為什麼IPv6不能擺脫NAT網路地址轉換？

關於IPv6（Internet協議版本6）的最常見的神話之一是它將恢復所謂的端到端網際網路原則。本文解釋了當前企業WAN中當前無處不在的網路地址轉換（NAT）如何使這種情況變得非常不可能。

網際網路的核心設計原則之一通常被稱為端到端原則，並贊成一個笨網路，大部分資訊都駐留在主機上。該原理導致一種體系結構，其中網路簡單地將資料包從源主機轉發到目的地主機（或主機集），而無需對轉發的資料包進行進一步的解釋。

隨著簡單的網際網路架構的發展，網路裝置的激增違反了這一原則。主要的例子是網路地址轉換（NAT）和埠地址轉換（PAT-NAT的擴充套件）。

NAT本質上是為了保護稀缺的IPv4網路地址（透過在多個主機之間共享網路地址）而引入的。 例如，NAT是用於透過單個IPv4地址將整個家庭網路連線到因特網的事實標準，通常由Internet服務提供商（ISP）分配。NAT透過重寫轉發資料包的IPv4地址和傳輸埠號，來違反端到端原則。NAT還阻止從外部網路中的主機連線到NAT後面的主機的直接通訊（因為NAT通常要求從內部網路內發起通訊）。NAT網路地址轉換被指出會增加網路的脆弱性，因為NAT的故障通常會影響NAT後面的整個網路。此外，NAT對受益於端到端連線的應用程式（例如對等網路）提出了挑戰。

雖然NAT的引入主要是由於需要共享稀缺的IPv4網路地址，但使用NAT實現了許多其他好處：

• NAT減少了主機暴露。
• 他們提供主機隱私/偽裝。
• NAT可以隱藏網路拓撲。
• 它們使企業的IP地址獨立於ISP。

特別是地址獨立性是導致具有大量公共IPv4地址的許多組織部署NAT的主要原因。

然而，由於NAT被廣泛地認為其唯一作用是共享稀缺的IPv4地址，通常假設IPv6（因為有數量巨大的真實IP地址）消除了NAT的需要和動機，因此IPv6的部署將因此而恢復 “網際網路的端到端原則”。

IPv6的神話：恢復了網際網路的端到端原則

仔細分析網路地址轉換（NAT）在當前Internet體系結構中所扮演的角色以及當前部署IPv6的策略，可以幫助消除這種已經確立的 “IPv6恢復網際網路端到端原則” 的神話。

首先，如上所述，NAT提供除了共享稀缺網路地址之外的有價值的特徵，例如地址獨立性。NAT允許組織在組織網路內使用所謂的私有地址空間，因此在切換ISP時不需要重新編號內部IP地址。這可能是IPv6版NAT（稱為NAT66）是最受歡迎的IPv6功能之一的原因之一。

其次，因為人們傾向於抵制變化（厭惡變化的心理）及其他原因，很有可能原有的IPv4網路的安全架構將被用於新的IPv6網路，因此，典型的IPv6子網將受到只允許返回業務的有狀態防火牆保護（即，IPv6子網僅允許從網路內部發起的通訊例項）。

最後，無論是IPv4和IPv6網際網路中，IPv6過渡/雙棧技術將導致部署大量的NAT。在IPv4 Internet中，將部署不同風格的NAT（CGN、A+P等），從而即使IPv4地址空間耗盡，也可以向新節點提供本地IPv4連線。在IPv6 Internet中，將部署IPv6/IPv4轉換器（如NAT64），以便IPv6-only節點可以與IPv4-only的節點進行通訊。這與其他IPv6過渡/共存技術一起，必將至少在短期和近期內增加IPv4和IPv6網際網路的複雜性以及曾經笨網路所需的智慧。

IPv6不僅不可能恢復Internet的端到端原則，而且NAT在短期內很可能會增加：事實證明，長期以來被視為“罪惡”的NAT已經成為IPv6中所期望的特性和IPv6傳輸的關鍵元件。