내부적으로 IPv6을 사용하는 이유는 무엇입니까?


50

물론 주소가 부족하기 때문에 개방형 인터넷에서 IPv6로 나가야한다는 것을 알고 있지만 내부 네트워크에서 사용해야하는 이유를 이해하지 못합니다. IPv6으로 제로를 해왔으므로 현대 방화벽이 내부 IPv4 주소와 외부 IPv6 주소 사이에서 NAT를 수행하지 않습니까?

많은 사람들이 여기에서 IPv6 질문으로 어려움을 겪고있는 것을 보았을 때 궁금합니다. 왜 귀찮습니까?

답변:


55

IPv6에는 NAT가 없습니다 (어쨌든 NAT를 생각하면). NAT는 주소가 부족한 IPv4에 대한 $ EXPLETIVE 임시 솔루션이었습니다 (실제로는 존재하지 않았으며 NAT가 필요하기 전에 해결되었지만 역사는 20/20입니다). IPv6에서 두통을 유발하는 것을 제외하고는 복잡성 만 추가 할뿐입니다. NAT66은 존재하며 각 호스트에서 사용하는 IPv6 주소의 수를 줄 이도록되어 있습니다 (IPv6 호스트가 여러 주소를 갖는 것은 정상입니다. IPv6는 여러 가지면에서 IPv4와 다소 다릅니다. 이것은 하나입니다).

인터넷은 엔드-투-엔드 라우팅이 가능해야하는데 이는 IPv4가 발명 된 이유와 그것이 수용된 이유의 일부입니다. 인터넷의 모든 주소에 접근 할 수 있어야한다고 말하는 것은 아닙니다. NAT는 둘 다를 중단합니다. 방화벽은 접근성을 깨뜨려 보안 계층을 추가하지만 일반적으로 라우팅 가능성을 희생합니다.

IPv4 주소로 IPv6 엔드 포인트를 지정할 수있는 방법이 없으므로 네트워크에서 IPv6을 원할 것입니다. 다른 방법으로는 DNS64 및 NAT64를 사용하는 IPv6 전용 네트워크가 여전히 IPv4 인터넷에 액세스 할 수 있습니다. 실제로 IPv4를 함께 버릴 수는 있지만 실제로는 약간의 번거 로움이 있습니다. IPv4 내부 주소에서 IPv6 서버로 프록시 할 수 있습니다. 프록시 서버를 추가하고 구성하면 구성, 하드웨어 및 유지 관리 비용이 네트워크에 추가됩니다. 일반적으로 단순히 IPv6을 사용하는 것보다 훨씬 많습니다.

NAT도 자체 문제를 일으 킵니다. 라우터는 라우터를 통해 실행되는 모든 연결을 조정하여 엔드 포인트, 포트, 타임 아웃 등을 추적 할 수 있어야합니다. 모든 트래픽은 일반적으로 단일 지점을 통해 유입되고 있습니다. 중복 NAT 라우터를 구축 할 수 있지만 기술은 매우 복잡하고 일반적으로 비쌉니다. 중복 단순 라우터는 쉽고 저렴합니다 (비교). 또한 일부 라우팅 기능을 다시 설정하려면 NAT 시스템에서 전달 및 변환 규칙을 설정해야합니다. SIP와 같은 IP 주소를 포함하는 프로토콜은 여전히 ​​중단됩니다. UPNP, STUN 및 기타 프로토콜은이 문제를 더욱 복잡하고 유지 보수하며 잘못 될 수있는 문제를 해결하기 위해 개발되었습니다 .


29
NAT가 실행되고있는 라우터는 네트워크를 분리 한 것입니다. 라우터는 여전히 네트워크를 분리합니다. IPv6에 대해 라우터를 올바르게 프로그래밍해야한다는 것 외에는 아무것도 변경되지 않았습니다. 라우팅 가능 가능 (반드시 도달 할 수있는 것은 아님) (방화벽 규칙이 대부분의 트래픽을 차단할 수 있음)
Chris S

12
@Tomtom : 필요하다고 생각하는 사람은 방화벽이 필요하다는 것을 모릅니다. 주소 지정 부족으로 인해 발생하는 문제 외에 NAT가 최상의 솔루션이라는 문제는 사실상 없습니다. IPv6에서는 주소 지정이 부족하지 않습니다 (아직!). 그것은 개발 중 일지 모르지만 그것이 멍청한 아이디어가 아님을 의미하지는 않습니다 :)
초에 자랍니다.

6
@JimB-개발중인 IPv4 NAT 제안이 4 개 이상 있으며 모두 실패했습니다. 그 페이지가 거의 3 살이라는 것을 감안할 때, 지금
Mark Henderson

14
나는 이것이 불쾌하게 들릴 것이라는 것을 알고 있기 때문에, 나는 앞뒤로 사과하고 있지만, 요리사가 아닌 경우 부엌에서 나가십시오. 사람들은 자신의 차에서 일한다면 세상에 손상을 줄 수있는 무언가를 깨뜨릴 수 있다는 것을 이해합니다 ... 컴퓨터 보안도 마찬가지입니다. 만약 당신이 방법을 모른다면, 당신은 아마 선보다 더 많은 해를 입게 될 것입니다. NAT는 어느 정도의 보안 수준을 쉽게 만들 수 있다는 점에 주목해야합니다 (대부분의 경우 내부 네트워크가 인터넷 라우팅 가능하지 않음). 오늘날 대부분의 NAT 라우터에서도 이것이 기본 설정일 뿐이며 NAT에서 제공하는 "보안"을 비활성화 할 수 있습니다.
Chris S

8
취약성 및 위협에 대한 현명한 토론없이 '보안'과 같은 단어를 사용하지 마십시오. NAT는 어떤 특정 취약점을 보호합니까? 어떤 특정한 '공격'에 대해 이야기하고 있습니까? 다른 전문 세계가 스테이트 풀 방화벽으로 완화시키는 것과 동일한 공격입니까? 그렇다면 NAT는 실제로 많은 것을 구매하지는 않습니다.
자라다

22

내부 (rfc1918) ipv4 주소가 부족하면 ipv6을 사용해야하는 매우 유효한 이유가 될 수 있습니다.

Comcast 는 Nanog37에서 관리 주소로 ipv6를 사용하는 이유를 설명했습니다 .

20 Million video customer
x 2.5 STB/customer
x 2 ip addresses/STB
--------------------  
= 100 Millions IP addresses

그리고 이것은 데이터 / 모뎀이 아닌 비디오 전용입니다 .

그들은 2005 년에 RFC1918 풀을 소진했습니다. 그리고 나서 NAT는 공용 주소 풀 (nat은 관리 옵션이 아니므로)을 사용하고 ipv6을 사용하여 요구를 해결했습니다 .


2
비 메가 기업은 어떻습니까?
Cypher

1
글쎄, 여전히 다른 답변이 있습니다;)
petrus

나는 어떤 회사가 내부적으로 고객을 위해 16,777,216 개 이상을 사용한다고 생각하지 않습니다. 더 많은 공개 IP 주소가 필요하다고 주장하는 사람은 없습니다.
KCotreau

5
라우터의 공용 / WAN IP 주소에 대해서는 이야기하지 않고 케이블 모뎀 또는 셋톱 박스의 관리 IP 주소에 대해 이야기했습니다. 예, Comcast와 모든 대형 케이블 제공 업체 2 ^ 24 ip @ 이상 필요합니다.
petrus

14

몇 가지 이유 :

  • IPv6은 브로드 캐스트를 지원하지 않습니다. 멀티 캐스팅으로 대체되었습니다. 브로드 캐스팅은 한 노드가 서브넷의 모든 노드로 트래픽을 보낼 수있게합니다. 브로드 캐스트 도메인 관리는 대규모 IPv4 네트워크를 빠르고 원활하게 실행하는 데 중요한 문제입니다. 멀티 캐스팅을 위해서는 "브로드 캐스트"스타일을 수신하려는 노드가 실제로 "가입"해야하므로 네트워크에 모든 호스트를 공격하는 트래픽이 넘치지 않습니다.

  • IPv6은 기본적으로 IPsec 스타일 암호화를 지원합니다.

  • IPv6은 자동 구성을 지원합니다. DNS 서버, TFTP 서버 등과 같은 DHCP 옵션을 전달하기 위해 DHCP 서버가 여전히 필요하지만 라우터 뒤의 호스트가 DHCP를 사용하지 않고 스스로 구성 할 수 있습니다.


3
IPv6을 사용하면 복잡한 문제없이 전체 서브넷의 번호를 다시 지정할 수 있습니다. 또한 서브넷을 병합 할 수 있습니다. 멀티 캐스트 트래픽을 엄청나게 세밀하게 제어 할 수 있습니다. 더 많은 이유가 있지만 IPv6 과정을 수강 한 이래로 계속되었습니다.
Matthew

4
이것들은 모두 널리 알려진 신화입니다. 여기에 좀 더 많은 정보가 있습니다 : IPv6의 멀티 캐스팅은 기본 기능을 위해 필수적입니다. IPv6의 IPSec은 IPv4에서 모든 것을 변경하지 않습니다. 무료 보안은 제공되지 않습니다. 여전히 모든 모드를 구성하고 키 배포를 처리해야합니다. IPv6의 자동 구성은 완전히 정크입니다. 기본적으로 MAC <-> IPv4만큼 안전하지 않으며 DNS를 전달하지 않습니다. DNS를 원한다면 DHCPv6을 설치해야합니다.
Marcin

1
나는 세 번째 점이 ip6의 약점이라고 생각합니다. 문제 해결 프로세스의 일부로 시스템이 IP를 받았는지 여부를 확인한 횟수는 몇 번입니까? 그 부분은 더 어려워졌습니다.
Joel Coel

13

대규모 대학교에서 저의 이전 직업은 내부적으로 IPv6 할당을 사용했습니다. 그들은 하루에 IPv4 / 16을 할당 받았으며 오늘날에도 거의 모든 내부 클라이언트에 IPv4 주소를 전달하고 있습니다. RFC1918 네트워크는 통신 전용 네트워크 및 특정 특수 용도로 제한되었습니다 (PCI 표준에는 2010 년 10 월까지 RFC1918을 사용해야했습니다).

이로 인해 내부적으로 IPv6도 사용할 계획이었습니다. 여전히 해결해야 할 하드웨어 문제가 있었지만 에지 스위치는 v6을 충분히 지원하지 못했지만 핵심은 준비되었습니다. 아이디어는 공개적으로 가시적 인 엔드 (좋아요, 공개적으로 반응하는 엔드) 에서 v6 지원을 받으려면 모든 사람에게 네트워크를 배포하는 작업의 70 %가 필요하고 추가로 30 %를 수행하고 엔드 투 그것으로 끝납니다.

오랫동안 공개 IP 할당으로 살면서 우리 직원들은 "공개이기 때문에 도달 할 수 있다는 의미는 아닙니다"라는 격언을 잘 알고있었습니다. Chris S가 말했듯이 라우팅 가능은 도달 할 수 없음을 의미합니다.

이것이 적어도 하나의 조직 클래스가 내부적으로 IPv6을 배포하는 이유입니다. 이미 내부에서 RFC1918이 아닌 IPv4를 사용하고 있기 때문입니다.


7

IPv6은보다 간단한 자동 구성 및 자동 검색 메커니즘과 같이 IPv4보다 실질적으로 실제 개선 된 기능을 제공합니다. 또한 IP 범위를 포트 스캔하여 맬웨어가 네트워크를 통해 복제 할 수 없게된다는 점에서 더 안전합니다. -너무 많은 IP가 있습니다. 그러나 이러한 개선은 특별히 극적이지 않으며 스위칭 비용이 가치가 없습니다.

그러나 그것은 둘 중 하나 또는 결정 이 아니며, 가지를 동시에 실행할 수 있으며 소프트웨어를 개발하는 경우 많은 사람들이 언급했듯이 테스트 목적으로 사용해야합니다. 테스트 할 내부 IPv6 인프라가 없어도 프로그램을 IPv6 호환 가능하게 만드는 확실한 방법은 없습니다. 대부분의 최신 OS는 내부 IPv6 네트워크를 자동으로 설정합니다. 사용의 문제입니다.

10 년 전 저는 고용주 고객이 프로그램 업데이트를 가져 오는 데 사용하는 소프트웨어를 약간 만들었습니다. 네트워크 구성 요소를 구축 할 때 IPv6 호환성 구축을 결정하거나 모든 IP 주소가 4 바이트라고 가정해야했습니다. 간단한 경로를 선택하여 약 4 시간의 작업 시간을 절약하고 응용 프로그램을 IPv4 전용으로 만들었습니다. 어쨌든 몇 년 안에 교체 될 것이라고 생각했습니다. 그들은 오늘날에도 여전히 그것을 사용하고 있기 때문에 일부 작은 시장에서 잠겨 있습니다.


6

소규모 회사에서 일하면서 IPv6을 사용하지 않는 이유 만 생각할 수 있습니다.

  • 우리는 심지어 IPv6 공개 주소도 가지고 있지 않습니다. 왜 지구상에서 내부 주소로 실행해야합니까?
  • 우리는 (아직) IPv6을 지원하지 않기 때문에 내가 좋아하는 방화벽을 교체해야 할 것입니다.
  • IPv6 주소를 제어 할뿐 아니라 할당 할 수있는 방법이 없습니다
  • PC의 절반 만이 IPv6을 지원합니다
  • IPv6를 지원하는 제조 공장은 없습니다.
  • 스위치는 IPv6을 지원하지 않습니다
  • IPv6를 지원하는 프린터조차 본 적이 없습니다
  • IPv6은 커맨드 라인에서 사용하기가 훨씬 어렵습니다.
  • IPv6의 속도를 최대한 활용해야합니다. 관심이 없을 때는하기가 어렵습니다.
  • ... 지금 생각할 수없는 다른 많은 이유들

우리와 같은 회사가 변화를 가져 오는 것은 의미가 없습니다. 절대 비용이 들지 않고 상당한 비용과 노력이 필요하기 때문입니다.

솔직히 NAT와 로컬 주소를 처리함으로써 얻을 수있는 이점이 마음에 듭니다. 이제까지 될 경우 필요한 우리가 게이트웨이에서 그렇게 할 수 있습니다 인터넷에서 IPv6와 상호 작용하는 (같은 괴짜가 '원하는 것을 반대).

나는이 현재의 IPv6 유행이 세계의 대다수, 적어도 내부적으로 적어도 10 년 이상을위한 필수품이 될 것으로 기대하지는 않는다. 그때까지 은퇴 할 것으로 예상되는만큼 개인적으로 시간과 노력을 낭비 할 인센티브는 많지 않습니다.

편집하다:

다운 보트를 받고 있지만 하나의 논리적이고 합리적인 반대 견해는 아닙니다. 그것에 대해 생각하지 않고 트렌드를 따르고 싶은 악대 점프 괴짜들이라고 생각합니다. 네트워크에 급격한 변화를 일으키기 위해서는 이유가 있어야하지만 저는 하나도 없습니다. 또한, 나는 소수의 SF 사용자 만 가지고 있다고 의심합니다.


2
1. ISP에게 할당을 요청하십시오. IPv4와 달리 블록을 요청할 수는 없습니다. 6 개월 이내에 X 량을 사용할 수 있어야합니다.
Brian

2
3. 라우터를 IPv6 주소로 설정하여 할당하고 머신이 자동 구성되도록합니다. (또는 setup Dhcp6)
Brian

4
4. Windows XP SP2는 IPv6을 지원합니다. 6. 스위치가 IP를 말하지 않습니다. 그들은 레이어 2에 대해 이야기합니다. ipv4를 계속 지원하여 일부를 관리해야 할 수도 있습니다. 지난 5 년 동안 Jetdirect 카드를 판매 한 HP 프린터 (또는 그 이상)는 IPv6을 지원합니다
Brian

1
"우리의 스위치는 IPv6을 지원하지 않습니다." 문제가 아니다. "IPv6를 지원하는 프린터는 본 적이 없습니다."6 세이며 내 옆에 앉아 있습니다. (저렴한 Dell 레이저). Aye는 "IPv6의 속도를 완전히 향상시켜야합니다. 동의합니다. 새로운 것을 배우는 것은 어렵습니다. 그러나 그것을 이해하는 유일한 사람 (그리고 당신은 몇 년 후에 그것을 필요로 할 것)이 상당히 유리합니다.
Hennes

1
@Hennes, 이미 다 다루어졌고 지금까지 내가 일할 수있는 기간 동안 IPv6이 필요하지 않으며 집에서는 필요하지 않을 것이라고 말할 수있는 한. IOW, 적어도 세계의이 부분에서, 예견 할 수없는 미래에있을 필요가없고 앞으로있을 기술에 대해 배울 동기가 전혀 없습니다. 새로운 것을 배우는 것이 어렵다는 것에 동의하지 않습니다. 나는 매일 매일 그렇게하고 농어에서 떨어질 때까지 계속 그렇게 할 것으로 기대합니다.
John Gardeniers

5

여기서는 순수한 IPv6에서 내부 네트워크를 실행하거나 IPv4 / IPv6 이중 스택을 실행하는 두 가지 사항에 대해 이야기하고 있습니다. 순수한 IPv6 실행에 대해 이야기하는 것이 너무 이르다고 생각합니다. 많은 운영 체제에서 IPv4없이 IPv6을 사용하는 것은 불가능합니다. 그러나 다음과 같은 이유로 이중 스택 실행을 고려할 수 있습니다. (a) 소프트웨어를 개발하는 경우 (b) IPv6으로의 불가피한 마이그레이션을 위해 네트워크를 준비합니다. 상황이 A 인 경우 지금 행동해야합니다 .B 인 경우 내 추정에 따르면 1-2 년 정도 생각할 수 있습니다 (그러나 더 빨리 시작할수록 더 준비 될 것입니다).

제 상황은 A이고 6 개월 동안 이중 스택을 실행하고 있습니다. 이 기간 동안 우리는 공개 / 개인 DNS, 주소 할당, DHCP, 라우팅, 방화벽과 관련된 일부 문제를 식별하고 해결했으며 시도하지 않고도 이러한 많은 문제를 예상 할 수 없었습니다. 이제 IPv6가 완전히 준비되었으며 터널링을 통한 IPv6 공개 액세스도 가능합니다. 내 경험에 따르면 IPv6은 IPv4 노화와 비교할 때 훨씬 간단하고 우아한 솔루션이라고 확신 할 수 있으므로 IPv6으로 전환 할 때가 매우 기쁠 것입니다. 토고.


4

더 큰 주소 공간, 브로드 캐스트 부재, IPSec 및 더 간단한 자동 구성 외에도 IPv6의 "알 수없는"장점이 있습니다.

  1. 주소 공간이 클수록 주소에 데이터 스토리지로 사용할 수있는 비트가 더 많아집니다. 예를 들어, 두 노드 사이의 홉 수는 IPv6 주소의 함수일 수 있습니다. 예 :
    IPv6 주소는 형식 PREFIX:Country&Region:DC&Line:Rack&Unit:VM&ID이 유사할수록 더 가까운 노드가 더 많은 최상위 비트를 갖습니다. 이것은 단지 예일뿐입니다. 물론 "근접성"메트릭은 DNS TXT|SRV레코드 와 같은 일종의 외부 데이터베이스에 저장 될 수 있습니다 .

  2. CGA (Cryptographically Generated Addresses ) 및 SEND (Secure Neighbor Discovery) 와 같은 암호화 목적으로 IPv6의 주소 공간을 사용하는 기술이 있습니다.

  3. IPv6이 활성화되면 네트워크의 모든 노드에 링크 로컬 IPv6 주소가 있습니다 (달리 구성되지 않은 경우). 따라서 잘못 구성된 노드에도 액세스 할 수 있습니다.

  4. 링크 로컬 IPv6 주소에서 직접 노드의 MAC 주소를 얻을 수 있습니다 ( IPv6 개인 정보 확장 이 구성되지 않은 경우)

  5. 수천 개의 노드가있는 서브넷에서 IPv4를 사용할 수있는 방법은 없습니다. 네트워크에는 브로드 캐스트 트래픽 (예 : ARP)이 과부하됩니다.

  6. 다음을 사용하여 추가 정보 노드를 조회 할 수 있습니다 노드 정보를 당신이 된 ICMPv6 노드 정보 노드 주소에 대한 호스트를 조회 할 수 있습니다 BSD에서 예를 :

$ ping6 -a Aacgsl ::1

PING6(72=40+8+24 bytes) ::1 --> ::1
136 bytes from ::1: 
  fe80::beae:c5ff:fe43:44a(TTL=infty)
  fe80::beae:c5ff:fe43:212(TTL=infty)
  ::1(TTL=infty)
  fe80::1(TTL=infty)
  2a02::9222(TTL=infty)

2

내부 호스트에 IPv6을 사용해야하는 두 가지 이유를 생각할 수 있습니다.

  1. 나중에이 호스트는 적어도 특정 포트에서 외부 적으로 사용 가능해야 할 수도 있습니다.

  2. 이 호스트는 동일한 내부 주소를 선택한 다른 호스트에 연결해야 할 수도 있습니다. 예를 들어 Acme 회사에서 10.0.0.5에 연결해야하며 Emca 회사에서 자신의 주소도 10.0.0.5입니다. 나는 이전 직장에서 이런 일이 일어났다는 것을 기억합니다. 둘 다 동일한 내부 주소를 사용했습니다.

현대 사회에서는 대부분의 컴퓨터가 100 % 내부가 아니라고 말합니다. 대부분의 데스크톱은 외부와의 연결을 제한하거나 그 반대로 할 수 있습니다.


1

내부적으로 IPv6를 사용하는 유일한 이유는 전 세계가 IPv6으로 전환 할 때 준비가 되었기 때문에 채택률을 감안할 때 이는 매우 나쁜 이유라고 생각합니다. 대부분의 내부 IP는 외부에서 접근 할 수 없으므로 나머지를 번역하는 데 큰 도움이되지 않습니다.

우리 회사는 내부적으로 IPv6으로 전환하지 않을 것입니다. 정책의 근본적인 변화가 필요하기 때문에 어떻게 될지 정직하게 생각할 수 없습니다. 많은 사람들이 살해 당해야했고, 설명 할 수없는 많은 고용 선택이 이루어져야했습니다. 마찬가지로, 개별 사업부에서 LAN상의 IPv6로 전환하려는 시도는 상호 운용성 및 유지 관리 문제에 따라 회사 네트워킹 대주들이 편견을 잃게 것입니다.

기본적으로 IPv6으로 전환하는 데 어려움이 없다면 몇 년 전에 수행했을 것입니다.


16
"내 회사는 내부적으로 IPv6로 전환하지 않을 것입니다." <-그것은 꽤 대담하고 아마도 순진한 말 IMHO입니다.
EEAA

4
@erika : IPv4를 지원하는 하드웨어를 얻기가 어려워 질 때. 그때까지는 아닙니다. 비즈니스 사례는 없습니다. 내부 네트워킹을 완전히 버리고 클라우드에서 전체 비즈니스를 어딘가에 호스팅 할 가능성이 높습니다.
Satanicpuppy

3
Google 또는 다른 외부 서비스가 IPv4에 대한 지원을 중단하면 어떻게됩니까? 네트워크 외부의 사람들과 연결할 수 없다면 앞으로 문제가 될 것입니다.
Zoredache

3
@ zoredache : 우리는 여기서 내부 지원을 이야기하고 있습니다. 모든 컴퓨터를 외부에서 사용할 필요가없는 한 지금도 IPv4를 IPv6로 브리지하는 것은 어렵지 않습니다. 우리의 현재 하드웨어가이를 지원합니다.
Satanicpuppy

2
비스타 이후 모든 창 상자는 상자에서 이중 스택을 실행합니다. 구현 된 상태로 유지하지 않을 이유가 없습니다.
Jim B

-1

IPv4는 주소 공간이 부족할 때까지 모든 장치가 인터넷에 직접 연결되도록 설계되었습니다. 그런 다음 지난 20 년 동안 모든 것을 차단했습니다. 이제 의도적으로 IPv6은 모든 장치를 인터넷에 직접 배치하려고합니다. 결과는 동일합니다. 나는 NAT가 동등하게 효과적이거나 더 나은 대체없이 포기되지 않을 보안의 한 계층이라는 것에 전적으로 동의합니다.


1
방화벽처럼?
Michael Hampton

3
NAT는 보안 이 아닙니다 . 방화벽은 NAT가 아닌 보안을 제공합니다. 방화벽에는 NAT가 필요하지 않습니다. IPv4 및 IPv6 방화벽 모두 NAT를 활성화하지 않고도 완벽하게 작동하며 방화벽이없는 라우터에서 NAT를 활성화 할 수 있으며 방화벽도 라우팅 할 필요가 없습니다. 올인원 소비자 기기를 가볍게 두드리는 것처럼 보이지 않습니다. 단일 장치에서 NAT, 라우팅 및 방화벽을 사용하는 것이 편리한 경우가 많지만 별도의 기능입니다.
Ron Maupin

2
왜 사람들은 여전히 ​​이런 말을합니까? NAT는 보안 계층이 아니며 하나의 보안 계층도 아닙니다. 부적절하게 긴 주소에 대한 추악한 해킹 일뿐입니다. 대부분의 공격자에게는 장애물이 아닙니다. 잘못되어 질문에 대답하지 않기 때문에 다운 보팅.
Falcon Momot

-3

불행히도, 대부분의 이러한 답변과 의견에는 많은 나쁜 정보가 있습니다. 눈먼 사람이 눈먼 사람을 그렇게 많이 이끌고있는 것을 보는 것은 매우 슬픈 일입니다.

NAT는 아무데도 가지 않고 "오, 그 NAT, 그게 끔찍한 일"이라고 말하는 사람들 ... ""그런 NAT, 그것은 해결 방법 일뿐 "... ad nasueum 그들이 언어를 사용하기 시작하면 주말 네트워킹 안락 의자 전사가 아니라 조언을 구하기 위해 실제 전문 네트워크 아키텍트로 이동하십시오.

인터넷에서 내부 서버로 트래픽을로드 밸런싱해야합니까? IPv6을 사용하면 NAT를 사용하지 않는 한 IPv6을 사용하여 수행 할 수없는 작업을 추측 할 수 있습니다.

그래, 사실이야. 일부는 DSR / Direct 서버 리턴로드 밸런싱을 사용한다고 말합니다. 그러나 그들은 당신이 포기해야한다는 것을 잊어 버립니다 .1) 쿠키 삽입 2) 응용 프로그램 가속 3) 포트 주소 변환

따라서 포트 8080에서 내부 서버를 실행하고 포트 80에서 외부 서버를 실행하려는 경우 ... 아쉽지만 IPv6으로 할 수있는 일은 없습니다. 좋은 OLE NAT를 사용하지 않는 한! DSR에서도 마찬가지입니다.

그런 다음 사람들이 "아, 그래, 모든 IPv6 NAT 제안이 실패했습니다 ... 감사합니다."라고 말한 "보증 적"이라는 말을 덧붙이십시오. 그리고 제국은 박수 소리로 죽습니다. 모든 IPv6 열렬한 사람들이 본질적으로 NAT / PAT의 필요성에 대해 거부하고 있고 그것을하는 사람들이 마지 못해하고 있기 때문에 NAT는 IPv6에서도 전혀 작동하지 않는다면 끔찍할 것입니다. 너무 슬프고, 제대로 관리하지 못했습니다

그렇다면 진실이 당신을 자유롭게 해 주 었으니 이제 겁 많은 전술을 사용하여 순응을 강요하려고 시도하는 수많은 레밍스를 넘어 설 수 있습니다.

네트워크의 공개 / 개인 브로 더 역할을하는로드 밸런서 또는 방화벽을 구매하거나 계속 사용하십시오. 퍼블릭 사이드 인터페이스는 기존 VIP와 동일한 VIP를 호스트하지만 필요한 경우 무료 IPv6 주소를 제공합니다. Loadbalancer / Firewall 레이어의 북쪽에는 이중 스택 IPv4 / IPv6도 있습니다. Loadbalancer / Firewall의 내부 인터페이스에서는 모두 IPv4이며 전체 내부 네트워크는 IPv4이며 원하는 길이로 유지됩니다. 당신의 사업 일뿐입니다. Loadbalancer는 외부와 내부간에 NAT / PAT를 수행합니다. 이미로드 된 모든 기능을로드 밸런스해야하기 때문에 외부 IPv6 문제도 해결하기 때문입니다.

아 그리고 "NAT는 어떤 단일 보안 목적을 제공합니까?"

보안은 가장 기본적인 수준의 가용성에 관한 것입니다. 당신이 그것을 기각하기 전에 그것에 대해 생각하십시오.

로드 밸런서는 가용성 / 보안을 제공하며 사용중인 IP 버전에 관계없이 NAT / PAT를 사용하여 올바르게 수행해야합니다.

DSR에 대한 인용 실패 : https://devcentral.f5.com/articles/the-disadvantages-of-dsr-direct-server-return

케이 thnx


2
귀하의 답변에 NAT가 사소한로드 밸런서를 갖기 위해 NAT가 필요하다고 말하려고한다고 생각하지만, 이는 사실이 아니며 질문을 다루지 않습니다 ...
Falcon Momot

-4

많은 레거시 장치가 통신하지 못하므로 내부 네트워크에서 IPv6을 사용하는 것은 좋은 생각이 아닙니다. 구형 복사기 / 다기능 프린터, 의료 기기, 구형 인쇄기, 구형 서버 및 네트워크 장치. IPv4 체계는 imo를 관리하기가 훨씬 쉽습니다.


-12

허용 된 답변이 잘못되었습니다

NAT의 Chris S 개념은 잘못되었습니다. IPv4 스키마의 인공 확장 외에 NAT의 가장 좋은 기능 중 하나는 보안입니다. NAT는 인터넷에 직접 연결된 경우 상상할 수있는 모든 공격의 대상이 될 수있는 호스트의 실제 IP를 숨기는 계층입니다. 추가 보안 조치를 장려하지 않고 NAT를 제거하는 것에 대해 행복하게 이야기하는 것은 주제에 대한 무지입니다.


5
어떻게 정확히 NAT는 보안 계층입니까?
MDMarra
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.