답변:
IPv6에는 NAT가 없습니다 (어쨌든 NAT를 생각하면). NAT는 주소가 부족한 IPv4에 대한 $ EXPLETIVE 임시 솔루션이었습니다 (실제로는 존재하지 않았으며 NAT가 필요하기 전에 해결되었지만 역사는 20/20입니다). IPv6에서 두통을 유발하는 것을 제외하고는 복잡성 만 추가 할뿐입니다. NAT66은 존재하며 각 호스트에서 사용하는 IPv6 주소의 수를 줄 이도록되어 있습니다 (IPv6 호스트가 여러 주소를 갖는 것은 정상입니다. IPv6는 여러 가지면에서 IPv4와 다소 다릅니다. 이것은 하나입니다).
인터넷은 엔드-투-엔드 라우팅이 가능해야하는데 이는 IPv4가 발명 된 이유와 그것이 수용된 이유의 일부입니다. 인터넷의 모든 주소에 접근 할 수 있어야한다고 말하는 것은 아닙니다. NAT는 둘 다를 중단합니다. 방화벽은 접근성을 깨뜨려 보안 계층을 추가하지만 일반적으로 라우팅 가능성을 희생합니다.
IPv4 주소로 IPv6 엔드 포인트를 지정할 수있는 방법이 없으므로 네트워크에서 IPv6을 원할 것입니다. 다른 방법으로는 DNS64 및 NAT64를 사용하는 IPv6 전용 네트워크가 여전히 IPv4 인터넷에 액세스 할 수 있습니다. 실제로 IPv4를 함께 버릴 수는 있지만 실제로는 약간의 번거 로움이 있습니다. IPv4 내부 주소에서 IPv6 서버로 프록시 할 수 있습니다. 프록시 서버를 추가하고 구성하면 구성, 하드웨어 및 유지 관리 비용이 네트워크에 추가됩니다. 일반적으로 단순히 IPv6을 사용하는 것보다 훨씬 많습니다.
NAT도 자체 문제를 일으 킵니다. 라우터는 라우터를 통해 실행되는 모든 연결을 조정하여 엔드 포인트, 포트, 타임 아웃 등을 추적 할 수 있어야합니다. 모든 트래픽은 일반적으로 단일 지점을 통해 유입되고 있습니다. 중복 NAT 라우터를 구축 할 수 있지만 기술은 매우 복잡하고 일반적으로 비쌉니다. 중복 단순 라우터는 쉽고 저렴합니다 (비교). 또한 일부 라우팅 기능을 다시 설정하려면 NAT 시스템에서 전달 및 변환 규칙을 설정해야합니다. SIP와 같은 IP 주소를 포함하는 프로토콜은 여전히 중단됩니다. UPNP, STUN 및 기타 프로토콜은이 문제를 더욱 복잡하고 유지 보수하며 잘못 될 수있는 문제를 해결하기 위해 개발되었습니다 .
내부 (rfc1918) ipv4 주소가 부족하면 ipv6을 사용해야하는 매우 유효한 이유가 될 수 있습니다.
Comcast 는 Nanog37에서 관리 주소로 ipv6를 사용하는 이유를 설명했습니다 .
20 Million video customer
x 2.5 STB/customer
x 2 ip addresses/STB
--------------------
= 100 Millions IP addresses
그리고 이것은 데이터 / 모뎀이 아닌 비디오 전용입니다 .
그들은 2005 년에 RFC1918 풀을 소진했습니다. 그리고 나서 NAT는 공용 주소 풀 (nat은 관리 옵션이 아니므로)을 사용하고 ipv6을 사용하여 요구를 해결했습니다 .
몇 가지 이유 :
IPv6은 브로드 캐스트를 지원하지 않습니다. 멀티 캐스팅으로 대체되었습니다. 브로드 캐스팅은 한 노드가 서브넷의 모든 노드로 트래픽을 보낼 수있게합니다. 브로드 캐스트 도메인 관리는 대규모 IPv4 네트워크를 빠르고 원활하게 실행하는 데 중요한 문제입니다. 멀티 캐스팅을 위해서는 "브로드 캐스트"스타일을 수신하려는 노드가 실제로 "가입"해야하므로 네트워크에 모든 호스트를 공격하는 트래픽이 넘치지 않습니다.
IPv6은 기본적으로 IPsec 스타일 암호화를 지원합니다.
IPv6은 자동 구성을 지원합니다. DNS 서버, TFTP 서버 등과 같은 DHCP 옵션을 전달하기 위해 DHCP 서버가 여전히 필요하지만 라우터 뒤의 호스트가 DHCP를 사용하지 않고 스스로 구성 할 수 있습니다.
대규모 대학교에서 저의 이전 직업은 내부적으로 IPv6 할당을 사용했습니다. 그들은 하루에 IPv4 / 16을 할당 받았으며 오늘날에도 거의 모든 내부 클라이언트에 IPv4 주소를 전달하고 있습니다. RFC1918 네트워크는 통신 전용 네트워크 및 특정 특수 용도로 제한되었습니다 (PCI 표준에는 2010 년 10 월까지 RFC1918을 사용해야했습니다).
이로 인해 내부적으로 IPv6도 사용할 계획이었습니다. 여전히 해결해야 할 하드웨어 문제가 있었지만 에지 스위치는 v6을 충분히 지원하지 못했지만 핵심은 준비되었습니다. 아이디어는 공개적으로 가시적 인 엔드 (좋아요, 공개적으로 반응하는 엔드) 에서 v6 지원을 받으려면 모든 사람에게 네트워크를 배포하는 작업의 70 %가 필요하고 추가로 30 %를 수행하고 엔드 투 그것으로 끝납니다.
오랫동안 공개 IP 할당으로 살면서 우리 직원들은 "공개이기 때문에 도달 할 수 있다는 의미는 아닙니다"라는 격언을 잘 알고있었습니다. Chris S가 말했듯이 라우팅 가능은 도달 할 수 없음을 의미합니다.
이것이 적어도 하나의 조직 클래스가 내부적으로 IPv6을 배포하는 이유입니다. 이미 내부에서 RFC1918이 아닌 IPv4를 사용하고 있기 때문입니다.
IPv6은보다 간단한 자동 구성 및 자동 검색 메커니즘과 같이 IPv4보다 실질적으로 실제 개선 된 기능을 제공합니다. 또한 IP 범위를 포트 스캔하여 맬웨어가 네트워크를 통해 복제 할 수 없게된다는 점에서 더 안전합니다. -너무 많은 IP가 있습니다. 그러나 이러한 개선은 특별히 극적이지 않으며 스위칭 비용이 가치가 없습니다.
그러나 그것은 둘 중 하나 또는 결정 이 아니며, 두 가지를 동시에 실행할 수 있으며 소프트웨어를 개발하는 경우 많은 사람들이 언급했듯이 테스트 목적으로 사용해야합니다. 테스트 할 내부 IPv6 인프라가 없어도 프로그램을 IPv6 호환 가능하게 만드는 확실한 방법은 없습니다. 대부분의 최신 OS는 내부 IPv6 네트워크를 자동으로 설정합니다. 사용의 문제입니다.
10 년 전 저는 고용주 고객이 프로그램 업데이트를 가져 오는 데 사용하는 소프트웨어를 약간 만들었습니다. 네트워크 구성 요소를 구축 할 때 IPv6 호환성 구축을 결정하거나 모든 IP 주소가 4 바이트라고 가정해야했습니다. 간단한 경로를 선택하여 약 4 시간의 작업 시간을 절약하고 응용 프로그램을 IPv4 전용으로 만들었습니다. 어쨌든 몇 년 안에 교체 될 것이라고 생각했습니다. 그들은 오늘날에도 여전히 그것을 사용하고 있기 때문에 일부 작은 시장에서 잠겨 있습니다.
소규모 회사에서 일하면서 IPv6을 사용하지 않는 이유 만 생각할 수 있습니다.
우리와 같은 회사가 변화를 가져 오는 것은 의미가 없습니다. 절대 비용이 들지 않고 상당한 비용과 노력이 필요하기 때문입니다.
솔직히 NAT와 로컬 주소를 처리함으로써 얻을 수있는 이점이 마음에 듭니다. 이제까지 될 경우 필요한 우리가 게이트웨이에서 그렇게 할 수 있습니다 인터넷에서 IPv6와 상호 작용하는 (같은 괴짜가 '원하는 것을 반대).
나는이 현재의 IPv6 유행이 세계의 대다수, 적어도 내부적으로 적어도 10 년 이상을위한 필수품이 될 것으로 기대하지는 않는다. 그때까지 은퇴 할 것으로 예상되는만큼 개인적으로 시간과 노력을 낭비 할 인센티브는 많지 않습니다.
편집하다:
다운 보트를 받고 있지만 하나의 논리적이고 합리적인 반대 견해는 아닙니다. 그것에 대해 생각하지 않고 트렌드를 따르고 싶은 악대 점프 괴짜들이라고 생각합니다. 네트워크에 급격한 변화를 일으키기 위해서는 이유가 있어야하지만 저는 하나도 없습니다. 또한, 나는 소수의 SF 사용자 만 가지고 있다고 의심합니다.
여기서는 순수한 IPv6에서 내부 네트워크를 실행하거나 IPv4 / IPv6 이중 스택을 실행하는 두 가지 사항에 대해 이야기하고 있습니다. 순수한 IPv6 실행에 대해 이야기하는 것이 너무 이르다고 생각합니다. 많은 운영 체제에서 IPv4없이 IPv6을 사용하는 것은 불가능합니다. 그러나 다음과 같은 이유로 이중 스택 실행을 고려할 수 있습니다. (a) 소프트웨어를 개발하는 경우 (b) IPv6으로의 불가피한 마이그레이션을 위해 네트워크를 준비합니다. 상황이 A 인 경우 지금 행동해야합니다 .B 인 경우 내 추정에 따르면 1-2 년 정도 생각할 수 있습니다 (그러나 더 빨리 시작할수록 더 준비 될 것입니다).
제 상황은 A이고 6 개월 동안 이중 스택을 실행하고 있습니다. 이 기간 동안 우리는 공개 / 개인 DNS, 주소 할당, DHCP, 라우팅, 방화벽과 관련된 일부 문제를 식별하고 해결했으며 시도하지 않고도 이러한 많은 문제를 예상 할 수 없었습니다. 이제 IPv6가 완전히 준비되었으며 터널링을 통한 IPv6 공개 액세스도 가능합니다. 내 경험에 따르면 IPv6은 IPv4 노화와 비교할 때 훨씬 간단하고 우아한 솔루션이라고 확신 할 수 있으므로 IPv6으로 전환 할 때가 매우 기쁠 것입니다. 토고.
더 큰 주소 공간, 브로드 캐스트 부재, IPSec 및 더 간단한 자동 구성 외에도 IPv6의 "알 수없는"장점이 있습니다.
주소 공간이 클수록 주소에 데이터 스토리지로 사용할 수있는 비트가 더 많아집니다. 예를 들어, 두 노드 사이의 홉 수는 IPv6 주소의 함수일 수 있습니다. 예 :
IPv6 주소는 형식 PREFIX:Country&Region:DC&Line:Rack&Unit:VM&ID
이 유사할수록 더 가까운 노드가 더 많은 최상위 비트를 갖습니다. 이것은 단지 예일뿐입니다. 물론 "근접성"메트릭은 DNS TXT|SRV
레코드 와 같은 일종의 외부 데이터베이스에 저장 될 수 있습니다 .
CGA (Cryptographically Generated Addresses ) 및 SEND (Secure Neighbor Discovery) 와 같은 암호화 목적으로 IPv6의 주소 공간을 사용하는 기술이 있습니다.
IPv6이 활성화되면 네트워크의 모든 노드에 링크 로컬 IPv6 주소가 있습니다 (달리 구성되지 않은 경우). 따라서 잘못 구성된 노드에도 액세스 할 수 있습니다.
링크 로컬 IPv6 주소에서 직접 노드의 MAC 주소를 얻을 수 있습니다 ( IPv6 개인 정보 확장 이 구성되지 않은 경우)
수천 개의 노드가있는 서브넷에서 IPv4를 사용할 수있는 방법은 없습니다. 네트워크에는 브로드 캐스트 트래픽 (예 : ARP)이 과부하됩니다.
다음을 사용하여 추가 정보 노드를 조회 할 수 있습니다 노드 정보를 당신이 된 ICMPv6 노드 정보 노드 주소에 대한 호스트를 조회 할 수 있습니다 BSD에서 예를 :
$ ping6 -a Aacgsl ::1
PING6(72=40+8+24 bytes) ::1 --> ::1
136 bytes from ::1:
fe80::beae:c5ff:fe43:44a(TTL=infty)
fe80::beae:c5ff:fe43:212(TTL=infty)
::1(TTL=infty)
fe80::1(TTL=infty)
2a02::9222(TTL=infty)
내부 호스트에 IPv6을 사용해야하는 두 가지 이유를 생각할 수 있습니다.
나중에이 호스트는 적어도 특정 포트에서 외부 적으로 사용 가능해야 할 수도 있습니다.
이 호스트는 동일한 내부 주소를 선택한 다른 호스트에 연결해야 할 수도 있습니다. 예를 들어 Acme 회사에서 10.0.0.5에 연결해야하며 Emca 회사에서 자신의 주소도 10.0.0.5입니다. 나는 이전 직장에서 이런 일이 일어났다는 것을 기억합니다. 둘 다 동일한 내부 주소를 사용했습니다.
현대 사회에서는 대부분의 컴퓨터가 100 % 내부가 아니라고 말합니다. 대부분의 데스크톱은 외부와의 연결을 제한하거나 그 반대로 할 수 있습니다.
내부적으로 IPv6를 사용하는 유일한 이유는 전 세계가 IPv6으로 전환 할 때 준비가 되었기 때문에 채택률을 감안할 때 이는 매우 나쁜 이유라고 생각합니다. 대부분의 내부 IP는 외부에서 접근 할 수 없으므로 나머지를 번역하는 데 큰 도움이되지 않습니다.
우리 회사는 내부적으로 IPv6으로 전환하지 않을 것입니다. 정책의 근본적인 변화가 필요하기 때문에 어떻게 될지 정직하게 생각할 수 없습니다. 많은 사람들이 살해 당해야했고, 설명 할 수없는 많은 고용 선택이 이루어져야했습니다. 마찬가지로, 개별 사업부에서 LAN상의 IPv6로 전환하려는 시도는 상호 운용성 및 유지 관리 문제에 따라 회사 네트워킹 대주들이 편견을 잃게 될 것입니다.
기본적으로 IPv6으로 전환하는 데 어려움이 없다면 몇 년 전에 수행했을 것입니다.
IPv4는 주소 공간이 부족할 때까지 모든 장치가 인터넷에 직접 연결되도록 설계되었습니다. 그런 다음 지난 20 년 동안 모든 것을 차단했습니다. 이제 의도적으로 IPv6은 모든 장치를 인터넷에 직접 배치하려고합니다. 결과는 동일합니다. 나는 NAT가 동등하게 효과적이거나 더 나은 대체없이 포기되지 않을 보안의 한 계층이라는 것에 전적으로 동의합니다.
불행히도, 대부분의 이러한 답변과 의견에는 많은 나쁜 정보가 있습니다. 눈먼 사람이 눈먼 사람을 그렇게 많이 이끌고있는 것을 보는 것은 매우 슬픈 일입니다.
NAT는 아무데도 가지 않고 "오, 그 NAT, 그게 끔찍한 일"이라고 말하는 사람들 ... ""그런 NAT, 그것은 해결 방법 일뿐 "... ad nasueum 그들이 언어를 사용하기 시작하면 주말 네트워킹 안락 의자 전사가 아니라 조언을 구하기 위해 실제 전문 네트워크 아키텍트로 이동하십시오.
인터넷에서 내부 서버로 트래픽을로드 밸런싱해야합니까? IPv6을 사용하면 NAT를 사용하지 않는 한 IPv6을 사용하여 수행 할 수없는 작업을 추측 할 수 있습니다.
그래, 사실이야. 일부는 DSR / Direct 서버 리턴로드 밸런싱을 사용한다고 말합니다. 그러나 그들은 당신이 포기해야한다는 것을 잊어 버립니다 .1) 쿠키 삽입 2) 응용 프로그램 가속 3) 포트 주소 변환
따라서 포트 8080에서 내부 서버를 실행하고 포트 80에서 외부 서버를 실행하려는 경우 ... 아쉽지만 IPv6으로 할 수있는 일은 없습니다. 좋은 OLE NAT를 사용하지 않는 한! DSR에서도 마찬가지입니다.
그런 다음 사람들이 "아, 그래, 모든 IPv6 NAT 제안이 실패했습니다 ... 감사합니다."라고 말한 "보증 적"이라는 말을 덧붙이십시오. 그리고 제국은 박수 소리로 죽습니다. 모든 IPv6 열렬한 사람들이 본질적으로 NAT / PAT의 필요성에 대해 거부하고 있고 그것을하는 사람들이 마지 못해하고 있기 때문에 NAT는 IPv6에서도 전혀 작동하지 않는다면 끔찍할 것입니다. 너무 슬프고, 제대로 관리하지 못했습니다
그렇다면 진실이 당신을 자유롭게 해 주 었으니 이제 겁 많은 전술을 사용하여 순응을 강요하려고 시도하는 수많은 레밍스를 넘어 설 수 있습니다.
네트워크의 공개 / 개인 브로 더 역할을하는로드 밸런서 또는 방화벽을 구매하거나 계속 사용하십시오. 퍼블릭 사이드 인터페이스는 기존 VIP와 동일한 VIP를 호스트하지만 필요한 경우 무료 IPv6 주소를 제공합니다. Loadbalancer / Firewall 레이어의 북쪽에는 이중 스택 IPv4 / IPv6도 있습니다. Loadbalancer / Firewall의 내부 인터페이스에서는 모두 IPv4이며 전체 내부 네트워크는 IPv4이며 원하는 길이로 유지됩니다. 당신의 사업 일뿐입니다. Loadbalancer는 외부와 내부간에 NAT / PAT를 수행합니다. 이미로드 된 모든 기능을로드 밸런스해야하기 때문에 외부 IPv6 문제도 해결하기 때문입니다.
아 그리고 "NAT는 어떤 단일 보안 목적을 제공합니까?"
보안은 가장 기본적인 수준의 가용성에 관한 것입니다. 당신이 그것을 기각하기 전에 그것에 대해 생각하십시오.
로드 밸런서는 가용성 / 보안을 제공하며 사용중인 IP 버전에 관계없이 NAT / PAT를 사용하여 올바르게 수행해야합니다.
DSR에 대한 인용 실패 : https://devcentral.f5.com/articles/the-disadvantages-of-dsr-direct-server-return
케이 thnx