Le passage à IPv6 implique la suppression de NAT. Est-ce une bonne chose?

Question

Ceci est une question canonique sur IPv6 et NAT

En relation:

Comment fonctionne le sous-réseau IPv6 et en quoi diffère-t-il du sous-réseau IPv4?

Comment puis-je "tremper mes orteils" dans l'adressage réseau IPv6 dynamique?

IPv6 sans nat mais qu'en est-il d'un changement de FAI?

Notre FAI a donc récemment configuré IPv6 et j'ai étudié ce que la transition devrait impliquer avant de sauter dans la mêlée.

J'ai remarqué trois problèmes très importants:

Notre bureau NAT router (un ancien Linksys BEFSR41) ne prend pas en charge IPv6. Aucun routeur plus récent, AFAICT. Le livre que je lis sur IPv6 me dit qu'il fait NAT "inutile" de toute façon.
Si nous sommes censés nous débarrasser de ce routeur et brancher tout directement sur Internet, je commence à paniquer. Il n'y a aucun moyen en enfer je vais mettre notre base de données de facturation (avec beaucoup d'informations sur les cartes de crédit!) Sur Internet pour que tout le monde puisse le voir. Même si je proposais d'y installer le pare-feu de Windows pour permettre à seulement 6 adresses d'y avoir accès, j'éclate toujours de sueur froide. Je ne fais pas confiance à Windows, au pare-feu de Windows ou au réseau suffisamment large pour être même à l'aise avec cela.
Il y a quelques vieux périphériques matériels (c'est-à-dire des imprimantes) qui n'ont absolument aucune capacité IPv6. Et probablement une liste de problèmes de sécurité qui remontent à environ 1998. Et probablement aucun moyen de les corriger en aucune façon. Et aucun financement pour de nouvelles imprimantes.

J'entends que IPv6 et IPSEC sont censés sécuriser tout cela d'une manière ou d'une autre, mais sans réseaux physiquement séparés qui rendent ces appareils invisibles pour Internet, je vraiment peux vois pas comment. Je peux également vraiment voir comment toutes les défenses que je crée seront dépassées en peu de temps. J'exécute des serveurs sur Internet depuis des années maintenant et je connais assez bien le genre de choses nécessaires pour les sécuriser, mais mettre quelque chose de privé sur le réseau comme notre base de données de facturation a toujours été complètement hors de question.

Que dois-je remplacer NAT avec, si nous n'avons pas de réseaux physiquement séparés?

sysadmin1138 · Accepted Answer

Tout d'abord, il n'y a rien à craindre d'être sur une allocation IP publique, tant que vos dispositifs de sécurité sont correctement configurés.

Que dois-je remplacer NAT avec, si nous n'avons pas de réseaux physiquement séparés?

La même chose avec laquelle nous les séparons physiquement depuis les années 1980, les routeurs et les pare-feu. Le seul gros gain de sécurité que vous obtenez avec NAT est qu'il vous force dans une configuration de refus par défaut. Pour obtenir le service any à travers lui, vous avez à explicitement perforer des trous. Les appareils plus sophistiqués vous permettent même d'appliquer des listes de contrôle d'accès basées sur IP à ces trous, tout comme un pare-feu. Probablement parce qu'ils ont un "pare-feu" sur la boîte, en fait.

Un pare-feu correctement configuré fournit exactement le même service qu'une passerelle NAT. NAT sont fréquemment utilisées car elles sont plus faciles = pour entrer dans une configuration sécurisée que la plupart des pare-feu.

J'entends que IPv6 et IPSEC sont censés sécuriser tout cela d'une manière ou d'une autre, mais sans réseaux physiquement séparés qui rendent ces appareils invisibles pour Internet, je vraiment ne peux pas voir comment.

C'est une idée fausse. Je travaille pour une université qui a une allocation IPv4/16, et la grande, grande majorité de notre consommation d'adresses IP est sur cette allocation publique. Certainement tous nos postes de travail et imprimantes pour utilisateurs finaux. Notre consommation RFC1918 est limitée aux périphériques réseau et à certains serveurs spécifiques où de telles adresses sont requises. Je ne serais pas surpris si vous frissonniez tout à l'heure, car je l'ai certainement fait lorsque je suis arrivé le premier jour et que j'ai vu le post-it sur mon moniteur avec mon adresse IP.

Et pourtant, nous survivons. Pourquoi? Parce que nous avons un pare-feu extérieur configuré pour le refus par défaut avec un débit ICMP limité. Ce n'est pas parce que 140.160.123.45 est théoriquement routable que vous pouvez vous y rendre où que vous soyez sur Internet. C'est ce que les pare-feu ont été conçus pour faire.

Étant donné les bonnes configurations de routeur, et différents sous-réseaux de notre allocation peuvent être complètement inaccessibles les uns des autres. Vous pouvez le faire dans des tables de routeur ou des pare-feu. Il s'agit d'un réseau distinct et a satisfait nos auditeurs de sécurité dans le passé.

Il n'y a aucun moyen en enfer je vais mettre notre base de données de facturation (avec beaucoup d'informations sur les cartes de crédit!) Sur Internet pour que tout le monde puisse le voir.

Notre base de données de facturation est sur une adresse IPv4 publique et existe depuis toute son existence, mais nous avons la preuve que vous ne pouvez pas y accéder à partir d'ici. Ce n'est pas parce qu'une adresse est sur la liste routable publique v4 qu'elle est garantie d'être livrée. Les deux pare-feu entre les maux d'Internet et les ports de base de données réels filtrent le mal. Même depuis mon bureau, derrière le premier pare-feu, je ne peux pas accéder à cette base de données.

Les informations de carte de crédit sont un cas particulier. Cela est soumis aux normes PCI-DSS, et les normes stipulent directement que les serveurs qui contiennent de telles données doivent être derrière une passerelle NAT¹. Les nôtres le sont, et ces trois serveurs représentent notre utilisation totale des adresses RFC1918 par le serveur. Cela n'ajoute aucune sécurité, juste une couche de complexité, mais nous devons faire cocher cette case pour les audits.

L'idée originale "IPv6 fait NAT une chose du passé" a été avancée avant que le boom d'Internet ne touche vraiment le grand public. En 1995 NAT était une solution de contournement pour contourner une petite allocation IP. En 2005, elle a été consacrée dans de nombreux documents sur les meilleures pratiques de sécurité, et au moins une norme majeure (PCI-DSS pour être spécifique). Le seul avantage concret NAT donne est qu'une entité externe effectuant une reconnaissance sur le réseau ne sait pas à quoi ressemble le paysage IP derrière le périphérique NAT (bien que grâce à RFC1918, ils aient une bonne estimation), et sur IPv4 sans NAT (comme mon travail) ce n'est pas le cas. C'est un petit pas dans la défense en profondeur, pas un grand.

Le remplacement des adresses RFC1918 est ce qu'on appelle des adresses locales uniques. Comme RFC1918, ils n'acheminent pas à moins que les pairs n'acceptent spécifiquement de les laisser acheminer. Contrairement à la RFC1918, ils sont (probablement) uniques au monde. Les traducteurs d'adresses IPv6 qui traduisent un ULA en une adresse IP globale existent dans l'engrenage de périmètre de gamme supérieure, certainement pas encore dans l'engrenage SOHO.

Vous pouvez très bien survivre avec une adresse IP publique. Gardez à l'esprit que "public" ne garantit pas "accessible", et tout ira bien.

Mise à jour 2017

Au cours des derniers mois, Amazon aws a ajouté le support IPv6. Il vient d'être ajouté à leur offre Amazon-vpc , et leur implémentation donne quelques indices sur la façon dont les déploiements à grande échelle devraient être effectués.

Vous disposez d'une allocation/56 (256 sous-réseaux).
L'allocation est un sous-réseau entièrement routable.
Vous devez définir vos règles de pare-feu ( security-groups ) de manière appropriée restrictive.
Il n'y a pas de NAT, il n'est même pas proposé, donc tout le trafic sortant proviendra de l'adresse IP réelle de l'instance.

Pour ajouter l'un des avantages de sécurité de NAT de retour, ils proposent désormais une passerelle Internet uniquement de sortie . Cela offre un avantage de type NAT:

Les sous-réseaux situés derrière ne sont pas directement accessibles depuis Internet.

Ce qui fournit une couche de défense en profondeur, au cas où une règle de pare-feu mal configurée autoriserait accidentellement le trafic entrant.

Cette offre ne traduit pas l'adresse interne en une seule adresse comme NAT le fait. Le trafic sortant aura toujours l'IP source de l'instance qui a ouvert la connexion. Les opérateurs de pare-feu qui cherchent à mettre les ressources en liste blanche dans le Le VPC sera mieux placé sur la liste blanche des netblocks, plutôt que des adresses IP spécifiques.

Routable ne signifie pas toujours accessible.

¹: Les normes PCI-DSS ont changé en octobre 2010, la déclaration exigeant les adresses RFC1918 a été supprimée et l'isolation du réseau l'a remplacée.

Zoredache · Answer

Notre bureau NAT routeur (un ancien Linksys BEFSR41) ne prend pas en charge IPv6. Aucun routeur plus récent non plus)

IPv6 est pris en charge par de nombreux routeurs. Mais pas beaucoup de produits bon marché destinés aux consommateurs et à SOHO. Dans le pire des cas, utilisez simplement une boîte Linux ou re-flashez votre routeur avec dd-wrt ou quelque chose pour obtenir le support IPv6. Il existe de nombreuses options, il vous suffit probablement de chercher plus attentivement.

Si nous sommes censés nous débarrasser de ce routeur et tout brancher directement sur Internet,

Rien dans une transition vers IPv6 ne suggère que vous devez vous débarrasser des dispositifs de sécurité de périmètre, comme votre routeur/pare-feu. Les routeurs et les pare-feu seront toujours un composant obligatoire de presque tous les réseaux.

Tous les routeurs NAT agissent efficacement comme un pare-feu dynamique. Il n'y a rien de magique dans l'utilisation des adresses RFC1918 qui vous protège à ce point. C'est le bit dynamique qui fait le gros du travail. le pare-feu vous protégera tout aussi bien si vous utilisez des adresses réelles ou privées.

La seule protection que vous obtenez contre les adresses RFC1918 est qui permet aux gens de s'en tirer avec des erreurs/paresse dans votre configuration de pare-feu et de ne pas être encore si vulnérables.

Il y a quelques vieux périphériques matériels (c'est-à-dire des imprimantes) qui n'ont absolument aucune capacité IPv6.

Donc? Il est peu probable que vous deviez le rendre disponible sur Internet et sur votre réseau interne, vous pouvez continuer à exécuter IPv4 et IPv6 jusqu'à ce que tous vos appareils soient pris en charge ou remplacés.

Si l'exécution de plusieurs protocoles n'est pas une option, vous devrez peut-être configurer une sorte de passerelle/proxy.

L'IPSEC est censé sécuriser tout cela d'une manière ou d'une autre

IPSEC crypté et authentifie les paquets. Cela n'a rien à voir avec l'élimination de votre appareil frontalier et protège davantage les données en transit.

Mark Henderson · Answer

Oui. NAT est mort. Il y a eu quelques tentatives de ratifier les normes pour NAT sur IPv6 mais aucun n'a jamais décollé).

Cela a en fait causé des problèmes aux fournisseurs qui tentent de respecter les normes PCI-DSS, car la norme stipule en fait que vous devez être derrière un NAT.

Pour moi, c'est l'une des plus merveilleuses nouvelles que j'aie jamais entendues. Je déteste le NAT et je déteste le transporteur NAT encore plus.

Le NAT n'a jamais été conçu que pour être une solution pour nous permettre de passer au travers jusqu'à ce que IPv6 soit devenu standard, mais il est devenu ancré dans la société Internet.

Pour la période de transition, vous devez vous rappeler que IPv4 et IPv6 sont, à part un nom similaire, sont totalement différents ¹. Ainsi, les appareils à double pile, votre IPv4 seront NATted et votre IPv6 non. C'est presque comme avoir deux appareils totalement séparés, juste emballés dans un seul morceau de plastique.

Alors, comment fonctionne l'accès Internet IPv6? Eh bien, la façon dont Internet fonctionnait avant NAT a été inventé. Votre FAI vous attribuera une plage IP (comme ils le font maintenant, mais ils vous attribuent généralement un/32, ce qui signifie que vous n'obtenez qu'une seule adresse IP), mais votre plage contiendra désormais des millions d'adresses IP disponibles. Vous êtes libre de renseigner ces adresses IP comme vous le souhaitez (avec configuration automatique ou DHCPv6). Chacune de ces adresses IP sera visible depuis tout autre ordinateur sur Internet.

Cela semble effrayant, non? Votre contrôleur de domaine, votre ordinateur multimédia domestique et votre iPhone avec votre cachette cachée de pornographie seront tous accessibles depuis Internet?! Et bien non. C'est à ça que sert un pare-feu. Une autre grande caractéristique d'IPv6 est qu'il force les pare-feu d'une approche "Autoriser tout" (comme la plupart des appareils domestiques) dans une approche "Refuser tout", où vous ouvrez des services pour des adresses IP particulières. 99,999% des utilisateurs à domicile garderont leurs pare-feu par défaut et totalement verrouillés, ce qui signifie qu'aucun trafic non sollicité ne sera autorisé.

¹_{Ok, il y a bien plus que cela, mais ils ne sont en aucun cas compatibles les uns avec les autres, même s'ils autorisent tous les deux les mêmes protocoles}

Owen DeLong · Answer

L'exigence PCI-DSS pour NAT est bien connue pour être un théâtre de sécurité et non une sécurité réelle.

Le PCI-DSS le plus récent a évité d'appeler NAT une exigence absolue. De nombreuses organisations ont passé des audits PCI-DSS avec IPv4 sans NAT montrant des pare-feu avec état comme msgstr "implémentations de sécurité équivalentes".

Il existe d'autres documents sur le théâtre de la sécurité appelant NAT, mais, parce qu'il détruit les pistes d'audit et rend les enquêtes/atténuation des incidents plus difficiles, une étude plus approfondie de NAT (avec ou sans PAT) ) comme étant un titre net négatif.

Un bon pare-feu dynamique sans NAT est une solution largement supérieure à NAT dans un monde IPv6. En IPv4, NAT est un mal nécessaire à tolérer pour la conservation de l'adresse.

techieb0y · Answer

Il faudra (malheureusement) un certain temps avant de pouvoir vous en sortir avec un réseau IPv6 à pile unique. Jusque-là, la double pile avec une préférence pour IPv6 lorsque disponible est le moyen de fonctionner.

Bien que la plupart des routeurs grand public ne prennent pas en charge IPv6 avec le firmware d'origine aujourd'hui, beaucoup peuvent le prendre en charge avec des firmwares tiers (par exemple, Linksys WRT54G avec dd-wrt, etc.). En outre, de nombreux appareils de classe affaires (Cisco, Juniper) prennent en charge IPv6 prêt à l'emploi.

Il est important de ne pas confondre le PAT (plusieurs-à-un NAT, comme cela est courant sur les routeurs grand public) avec d'autres formes de NAT et avec un pare-feu sans NAT; une fois qu'Internet devient IPv6 uniquement, les pare-feu empêchent toujours l'exposition des services internes. De même, un système IPv4 avec un à un NAT n'est pas automatiquement protégé; c'est le travail d'une politique de pare-feu.

sysadmin1138 · Answer

Si NAT survit dans le monde IPv6, ce sera très probablement 1: 1 NAT. Une forme a NAT jamais vue dans l'espace IPv4. Qu'est-ce que 1 : 1 NAT? C'est une traduction 1: 1 d'une adresse globale en une adresse locale. L'équivalent IPv4 traduirait toutes les connexions en 1.1.1.2 seulement en 10.1.1.2, et ainsi de suite pour tout l'espace 1.0.0.0/8. La version IPv6 consisterait à traduire une adresse globale en une adresse locale unique.

Une sécurité renforcée pourrait être fournie en faisant tourner fréquemment le mappage pour les adresses qui ne vous intéressent pas (comme les utilisateurs de bureau internes parcourant Facebook). En interne, vos numéros ULA resteraient les mêmes, de sorte que votre DNS à horizon partagé continuerait à fonctionner correctement, mais les clients externes ne seraient jamais sur un port prévisible.

Mais vraiment, c'est une petite quantité de sécurité améliorée pour les tracas qu'il crée. L'analyse des sous-réseaux IPv6 est une tâche très importante et irréalisable sans une certaine reconnaissance de la façon dont les adresses IP sont attribuées sur ces sous-réseaux (méthode de génération MAC? Méthode aléatoire? Attribution statique d'adresses lisibles par l'homme?).

Dans la plupart des cas, ce qui se passera, c'est que les clients derrière le pare-feu d'entreprise obtiendront une adresse globale, peut-être un ULA, et le pare-feu de périmètre sera configuré pour refuser toutes les connexions entrantes de toute nature à ces adresses. À toutes fins utiles, ces adresses sont inaccessibles de l'extérieur. Une fois que le client interne établit une connexion, les paquets seront autorisés à passer le long de cette connexion. La nécessité de changer l'adresse IP en quelque chose de complètement différent est gérée en forçant un attaquant à feuilleter 2 ^ 64 adresses possibles sur ce sous-réseau.

Computerguy · Answer

Il y a énormément de confusion à ce sujet, car les administrateurs réseau voient NAT sous un jour, et les petites entreprises et les clients résidentiels le voient sous un autre. Permettez-moi de clarifier.

Statique NAT (parfois appelé NAT un-à-un) offre absolument aucune protection pour votre réseau privé ou un PC individuel. Changer l'adresse IP n'a aucun sens dans la mesure où la protection est concernée.

Le NAT/PAT dynamique surchargé, comme le font la plupart des passerelles résidentielles et des points d'accès wifi, aide à protéger votre réseau privé et/ou votre PC. De par sa conception, la table NAT de ces appareils est une table d'état. Elle garde une trace des demandes sortantes et les mappe dans la table NAT - les connexions expirent après un certain temps. Toutes les trames entrantes non sollicitées qui ne correspondent pas à ce qui se trouve dans la table NAT sont supprimées par défaut - le NAT router doesn 'routeur Je ne sais pas où les envoyer dans le réseau privé pour qu'il les laisse tomber. De cette façon, le seul appareil que vous laissez vulnérable au piratage est votre routeur. Comme la plupart des exploits de sécurité sont basés sur Windows - avoir un appareil comme celui-ci entre le Internet et vos PC Windows aident vraiment à protéger votre réseau. Ce n'est peut-être pas la fonction initialement prévue, qui était d'économiser sur les adresses IP publiques, mais cela fait le travail. En prime, la plupart de ces appareils ont également des capacités de pare-feu qui plusieurs fois bloquer les demandes ICMP par défaut, ce qui permet également de protéger le réseau.

Compte tenu des informations ci-dessus, la suppression de NAT lors du passage à IPv6 pourrait exposer des millions d'appareils grand public et de petites entreprises à un piratage potentiel. Cela aura peu ou pas d'incidence sur les réseaux d'entreprise car ils ont des pare-feu gérés par des professionnels. Les réseaux des consommateurs et des petites entreprises peuvent ne plus avoir de routeur basé sur * nix NAT routeur entre Internet et leurs PC. Il n'y a aucune raison pour qu'une personne ne puisse pas passer à un pare-feu seule solution - beaucoup plus sûre si elle est déployée correctement, mais aussi au-delà de ce que 99% des consommateurs savent faire. Dynamic Overloaded NAT donne un minimum de protection rien qu'en l'utilisant - plug dans votre routeur résidentiel et vous êtes protégé.

Cela dit, il n'y a aucune raison pour que NAT ne puisse pas être utilisé exactement de la même manière qu'il est utilisé dans IPv4. En fait, un routeur pourrait être conçu pour avoir une adresse IPv6 sur le WAN port avec un réseau privé IPv4 derrière lui sur lequel NAT est installé (par exemple). Ce serait une solution simple pour les particuliers et les particuliers. Une autre option consiste à placer tous les appareils avec des adresses IP publiques IPv6 --- le périphérique intermédiaire pourrait alors agir comme un périphérique L2, mais fournir une table d'état, une inspection des paquets et un pare-feu pleinement fonctionnel. Essentiellement, pas de NAT, mais toujours en bloquant les trames entrantes non sollicitées. La chose importante à retenir est que vous ne devriez pas ne branchez pas votre PC directement dans votre connexion WAN sans appareil intermédiaire. À moins bien sûr que vous ne souhaitiez compter sur le pare-feu Windows ... et c'est une discussion différente. Chaque réseau, même les réseaux domestiques , ont besoin d'un périphérique Edge protégeant le réseau local, en plus d'utiliser le pare-feu Windows.

Il y aura des difficultés croissantes à passer à IPv6, mais il n'y a aucun problème qui ne pourra pas être résolu assez facilement. Devrez-vous abandonner votre ancien routeur IPv4 ou passerelle résidentielle? Peut-être, mais de nouvelles solutions peu coûteuses seront disponibles le moment venu. Espérons que de nombreux appareils auront juste besoin d'un flash de firmware. L'IPv6 pourrait-il être conçu pour s'intégrer de manière plus transparente dans l'architecture actuelle? Bien sûr, mais c'est ce que c'est et ça ne va pas disparaître - Donc, vous pourriez aussi bien l'apprendre, le vivre, l'aimer.

Michael Hampton · Answer

La RFC 4864 décrit la protection du réseau local IPv6 , un ensemble d'approches pour fournir les avantages perçus de NAT dans un environnement IPv6, sans avoir à recourir à NAT.

Ce document a décrit un certain nombre de techniques qui peuvent être combinées sur un site IPv6 pour protéger l'intégrité de son architecture réseau. Ces techniques, appelées collectivement protection du réseau local, conservent le concept d'une frontière bien définie entre "l'intérieur" et "l'extérieur" du réseau privé et permettent le pare-feu, le masquage de la topologie et la confidentialité. Cependant, comme ils préservent la transparence des adresses là où cela est nécessaire, ils atteignent ces objectifs sans l'inconvénient de la traduction d'adresses. Ainsi, la protection du réseau local dans IPv6 peut fournir les avantages de la traduction d'adresses réseau IPv4 sans les inconvénients correspondants.

Il décrit d'abord les avantages perçus de NAT (et les démystifie le cas échéant), puis décrit les fonctionnalités d'IPv6 qui peuvent être utilisées pour fournir ces mêmes avantages. Il fournit également des notes de mise en œuvre et études de cas.

Bien qu'il soit trop long de réimprimer ici, les avantages discutés sont:

Une passerelle simple entre "l'intérieur" et "l'extérieur"
Le pare-feu dynamique
Suivi des utilisateurs/applications
Confidentialité et masquage de la topologie
Contrôle indépendant de l'adressage dans un réseau privé
Multihoming/renumérotation

Cela couvre à peu près tous les scénarios dans lesquels on aurait pu vouloir NAT et propose des solutions pour les implémenter dans IPv6 sans NAT.

Certaines des technologies que vous utiliserez sont:

Adresses locales uniques: préférez-les sur votre réseau interne pour garder vos communications internes internes et pour assurer que les communications internes peuvent continuer même si le FAI a une panne.
Extensions de confidentialité IPv6 avec des durées de vie des adresses courtes et des identificateurs d'interface structurés de manière non évidente: ils aident à empêcher les attaques individuelles des hôtes et l'analyse des sous-réseaux.
IGP, Mobile IPv6 ou VLAN peuvent être utilisés pour masquer la topologie du réseau interne.
Avec les ULA, DHCP-PD du FAI facilite la renumérotation/le multihébergement qu'avec IPv4.

( Voir la RFC pour les détails complets; encore une fois, il est beaucoup trop long pour réimprimer ou même prendre des extraits importants.)

Pour une discussion plus générale de la sécurité de la transition IPv6, voir RFC 4942 .

DAM · Answer

En quelque sorte. Il existe en fait différents "types" d'adresses IPv6. La plus proche de la RFC 1918 (10/8, 172.16/12, 192.168/16) est appelée "Adresse locale unique" et est définie dans la RFC 4193:

http://en.wikipedia.org/wiki/Unique_local_address

Vous commencez donc par fd00 ::/8, puis ajoutez une chaîne de 40 bits (en utilisant un algorithme prédéfini dans le RFC!), Et vous vous retrouvez avec un préfixe pseudo-aléatoire/48 qui devrait être globalement unique. Vous avez le reste de l'espace d'adressage à affecter comme vous le souhaitez.

Vous devez également bloquer fd00 ::/7 (fc00 ::/8 et fd00 ::/8) sur votre routeur (IPv6) vers l'extérieur de votre organisation, d'où le "local" dans le nom de l'adresse. Ces adresses, bien que situées dans l'espace d'adressage mondial, ne doivent pas être accessibles au monde dans son ensemble, mais uniquement dans votre "organisation".

Si vos serveurs PCI-DSS ont besoin d'un IPv6 pour la connectivité avec d'autres hôtes IPv6 internes, vous devez générer un préfixe ULA pour votre entreprise et l'utiliser à cette fin. Vous pouvez utiliser la configuration automatique d'IPv6 comme n'importe quel autre préfixe si vous le souhaitez.

Étant donné qu'IPv6 a été conçu pour que les hôtes puissent avoir plusieurs adresses, une machine peut également avoir, en plus d'un ULA, une adresse routable à l'échelle mondiale. Ainsi, un serveur Web qui doit parler à la fois au monde extérieur et aux machines internes peut avoir à la fois une adresse de préfixe attribuée par le FAI et votre préfixe ULA.

Si vous voulez une fonctionnalité de type NAT, vous pouvez également regarder NAT66, mais en général, j'architecturerais autour d'ULA. Si vous avez d'autres questions, vous pouvez consulter la liste de diffusion "ipv6-ops".

sumar · Answer

À mon humble avis: non.

Il existe encore des endroits où SNAT/DNAT peuvent être utiles. Par exemple, certains serveurs ont été déplacés vers un autre réseau, mais nous ne voulons pas/nous ne pouvons pas changer l'adresse IP de l'application.

LogEx · Answer

Je n'ai pas vu de réponse définitive sur la façon dont la perte de NAT (s'il disparaît vraiment) avec IPv6 affectera la confidentialité des utilisateurs.

Avec les adresses IP des appareils individuels exposées publiquement, il sera beaucoup plus facile pour les services Web de surveiller (collecter, stocker, agréger au fil du temps et de l'espace et des sites, et faciliter une multitude d'utilisations secondaires) vos déplacements sur Internet à partir de vos différents appareils. À moins que ... les FAI, routeurs et autres équipements permettent d'avoir facilement et facilement des adresses IPv6 dynamiques qui peuvent être fréquemment modifiées pour chaque appareil.

Bien sûr, peu importe ce que nous aurons toujours le problème des adresses MAC Wi-Fi statiques étant publiques, mais c'est une autre histoire ...

growse · Answer

Avec un peu de chance, NAT disparaîtra pour toujours. Il n'est utile que lorsque vous avez une pénurie d'adresses IP et qu'aucune fonctionnalité de sécurité n'est mieux fournie, moins chère et plus facilement gérée par un pare-feu dynamique.

Depuis IPv6 = plus de rareté, cela signifie que nous pouvons débarrasser le monde du hack laid qu'est NAT.

Steve-o · Answer

La politique et les pratiques commerciales de base favoriseront très probablement l'existence du NAT. La pléthore d'adresses IPv6 signifie que les FAI seront tentés de facturer par appareil ou de limiter les connexions uniquement à un nombre restreint d'appareils. Voir cet article récent sur /. par exemple:

http://news.slashdot.org/story/11/03/17/0157239/British-ISPs-Could-Charge-Per-Device

Greg Askew · Answer

Il existe de nombreux schémas pour prendre en charge NAT dans un scénario de transition V4 à V6. Cependant, si vous avez un réseau entièrement IPV6 et que vous vous connectez à un fournisseur IPV6 en amont, NAT = ne fait pas partie du nouvel ordre mondial, sauf que vous pouvez tunneler entre les réseaux V4 sur les réseaux V6.

Cisco possède de nombreuses informations générales sur les scénarios 4to6, la migration et le tunneling.

http://www.Cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-nat_trnsln_ps6350_TSD_Products_Configuration_Guide_Chapter.html

http://www.Cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-tunnel.html

Également sur Wikipedia:

https://secure.wikimedia.org/wikipedia/en/wiki/IPv6_transition_mechanisms