もちろん、アドレスが不足しているため、オープンインターネットでIPv6にアクセスする必要があることは理解していますが、内部ネットワークでIPv6を使用する必要がある理由が本当にわかりません。私はIPv6でゼロを実行したので、また疑問に思います。最新のファイアウォールは、内部IPv4アドレスと外部IPv6アドレスの間でNATを実行しませんか?
ここでIPv6の質問に苦労している人がたくさんいるのを見て、なぜわざわざ迷っているのだろうと思いました。
IPv6のNATはありません(とにかくNATと思います)。NATは、$ EXPLETIVEの一時的な解決策でしたIPv4でアドレスが不足する(実際には存在せず、以前に解決された問題NATは常に必要でしたが、履歴は20/20です)複雑さを増すだけで、ほとんど何もしませんIPv6での頭痛の種を除いて(私たちは多くのIPv6アドレスを持っているので、それらを無駄に浪費しています)NAT66は存在し、各ホストが使用するIPv6アドレスの数を減らすことを意図しています(IPv6ホストが複数のアドレスを持つことは通常のことですが、IPv6は多少多くの点でIPv4とは異なり、これは1つです。
インターネットはエンドツーエンドでルーティング可能であると想定されていました。これがIPv4が発明された理由の1つであり、IPv4が受け入れられた理由の1つです。それは、インターネット上のすべてのアドレスが到達可能であると想定されていたということではありません。 NAT両方が破られます。ファイアウォールは到達可能性を破ることによってセキュリティの層を追加しますが、通常はルーティング可能性を犠牲にします。
IPv4アドレスでIPv6エンドポイントを指定する方法がないため、ネットワークでIPv6が必要になります。その逆も機能し、DNS64とNAT64を使用するIPv6のみのネットワークがIPv4インターネットに引き続きアクセスできるようにします。現在、IPv4をすべて破棄することは実際に可能ですが、設定は少し面倒です。 IPv4内部アドレスからIPv6サーバーへのプロキシが可能です。プロキシサーバーを追加して構成すると、構成、ハードウェア、およびメンテナンスのコストがネットワークに追加されます。通常、単にIPv6を有効にするだけではありません。
NATはそれ自身の問題も引き起こします。ルーターは、ルーターを介して実行されるすべての接続を調整し、エンドポイント、ポート、タイムアウトなどを追跡できる必要があります。そのすべてのトラフィックは、通常、その単一のポイントを通過します。冗長なNATルーターを構築することは可能ですが、このテクノロジは非常に複雑で、一般的に高価です。冗長な単純なルーターは、簡単で安価です(比較的)。 NATシステム上で変換ルールを確立する必要があります。これにより、SIPなどのIPアドレスを埋め込むプロトコルが機能しなくなります。UPNP、STUN、および他のプロトコルもこの問題を解決するために開発されました-より多くの複雑さ、より多くのメンテナンス、それ以上間違っている可能性があります。
内部(rfc1918)のipv4アドレスが不足していることも、ipv6を使用する非常に有効な理由です。
Comcast Nanog37で説明 管理アドレスにipv6を使用する理由。
20 Million video customer
x 2.5 STB/customer
x 2 ip addresses/STB
--------------------
= 100 Millions IP addresses
そしてこれはビデオ専用であり、データ/モデムではありません。
彼らは2005年にRFC1918プールを使い果たしました。次に、パブリックアドレスプールを使用し(natは管理のオプションではないため)、ipv6を使用してニーズを解決しました。
いくつかの理由:
IPv6はブロードキャストをサポートしていません。マルチキャストに置き換えられます。ブロードキャストにより、1つのノードがサブネット上のすべてのノードにトラフィックを送信できます。ブロードキャストドメインの管理は、大規模なIPv4ネットワークを高速かつスムーズに実行し続けるための主要な問題です。マルチキャストでは、「ブロードキャスト」スタイルの受信を希望するノードが実際に「サインアップ」する必要があるため、すべてのホストにヒットするトラフィックがネットワークに殺到することはありません。
IPv6はIPsecスタイルの暗号化をネイティブでサポートしています。
IPv6は自動構成をサポートしています。 DNSサーバー、TFTPサーバーなどのDHCPオプションを配布するためにDHCPサーバーが必要な場合でも、ルーターの背後にあるホストがDHCPを必要とせずにホスト自体を構成することは可能です。
大規模な大学での私の以前の仕事は、内部でIPv6割り当てを使用することでした。彼らには当時IPv4/16が割り当てられていましたが、今日でもほとんどすべての内部クライアントにIPv4アドレスが渡されています。 RFC1918ネットワークは、通信専用ネットワークと特定の特殊な使用法に制限されていました(PCI標準では、RFC1918の使用法が2010年10月まで必要でした)。
このため、社内でもIPv6の使用を積極的に計画していた。いくつかのハードウェアの問題がまだ解決されておらず、エッジスイッチはv6を十分にサポートしていませんでしたが、コアは準備ができていました。ネットワークの一般に公開されている(つまり、一般公開応答の終わり)でv6サポートを取得するには、それをすべての人に展開する作業の70%が必要であり、追加の30 %そしてそれをエンドツーエンドで行きます。
パブリックIP割り当てを長らく続けてきた私たちの人々は、格言に非常に気づいていました。 Chris Sが言ったように、ルーティング可能は到達可能という意味ではありません。
組織の少なくとも1つのクラスが内部でIPv6を展開するのはそのためです。なぜなら、彼らはすでに非RFC1918 IPv4を内部で使用しているからです。
IPv6は、より単純な自動構成および自動検出メカニズムなど、IPv4に比べていくつかの潜在的な現実の改善を提供します。また、マルウェアがIP範囲をポートスキャンすることによってネットワーク全体に複製することが実行不可能になるという意味でも安全です- -IPが多すぎる。しかし、これらの改善は特に劇的なものではなく、切り替えコストに見合うだけの価値はありません。
ただし、これはまたは/またはの決定ではないことに注意してください。両方を並行して実行できます。ソフトウェアを開発する場合は、多くの人が述べたように、テスト目的で使用する必要があります。テストする内部IPv6インフラストラクチャがなければ、プログラムをIPv6互換にする信頼できる方法はありません。最新のOSのほとんどは、それらの間に内部IPv6ネットワークを自動的にセットアップします-それを使用するだけの問題です。
10年前、顧客がプログラムの更新を取得するために使用するソフトウェアを少し作成しました。ネットワークコンポーネントを構築するとき、IPv6互換性を構築するか、すべてのIPアドレスが4バイトになると仮定するかを決定する必要がありました。簡単な方法をとることに決め、約4時間の作業を省き、アプリケーションをIPv4のみにしました。とにかく数年で取り替えられると思いました。彼らは今日でもそれを使用しているため、いくつかの小規模な市場から締め出されています。
小さな会社で働いていると、IPv6を使用しない理由しか考えられません。
私たちのような会社が変更を加えることは意味がありません。それから得るものはまったくないのにかなりの費用と努力が必要になるからです。
率直に言って、私はNATと、ローカルアドレスを処理することから得られる利点が好きです。これが必要になった場合やりたいこと)をインターネット上のIPv6と対話させるために、ゲートウェイで行います。
私は、この現在のIPv6の流行が、少なくとも10年以上の間、世界の非常に大部分の人々にとって必要になるとは思っていません。それまでに退職することを期待しているので、個人的に時間と労力を浪費するインセンティブはあまりありません。
編集:
私は反対票を得ていますが、論理的で賢明な反対意見は1つもありません。何も考えずにトレンドを追いかけたいと思っているのは、バンドワゴンに飛びついているオタクの集まりだと私に思わせます。ネットワークにこのような大幅な変更を加えるには理由が必要であり、私にはそれがありません。さらに、非常に少数のSFユーザーだけが持っているのではないかと私は強く思います。
ここでは、純粋なIPv6で内部ネットワークを実行することと、IPv4/IPv6デュアルスタックを実行することの2つについて話します。純粋なIPv6の実行について話すのは時期尚早だと思います。多くのオペレーティングシステムでは、IPv4なしでIPv6を使用することさえ不可能です。ただし、次の理由により(a)ソフトウェアを開発する場合(b)IPv6への移行を避けられないようにネットワークを準備するために、デュアルスタックの実行を検討する場合があります。あなたの状況がAの場合は今すぐ行動する必要があります。それがBの場合は、私の見積もりでは約1〜2年で考えることができます(ただし、開始が早ければ早いほど、準備が整います)。
私の状況はAで、6か月間デュアルスタックを実行しています。この間、パブリック/プライベートDNS、アドレス割り当て、DHCP、ルーティング、ファイアウォールに関するいくつかの問題を特定して解決しましたが、これらの問題の多くを試してみないと予測できませんでした。これで完全にIPv6の準備が整い、トンネリングを介したIPv6パブリックアクセスさえ可能になりました。私の経験から、IPv6は古いIPv4に比べてはるかにシンプルでエレガントなソリューションであると確信を持って言えるので、IPv6に切り替えるときはとても幸せですが、この時が来る前に、デュアルスタックが方法ですトーゴ。
より大きなアドレス空間、ブロードキャストの欠如、IPSec、およびより簡単な自動構成以外に、IPv6には「あまり知られていない」利点がいくつかあります。
より大きなアドレス空間は、アドレスがデータストレージとして使用できるより多くのビットを持っていることを意味します。たとえば、2つのノード間のホップカウントは、IPv6アドレスの関数にすることができます。次に例を示します。
IPv6アドレスの形式はPREFIX:Country&Region:DC&Line:Rack&Unit:VM&ID
したがって、ノードが近いほど、最上位ビットが同じになります。これは単なる例であり、「親密さ」の指標はDNSのようなある種の外部データベースに保存できますTXT|SRV
記録。
暗号で生成されたアドレス( [〜#〜] cga [〜#〜] )やSEND (SEcure Neighbor Discovery)
IPv6が有効になっている場合、ネットワーク内のすべてのノードはリンクローカルIPv6アドレスを持っています(他に構成されていない場合)。したがって、誤って構成されたノードにもアクセスできる可能性があります。
リンクローカルIPv6アドレスから直接ノードのMACアドレスを取得できます( IPv6プライバシー拡張 が構成されていない場合)
何千ものノードがあるサブネットでIPv4を使用できる可能性はありません。ネットワークはブロードキャストトラフィック(ARPなど)で過負荷になります。
node information を使用して、ノードに追加情報を照会できます。 BSDでは、ICMPv6のホストをクエリできますNode Information Nodeアドレス:
$ ping6 -a Aacgsl ::1
PING6(72=40+8+24 bytes) ::1 --> ::1
136 bytes from ::1:
fe80::beae:c5ff:fe43:44a(TTL=infty)
fe80::beae:c5ff:fe43:212(TTL=infty)
::1(TTL=infty)
fe80::1(TTL=infty)
2a02::9222(TTL=infty)
内部ホストにIPv6を使用する理由は2つ考えられます。
今後、このホストは少なくとも特定のポートで外部から利用可能である必要があることがわかります。
このホストは、同じ内部アドレスを選択した別のホストに接続する必要がある場合があります。たとえば、Acme社の10.0.0.5に接続する必要があり、Emca社の自分のアドレスも10.0.0.5です。これは前の仕事で起こったことを覚えています。私たちは両方とも同じ内部アドレスを使用していました。
現代の世界では、ほとんどのコンピューターは100%内部ではありません。ほとんどのデスクトップでは、外界への接続が制限されたり、その逆も可能です。
IPv6を社内で導入する唯一の正当な理由は、世界がIPv6に切り替わったときに準備ができていることです。採用率を考えると、それはかなり悪い理由だと思います。ほとんどの内部IPは外部から到達できないため、残りを変換することは大した問題ではありません。
私の会社はおそらく内部でIPv6に切り替えることはないでしょう。それは政策の根本的な転換を必要とするので、私はそれがどのようにして起こり得るかを正直に想像することができないほど大規模です。多くの人が殺されなければならず、多くの不可解な雇用の選択がなされなければならないでしょう。同様に、LANでIPv6に切り替えようとする個々のビジネスユニットの試みは、相互運用性と保守性の懸念に基づいて、企業ネットワークのオーバーロードによる偏見に押しつぶされます(ローカルでは多くの余裕がありますが、それではありません)。多く。)
基本的に、IPv6への切り替えが簡単だったとしたら、何年も前にそうしたことでしょう。
IPv4は、すべてのデバイスがインターネット上に直接存在することを意図していた...アドレス空間がなくなるまで。その後、過去20年間を費やしてすべてをロックしました。現在、IPv6は設計上、すべてのデバイスをインターネットに直接配置したいと考えています。結果は同じです。 NATは、同等に効果的な、またはより優れた代替品なしでは放棄されないセキュリティの1つの層であることに、私は完全に同意します。