¿Por qué usarías IPv6 internamente?

50

Por supuesto, me doy cuenta de la necesidad de acceder a IPv6 en Internet abierto ya que nos estamos quedando sin direcciones, pero realmente no entiendo por qué es necesario usarlo en una red interna. He hecho cero con IPv6, así que también me pregunto: ¿los firewalls modernos no harán NAT entre direcciones IPv4 internas y direcciones IPv6 externas?

Me preguntaba desde que he visto tanta gente luchando con preguntas sobre IPv6 aquí, y me pregunto ¿por qué molestarse?

KCotreau
fuente

Respuestas:

55

No hay NAT para IPv6 (como piensas en NAT de todos modos). NAT era una solución temporal $ EXPLETIVA para IPv4 que se estaba quedando sin direcciones (un problema que en realidad no existía, y se resolvió antes de que NAT fuera necesario, pero el historial es 20/20). No agrega nada más que complejidad y haría poco, excepto causar dolores de cabeza en IPv6 (tenemos tantas direcciones IPv6 que las desperdiciamos descaradamente). NAT66 existe, y está destinado a reducir el número de direcciones IPv6 utilizadas por cada host (es normal que los hosts IPv6 tengan múltiples direcciones, IPv6 es algo diferente de IPv4 en muchos aspectos, este es uno).

Se suponía que Internet era enrutable de extremo a extremo, eso es parte de la razón por la que se inventó IPv4 y por qué ganó aceptación. Eso no quiere decir que se suponía que todas las direcciones en Internet fueran accesibles. NAT rompe ambos. Los firewalls agregan capas de seguridad al romper la accesibilidad, pero normalmente eso es a expensas de la enrutabilidad.

Querrá IPv6 en sus redes ya que no hay forma de especificar un punto final IPv6 con una dirección IPv4. Al revés funciona, lo que permite que las redes solo IPv6 que usan DNS64 y NAT64 accedan a Internet IPv4 todavía. En realidad, hoy es posible deshacerse de IPv4 todos juntos, aunque es un poco complicado configurarlo. Sería posible proxy desde direcciones internas IPv4 a servidores IPv6. Agregar y configurar un servidor proxy agrega costos de configuración, hardware y mantenimiento a la red; generalmente mucho más que simplemente habilitar IPv6.

NAT también causa sus propios problemas. El enrutador debe ser capaz de coordinar cada conexión que se ejecute a través de él, haciendo un seguimiento de los puntos finales, puertos, tiempos de espera y más. Todo ese tráfico generalmente se canaliza a través de ese punto único. Aunque es posible construir enrutadores NAT redundantes, la tecnología es enormemente compleja y generalmente costosa. Los enrutadores simples redundantes son fáciles y baratos (comparativamente). Además, para restablecer parte de la ruteabilidad, se deben establecer reglas de reenvío y traducción en el sistema NAT. Esto todavía rompe los protocolos que incrustan direcciones IP, como SIP. UPNP, STUN y otros protocolos se inventaron para ayudar con este problema también: más complejidad, más mantenimiento, más que podría salir mal .

Chris S
fuente
29
El enrutador en el que se ejecutaba NAT es lo que separó las redes, ese enrutador seguirá separando las redes, nada ha cambiado, excepto que el enrutador debe programarse correctamente para IPv6. Enrutable sí, no necesariamente accesible (las reglas de firewall probablemente bloquearán la mayor parte del tráfico).
Chris S
12
@Tomtom: Cualquiera que piense que lo necesita no sabe que necesita un firewall en su lugar. Literalmente, no hay problema para que NAT sea la mejor solución, aparte de los problemas causados ​​por la escasez de direccionamiento. No hay escasez de direccionamiento en IPv6 (¡todavía!). Bien podría estar en desarrollo, pero eso no significa que no sea una idea estúpida :)
growse
66
@JimB: que yo sepa, ha habido al menos 4 propuestas diferentes de IPv6 NAT que se han desarrollado y todas han fallado. Dado que esa página tiene casi 3 años, voy a adivinar que ahora también ha fallado
Mark Henderson
14
Sé que esto sonará ofensivo, así que me disculpo por adelantado, pero si no eres el cocinero, quédate fuera de la cocina. La gente entiende que si trabajan en su propio automóvil podrían romper algo que causa un mundo de daños ... Lo mismo ocurre con la seguridad informática, si no sabe cómo, es probable que termine haciendo más daño que bien. Usted tiene un punto, que NAT facilita algunos niveles de seguridad (más notable y casi exclusivamente que su red interna no es enrutable por Internet). Incluso en la mayoría de los enrutadores NAT actuales, esta es solo una configuración predeterminada, y la "seguridad" proporcionada por NAT se puede deshabilitar.
Chris S
8
No comencemos a intercambiar palabras como 'SEGURIDAD' sin una discusión sensata sobre vulnerabilidades y amenazas. ¿Qué vulnerabilidad específica protege NAT? ¿De qué 'ataques' específicos estás hablando? ¿Son los mismos ataques que el resto del mundo profesional mitiga con un firewall con estado? Si es así, NAT no te está comprando mucho.
growse
22

Quedarse sin direcciones IPv4 internas (rfc1918) también puede ser una razón muy válida para usar ipv6.

Comcast explicó en Nanog37 por qué iban a ipv6 por sus direcciones de administración.

20 Million video customer
x 2.5 STB/customer
x 2 ip addresses/STB
--------------------  
= 100 Millions IP addresses

Y esto es solo para video , no para datos / módems.

Agotaron los pools RFC1918 en 2005. Luego usaron pools de direcciones públicas (ya que nat no es una opción para la administración), y se volvieron ipv6 para resolver sus necesidades .

petrus
fuente
2
¿Qué pasa con las no corporaciones mega?
Cypher
1
bueno, todavía hay todas las otras respuestas;)
petrus
No creo que ninguna corporación vaya a usar más de 16.777.216 INTERNAMENTE ... Claro, externamente para sus clientes. Nadie discute que necesitamos más direcciones IP públicas.
KCotreau
55
No estaba hablando de la dirección IP pública / wan de un enrutador, sino de las direcciones IP de administración en un módem de cable o decodificador. Así que sí, Comcast y todos los grandes proveedores de cable no necesitan más de 2 ^ 24 ip @.
petrus
14

Un par de razones:

  • IPv6 no admite la transmisión. Se reemplaza con multidifusión. La difusión permite que un nodo envíe tráfico a todos los nodos en una subred. La administración de dominios de difusión es un problema importante para mantener grandes redes IPv4 funcionando de manera rápida y sin problemas. La multidifusión requiere que los nodos que desean recibir el estilo de "difusión" en realidad "se registren", por lo que la red no está inundada de tráfico que afecta a todos los hosts.

  • IPv6 admite el cifrado de estilo IPsec de forma nativa.

  • IPv6 es compatible con la configuración automática. Es posible que los hosts detrás de un enrutador se configuren sin la necesidad de DHCP, aunque aún necesita un servidor DHCP para entregar opciones de DHCP como el servidor DNS, el servidor TFTP, etc.

LawrenceC
fuente
3
IPv6 permite renumerar una subred completa casi sin complicaciones. También permite la fusión de subredes. Tiene un control increíblemente granular sobre el tráfico de multidifusión ... hay aún más razones, pero ha pasado una eternidad desde que tomé mi curso IPv6.
Mateo
44
Todos estos son mitos populares, aquí está la información más breve: la multidifusión de IPv6 es obligatoria para la funcionalidad básica: por ejemplo, para hacer un equivalente de transmisión de ping de IPv4, hace ping6 a FF02 :: 1 para todos los nodos regulares y FF02 :: 2 para todos los enrutadores. IPSec de IPv6 no cambia NADA de IPv4. No obtienes ninguna seguridad gratis. Todavía tengo que configurar todos los modos y lidiar con la distribución de claves. La autoconfiguración de IPv6 es basura total; por defecto es tan inseguro como MAC <-> IPv4, y NO entrega DNS. Si desea DNS, debe instalar DHCPv6, por lo que no hay ganancia allí.
Marcin
1
Considero que el tercer punto es una debilidad de ip6. ¿Cuántas veces ha verificado si una máquina ha recibido una IP como parte del proceso de solución de problemas? Esa parte se volvió más difícil.
Joel Coel
13

Mi antiguo trabajo, en una gran universidad, usaría una asignación de IPv6 internamente. Se les asignó un IPv4 / 16 en el día e incluso hoy está distribuyendo direcciones IPv4 a casi todos los clientes internos. Las redes RFC1918 estaban restringidas a la red solo de telecomunicaciones y ciertos usos especializados (los estándares PCI requerían el uso de RFC1918 hasta octubre de 2010).

Debido a esto, estaban planeando activamente usar IPv6 internamente también. Todavía había algunos problemas de hardware que resolver, los conmutadores de borde no soportaban v6 lo suficientemente bien, pero el núcleo estaba listo. La idea era que obtener soporte de v6 en el extremo visible públicamente (está bien, el extremo que responde públicamente ) de la red implicaría el 70% del trabajo para implementarlo en todos, también podría hacer el 30% adicional e ir de principio a fin termina con eso.

Después de haber vivido con una asignación de IP pública durante tanto tiempo, nuestra gente era muy consciente del adagio: "el hecho de que sea público no significa que sea accesible". Como dijo Chris S, enrutable no implica accesible.

Es por eso que al menos una clase de organización implementaría IPv6 internamente: porque ya están utilizando internamente IPv4 que no es RFC1918.

sysadmin1138
fuente
7

IPv6 ofrece algunas mejoras potenciales en el mundo real sobre IPv4, como un mecanismo más simple de autoconfiguración y autodescubrimiento, también es más seguro en el sentido de que no es factible que el malware se replique en una red escaneando un rango de IP. - hay demasiadas IPs. Pero esas mejoras no son particularmente dramáticas, y ciertamente no valen el costo de cambio.

Pero tenga en cuenta que no es una decisión de uno u otro , puede ejecutar ambos en paralelo, y si desarrolla software, probablemente debería, como muchas personas han mencionado, para fines de prueba. No hay una manera confiable de hacer que un programa sea compatible con IPv6 sin tener una infraestructura interna de IPv6 para probar. La mayoría de los sistemas operativos modernos configurarán automáticamente una red IPv6 interna entre ellos, solo es cuestión de usarlo.

Hace 10 años, creé un poco de software para un empleador que los clientes usan para obtener actualizaciones de programas. Al compilar el componente de red, tuve que decidir entre compilar la compatibilidad con IPv6, o simplemente suponiendo que todas las direcciones IP serán de 4 bytes. Decidí tomar la ruta simple, ahorrándome unas 4 horas de trabajo, e hice la aplicación solo para IPv4. Pensé que sería reemplazado en unos años de todos modos. Todavía lo están usando hoy y, por lo tanto, están bloqueados en algunos mercados más pequeños.

tylerl
fuente
6

Al trabajar para una pequeña empresa, solo puedo pensar en razones para NO usar IPv6.

  • Ni siquiera tenemos una dirección pública IPv6, entonces ¿por qué en la Tierra la correríamos internamente?
  • Tendríamos que reemplazar nuestro firewall, que me encanta, ya que (todavía) no es compatible con IPv6
  • No tenemos una forma de asignar, y mucho menos controlar, las direcciones IPv6
  • Solo la mitad de nuestras PC admite IPv6
  • Ninguna de nuestras plantas de fabricación admite IPv6
  • Nuestros conmutadores no son compatibles con IPv6
  • Nunca he visto una impresora que admita IPv6
  • IPv6 es mucho más difícil de usar desde la línea de comandos, un punto bastante importante para mí
  • Tendría que ponerme al día en IPv6, difícil de hacer cuando no estoy interesado
  • ... y muchas otras razones por las que no puedo pensar en este momento

Simplemente no tiene sentido que una empresa como la nuestra realice el cambio, ya que requeriría un gasto considerable y un esfuerzo sin absolutamente nada que ganar.

Francamente, me gusta NAT y los beneficios que obtenemos al tratar con direcciones locales. Si alguna vez se hace necesario (en lugar de ser un geek que quiere hacer) para que interactuemos con IPv6 en Internet, lo haremos en la puerta de enlace.

No espero que esta moda actual de IPv6 se convierta en una necesidad para la gran mayoría del mundo, al menos internamente, durante una década o más. Como espero estar retirado para entonces, no hay muchos incentivos para que yo personalmente pierda tiempo y esfuerzo.

Editar:

Estoy recibiendo votos negativos, pero ni una sola opinión opuesta lógica y sensata. Me hace pensar que es solo un grupo de fanáticos del salto del carro que quieren seguir la tendencia sin pensarlo. Tiene que haber una RAZÓN para hacer un cambio tan drástico en una red y no tengo una. Además, sospecho que solo unos pocos usuarios de SF tienen uno.

John Gardeniers
fuente
2
1. solicite una asignación a su ISP. A diferencia de IPv4, no puede simplemente solicitar un bloqueo. tienes que tener la capacidad de usar X cantidad de ellos dentro de los 6 meses.
Brian
2
3. asigne configurando su enrutador con una dirección IPv6 y deje que las máquinas se autoconfiguren. (o configurar Dhcp6)
Brian
44
4. Windows XP SP2 es compatible con IPv6. 6. Los interruptores no hablan IP. Hablan de la capa 2. funcionan bien con Ipv6. He ejecutado Ipv6 sobre algunos conmutadores 3com de 2001. Es posible que deba admitir ipv4 para poder administrar algunos de ellos. Cualquier impresora HP con una tarjeta jetdirect vendida en los últimos 5 años (o más) es compatible con IPv6
Brian
1
"Nuestros conmutadores no admiten IPv6". No es un problema. "Nunca he visto una impresora que admita IPv6". Sí, tengo 6 años y está sentada a mi lado. (Un láser Dell barato). "Necesitaría ponerme al día con IPv6, es difícil hacerlo cuando no estoy interesado" Sí. Aquí estoy de acuerdo. Aprender algo nuevo es difícil. Pero ser el único que lo comprende (y lo necesitará en unos años) es una gran ventaja.
Hennes
1
@Hennes, todo lo que ya se ha cubierto y, por lo que puedo decir, no necesitaré IPv6 durante lo que resta de mi vida laboral y nunca lo necesitaré en casa. IOW, no hay absolutamente ningún incentivo para mí para aprender una tecnología para la cual, al menos en esta parte del mundo, no sea necesario y no lo será en el futuro previsible. No estoy de acuerdo con que aprender algo nuevo sea difícil. Lo hago todos los días de mi vida y espero seguir haciéndolo hasta que me caiga de la percha.
John Gardeniers
5

Estamos hablando de dos cosas aquí: ejecutar la red interna en IPv6 puro o ejecutar IPv4 / IPv6 dual-stack. Creo que es prematuro hablar de ejecutar IPv6 puro; en muchos sistemas operativos es incluso imposible usar IPv6 sin IPv4. Sin embargo, puede considerar ejecutar dual-stack por las siguientes razones (a) si desarrolla software (b) para preparar su red para una migración inevitable a IPv6. Si su situación es A, entonces debe actuar ahora, si es B, entonces, según mis cálculos, tiene aproximadamente 1-2 años para pensarlo (pero cuanto antes comience, más preparado estará).

Mi situación es A y estamos ejecutando doble pila durante 6 meses. Durante este tiempo identificamos y resolvimos algunos problemas con nuestro DNS público / privado, asignación de direcciones, DHCP, enrutamiento, firewall y ni siquiera podíamos anticipar muchos de estos problemas sin intentarlo. Ahora, estamos totalmente preparados para IPv6 e incluso tenemos acceso público a IPv6 a través de túneles. Según mi experiencia, puedo decir con confianza que IPv6 es una solución mucho más simple y elegante en comparación con el envejecimiento de IPv4, por lo que estaré muy feliz cuando llegue el momento de cambiar a IPv6, pero antes de que llegue este momento, la doble pila es la forma ir.

dtoubelis
fuente
4

Además del espacio de direcciones lager, la ausencia de difusión, IPSec y una configuración automática más simple, hay algunas ventajas "no tan conocidas" de IPv6:

  1. Un espacio de direcciones más grande significa que la dirección tiene más bits que se pueden usar como almacenamiento de datos. Por ejemplo, el conteo de saltos entre dos nodos puede ser una función de sus direcciones IPv6, por ejemplo: la
    dirección IPv6 puede estar en formato PREFIX:Country&Region:DC&Line:Rack&Unit:VM&IDpara que los nodos más cercanos tengan más bits más significativos. Esto es solo un ejemplo, por supuesto, las métricas de "cercanía" podrían almacenarse en algún tipo de base de datos externa como TXT|SRVregistros DNS .

  2. Existen algunas técnicas para utilizar el espacio de direcciones de IPv6 con fines criptográficos, como las direcciones generadas criptográficamente ( CGA ) y SEND (descubrimiento seguro de vecinos)

  3. Cuando IPv6 está habilitado, todos los nodos de la red tienen una dirección IPv6 local de enlace (si no se configura de otra manera). Por lo tanto, existe la posibilidad de que pueda acceder incluso a un nodo mal configurado.

  4. Puede obtener las direcciones MAC de los nodos directamente desde la dirección IPv6 local de enlace (si las extensiones de privacidad IPv6 no están configuradas)

  5. No hay forma de que pueda usar IPv4 en subredes con miles de nodos: su red se sobrecargará con tráfico de difusión (por ejemplo, ARP).

  6. Puede consultar el nodo para obtener información adicional utilizando la información del nodo , por ejemplo, en BSD puede consultar el host para las Direcciones de nodo de información de nodo ICMPv6:

$ ping6 -a Aacgsl ::1

PING6(72=40+8+24 bytes) ::1 --> ::1
136 bytes from ::1: 
  fe80::beae:c5ff:fe43:44a(TTL=infty)
  fe80::beae:c5ff:fe43:212(TTL=infty)
  ::1(TTL=infty)
  fe80::1(TTL=infty)
  2a02::9222(TTL=infty)
SaveTheRbtz
fuente
2

Se me ocurren dos razones para usar IPv6 para un host interno.

  1. Puede encontrar en el futuro que este host ahora debe estar disponible externamente al menos en ciertos puertos.

  2. Es posible que este host necesite conectarse a otro host que también haya elegido la misma dirección interna. Por ejemplo, necesita conectarse a 10.0.0.5 en Acme Corporation y su propia dirección en Emca Corporation también es 10.0.0.5. Recuerdo que esto sucedió en un trabajo anterior, ambos habíamos usado las mismas direcciones internas.

Yo diría que en el mundo moderno la mayoría de las computadoras no son 100% internas. La mayoría de las computadoras de escritorio pueden hacer algunas conexiones limitadas con el mundo exterior o viceversa.

Mike F
fuente
1

La única buena razón para usar IPv6 internamente es estar listo cuando el mundo cambie a IPv6, y creo que esa es una razón bastante mala, dada la tasa de adopción. Dado que la mayoría de las IP internas no serán accesibles externamente, no sería un gran problema traducir el resto.

Mi corporación probablemente nunca cambiará a IPv6 internamente. Requeriría un cambio fundamental en la política tan masiva que honestamente no puedo concebir cómo podría ocurrir. Muchas personas tendrían que ser asesinadas, y se tendrían que tomar muchas decisiones de contratación inexplicables. Del mismo modo, cualquier intento por parte de las unidades de negocio individuales para cambiar a IPv6 en sus redes de área local sería aplastada con prejuicio por el establecimiento de una red corporativa señores basado en la interoperabilidad y maintainablity preocupaciones (permitimos mucha libertad de acción a nivel local, pero no que mucho.)

Básicamente, si cambiar a IPv6 fue indoloro, lo habríamos hecho hace años.

Satanicpuppy
fuente
16
"Mi corporación probablemente nunca cambiará a IPv6 internamente". <- esa es una declaración bastante audaz y quizás ingenua en mi humilde opinión.
EEAA
44
@erika: Lo harán cuando sea difícil obtener hardware que admita IPv4. Hasta entonces, no. No hay caso de negocios para ello. Es más probable que abandonen por completo las redes internas y alojen todo su negocio en la nube en algún lugar.
Satanicpuppy
3
Qué sucede cuando Google o algún otro servicio externo deja de admitir IPv4. No poder conectarse con personas fuera de su red será un problema en el futuro.
Zoredache
3
@ zoredache: estamos hablando de soporte interno aquí. Incluso ahora, no es difícil conectar IPv4 a IPv6, siempre que no necesite que todas las máquinas estén disponibles externamente. Demonios, nuestro hardware actual es compatible con eso.
Satanicpuppy
2
Recuerde que todos los cuadros de Windows desde Vista ejecutan doble pila fuera del cuadro. No hay ninguna razón para no dejar que se quede en el que se aplica
Jim B
-1

IPv4 tenía la intención de que cada dispositivo estuviera directamente en Internet ... hasta que se nos acabara el espacio de direcciones. Luego, hemos pasado los últimos 20 años bloqueándolo todo. Ahora, IPv6 por diseño quiere, una vez más, colocar cada dispositivo directamente en Internet ... el resultado será el mismo. Estoy totalmente de acuerdo en que NAT es una capa de seguridad que no se va a abandonar sin un reemplazo igualmente efectivo o mejor.

Bart
fuente
1
¿Como un cortafuegos?
Michael Hampton
3
NAT no es seguridad. Un firewall es lo que le brinda seguridad, no NAT. Los cortafuegos no necesitan NAT. Los cortafuegos IPv4 e IPv6 funcionan perfectamente bien sin habilitar NAT, puede habilitar NAT en un enrutador que no tiene cortafuegos, y los cortafuegos ni siquiera necesitan enrutarse. Parece que no puedes mirar los dispositivos de consumo todo en uno. A menudo es conveniente NAT, ruta y firewall en un solo dispositivo, pero son funciones separadas.
Ron Maupin
2
¿Por qué la gente todavía dice cosas como esta? NAT ni siquiera es una capa de seguridad, y no fue diseñado para serlo. Es solo un truco feo alrededor de direcciones inadecuadamente largas. No es un obstáculo para la mayoría de los atacantes. Votación negativa porque está mal y no responde la pregunta.
Falcon Momot
-3

Desafortunadamente, hay una gran cantidad de mala información en la gran mayoría de estas respuestas y comentarios. Es muy triste ver al ciego guiando al ciego en esto de una manera tan prolífica.

NAT no va a ninguna parte y las personas que te dicen "Oh, ese NAT, qué cosa tan terrible es" ... "Oh, ese NAT, no era más que una solución" ... ad nasueum Si comienzan a usar un lenguaje como eso, pasa a un verdadero arquitecto de redes profesional para recibir asesoramiento, no un guerrero de sillón de redes de fin de semana.

¿Necesita cargar el tráfico de equilibrio a los servidores internos desde Internet? Bueno, adivina qué, con IPv6 no puedes hacerlo como lo has estado haciendo ... ¡a menos que uses NAT!

Si es cierto. Algunos dirán, oh, simplemente usas el equilibrio de carga de retorno del servidor DSR / Direct. Pero se olvidan de decirle que debe renunciar 1) Inserción de cookies 2) Aceleración de la aplicación 3) Traducción de la dirección del puerto

Entonces, si desea ejecutar sus servidores internos en el puerto 8080 pero los externos en el puerto 80 ... ¡Oh, qué triste, no puede hacerlo con IPv6 ... a menos que esté utilizando un buen NAT! Ni siquiera con DSR.

Luego agregue a eso la "jactancia" que la gente dice "Oh, sí, todas las propuestas de IPv6 NAT han fallado ... gracias a Dios" (y el imperio muere al son de los aplausos) ¿Sabes lo que eso significa? NAT va a ser terrible, incluso si funciona en absoluto con IPv6, porque todos los fanáticos de IPv6 niegan la necesidad intrínseca de NAT / PAT y las personas que lo hacen lo hacen de mala gana. Tan triste, tan mal manejado

Entonces, ¿qué haces ahora que la verdad te ha liberado y puedes elevarte por encima de la multitud de lemmings que intentan usar tácticas de miedo para forzar tu cumplimiento?

Usted compra o continúa utilizando un Loadbalancer o Firewall que actúa como el proveedor público / privado de su red. Las interfaces del lado público alojan los mismos VIP que ya tiene pero con una dirección IPv6 complementaria si la necesita. Todo al norte de la capa Loadbalancer / Firewall también es de doble pila IPv4 / IPv6. En las interfaces internas de Loadbalancer / Firewall, todas son IPv4 y toda su red interna es IPv4 y permanece así todo el tiempo que desee. Solo es asunto tuyo. Loadbalancer realiza NAT / PAT entre el exterior y el interior ... porque ya lo es y necesita para un equilibrio de carga con todas las funciones y porque ahora también resuelve su problema externo de IPv6.

Ah, y a la persona sarcástica que preguntó "¿Qué único propósito de seguridad sirve NAT"

La seguridad se trata de disponibilidad en el nivel más fundamental. Piénselo antes de descartarlo.

Los equilibradores de carga proporcionan esa Disponibilidad / Seguridad y TIENES que usar NAT / PAT para hacerlo correctamente, independientemente de la versión de IP que estés usando.

Cita sobre el fallo de DSR: https://devcentral.f5.com/articles/the-disadvantages-of-dsr-direct-server-return

k thnx

Mem
fuente
2
Creo que su respuesta está tratando de decir que uno necesita NAT para tener un equilibrador de carga no trivial, pero obviamente ese no es el caso y no aborda la pregunta ...
Falcon Momot
-4

No es una muy buena idea usar IPv6 en una red interna, ya que muchos dispositivos heredados no podrían comunicarse. Copiadoras antiguas / impresoras multifunción, equipos médicos, máquinas de impresión antiguas, servidores antiguos y dispositivos de red. El esquema IPv4 es mucho más fácil de administrar imo.

El tío
fuente
-12

La respuesta aceptada es engañosa.

Los conceptos de Chris S sobre NAT están muy equivocados; Una de las mejores características de NAT además de la expansión artificial del esquema IPv4 es la SEGURIDAD. NAT es la capa que oculta la IP real de un host que, si está directamente conectado a Internet, puede ser el objetivo de todos los ataques imaginables. Afortunadamente hablar de deshacerse de NAT sin alentar medidas de seguridad adicionales es simplemente ignorancia sobre el tema.

Palmadita
fuente
55
¿Cómo es exactamente NAT una capa de seguridad?
MDMarra