64 votes

josy avatar

Pourquoi utiliser l'IPv6 en interne ?

Demandé el 26 de Mai, 2011
Quand la question a-t-elle été
41121 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Bien sûr, je comprends la nécessité de passer à l'IPv6 sur l'Internet ouvert puisque nous manquons d'adresses, mais je ne comprends vraiment pas pourquoi il est nécessaire de l'utiliser sur un réseau interne. Je n'ai rien fait avec IPv6, alors je me demande aussi : Les pare-feu modernes ne font-ils pas de la NAT entre les adresses IPv4 internes et les adresses IPv6 externes ?

Je me demandais simplement, étant donné que j'ai vu tant de personnes se débattre avec des questions sur l'IPv6 ici, pourquoi s'en préoccuper ?

Demandé el 26 de Mai, 2011 par josy

Réponses

Trop de publicités?

61voto

frameworkninja avatar
frameworkninja Points 628

Il n'y a pas de NAT pour IPv6 (tel que vous le concevez de toute façon). Le NAT était une solution temporaire $EXPLETIVE à l'épuisement des adresses IPv4 (un problème qui n'existait pas réellement, et qui a été résolu avant que le NAT ne soit nécessaire, mais l'histoire est 20/20). Il n'ajoute rien d'autre que de la complexité et ne ferait rien d'autre que de causer des maux de tête en IPv6 (nous avons tellement d'adresses IPv6 que nous les gaspillons sans vergogne). Le NAT66 existe, et est destiné à réduire le nombre d'adresses IPv6 utilisées par chaque hôte (il est normal que les hôtes IPv6 aient plusieurs adresses, IPv6 est quelque peu différent d'IPv4 à bien des égards, ceci en est un).

L'Internet était censé être routable de bout en bout, c'est en partie pour cela que l'IPv4 a été inventé et qu'il a été accepté. Cela ne veut pas dire que toutes les adresses sur l'Internet devaient être joignables. Le NAT brise les deux. Les pare-feu ajoutent des couches de sécurité en supprimant la joignabilité, mais normalement, c'est au détriment de la routabilité.

Vous aurez besoin d'IPv6 dans vos réseaux car il n'y a aucun moyen de spécifier un point de terminaison IPv6 avec une adresse IPv4. L'inverse fonctionne, ce qui permet aux réseaux exclusivement IPv6 utilisant DNS64 et NAT64 d'accéder encore à l'internet IPv4. Il est en fait possible aujourd'hui d'abandonner complètement l'IPv4, bien que la mise en place soit un peu compliquée. Il serait possible d'établir un proxy entre les adresses internes IPv4 et les serveurs IPv6. L'ajout et la configuration d'un serveur proxy ajoutent des coûts de configuration, de matériel et de maintenance au réseau, généralement beaucoup plus élevés que la simple activation d'IPv6.

Le NAT cause aussi ses propres problèmes. Le routeur doit être capable de coordonner chaque connexion qui passe par lui, en gardant la trace des points de terminaison, des ports, des délais d'attente, et plus encore. Tout ce trafic est généralement acheminé par ce point unique. Bien qu'il soit possible de construire des routeurs NAT redondants, la technologie est extrêmement complexe et généralement coûteuse. Les routeurs simples redondants sont faciles et bon marché (comparativement). De plus, pour rétablir une partie de la routabilité, des règles de transfert et de traduction doivent être établies sur le système NAT. Cela casse encore les protocoles qui intègrent des adresses IP, comme SIP. L'UPNP, le STUN et d'autres protocoles ont été inventés pour résoudre ce problème également - plus de complexité, plus de maintenance, plus de problèmes de sécurité. pourrait mal tourner .

Répondu el 26 de Mai, 2011 par frameworkninja (628 Points )

24voto

petrus avatar
petrus Points 5267

L'épuisement des adresses ipv4 internes (rfc1918) peut également être une raison très valable pour passer à l'ipv6.

Comcast expliqué à Nanog37 pourquoi ils ont choisi ipv6 pour leurs adresses de gestion.

20 Million video customer
x 2.5 STB/customer
x 2 ip addresses/STB
--------------------  
= 100 Millions IP addresses

Et ceci est seulement pour la vidéo et non les données/modems.

Ils ont épuisé les pools RFC1918 en 2005. Ensuite, ils ont utilisé des pools d'adresses publiques (car le nat n'est pas une option pour la gestion), et ont adopté l'ipv6 pour résoudre leurs besoins .

Répondu el 26 de Mai, 2011 par petrus (5267 Points )

15voto

blahblah avatar
blahblah Points 1

Pour plusieurs raisons :

  • IPv6 ne supporte pas la diffusion. Elle est remplacée par la multidiffusion. La diffusion permet à un nœud d'envoyer du trafic à tous les nœuds d'un sous-réseau. La gestion des domaines de diffusion est un problème majeur pour assurer le fonctionnement rapide et fluide des grands réseaux IPv4. La multidiffusion exige que les nœuds qui veulent recevoir des messages de type "broadcast" s'inscrivent pour les recevoir, afin que le réseau ne soit pas inondé de trafic qui touche tous les hôtes.

  • IPv6 supporte nativement le cryptage de type IPsec.

  • IPv6 supporte l'autoconfiguration. Il est possible pour les hôtes situés derrière un routeur de se configurer eux-mêmes sans avoir besoin du DHCP, bien que vous ayez toujours besoin d'un serveur DHCP pour distribuer les options DHCP telles que le serveur DNS, le serveur TFTP, etc.

Répondu el 26 de Mai, 2011 par blahblah (1 Points )

14voto

sysadmin1138 avatar
sysadmin1138 Points 129885

Mon ancien travail, dans une grande université, utilisait une allocation IPv6 en interne. À l'époque, on leur avait attribué une adresse IPv4 /16 et aujourd'hui encore, ils distribuent des adresses IPv4 à presque tous leurs clients internes. Les réseaux RFC1918 étaient limités au réseau de télécommunications et à certains usages spécialisés (les normes PCI exigeaient l'utilisation du RFC1918 jusqu'en octobre 2010).

Pour cette raison, ils ont activement planifié l'utilisation d'IPv6 en interne également. Il y avait encore quelques problèmes matériels à résoudre, les commutateurs de périphérie ne supportaient pas assez bien v6, mais le noyau était prêt. L'idée était que la prise en charge de v6 à l'extrémité visible par le public (d'accord, l'extrémité visible par le public Réactif La mise en place d'un réseau de bout en bout implique 70% du travail pour le déployer à tout le monde, autant faire les 30% supplémentaires et le faire de bout en bout.

Ayant vécu avec une allocation d'IP publique pendant si longtemps, notre personnel était très conscient de l'adage : "ce n'est pas parce que c'est public que c'est atteignable". Comme l'a dit Chris S, "routable" n'implique pas "joignable".

C'est pourquoi au moins une catégorie d'organisations déploierait IPv6 en interne : parce qu'elles utilisent déjà en interne des IPv4 non RFC1918.

Répondu el 26 de Mai, 2011 par sysadmin1138 (129885 Points )

11voto

John Gardeniers avatar
John Gardeniers Points 27097

Travaillant pour une petite entreprise, je ne vois que des raisons de NE PAS utiliser IPv6.

  • Nous n'avons même pas d'adresse publique IPv6, alors pourquoi diable l'utiliserions-nous en interne ?
  • Nous devrions remplacer notre pare-feu, que j'aime beaucoup, car il ne prend pas (encore) en charge l'IPv6.
  • Nous n'avons aucun moyen d'attribuer, et encore moins de contrôler, les adresses IPv6.
  • Seulement la moitié de nos PCs supportent IPv6
  • Aucune de nos usines de fabrication ne supporte IPv6
  • Nos commutateurs ne supportent pas IPv6
  • Je n'ai jamais vu d'imprimante qui supporte IPv6.
  • IPv6 est beaucoup plus difficile à utiliser à partir de la ligne de commande - point très important pour moi.
  • Il faudrait que je me mette au diapason de l'IPv6, ce qui est difficile lorsque je ne suis pas intéressé.
  • ... et un tas d'autres raisons auxquelles je n'arrive pas à penser pour le moment.

Cela n'a aucun sens pour une entreprise comme la nôtre de procéder à ce changement, car cela nécessiterait des dépenses et des efforts considérables, sans qu'il y ait absolument rien à gagner.

Très franchement, j'aime le NAT et les avantages que nous retirons du traitement des adresses locales. Si jamais cela devient nécessaire (par opposition à un désir de geek) pour interagir avec IPv6 sur l'Internet, nous le ferons au niveau de la passerelle.

Je ne m'attends pas à ce que cette mode actuelle de l'IPv6 devienne une nécessité pour la très grande majorité du monde, du moins en interne, avant une décennie ou plus. Comme je m'attends à être à la retraite d'ici là, il n'y a pas beaucoup d'intérêt pour moi à y consacrer du temps et des efforts.

Edit :

Je reçois des votes négatifs mais pas un seul point de vue opposé logique et sensé. Cela me fait penser qu'il s'agit juste d'une bande de geeks qui veulent suivre la tendance sans y réfléchir. Il doit y avoir une RAISON pour apporter un changement aussi radical à un réseau et je n'en ai pas. De plus, je soupçonne fortement que seul un très petit nombre d'utilisateurs de SF en ont une.

Répondu el 15 de Juin, 2011 par John Gardeniers (27097 Points )

Questions connexes

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X