為什麼IPv6不能擺脫NAT網路地址轉換?

youbingke發表於2022-09-22

關於IPv6(Internet協議版本6)的最常見的神話之一是它將恢復所謂的端到端網際網路原則。本文解釋了當前企業WAN中當前無處不在的網路地址轉換(NAT)如何使這種情況變得非常不可能。

網際網路的核心設計原則之一通常被稱為端到端原則,並贊成一個笨網路,大部分資訊都駐留在主機上。該原理導致一種體系結構,其中網路簡單地將資料包從源主機轉發到目的地主機(或主機集),而無需對轉發的資料包進行進一步的解釋。

隨著簡單的網際網路架構的發展,網路裝置的激增違反了這一原則。主要的例子是網路地址轉換(NAT)和埠地址轉換(PAT-NAT的擴充套件)。

NAT本質上是為了保護稀缺的IPv4網路地址(透過在多個主機之間共享網路地址)而引入的。 例如,NAT是用於透過單個IPv4地址將整個家庭網路連線到因特網的事實標準,通常由Internet服務提供商(ISP)分配。NAT透過重寫轉發資料包的IPv4地址和傳輸埠號,來違反端到端原則。NAT還阻止從外部網路中的主機連線到NAT後面的主機的直接通訊(因為NAT通常要求從內部網路內發起通訊)。NAT網路地址轉換被指出會增加網路的脆弱性,因為NAT的故障通常會影響NAT後面的整個網路。此外,NAT對受益於端到端連線的應用程式(例如對等網路)提出了挑戰。

雖然NAT的引入主要是由於需要共享稀缺的IPv4網路地址,但使用NAT實現了許多其他好處:

  • NAT減少了主機暴露。
  • 他們提供主機隱私/偽裝。
  • NAT可以隱藏網路拓撲。
  • 它們使企業的IP地址獨立於ISP。

特別是地址獨立性是導致具有大量公共IPv4地址的許多組織部署NAT的主要原因。

然而,由於NAT被廣泛地認為其唯一作用是共享稀缺的IPv4地址,通常假設IPv6(因為有數量巨大的真實IP地址)消除了NAT的需要和動機,因此IPv6的部署將因此而恢復 “網際網路的端到端原則”。

IPv6的神話:恢復了網際網路的端到端原則

仔細分析網路地址轉換(NAT)在當前Internet體系結構中所扮演的角色以及當前部署IPv6的策略,可以幫助消除這種已經確立的 “IPv6恢復網際網路端到端原則” 的神話。

首先,如上所述,NAT提供除了共享稀缺網路地址之外的有價值的特徵,例如地址獨立性。NAT允許組織在組織網路內使用所謂的私有地址空間,因此在切換ISP時不需要重新編號內部IP地址。這可能是IPv6版NAT(稱為NAT66)是最受歡迎的IPv6功能之一的原因之一。

其次,因為人們傾向於抵制變化(厭惡變化的心理)及其他原因,很有可能原有的IPv4網路的安全架構將被用於新的IPv6網路,因此,典型的IPv6子網將受到只允許返回業務的有狀態防火牆保護(即,IPv6子網僅允許從網路內部發起的通訊例項)。

最後,無論是IPv4和IPv6網際網路中,IPv6過渡/雙棧技術將導致部署大量的NAT。在IPv4 Internet中,將部署不同風格的NAT(CGN、A+P等),從而即使IPv4地址空間耗盡,也可以向新節點提供本地IPv4連線。在IPv6 Internet中,將部署IPv6/IPv4轉換器(如NAT64),以便IPv6-only節點可以與IPv4-only的節點進行通訊。這與其他IPv6過渡/共存技術一起,必將至少在短期和近期內增加IPv4和IPv6網際網路的複雜性以及曾經笨網路所需的智慧。

IPv6不僅不可能恢復Internet的端到端原則,而且NAT在短期內很可能會增加:事實證明,長期以來被視為“罪惡”的NAT已經成為IPv6中所期望的特性和IPv6傳輸的關鍵元件。


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69996004/viewspace-2915791/,如需轉載,請註明出處,否則將追究法律責任。

相關文章