题 切换到IPv6意味着丢弃NAT。那是件好事儿吗?


这是一个 典型问题 关于IPv6和NAT

有关:

所以我们的ISP最近已经建立了IPv6,我一直在研究在进入战争之前过渡应该带来什么。

我注意到三个非常重要的问题:

  1. 我们的办公室NAT路由器(旧的Linksys BEFSR41)不支持IPv6。也没有更新的路由器,AFAICT。我正在阅读的关于IPv6的书告诉我,无论如何它使NAT“不必要”。

  2. 如果我们应该摆脱这个路由器并将所有内容直接插入互联网,我开始恐慌。在地狱里我没办法把我们的账单数据库(有很多信用卡信息!)放在互联网上供所有人查看。即使我建议在其上设置Windows防火墙,只允许6个地址可以访问它,我仍然会冷汗。我不相信Windows,Windows的防火墙或网络足够大,甚至可以远程使用它。

  3. 有一些旧的硬件设备(即打印机)完全没有IPv6功能。并且可能是可追溯到1998年左右的安全问题清单。并且可能无法以任何方式实际修补它们。没有新打印机的资金。

我听说IPv6和IPSEC应该以某种方式使所有这些安全,但没有物理上分离的网络,使这些设备对互联网不可见,我  看不出来怎么样。我同样可以  看看我创建的任何防御将如何在短时间内超越。我已经在互联网上运行服务器多年了,而且我非常熟悉保护这些服务器所必需的东西,但是像我们的计费数据库那样在网络上放置一些私有内容一直是​​完全不可能的。

如果我们没有物理上独立的网络,我应该用什么替换NAT?


101
2017-09-24 23:33




你能尝试重新问这个吗?现在它似乎是相当有争议的。 - Zoredache
你是的东西 感到震惊 不存在也许你应该以描述你认为是事实的事情的方式重新格式化你的问题并要求我们确认它们。而不是抱怨你所假设的事情将以某种方式工作。 - Zoredache
此外 - 您存储信用卡信息?你有很多关于安全性的问题吗?你有没有通过PCI审核?或者您是否通过存储信用卡详细信息来违反合同?你可能想要在匆忙之后调查一下。 - mfinni
我不能在良心上知道这张海报是不明智的(这肯定是该网站的一半点),因此无法良心地投票或投票结束这个问题。当然,基于错误的假设,OP正处于一个大切线上,问题可能在于重写。 - Chris Thorpe
“不再需要NAT”绝对是IPv6的目标之一。虽然目前看来(至少在这里)实际提供IPv6的兴趣不是很大,除了在数据中心(因为更大的数据包意味着更多的带宽,更多的带宽意味着更多的钱!)。对于DSL而言却恰恰相反,几乎每个人都扁平化,因此IPv6只会给提供商带来更多麻烦和更多成本。 - dm.skt


答案:


首先,只要您的安全设备配置正确,就不必担心公共IP分配。

如果我们没有物理上独立的网络,我应该用什么替换NAT?

自20世纪80年代以来,我们一直在物理上将它们分开,路由器和防火墙。使用NAT获得的一大安全性增益是它会强制您进入默认拒绝配置。为了得到 任何 通过它服务,你必须 明确地 打孔。更高级的设备甚至允许您将基于IP的ACL应用于这些漏洞,就像防火墙一样。实际上可能是因为他们的盒子上有“防火墙”。

正确配置的防火墙提供与NAT网关完全相同的服务。 NAT网关经常被使用,因为它们是 更轻松 进入安全配置比大多数防火墙。

我听说IPv6和IPSEC应该以某种方式使所有这些安全,但没有物理上分离的网络,使这些设备对互联网不可见,我 看不出来怎么样。

这是一种误解。我在一个拥有/ 16 IPv4分配的大学工作,我们的绝大多数IP地址消费都在公共分配上。当然我们所有的最终用户工作站和打印机。我们的RFC1918消耗仅限于网络设备和需要此类地址的某些特定服务器。如果你刚才刚刚颤抖我就不会感到惊讶,因为当我第一天出现并在我的显示器上用我的IP地址看到post-it时,我确实做到了。

然而,我们生存下来。为什么?因为我们有一个配置为default-deny的外部防火墙,ICMP吞吐量有限。仅仅因为140.160.123.45在理论上是可路由的,并不意味着你可以从公共互联网上的任何地方到达那里。这就是防火墙的设计目标。

鉴于正确的路由器配置,我们分配的不同子网可以完全无法相互访问。您可以在路由器表或防火墙中执行此操作。这是一个单独的网络,过去已经满足了我们的安全审核员。

在地狱里我没办法把我们的账单数据库(有很多信用卡信息!)放在互联网上供所有人查看。

我们的计费数据库位于公共IPv4地址,并且已经存在,但我们已经证明您无法从这里获得。仅仅因为地址在公共v4可路由列表上并不意味着它可以保证交付。互联网的邪恶和实际的数据库端口之间的两个防火墙过滤掉了邪恶。即使从我的办公桌,在第一个防火墙后面,我也无法访问该数据库。

信用卡信息是一个特例。这符合PCI-DSS标准,标准直接规定包含此类数据的服务器必须位于NAT网关之后1。我们是,这三个服务器代表我们对RFC1918地址的服务器总使用量。它不会增加任何安全性,只是一层复杂性,但我们需要检查该复选框以进行审核。


最初的“IPv6让NAT成为过去”的想法是在互联网热潮真正达到主流之前提出的。在1995年,NAT是解决小型IP分配的一种解决方法。 2005年,它被载入许多安全最佳实践文档,并且至少有一个主要标准(PCI-DSS具体)。 NAT提供的唯一具体好处是,在网络上执行侦察的外部实体不知道NAT设备背后的IP环境是什么样的(尽管感谢RFC1918他们有一个很好的猜测),以及无NAT的IPv4(如作为我的工作)事实并非如此。这是防御深度的一小步,而不是一个大的防守。

RFC1918地址的替换是所谓的唯一本地地址。与RFC1918一样,除非同行特别同意让他们路由,否则他们不会路由。与RFC1918不同,它们(可能)是全球唯一的。将ULA转换为全球IP的IPv6地址转换器确实存在于更高范围的外围设备中,但绝对不在SOHO设备中。

您可以使用公共IP地址生存下来。请记住,'公共'并不保证'可达',你会没事的。


2017年更新

在过去的几个月里,亚马逊  一直在增加IPv6支持。它刚被添加到他们的  提供以及它们的实现提供了一些关于如何进行大规模部署的线索。

  • 您将获得/ 56分配(256个子网)。
  • 分配是完全可路由的子网。
  • 您应该设置防火墙规则()适当的限制。
  • 没有NAT,甚至没有提供,因此所有出站流量都来自实例的实际IP地址。

为了补充NAT的一个安全优势,他们现在提供了一个 仅出口互联网网关。这提供了一个类似NAT的好处:

  • 它背后的子网无法直接从互联网访问。

这提供了一层深度防御,以防错误配置的防火墙规则意外地允许入站流量。

此产品不会像NAT那样将内部地址转换为单个地址。出站流量仍将具有打开连接的实例的源IP。希望将VPC中的资源列入白名单的防火墙运营商最好将白名单列入白名单,而不是特定的IP地址。

可路由 并不总是意味着 到达


1:PCI-DSS标准于2010年10月发生变化,强制要求RFC1918地址的声明被删除,“网络隔离”取代了它。


182
2017-09-25 00:59



我将此标记为已接受,因为它是更完整的答案。我想,因为我读过的每一个防火墙配置(自1997年左右开始,当我开始在现场,包括手工构建FreeBSD防火墙)时强调使用RFC1918,这实际上没有任何意义对我来说。当然,作为一个ISP,当我们耗尽IPv4地址时,我们将会遇到最终用户及其廉价路由器的一些问题,而且这种问题不会很快消失。 - Ernie
“将ULA转换为全球IP的IPv6地址转换器确实存在于更高范围的外围设备中,绝对不在SOHO设备中。”经过多年的抵制,linux在3.9.0中增加了对此的支持。 - Peter Green
我有一个问题“NAT网关经常被使用,因为它们是 更轻松 比大多数防火墙进入安全配置“。对于拥有专业IT员工或知识渊博的消费者的企业而言,这并不是什么大不了的事,但对于普通消费者/幼稚的小企业来说,并不是”不容易“的巨大安全风险?数十年的无密码“linksys”wifi网络已经存在,因为没有配置安全性比配置它“更容易”。在一个充满消费级物联网设备的房子里,我看不到妈妈正确配置IPv6防火墙。你认为这是一个吗?问题? - Jason C
@JasonC不,因为已经发货的消费级设备装有ISP预先配置的防火墙,以拒绝所有入站。或者没有v6支持。挑战在于权力用户认为他们知道自己在做什么,但事实并非如此。 - sysadmin1138♦
总的来说,这是一个很好的答案,但我对它进行了低估,因为它几乎没有解决房间里的大象:正确配置安全设备是你不能认为理所当然的事情。 - Kevin Keane


我们的办公室NAT路由器(旧的Linksys   BEFSR41)不支持IPv6。也不   做任何更新的路由器

许多路由器都支持IPv6。只是没有那么多针对消费者和SOHO的廉价产品。最糟糕的情况是,只需使用Linux机箱或使用dd-wrt或其他东西重新刷新路由器即可获得IPv6支持。有很多选择,你可能只需要更加努力。

如果我们应该摆脱   这个路由器和插头一切   直接上网

没有关于过渡到IPv6的建议你应该摆脱外围安全设备,比如你的路由器/防火墙。路由器和防火墙仍然是几乎每个网络的必需组件。

所有NAT路由器都有效地充当状态防火墙。使用RFC1918地址并没有什么神奇之处可以保护你。努力工作是有状态的。如果您使用真实或私人地址,正确配置的防火墙也将保护您。

您从RFC1918地址获得的唯一保护是允许人们在防火墙配置中逃脱错误/懒惰,但仍然不是那么容易受到攻击。

有一些旧的硬件设备(即打印机)完全没有IPv6功能。

所以?您不太可能需要通过Internet提供,并且在内部网络上,您可以继续运行I​​Pv4和IPv6,直到支持或替换所有设备。

如果不能运行多个协议,则可能需要设置某种网关/代理。

IPSEC应该以某种方式使所有这些安全

IPSEC加密并验证数据包。它与摆脱边界设备无关,并且可以更好地保护传输中的数据。


56
2017-09-24 23:55



在很多方面都是对的。 - sysadmin1138♦
确切地说,获得一个真正的路由器,你不必担心。 SonicWall有一些很好的选择来提供您所需的安全性,并且可以毫无问题地支持IPv6。此选项可能会提供比您现有的更好的安全性和性能。 (news.sonicwall.com/index.php?s=43&item=1022)正如您在本文中所看到的,您还可以使用sonicwall设备对ipv4进行ipv4转换,以便无法处理ipv6。 - MaQleod


是。 NAT已经死了。已经有一些尝试批准NAT over IPv6的标准,但它们都没有实现过。

这实际上为尝试符合PCI-DSS标准的提供商带来了问题,因为该标准实际上声明您必须在NAT之后。

对我而言,这是我听过的最精彩的新闻。我讨厌NAT,我更讨厌运营级NAT。

NAT曾经只是一个让我们通过直到IPv6成为标准的绑定解决方案,但它已经根深蒂固地进入了互联网社会。

对于过渡期,您必须记住IPv4和IPv6除了类似的名称外,完全不同 1。因此,双栈设备,您的IPv4将被NAT,而您的IPv6将不会。它几乎就像有两个完全独立的设备,只是装在一块塑料中。

那么,IPv6互联网接入如何运作?好吧,互联网在NAT发明之前的工作方式。您的ISP将为您分配一个IP范围(与现在相同,但它们通常会为您分配一个/ 32,这意味着您只能获得一个IP地址),但您的范围现在将包含数百万个可用的IP地址。您可以随意填充这些IP地址(使用自动配置或DHCPv6)。从互联网上的任何其他计算机都可以看到这些IP地址中的每一个。

听起来很可怕,对吧?您的域控制器,家庭媒体PC和iPhone以及隐藏的色情内容都可以通过互联网访问?!好吧,不。这就是防火墙的用途。 IPv6的另一个重要特征就是它 军队 防火墙从“全部允许”方法(与大多数家庭设备一样)变为“全部拒绝”方法,您可以在其中打开特定IP地址的服务。 99.999%的家庭用户会很乐意保持防火墙的默认设置并完全锁定,这意味着不允许任何未经请求的流量。

1好吧,除此之外还有更多的方法,但它们并不相互兼容,即使它们都允许在顶部运行相同的协议


33
2018-03-23 23:42



那些声称在NAT后面拥有计算机可以增加安全性的人呢?我从其他一些IT管理员那里听到了很多。如果你说你需要一个合适的防火墙就没关系了,因为很多人都认为NAT增加了一层安全性。 - user9274
@ user9274 - 它以两种方式提供安全性:1)它隐藏了来自世界的内部IP地址(这就是PCI-DSS要求它的原因),以及2)它是从互联网到本地机器的额外“跳跃”。但说实话,第一个只是“通过默默无闻的安全”,这根本不是安全的,而对于第二个,受损的NAT设备和受损的服务器一样危险,所以一旦攻击者通过了可能的NAT无论如何进入你的机器。 - Mark Henderson♦
此外,通过使用NAT获得的任何安全性都是并且在努力避免IPv4地址耗尽方面是一个意想不到的好处。它当然不是我所知道的设计目标的一部分。 - joeqwerty
PCI-DSS标准于2010年10月下旬进行了修订,NAT要求被删除(第1.2节第1.3.8节)。所以,即使他们正赶上时代。 - sysadmin1138♦
@Mark,不确定它是否值得一提,但NAT64正在起步,但这并不是大多数人想到的NAT。它允许仅IPv6网络在没有客户“合作”的情况下访问IPv4 Internet;它需要DNS64支持才能使其正常工作。 - Chris S


众所周知,NAT的PCI-DSS要求是安全影院,而不是实际的安全性。

最近的PCI-DSS已经放弃了对NAT的绝对要求。许多组织已通过使用IPv4的PCI-DSS审核,而没有NAT将状态防火墙显示为“等效安全实施”。

还有其他安全影院文件要求NAT,但是,由于它会破坏审计线索并使事故调查/缓解更加困难,因此对NAT(有或没有PAT)的更深入研究将成为净安全负面因素。

没有NAT的良好状态防火墙是IPv6世界中非常优越的NAT解决方案。在IPv4中,为了保护地址,NAT是一种必须容忍的邪恶。


18
2018-01-26 17:45



NAT是“懒惰的安全”。由于“懒惰的安全性”缺乏对细节的关注,以及随之而来的安全性损失。 - Skaperen
完全同意;虽然大多数PCI-DSS审核的执行方式(由带有核对表的猴子审核)都是如此 所有 懒惰的安全性,并带有这些缺陷。 - MadHatter
对于那些声称NAT是“安全影院”的人,我想在几个月前指出The Networking Nerd关于Memcached漏洞的文章。 networkingnerd.net/2018/03/02/... 他是一个狂热的IPv6支持者和NAT仇恨者,但不得不指出,由于防火墙规则“没有仔细制作”,成千上万的公司已经将他们的memcached服务器在互联网上大开。 NAT强制您明确允许您进入网络的内容。 - Kevin Keane


(遗憾的是)在您可以摆脱单栈IPv6网络之前还需要一段时间。在此之前,具有IPv6优先权的双栈是可行的方式。

虽然目前大多数消费者路由器不支持具有库存固件的IPv6,但许多消费者路由器可以使用第三方固件支持它(例如,带有dd-wrt的Linksys WRT54G等)。此外,许多商用级设备(Cisco,Juniper)支持IPv6开箱即用。

重要的是不要将PAT(消费者路由器上常见的多对一NAT)与其他形式的NAT混淆,并且不要使用NAT防火墙;一旦互联网成为仅IPv6,防火墙仍将阻止内部服务的暴露。同样,具有一对一NAT的IPv4系统不会自动受到保护;这是防火墙政策的工作。


11
2017-09-24 23:52





如果NAT在IPv6世界中存活,它很可能是1:1 NAT。从未在IPv4空间中看到的NAT形式。什么是1:1 NAT?它是全局地址到本地地址的1:1转换。 IPv4等价物将所有连接转换为1.1.1.2仅转换为10.1.1.2,依此类推整个1.0.0.0/8空间。 IPv6版本是将全局地址转换为唯一本地地址。

通过频繁旋转您不关心的地址的映射(如内部办公室用户浏览Facebook),可以提供增强的安全性。在内部,您的ULA编号将保持不变,因此您的水平分割DNS将继续正常工作,但外部客户端永远不会在可预测的端口上。

但实际上,它为其造成的麻烦提供了少量改进的安全性。扫描IPv6子网是一项非常大的任务,如果没有对如何在这些子网上分配IP地址进行一些调查(MAC生成方法?随机方法?人类可读地址的静态分配?),这是不可行的。

在大多数情况下,企业防火墙后面的客户端将获得全局地址(可能是ULA),并且外围防火墙将被设置为拒绝任何类型的传入连接到这些地址。出于所有意图和目的,这些地址无法从外部访问。一旦内部客户端启动连接,将允许数据包通过该连接。需要将IP地址更改为完全不同的IP地址是通过强制攻击者在该子网上翻阅2 ^ 64个可能的地址来处理的。


9
2018-03-24 02:33



@sysadmin1138:我喜欢这个解决方案。正如我目前了解IPv6,如果我的ISP给了我/ 64,我应该在我的整个网络上使用/ 64,如果我希望我的机器可以通过IPv6访问互联网。但如果我厌倦了那个ISP并转移到另一个ISP,现在我必须完全重新编号。 - Kumba
@ sysadmin1138:但是,我已经注意到我可以为单个接口分配多个IP比使用IPv4容易得多,所以我可以预见使用ISP给定的/ 64进行外部访问和我自己的私有内部ULA方案主机之间的通信,并使用防火墙使ULA地址无法从外部访问。涉及更多的设置工作,但似乎它将完全避免NAT。 - Kumba
@ sysadmin1138:我仍然不知道为什么ULA在所有意图和目的上都是私有的,但它们仍然是全球独一无二的。这就像是说我可以拥有目前可用的任何品牌和型号的汽车,但不是其他人已经使用的任何品牌/型号/年,即使这是我的车,我将成为它唯一的驱动器。 - Kumba
@Kumba RFC 4193地址应该是全球唯一的原因是为了确保您将来不必重新编号。也许有一天你需要使用RFC 4193地址合并两个网络,或者一台可能已经具有RFC 4193地址的机器可能需要连接到一个或多个VPN,这些VPN也具有RFC 4193地址。 - kasperd
@Kumba如果每个人都使用fd00 :: / 64作为他们网络上的第一个段,那么一旦两个这样的网络必须通信,你肯定会遇到冲突。 RFC 4193的要点是,只要您随机选择40位,您可以随意分配剩余的80位,并保持自信,您不必重新编号。 - kasperd


RFC 4864描述了IPv6本地网络保护,一组用于在IPv6环境中提供NAT感知益处的方法,而不必实际使用NAT。

本文档描述了许多可以在IPv6站点上组合的技术,以保护其网络架构的完整性。这些技术统称为本地网络保护,保留了专用网络“内部”和“外部”之间明确定义的边界的概念,并允许防火墙,拓扑隐藏和隐私。但是,因为它们在需要的地方保持地址透明性,所以它们实现了这些目标而没有地址转换的缺点。因此,IPv6中的本地网络保护可以提供IPv4网络地址转换的好处,而没有相应的缺点。

它首先列出了NAT的感知好处(并在适当时对它们进行了揭穿),然后描述了可用于提供相同优势的IPv6的功能。它还提供实施说明和案例研究。

虽然这里重印的时间太长,但讨论的好处是:

  • “内部”和“外部”之间的简单网关
  • 有状态防火墙
  • 用户/应用程序跟踪
  • 隐私和拓扑隐藏
  • 独立控制专用网络中的寻址
  • 多宿主/重编

这几乎涵盖了人们可能想要NAT的所有场景,并提供了在没有NAT的情况下在IPv6中实现它们的解决方案。

您将使用的一些技术是:

  • 唯一的本地地址:首选内部网络,以保持内部通信内部,并确保即使ISP发生中断,内部通信仍可继续。
  • IPv6隐私扩展具有短地址生存期和不明显结构化的接口标识符:这些扩展有助于防止攻击单个主机和子网扫描。
  • IGP,移动IPv6或VLAN可用于隐藏内部网络的拓扑。
  • 与ULA一起,来自ISP的DHCP-PD使重编号/多宿主比使用IPv4更容易。

请参阅RFC 详细信息;再一次,重印或甚至从中获取重要摘录的时间太长了。)

有关IPv6转换安全性的更一般性讨论,请参阅 RFC 4942


9
2018-05-13 18:37





关于这个问题存在很大的混乱,因为网络管理员在一个方面看到了NAT,小型企业和住宅用户在另一个看到了它。让我澄清一下。

静态NAT(有时称为一对一NAT)提供 绝对没有保障 适用于您的私人网络或个人电脑。就保护而言,更改IP地址毫无意义。

动态过载NAT / PAT就像大多数住宅网关和wifi AP一样,绝对有助于保护您的专用网络和/或PC。通过设计,这些设备中的NAT表是状态表。它跟踪出站请求并将它们映射到NAT表中 - 连接在一定时间后超时。默认情况下会删除任何与NAT表中的内容不匹配的未经请求的入站帧 - NAT路由器不知道在专用网络中将它们发送到何处,因此它会丢弃它们。通过这种方式,您唯一容易被黑客攻击的设备就是您的路由器。由于大多数安全漏洞都是基于Windows的 - 在互联网和Windows PC之间安装这样的设备确实有助于保护您的网络。它可能不是最初预期的功能,它可以节省公共IP,但它可以完成工作。作为奖励,大多数这些设备还具有防火墙功能,默认情况下多次阻止ICMP请求,这也有助于保护网络。

鉴于上述信息,在迁移到IPv6时使用NAT进行部署可能会使数百万消费者和小型企业设备面临潜在的黑客攻击。它对企业网络几乎没有影响,因为它们拥有专业管理的防火墙。消费者和小型企业网络可能不再在互联网和PC之间建立基于* nix的NAT路由器。没有理由一个人无法切换到仅防火墙的解决方案 - 如果正确部署则更安全,但也超出了99%的消费者理解如何做的范围。动态过载NAT只需使用它即可提供一定程度的保护 - 插入住宅路由器即可获得保护。简单。

也就是说,没有理由不能像在IPv4中使用NAT一样使用NAT。实际上,路由器可以设计为在WAN端口上具有一个IPv6地址,其后面有一个IPv4专用网络(例如)。这对消费者和住宅用户来说是一个简单的解决方案。另一种选择是将所有具有公共IPv6 IP的设备 - 中间设备然后可以充当L2设备,但提供状态表,数据包检查和完全运行的防火墙。本质上,没有NAT,但仍然阻止任何未经请求的入站帧。需要记住的重要一点是,您不应将PC直接插入WAN连接而不使用中间设备。当然,除非您想依赖Windows防火墙。 。 。这是一个不同的讨论。除了使用Windows防火墙之外,每个网络,甚至是家庭网络,都需要一个保护本地网络的边缘设备。

将会有一些成长的痛苦转向IPv6,但没有任何问题无法轻易解决。您是否必须抛弃旧的IPv4路由器或住宅网关?也许吧,但到时候会有更便宜的新解决方案。希望许多设备只需要固件闪存。 IPv6是否可以更加无缝地融入当前架构?当然,但它就是它,它不会消失 - 所以你不妨学习它,生活它,喜欢它。


8
2018-06-09 14:38



对于它的价值,我想重申,当前的架构从根本上被打破(端到端的可路由性),这在复杂网络中产生实际问题(冗余NAT设备过于复杂和昂贵)。删除NAT hack将降低复杂性和潜在的故障点,同时通过简单的状态防火墙保持安全性(我无法想象SOHO路由器在没有默认启用状态防火墙的情况下会在一秒钟内完成,因此客户可以在没有安装的情况下进行即插即用一个想法)。 - Chris S
有时,破坏的端到端可路由性正是您想要的。我不希望我的打印机和PC能够从互联网路由到。虽然NAT起初是一种黑客攻击,但它已经演变成一种非常有用的工具,在某些情况下可以通过消除数据包直接路由到节点的可能性来提高安全性。如果我在PC上静态分配了RFC1918 IP,那么IP在任何情况下都不能在互联网上路由。 - Computerguy
可破坏的可路由性是 不好的事。你想要的是你的设备无法通过互联网(防火墙)访问,这不是一回事。看到 为什么要在内部使用IPv6?。此外,RFC1918规定这些地址应仅用于专用网络,并且只应由应用层网关(NAT不是)提供对Internet的访问。对于外部连接,应为主机分配来自IANA协调分配的地址。黑客,无论多么有用,都会做出不必要的妥协,而不是“正确”的方式。 - Chris S


的种类。实际上,IPv6地址的“类型”不同。最接近RFC 1918(10 / 8,172.16 / 12,192.168 / 16)称为“唯一本地地址”,在RFC 4193中定义:

http://en.wikipedia.org/wiki/Unique_local_address

所以你从fd00 :: / 8开始,然后添加一个40位的字符串(在RFC中使用预定义的算法!),最后得到一个全局唯一的伪随机/ 48前缀。您可以根据需要分配剩余的地址空间。

您还应该将(IPv6)路由器上的fd00 :: / 7(fc00 :: / 8和fd00 :: / 8)阻止到组织外部 - 因此地址名称中的“本地”。这些地址虽然在全球地址空间中,但对于整个世界而言,只有在您的“组织”中才能到达。

如果您的PCI-DSS服务器需要IPv6以连接到其他内部IPv6主机,则应为您的公司生成ULA前缀并将其用于此目的。如果您愿意,您可以像使用任何其他前缀一样使用IPv6的自动配置。

鉴于IPv6的设计使主机可以拥有多个地址,因此除了ULA-a全局可路由地址之外,机器还可以具有多个地址。因此,需要与外部世界和内部机器通信的Web服务器可以同时具有ISP分配的优势地址和ULA前缀。

如果你想要类似NAT的功能,你也可以看看NAT66,但总的来说我是围绕ULA设计的。如果您还有其他问题,可以查看“ipv6-ops”邮件列表。


7
2018-03-24 00:05



哈。我把所有这些评论都写到了sysadmin1138,甚至没有考虑过关于为全局和本地通信使用双地址的答案。但是,我强烈反对ULA必须具有全球独特性的规则。我不喜欢随机的40位数字 一点都不,尤其是我的内部局域网,其中 一世 我是唯一的用户。他们可能确实需要注册ULAs的世界数据库(SixXS运行这样),但丢弃随机数字混乱,让人们有创意。喜欢个性化车牌。你申请一个,如果它被采取,你尝试另一个。 - Kumba
@Kumba他们试图使用相同的地址停止每个网络 - 随机意味着你不需要公共数据库,每个网络都是独立的;如果您想集中发布IP地址,那么只需使用全局IP地址! - Richard Gadsden
@Richard:那是......我怎么说呢,傻概念,恕我直言。如果蒙大拿州的一个小乔公司使用与澳大利亚珀斯的另一家小公司相同的IPv6地址,为什么重要呢?这两个过去的可能性虽然不是不可能,但是很不可能。如果IPv6设计者的目的是试图完全取消“私人网络”的概念,那么他们需要检查他们的咖啡,因为这不切合实际。 - Kumba
@Kumba我认为这是你在10/8尝试合并两个大型IPv4专用网络时的伤疤,你必须重新编号他们试图避免的一个(甚至两个)。 - Richard Gadsden
@Richard:确切地说,没有什么比使用VPN连接到具有相同私有子网的另一个网络更痛苦,一些实现将停止工作。 - Hubert Kario


希望NAT能永远消失。它仅在您拥有IP地址稀缺且没有安全功能的情况下才有用,这些功能无法通过状态防火墙提供更好,更便宜和更轻松的管理。

由于IPv6 =不再稀缺,这意味着我们可以让世界摆脱丑陋的黑客攻击。


4
2018-03-23 23:44





恕我直言:不是。

还有一些地方可以使用SNAT / DNAT。例如,一些服务器被移动到另一个网络,但我们不希望/我们无法更改应用程序的IP。


4
2018-03-24 01:23



您需要在应用程序配置中使用DNS名称而不是IP地址。 - rmalayter
如果您需要创建网络路径而不修改整个路由拓扑和防火墙规则,DNS无法解决您的问题。 - sumar