關于IPv6(Inte.NET協(xié)議版本6)的最常見的神話之一是它將恢復所謂的端到端互聯(lián)網(wǎng)原則。本文解釋了當前企業(yè)WAN中當前無處不在的網(wǎng)絡地址轉換(NAT)如何使這種情況變得非常不可能。
互聯(lián)網(wǎng)的核心設計原則之一通常被稱為端到端原則,并贊成一個笨網(wǎng)絡,大部分信息都駐留在主機上。該原理導致一種體系結構,其中網(wǎng)絡簡單地將數(shù)據(jù)報從源主機轉發(fā)到目的地主機(或主機集),而無需對轉發(fā)的數(shù)據(jù)報進行進一步的解釋。
隨著簡單的互聯(lián)網(wǎng)架構的發(fā)展,網(wǎng)絡設備的激增違反了這一原則。主要的例子是網(wǎng)絡地址轉換(NAT)和端口地址轉換(PAT-NAT的擴展)。
NAT本質上是為了保護稀缺的IPv4網(wǎng)絡地址(通過在多個主機之間共享網(wǎng)絡地址)而引入的。 例如,NAT是用于通過單個IPv4地址將整個家庭網(wǎng)絡連接到因特網(wǎng)的事實標準,通常由Internet服務提供商(ISP)分配。NAT通過重寫轉發(fā)數(shù)據(jù)報的IPv4地址和傳輸端口號,來違反端到端原則。NAT還阻止從外部網(wǎng)絡中的主機連接到NAT后面的主機的直接通信(因為NAT通常要求從內部網(wǎng)絡內發(fā)起通信)。NAT網(wǎng)絡地址轉換被指出會增加網(wǎng)絡的脆弱性,因為NAT的故障通常會影響NAT后面的整個網(wǎng)絡。此外,NAT對受益于端到端連接的應用程序(例如對等網(wǎng)絡)提出了挑戰(zhàn)。
雖然NAT的引入主要是由于需要共享稀缺的IPv4網(wǎng)絡地址,但使用NAT實現(xiàn)了許多其他好處:
-
NAT減少了主機暴露。
-
他們提供主機隱私/偽裝。
-
NAT可以隱藏網(wǎng)絡拓撲。
-
它們使企業(yè)的IP地址獨立于ISP。
特別是地址獨立性是導致具有大量公共IPv4地址的許多組織部署NAT的主要原因。
然而,由于NAT被廣泛地認為其唯一作用是共享稀缺的IPv4地址,通常假設IPv6(因為有數(shù)量巨大的真實IP地址)消除了NAT的需要和動機,因此IPv6的部署將因此而恢復 “互聯(lián)網(wǎng)的端到端原則”。
IPv6的神話:恢復了互聯(lián)網(wǎng)的端到端原則
仔細分析網(wǎng)絡地址轉換(NAT)在當前Internet體系結構中所扮演的角色以及當前部署IPv6的策略,可以幫助消除這種已經(jīng)確立的 “IPv6恢復互聯(lián)網(wǎng)端到端原則” 的神話。
首先,如上所述,NAT提供除了共享稀缺網(wǎng)絡地址之外的有價值的特征,例如地址獨立性。NAT允許組織在組織網(wǎng)絡內使用所謂的私有地址空間,因此在切換ISP時不需要重新編號內部IP地址。這可能是IPv6版NAT(稱為NAT66)是最受歡迎的IPv6功能之一的原因之一。
其次,因為人們傾向于抵制變化(厭惡變化的心理)及其他原因,很有可能原有的IPv4網(wǎng)絡的安全架構將被用于新的IPv6網(wǎng)絡,因此,典型的IPv6子網(wǎng)將受到只允許返回業(yè)務的有狀態(tài)防火墻保護(即,IPv6子網(wǎng)僅允許從網(wǎng)絡內部發(fā)起的通信實例)。
最后,無論是IPv4和IPv6互聯(lián)網(wǎng)中,IPv6過渡/雙棧技術將導致部署大量的NAT。在IPv4 Internet中,將部署不同風格的NAT(CGN、A+P等),從而即使IPv4地址空間耗盡,也可以向新節(jié)點提供本地IPv4連接。在IPv6 Internet中,將部署IPv6/IPv4轉換器(如NAT64),以便IPv6-only節(jié)點可以與IPv4-only的節(jié)點進行通信。這與其他IPv6過渡/共存技術一起,必將至少在短期和近期內增加IPv4和IPv6互聯(lián)網(wǎng)的復雜性以及曾經(jīng)笨網(wǎng)絡所需的智能。
IPv6不僅不可能恢復Internet的端到端原則,而且NAT在短期內很可能會增加:事實證明,長期以來被視為“罪惡”的NAT已經(jīng)成為IPv6中所期望的特性和IPv6傳輸?shù)年P鍵組件。
