#1 楼
不,私有寻址不会过时。但是实际上,有两种专用地址:唯一本地地址(ULA)和链接本地地址(LLA)。始终需要大型(即路由)专用网络。没有直接连接到互联网的计算机。现在,您可能会说您不需要专用的地址空间,只需使用所需的任何地址即可。仍然有一个很好的论据,为什么仍然有一个专用的IANA分配前缀
FC00::/7
,带有根据RFC 4139的用于本地单播地址的40位随机化器:同时或通过移动网络连接到全球互联网。无论如何,重用前缀会弄乱路由表。最坏的情况是,您甚至会将“专用前缀”泄漏到全局路由表中,并且会定期发送可路由的黑洞。泄漏不可路由的地址的情况也较轻。实际的全球地址由个人和组织拥有。这些人可以随意处理他们想要的地址,包括在某些应用程序中对其进行硬编码。如果您在内部重用这些地址,您可能会看到一些奇怪的流量和/或应用程序行为。 。随机化确保这绝对是不可能的。
现在,大多数家庭和办公室都没有如此复杂的网络,只有一个路由器可以保证与互联网的连接。即使在这里,有一种专用地址也是有用的。例如,您要运行只能从家庭内部访问的服务,或者运行不依赖于Internet连接的服务。为此,您可以轻松地依赖RFC 4291中定义的前缀
fe80::/64
中的LLA。大多数设备会自动将链接本地地址分配给任何启用IPv6的接口。此地址仅在给定的广播域内有意义,而无法从该广播域之外访问。最后:IPv6淘汰的是需要将NAT转换为公共地址的专用地址。 IPv6允许每个接口使用多个地址,因此上面的私有地址可以与公共地址完美结合。除此之外,不再需要从NAT节省IP资源,并且可以完全为IPv6构建NAT所提供的可忽略的安全性,而无需实际进行NAT本身,并且无论如何最好使用专用防火墙。
评论
“ NAT提供的安全性”是一个不存在的神话。防火墙提供了安全性,没有防火墙的NAT设备很容易受到威胁,并且由于它具有对内部专用网络的完全访问权限,因此专用网络完全受到攻击者的攻击。 NAT没有提供真正的安全性。
–罗恩·莫潘♦
20-4-28在21:03
您会忘记这一部分:如果没有NAPT表条目,则数据包将发往NAPT设备本身。正如我所解释的,NAPT设备在没有防火墙的情况下很容易受到攻击,并且可以完全访问专用网络。是提供网络安全性的防火墙,而不是NAT或NAPT。
–罗恩·莫潘♦
20-04-28在21:12
真正的问题是NAPT扼杀了协议创新,因为它仅允许TCP,UDP和ICMP。除了NAPT以外,SCTP可能早在几年前就已经接管了TCP和UDP,并且由于NAPT而无法开发其他协议。恢复端到端连接的原始IP前提将再次开启创新,我们可以淘汰TCP和UDP之类的已知弱点,而这些弱点已被我们无法使用的其他协议解决。 Stack Overflow上的程序员讨论了当前可用的协议,但是我们不能使用解决其问题的协议。
–罗恩·莫潘♦
20-4-28在21:40
@ supercat,IP的整个前提是只有终端设备需要维护状态。关键是中间的任何故障都将自动绕过该故障重新路由,但是如果设备维护状态失败则不会发生这种情况,因为需要重新建立连接,这就是通过旧电信电路交换进行数据包交换的关键。政府资助了有关数据包交换的研究,该研究使IP能够克服灾难或战争时电路交换的局限性,并使国家处于失败的境地。
–罗恩·莫潘♦
20-04-29在22:42
@supercat,没有Internet骨干网。互联网只是ISP以其选择和签约的任何方式相互连接的方式。考虑一家拥有多个出口点且使用VoIP并带有大量呼叫的公司。使用IPv4和NAT,一个NAPT盒的故障会使通过该盒的所有呼叫失败,因为它们将在不同的NAPT盒上获得不同的IPv4地址。使用IPv6,由于寻址不会更改,因此呼叫会自动绕过失败的盒子重新路由到另一个盒子,然后继续。
–罗恩·莫潘♦
20-4-29在23:13
#2 楼
IPv6具有唯一本地地址(ULA)(请参阅RFC 4193),其功能大致类似于RFC1918地址。这些地址称为唯一本地IPv6单播地址,在此缩写为
。文档作为本地IPv6地址。不能期望它们在全球Internet上可路由。它们在诸如站点之类的更有限区域内是可路由的。它们也可能在一组有限的站点之间路由。
评论
关于ULA与RFC 1918或什至不建议使用的IPv6站点本地地址的关键在于,由于所需的随机选择的40位全局ID,预计不会在多个地方使用相同的地址。
–罗恩·莫潘♦
20-04-28在19:41
Nitpick预计(假设人们遵循RFC,当然不是每个人都会这样做),两个站点希望使用同一地址块相互通信的可能性很低。但是,即使每个人都随机选择了自己的街区,世界上仍有多个站点使用同一街区。
– Peter Green
20-04-28在22:19
“随机选择”人们随机性很差,计算机也很糟糕。将会发生重叠,但是从理论上讲,IPv6更容易重编号。希望这些重叠很少发生-远远超过RFC1918网络。
–瑞奇
20-04-29在4:49
@RickyBeam也只有在某些前缀接触到的情况下才有问题,例如由于意外的路线泄漏或办公室合并。这两种情况都应该非常少见,并将其添加到RFC中的随机化中,我怀疑这是否会成为现实。真正的问题是,许多人会忽略随机化而只选择零。
– KillianDS
20年4月29日在6:49
#3 楼
是的,可以进行IPv6 NAT。例如,瞻博网络Junos支持与IPv4大致相同的IPv6功能。您可能希望阅读有关IPv6唯一本地地址的信息。 -to-6 NAT是不必要的,您不应该依赖它作为安全工具,等等。我不认为它们是错误的,但是我很高兴NAT仍然是我们可以使用的工具实际选择。
评论
IPv6的标准文档明确指定了许多非常愚蠢的东西。禁止NAPT是其中之一。请记住,IPv6还指定您配置的子网不得长于/ 64,但是打破此“规则”几乎是传输网络中普遍的标准。对于纯粹主义者来说,要求端系统参与多个网络,而不是允许NAT从网络互连中抽象出主机,这对纯粹主义者是很好的选择,但在许多情况下,这并不是最实用的选择。
–杰夫·惠勒
20-04-28在20:10
“ IPv6还指定您配置的子网不得长于/ 64”。这是一个常见的误解。有一些功能不适用于不是/ 64的网络,但请询问@RickyBeam,他会告诉您它工作正常。关于长度的唯一RFC将给您关于使用不同长度的利弊,但是没有一个说您只能使用/ 64。相反,对于点对点网络,建议使用/ 127。在任何情况下,都没有真正的NAT需求,更不用说NAPT了,这打破了IPv6恢复的IP端到端范例。
–罗恩·莫潘♦
20-4-28在20:57
“允许NAT从网络互连中提取抽象主机,对于纯粹主义者来说很好,但在许多情况下并不是最实用的选择。”为什么这不切实际?那是知识产权的基础。 IP基于端到端连接,而NAPT打破了这一点,使许多协议无法使用。 NAPT仅适用于TCP,UDP和ICMP。 SCTP是一种更好的,更现代的协议,可以破坏,并且由于NAPT而无法定义新协议,这也破坏了一些应用程序层协议。
–罗恩·莫潘♦
20年4月28日在21:08
好吧,我也将跳入这个喧嚣中:这种极其破碎的范例以某种方式使地球上更多的人能够交流和共享信息,这是历史上最重要的,更不用说创造我们的所有职业了。是的,端到端对于更有效的协议可能具有一些优势,但是它消除了使Internet正常运行的所有实际问题,例如安全代理和负载平衡器。端到端听起来不错,直到您需要检查流量以保护公司或政府的资产为止。
–罗恩·托恩(Ron Trunk)
20-4-29在3:50
实际上,“ / 64规则”确实存在,但这是在LAN的上下文中。在无数的RFC不断重新定义IPv6的过程中,它们使它像/ 96 LAN一样带来了启示。自己尝试,它只会“破坏” SLAAC,因为“前缀长度=== 64”在标准中进行了硬编码。 (如果您编辑linux源代码,则删除该规则很简单。)如果将其删除得太远,则会遇到任播和其他特殊保留地址的问题,因此/ 127需要特殊处理。另外,网络越小,找到唯一地址的难度就越大。
–瑞奇
20年4月29日在5:00
评论
IPv6 ULA地址可用于永远不会在公共Internet上发送的流量,但是您可以轻松地在接口上分配多个IPv6地址(对于IPv4则要困难得多),因此您可以轻松拥有一个或多个ULA以及一个或多个ULA。在一个接口上配置了更多全局地址。它将(希望)使它们不是强制性的!
@ user253751说得好。是的,如今,您的普通Comcast帐户为Revolut10n电视节目中的每个nanide都提供了足够的IPv6地址……大约是一百万倍。不,您仍然需要不可路由的私有IP来进行保护,对于某些流量,您想避免泄漏到开放的Internet ...或进入。NAT路由器的副作用是没有人可以为您的PC端端口,因为它不能没有公开地址。
有什么答案对您有帮助吗?如果是这样,您应该接受答案,这样问题就不会永远弹出来寻找答案。或者,您可以发布并接受自己的答案。