内部でIPv6を使用するのはなぜですか?


50

もちろん、アドレスが不足しているため、オープンインターネットでIPv6にアクセスする必要があることを認識していますが、内部ネットワークでIPv6を使用する必要がある理由が本当にわかりません。私はIPv6をゼロにしたので、私も疑問に思います:現代のファイアウォールは、内部IPv4アドレスと外部IPv6アドレスの間でNATを実行しませんか?

ここでIPv6の質問に苦しんでいる多くの人々を見てきたので、私はただ疑問に思っていました。

回答:


55

IPv6用のNATはありません(とにかくNATについて考えるように)。NATは、アドレス不足のIPv4に対する$ EXPLETIVEの一時的な解決策でした(実際には存在しなかった問題で、NATが必要になる前に解決されましたが、歴史は20/20です)。それは複雑さだけを追加し、IPv6での頭痛の種以外はほとんど何もしません(IPv6アドレスが非常に多いので、それらを無駄に無駄にしません)。NAT66は存在し、各ホストが使用するIPv6アドレスの数を減らすことを意図しています(IPv6ホストが複数のアドレスを持つのは普通です。IPv6は多くの点でIPv4とは多少異なりますが、これは1つです)。

インターネットはエンドツーエンドのルーティングが可能であると想定されていました。これがIPv4が発明された理由の一部であり、受け入れられた理由です。それは、インターネット上のすべてのアドレスが到達可能であるはずであったと言うことではありません。NATは両方を壊します。ファイアウォールは到達可能性を破壊することでセキュリティのレイヤーを追加しますが、通常はルーティング可能性を犠牲にします。

IPv4アドレスでIPv6エンドポイントを指定する方法がないため、ネットワークにIPv6が必要になります。他の方法も機能します。これにより、DNS64とNAT64を使用するIPv6のみのネットワークがIPv4インターネットにアクセスできるようになります。実際、今日ではIPv4をすべて捨てることができますが、設定するのは少し面倒です。IPv4内部アドレスからIPv6サーバーにプロキシすることが可能です。プロキシサーバーを追加して構成すると、構成、ハードウェア、およびメンテナンスコストがネットワークに追加されます。通常、単にIPv6を有効にするだけではありません。

NATはそれ自身の問題も引き起こします。ルーターは、エンドポイント、ポート、タイムアウトなどを追跡しながら、実行中のすべての接続を調整できる必要があります。そのトラフィックはすべて、通常、その単一のポイントを通過します。冗長NATルーターを構築することは可能ですが、この技術は非常に複雑で一般的に高価です。冗長でシンプルなルーターは簡単で安価です(比較的)。また、ルーティング可能性の一部を再確立するには、NATシステムで転送ルールと変換ルールを確立する必要があります。これは、SIPなどのIPアドレスを埋め込むプロトコルを依然として破損します。UPNP、STUN、およびその他のプロトコルも、この問題を解決するために発明されまし


29
NATが実行されていたルーターがネットワークを分離しました。そのルーターはまだネットワークを分離します。IPv6用に正しくプログラムする必要がある以外は何も変わりません。ルーティング可能はい、必ずしも到達可能ではありません(ファイアウォールルールはほとんどのトラフィックをブロックする可能性が高い)
クリスS

12
@Tomtom:必要だと思う人は誰でも、代わりにファイアウォールが必要なことを知りません。NATが最適な解決策であるという問題は、アドレス指定の不足に起因する問題を除いて、文字通り問題ありません。IPv6のアドレス指定の不足はありません(まだ!)。開発中かもしれませんが、それは馬鹿げたアイデアではないという意味ではありません:)
growse

6
@JimB-私の知る限り、少なくとも4つの異なるIPv6 NAT提案が開発中であり、それらはすべて失敗しました。そのページには、私は今ではそれがあまりにも失敗したということを推測するつもりだ、ほとんど3歳であることを考えると
マーク・ヘンダーソン

14
私はこれが不快に聞こえることを知っているので、私は前もって謝罪しているが、あなたが料理人でなければ台所から離れて滞在する。人々は、自分の車で作業すると、損害の世界を引き起こす何かを壊す可能性があることを理解しています...同じことがコンピューターのセキュリティにも当てはまります。NATによって、いくつかのレベルのセキュリティが簡単になるという点があります(最も注目すべきことは、内部ネットワークがインターネットでルーティングできないことです。今日のほとんどのNATルーターでさえ、これはデフォルト設定に過ぎず、NATによって提供される「セキュリティ」は無効にできます。
クリスS

8
脆弱性と脅威についての賢明な議論をせずに、「セキュリティ」などの言葉をあちこち探し始めないでください。NATはどのような特定の脆弱性を保護しますか?どのような具体的な「攻撃」について話しているのですか?これらは、プロの世界の他の人がステートフルファイアウォールで緩和するのと同じ攻撃ですか?もしそうなら、NATはあなたをあまり買わない。
13

22

内部(rfc1918)ipv4アドレスが不足していることも、ipv6に移行する非常に有効な理由です。

Comcast はNanog37で、管理アドレスをipv6にする理由を説明しました

20 Million video customer
x 2.5 STB/customer
x 2 ip addresses/STB
--------------------  
= 100 Millions IP addresses

そして、これはビデオ専用であり、データ/モデムではありません。

彼らは2005年にRFC1918プールを使い果たしました。その後、パブリックアドレスプールを使用し(natは管理のオプションではないため)、ニーズを解決するためにipv6を使用しました


2
非メガ企業はどうですか?
サイファー

1
まあ、まだ他のすべての答えがあります;)
ペトリュス

私は、どの企業も内部的に16,777,216以上を使用しているとは思いません...もちろん、顧客のために外部的に使用しています。パブリックIPアドレスがもっと必要だということに異論はありません。
-KCotreau

5
私はルーターのパブリック/ WAN IPアドレスについてではなく、ケーブルモデムまたはセットトップボックスの管理IPアドレスについて話していました。はい、そうです、Comcastとすべての大規模ケーブルプロバイダー 2 ^ 24以上のip @を必要とします。
ペトリュス

14

いくつかの理由:

  • IPv6はブロードキャストをサポートしていません。マルチキャストに置き換えられます。ブロードキャストにより、1つのノードがサブネット上のすべてのノードにトラフィックを送信できます。ブロードキャストドメインの管理は、大規模なIPv4ネットワークを高速かつスムーズに実行するための大きな問題です。マルチキャストでは、「ブロードキャスト」スタイルの受信を希望するノードが実際に「サインアップ」する必要があるため、すべてのホストにヒットするトラフィックでネットワークがあふれることはありません。

  • IPv6は、IPsecスタイルの暗号化をネイティブでサポートします。

  • IPv6は自動構成をサポートしています。DNSサーバー、TFTPサーバーなどのDHCPオプションを配布するにはDHCPサーバーが必要ですが、ルーターの背後にあるホストがDHCPを必要とせずに自身を構成することは可能です。


3
IPv6では、ほとんど問題なく、サブネット全体の番号を付け直すことができます。また、サブネットのマージも可能です。マルチキャストトラフィックを非常にきめ細かく制御します。さらに多くの理由がありますが、IPv6コースを受講して以来、永遠に続いています。
マシュー

4
これらはすべて人気のある神話です。詳細情報は次のとおりです。IPv6のマルチキャストは基本機能に必須です。たとえば、IPv4のpingブロードキャストを行うには、すべての通常ノードでping6からFF02 :: 1、すべてのルーターでFF02 :: 2を使用します。IPv6のIPSecは、IPv4から何も変更しません。無料でセキュリティを取得することはできません。それでもすべてのモードを設定し、キー配布に対処する必要があります。IPv6の自動構成はまったくの迷惑です。デフォルトでは、MAC <-> IPv4ほど安全ではなく、DNSを配布しません。DNSが必要な場合は、DHCPv6をインストールする必要があります。
マーチン

1
3番目の点はip6の弱点だと思います。トラブルシューティングプロセスの一環として、マシンがIPを受信したかどうかを確認するために何回チェックしましたか?その部分はさらに難しくなりました。
ジョエルCoel

13

私の以前の仕事は、大規模な大学で、内部でIPv6割り当てを使用していました。当時はIPv4 / 16が割り当てられていましたが、今日でもほぼすべての内部クライアントにIPv4アドレスが渡されています。RFC1918ネットワークは、通信専用ネットワークと特定の特殊な用途に制限されていました(PCI規格では、2010年10月までRFC1918の使用が必要でした)。

このため、IPv6を内部で使用することも積極的に計画していました。解決すべきハードウェアの問題がまだいくつかあり、エッジスイッチはv6を十分にサポートしていませんでしたが、コアの準備はできていました。アイデアは、ネットワークの一般に公開されている端(大丈夫、一般にレスポンシブな端)でv6サポートを得るには、全員に展開するための作業の70%が含まれ、さらに30%を追加してエンドツーエンドになる可能性があるということでしたそれで終わります。

パブリックIPの割り当てを長い間行ってきた私たちの人々は、「パブリックであるからといって、到達可能であるという意味ではない」という格言に非常に気付いていました。クリスSが言ったように、ルーティング可能は到達可能を意味しません。

少なくとも1つの組織のクラスが内部でIPv6を展開するのは、このためです。既に内部で非RFC1918 IPv4を使用しているためです。


7

IPv6は、より簡単な自動構成や自動検出メカニズムなど、IPv4に対する実際の改善の可能性を提供します。また、IP範囲をポートスキャンすることでマルウェアがネットワーク上で複製できないという意味でより安全です- -IPが多すぎます。しかし、これらの改善は特に劇的なものではなく、確かにスイッチングコストの価値はありません。

ただし、どちらかまたは両方の決定ではなく、両方を並行して実行できます。また、ソフトウェアを開発する場合は、多くの人が述べているように、テスト目的で行う必要があります。テストする内部IPv6インフラストラクチャがなくても、プログラムをIPv6互換にする信頼できる方法はありません。最新のOSのほとんどは、それらの間に内部IPv6ネットワークを自動的にセットアップします-それを使用するだけです。

10年前、顧客がプログラムの更新を取得するために使用する雇用主向けのソフトウェアを少し作成しました。ネットワークコンポーネントを構築するとき、IPv6互換性を構築するか、すべてのIPアドレスが4バイトになると想定するかを決定する必要がありました。単純なルートを採用して、作業時間を約4時間節約し、アプリケーションをIPv4専用にしました。とにかく数年後には交換されると思いました。彼らは今でもそれを使用しているため、いくつかの小さな市場から締め出されています。


6

小さな会社で働いているので、IPv6を使用しない理由しか考えられません。

  • IPv6パブリックアドレスさえ持っていないのに、なぜ地球上で内部的にそれを実行するのでしょうか?
  • IPv6を(まだ)サポートしていないため、ファイアウォールを交換する必要があります。
  • IPv6アドレスを割り当てることも、制御することもできません。
  • IPv6をサポートしているPCの半分のみ
  • どの製造工場もIPv6をサポートしていません
  • スイッチはIPv6をサポートしていません
  • IPv6をサポートするプリンターを見たことがありません
  • IPv6はコマンドラインから使用するのがはるかに難しい-私にとって非常に重要なポイント
  • 私はIPv6の速度を完全に把握する必要があります-興味がないときは難しい
  • ...そして、私が今考えることができない他の多くの理由

私たちのような会社が変更を加えることは意味がありません。何も得るものがなく、かなりの費用と労力がかかるからです。

率直に言って、私はNATとローカルアドレスを処理することで得られる利点が好きです。それは今までになった場合に必要な、私たちは、インターネット上でのIPv6と対話するために(オタク希望ツー行うものではなく)私たちは、ゲートウェイでそうするでしょう。

この現在のIPv6の流行が、少なくとも10年以上、世界の大多数、少なくとも内部的には必要になるとは思っていません。それまでに引退することを期待しているので、個人的に時間と労力を無駄にするインセンティブはあまりありません。

編集:

私は下票を得ていますが、単一の論理的かつ賢明な反対意見ではありません。それを考えずにトレンドを追いかけたいと思うのは、ただの時流ジャンプオタクだと思うようになります。ネットワークにこのような抜本的な変更を加えるには理由が必要であり、私にはそれがありません。さらに、SFユーザーがいるのはごく少数のSFユーザーだけだと強く思います。


2
1. ISPに割り当てを依頼します。IPv4とは異なり、ブロックを要求することはできません。6か月以内にX個を使い切る能力が必要です。
ブライアン

2
3.ルーターにIPv6アドレスを設定して割り当て、マシンに自動設定を行わせます。(またはセットアップDhcp6)
ブライアン

4
4. Windows XP SP2はIPv6をサポートします。6.スイッチはIPと通信しません。彼らはレイヤー2を話します。彼らはIpv6でうまく動作します。私はいくつかの2001 3comスイッチでIpv6を実行しました。あなたは過去5年間に販売さJetDirectカードを持つ任意のHPプリンタ...それらのいくつかの管理を取得するには、まだIPv4のサポートが必要な場合があります(またはそれ以上)でIPv6をサポート
ブライアン

1
「当社のスイッチはIPv6をサポートしていません」。問題ない。「IPv6をサポートするプリンターを見たことがありません。」私は6歳で、隣に座っています。(安価なDellレーザー)。「IPv6の速度を完全に把握する必要があります-興味がないときは難しいです」ここで同意します。新しいことを学ぶのは難しいです。しかし、それを理解できる唯一の人(そして数年後には必要になるでしょう)は非常に有利です。
ヘネス

1
@Hennes、すべてがすでにカバーされており、私が知る限り、私は仕事の残りの期間中にIPv6を必要とせず、自宅でそれを必要としません。IOW、少なくとも世界のこの地域では、予見可能な将来に必要とされない技術を学ぶインセンティブは全くありません。私は何か新しいことを学ぶのが難しいことに同意しません。私はそれを私の人生の毎日に行い、止まり木から落ちるまでそれを続けることを期待しています。
ジョン・ガーデニアス

5

ここでは、純粋なIPv6で内部ネットワークを実行するか、IPv4 / IPv6デュアルスタックを実行するという2つのことを話します。純粋なIPv6の実行について話すのは時期尚早だと思います-多くのオペレーティングシステムでは、IPv4なしでIPv6を使用することさえ不可能です。ただし、次の理由でデュアルスタックの実行を検討することができます。(a)ソフトウェアを開発する場合(b)IPv6への避けられない移行のためにネットワークを準備するため。状況がAの場合は、今すぐ行動する必要があります。Bの場合は、1〜2年程度考えてみてください(ただし、開始時期が早ければ早いほど準備が整います)。

私の状況はAで、6か月間デュアルスタックを実行しています。この間に、パブリック/プライベートDNS、アドレス割り当て、DHCP、ルーティング、ファイアウォールに関する問題を特定して解決しましたが、これらの問題の多くは試してみなければ予測できませんでした。現在、私たちは完全にIPv6に対応しており、トンネリングを介したIPv6パブリックアクセスも可能です。私の経験から、IPv6は老朽化したIPv4に比べてはるかにシンプルでエレガントなソリューションであると自信を持って言うことができます。トーゴ。


4

大きいアドレス空間、ブロードキャストの欠如、IPSec、およびより単純な自動構成のほかに、IPv6の「あまり知られていない」利点がいくつかあります。

  1. アドレス空間が大きいということは、アドレスにデータストレージとして使用できるビットが増えていることを意味します。たとえば、2つのノード間のホップカウントは、IPv6アドレスの関数になります。たとえば、IPv6アドレスは、より近いノードがより多くの最上位ビットを持つよう
    にフォーマットPREFIX:Country&Region:DC&Line:Rack&Unit:VM&IDすることができます。これは単なる例であり、もちろん「近さ」メトリックは、DNS TXT|SRVレコードのような何らかの外部データベースに保存できます。

  2. Cryptographically Generated Addresses(CGA)やSEND (SEcure Neighbor Discovery)などの暗号化目的でIPv6のアドレス空間を使用する手法がいくつかあります

  3. IPv6を有効にすると、ネットワーク内のすべてのノードにリンクローカルIPv6アドレスが設定されます(他に設定されていない場合)。そのため、誤って構成されたノードにもアクセスできる可能性があります。

  4. ノードのMACアドレスをリンクローカルIPv6アドレスから直接取得できます(IPv6プライバシー拡張が構成されていない場合)

  5. 数千のノードを持つサブネットでIPv4を使用できる方法はありません。ネットワークはブロードキャストトラフィック(ARPなど)で過負荷になります。

  6. あなたは使用して、追加情報については、ノードを照会することができるノード情報を BSDにあなたはICMPv6のノード情報ノードアドレスのホストを照会することができ、例えば:

$ ping6 -a Aacgsl ::1

PING6(72=40+8+24 bytes) ::1 --> ::1
136 bytes from ::1: 
  fe80::beae:c5ff:fe43:44a(TTL=infty)
  fe80::beae:c5ff:fe43:212(TTL=infty)
  ::1(TTL=infty)
  fe80::1(TTL=infty)
  2a02::9222(TTL=infty)

2

内部ホストにIPv6を使用する2つの理由が考えられます。

  1. 将来、少なくとも特定のポートでこのホストを外部で利用できるようにする必要があることに気付くでしょう。

  2. このホストは、同じ内部アドレスを選択した別のホストに接続する必要がある場合があります。たとえば、Acme Corporationの10.0.0.5に接続する必要があり、Emca Corporationの自分のアドレスも10.0.0.5です。これは前の仕事で起こったことを覚えています。私たちは両方とも同じ内部アドレスを使用していました。

現代の世界では、ほとんどのコンピューターは100%内蔵されているわけではありません。ほとんどのデスクトップでは、外界との限られた接続、またはその逆を行うことができます。


1

内部でIPv6を使用する唯一の正当な理由は、世界がIPv6に切り替わったときに準備ができていることであり、採用率を考えると、これはかなり悪い理由だと思います。ほとんどの内部IPは外部からアクセスできないため、残りを翻訳することは大した問題にはなりません。

私の会社は、おそらく内部でIPv6に切り替えないでしょう。それは政策の根本的な転換を必要とするので、私はそれがどのように起こるかを正直に想像することはできません。多くの人々が殺されなければならず、多くの不可解な雇用の選択がなされなければなりません。同様に、LANでIPv6に切り替えようとする個々のビジネスユニットの試みは、相互運用性と保守性の懸念に基づいて、企業ネットワークオーバーロードによる偏見でつぶされます(ローカルでは多くの余裕がありますがそれほど多くはありません)。

基本的に、IPv6への切り替えが簡単であれば、数年前にそれを行っていたでしょう。


16
「私の会社は、おそらく内部でIPv6に切り替えないでしょう。」<-それはかなり大胆で、おそらく素朴な声明です。
EEAA

4
@erika:IPv4をサポートするハードウェアを入手することが困難になると、彼らはそうします。それまでは。それに対するビジネスケースはありません。内部ネットワークを完全に捨てて、ビジネス全体をどこかのクラウドでホストする可能性が高くなります。
悪魔のような子犬

3
Googleまたは他の外部サービスがIPv4のサポートを終了するとどうなりますか。ネットワーク外の人と接続できないことは、将来的に問題になるでしょう。
ゾレダチェ

3
@zoredache:ここで内部サポートについて話している。現在でも、すべてのマシンを外部から利用できる必要がない限り、IPv4からIPv6にブリッジするのは難しくありません。地獄、私たちの現在のハードウェアはそれをサポートしています。
悪魔のような子犬

2
すべてのWindowsボックスは、vistaが箱から出してデュアルスタックを実行するので注意してください。実装されたままにしない理由はありません
ジムB

-1

IPv4は、すべてのデバイスがインターネットに直接接続されることを意図していました...アドレス空間がなくなるまで。その後、私たちは過去20年間、すべてをロックダウンしてきました。現在、設計上のIPv6は、すべてのデバイスをインターネットに直接配置することを望んでいます...結果は同じです。NATはセキュリティの1つのレイヤーであり、同等の効果的な、またはより優れた代替物がなければ放棄されることはないということに完全に同意します。


1
ファイアウォールのような?
マイケルハンプトン

3
NATはセキュリティではありません。ファイアウォールは、NATではなくセキュリティを提供します。ファイアウォールにはNATは必要ありません。IPv4とIPv6の両方のファイアウォールは、NATを有効にしなくても完全に機能します。ファイアウォールを使用しないルーターでNATを有効にでき、ファイアウォールをルーティングする必要さえありません。オールインワンの消費者向けデバイスを軽く見ているようには見えません。多くの場合、単一のデバイスでNAT、ルート、およびファイアウォールを使用すると便利ですが、これらは別々の機能です。
ロンモーピン

2
なぜ人々はまだこのようなことを言うのですか?NATはセキュリティのレイヤーでさえなく、1つになるように設計されていません。それは、不適切に長いアドレスをめぐるいハックです。ほとんどの攻撃者にとって障害ではありません。間違っており、質問に答えていないため、ダウン投票。
ファルコンモモット16年

-3

残念ながら、これらの回答とコメントの大部分には多くの悪い情報があります。ブラインドがこれについて多くの方法でブラインドをリードしているのを見るのはとても悲しいです。

NATはどこにも行かないし、「ああ、あのNAT、なんてひどいことだ...」つまり、週末のネットワーキングアームチェアの戦士ではなく、アドバイスを求めて本物のプロのネットワークアーキテクトに移りましょう。

インターネットから内部サーバーへのトラフィックを負荷分散する必要がありますか?IPv6では、これまでやってきたようにできないのではないかと思います.... NATを使用しない限り!

はい、そうです。一部では、DSR / Directサーバーリターンロードバランシングのみを使用していると言うでしょう。ただし、1)Cookieの挿入2)アプリケーションアクセラレーション3)ポートアドレス変換

したがって、ポート8080で内部サーバーを実行し、ポート80で外部サーバーを実行する場合...ああ、とても悲しいことに、IPv6でできることはありません...良いole NATを使用していない限り!DSRでさえも。

それに加えて、人々が「ああ、ええ、すべてのIPv6 NAT提案が失敗しました...ありがとう」と言う「誇り」(そして帝国は拍手の音で死ぬ)あなたはそれが何を意味するか知っていますか?すべてのIPv6狂信者は本質的にNAT / PATの必要性を否定しており、それをしている人々はしぶしぶやっているので、NATはIPv6でもまったく動作する場合、ひどいものになるでしょう。とても悲しい、とてもうまく管理されていない

それで、真実があなたを自由にしたので、あなたは何をしますか、そしてあなたはあなたのコンプライアンスを強制するために怖い戦術を使用しようとしているレミングスの群れの上に立ち上がることができますか?

ネットワークのパブリック/プライベートブロダーとして機能するロードバランサーまたはファイアウォールを購入するか、引き続き使用します。パブリックサイドインターフェースは、すでに持っている同じVIPをホストしますが、必要に応じて補完的なIPv6アドレスを使用します。Loadbalancer / Firewallレイヤーの北側もすべてデュアルスタックIPv4 / IPv6です。Loadbalancer / Firewallの内部インターフェイスでは、それらはすべてIPv4であり、内部ネットワーク全体がIPv4であり、必要に応じてそのままです。それはあなたのビジネスだけです。Loadbalancerは、外部と内部の間でNAT / PATを実行します...これは既にフル機能のロードバランシングが必要であり、外部IPv6の問題も解決するためです。

ああ、「NATが提供する単一のセキュリティ目的」と尋ねた皮肉な人に

セキュリティとは、最も基本的なレベルでの可用性に関するものです。あなたがそれを却下する前に、それについて考えてください。

ロードバランサーは、可用性/セキュリティを提供します。使用しているIPのバージョンに関係なく、NAT / PATを使用して適切に実行する必要があります。

DSRに関する引用の失敗:https : //devcentral.f5.com/articles/the-disadvantages-of-dsr-direct-server-return

k thnx


2
私はあなたの答えは1つの非自明なロードバランサを持つようにNAT必要が言おうとしていると思うが、それは...明らかにそうではないとの質問に対応していません
ファルコンMomot

-4

多くのレガシーデバイスが通信に失敗するため、内部ネットワークでIPv6を使用することはあまり良い考えではありません。古いコピー機/多機能プリンター、医療機器、古い印刷機、古いサーバー、ネットワークデバイス。IPv4スキームは、imoの管理がはるかに簡単です。


-12

受け入れられた答えは誤解を招く

NATに関するChris Sの概念は間違っています。IPv4スキーマの人為的な拡張に加えて、NATの最も優れた機能の1つはセキュリティです。NATは、ホストの実際のIPを隠す層であり、インターネットに直接接続すると、考えられるすべての攻撃の標的になります。追加のセキュリティ対策を奨励せずにNATを削除することを喜んで話すことは、このトピックに関する単なる無知です。


5
NATはどのくらい正確にセキュリティ層ですか?
MDマーラ
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.