Vlákno názorů k článku IPv6 NAT – chceme ho? od davro - Věci, které popisujete nezávisí na NATu. Ta věc s...

Věci, které popisujete nezávisí na NATu.

Ta věc s redundantními cestami jde opět řešit pomocí směrovacího protokolu běžícího mezi VPN uzly - stejně jako by se to řešilo v současné situaci.

Místo privátních IP adres jednoduše použijete veřejné. IP adresy v síti vám pořád bude přidělovat váš DHCP server, při změně poskytovatele jenom změníte prefix. Prostě pořád stejně jako dnes, akorát vynecháte ten NAT.

Samozřejmě, není problém to udělat staticky i s IPv6, pokud bude podporovat NAT. Jinak nevím, jak by mohly ty PC komunikovat, když by ve firemní síti měli nějaké privátní adresy, které bych mohl mít třeba ve své domácí sítě. Vnitřní adresy ve firmě máme totiž organizované podle států, poboček a podsítí (10.stát.pobočka/podsíť.stanice). Pokud by totiž byla část IP adresy závislá na poskytovateli, tak potom nevím, kdo by mi přidělil adresu, když vypadne spojení (nyní to dělá DHCP na pobočce a v rámci pobočky můžu komunikovat i když připojení ven nefunguje), jak by se řešila změna poskytovatele, a jak by to fungovalo na vytíženějších VPN spojích, kde je propojení přes několik nezávislých poskytovatelů pro redundantní spojení?
Samozřejmě, tohle se dá řešit pomocí proxy, ale to je dobré tak maximálně na HTTP, ale ne na vzdálenou správu serverů u zákazníků, či velké datové přenosy.

No, podle mne to s NATem souvisí s tím, že ve firemní síti nyní používáme privátní IP adresy jejichž síťová část je přidělovaná podle regionů (států a poboček) a ne podle toho, kým jsme připojeni. Takhle víme podle IP, kde ty počítače jsou, a dá se jednoduše filtrovat kdo a kam může. Navíc se můžeme vždy spolehnout že IP adresy 10.* jsou 100% "naše".

To, co popisujete jako výhodu NATu, nemá s NATem vůbec nic společného – popisujete totiž firewall, ne NAT. NATovat odchozí provoz do internetu samozřejmě možné je, ale je to zbytečné, nepřináší to žádné výhody, jen komplikace.

A je takový problém nechat si od ISP naroutovat do sítě subnet veřejných adres a odchozí provoz do netu z privátní sítě NATovat? Nahodil bych veřejnou tam kde je potřeba a provoz mezi veřejnými a privátními IP se jednoduše routuje. Ale odchozí traffic z privátních subnetů do netu se proNATuje.

Jsem si vědom toho, že se tím eliminuje jistá forma "zabezpečení" privátních subnetů řadových zaměstnanců, ale výhody NATu mi přijdou naprosto zřejmé. Jako příklad uvedu povolení přístupu na zařízení, nebo třeba k určitým službám pouze z určitých IP. Pracuji pro jednoho menšího operátora (provoz do NIXu kolem 500Mbps), takže se s tímhle potýkám velmi často. Tato forma zabezpečení je velmi účinná a když si představím, ža bych měl povolit přístup do našeho dohledového systému z několika stovek IP (z různých subnetů), tak mi běhá mráz po zádech.

Můžete to řešit úplně stejně, jako to teď řešíte s IPv4. To, co jste popsal, s NATem nijak nesouvisí – máte vnitřní síť s VPN, a vedle toho máte shodou okolností NAT. Když tam NAT mít nebudete, bude to fungovat dál pořád stejně.

Tato věc je v podstatě nezávislá na překladu adres, to jste jenom smíchal dvě věci do jedné.

Nejjednodušší by mně v tomto případě přišlo si rozjet mezi těmi routery nějaký směrovací protokol (v rámci šifrovaného provozu mezi těmi routery). Tento směrovací protokol oznamuje pouze sítě patřící do firemní VPN, zbytek jde po defaultu ven, pokud tedy nechcete všechno směrovat přes jeden centrální prvek, kde to budete filtrovat.

Nebo to uděláte celé staticky, tak jak to děláte teď.

Ta situace se vůbec neliší od současného stavu.

Ano, toto firewallem to jde vyřešit. Ne však všechno.
Hlavní výhoda NATu ale je, že odděluje topologii vnitřní sítě od té vnější.
Problém s chybějícím NATem totiž začíná v době, kdy máte po celém světě stovky poboček (ono jich tačí i pár jednotek po republice) propojených přes VPN a každá je připojená přes providera s jinou veřejnou částí IP. S IPv4 a NATem to je jednoduché. Celá korporátní síť má lokální adresy třeba 10.* a routery na pobočkách pak ví, že všechno na 10.* mají posílat přes VPN do firemní sítě a všechno ostatní přes NAT (eventuelně proxy) do internetu. Jak se bude tohle řešit bez NATu a možnosti mít uvnitř vlastní soukromé IP? To si budou muset všechny firemní routery vyměňovat všechny adresy všechy firemních poskytovatelů aby věděli co je vnitřní a co vnější śíť?

Ano, firewallem to jde vyřešit. Hlavní výhoda NATu totiž je, že odděluje topologii vnitřní sítě od té vnější.
Problém s chybějícím NATem totiž začíná v době, kdy máte po celém světě stovky poboček (ono jich tačí i pár jednotek po republice) propojených přes VPN a každá je připojená přes providera s jinou veřejnou částí IP. S IPv4 a NATem to je jednoduché. Celá korporátní síť má lokální adresy třeba 10.* a routery na pobočkách pak ví, že všechno na 10.* mají posílat přes VPN do firemní sítě a všechno ostatní přes NAT (eventuelně proxy) do internetu. Jak se bude tohle řešit bez NATu a možnosti mít uvnitř vlastní soukromé IP? To si budou muset všechny firemní routery vyměňovat všechny adresy všechy firemních poskytovatelů aby věděli co je vnitřní a co vnější prostředí?

„Mám pocit, že správce firemní sítě, který je zodpovědný za její chod stabilitu a bezpečnost se na věc bude dívat trochu odlišně než spráce akademické sítě.“

Toto se (nejen) v IPv6 řeší firewallem.

To platí pouze do doby, než si někdo přitáhne do firmy nějaké hodně specializované zařízení za mnoho milionů, které prostě do té sitě připojit musí a používá nějaké obskurní protokoly. Jen tak z fleku mne napadají videokonferenční zařízení, mikroskopy nebo medicínské systémy využívající protokol DICOM.

Mám pocit, že správce firemní sítě, který je zodpovědný za její chod stabilitu a bezpečnost se na věc bude dívat trochu odlišně než spráce akademické sítě.
"...navíc jsou uživatelé kreativní a zkoušejí nejrůznější síťové služby" - toto je např. ve fiemní síti téměř vyloučené.