワークのパブリック/プライベートブロダーとして機能するロードバランサーまたはファイアウォールを購入するか、引き続き使用します。パブリックサイドインターフェースは、すでに持っている同じVIPをホストしますが、必要に応じて補完的なIPv6アドレスを使用します。Loadbalancer / Firewallレイヤーの北側もすべてデュアルスタックIPv4 / IPv6です。Loadbalancer / Firewallの内部インターフェイスでは、それらはすべてIPv4であり、内部ネットワーク全体がIPv4であり、必要に応じてそのままです。それはあなたのビジネスだけです。Loadbalancerは、外部と内部の間でNAT / PATを実行します...これは既にフル機能のロードバランシングが必要であり、外部IPv6の問題も解決するためです。
ああ、「NATが提供する単一のセキュリティ目的」と尋ねた皮肉な人に
セキュリティとは、最も基本的なレベルでの可用性に関するものです。あなたがそれを却下する前に、それについて考えてください。
ロードバランサーは、可用性/セキュリティを提供します。使用しているIPのバージョンに関係なく、NAT / PATを使用して適切に実行する必要があります。
DSRに関する引用の失敗:https : //devcentral.f5.com/articles/the-disadvantages-of-dsr-direct-server-return
k thnx