科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道路由交换NAT无法取代迁移到IPv6的必要性

NAT无法取代迁移到IPv6的必要性

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

天真的网络用户们还在以为网络地址转换(NAT)可以让自己避免迁移到IPv6协议下的麻烦。但是,非常抱歉,这种想法是完全错误的,NAT仅仅是一个效果非常有限的小补丁。

作者:ZDNET网络频道 来源:ZDNET网络频道【原创】 2011年1月12日

关键字: IPv6 NAT

  • 评论
  • 分享微博
  • 分享邮件

  曾几何时,任何人都可以得到一个静态互联网协议(IP)C/24类地址。这意味着获得了256个地址,不过由于实际上0.0和0.255是不能使用的,还有一个地址被分配给网关,所以能够使用的数目是253。但是,对于大多数小企业来说,这已经是绰绰有余了。真是此一时,彼一时啊。

  现在,ISP们不会轻易将C/24类地址分配给任何人。相反,如果确实需要的话,用户就需要为此付出额外费用。对于今天的SOHO一族来说,默认选择似乎是一个C/30类地址。它提供了四个主机地址,只能有一个被分配到实际设备上。是的,包括计算机在内的所有网络设备都可以利用网络地址转换(NAT)来连接到互联网上;但NAT的实际效果非常有限,就如同企图利用胶带来永久性修复泄露的煤气罐。

  当然,至少今天它还处在正常工作中,但是,当明天需要更多地址的时间又应该怎么办?从长远来看,正如美洲互联网号码注册管理机构(ARIN)总裁兼首席执行官约翰·柯伦所说的:“尽管对于单独的一家企业来说,NAT可以正常工作,但ISP们都知道,在IPv4网络下NAT的规模不可能支持用户的增长。这就是他们开始选择利用IPv6连接新客户的原因。尽管在过渡到IPv6的时间,一些运营商级的NAT(IPv6和IPv4之间)将投入使用,但从互联网长期稳定发展的角度来考虑,我们需要将重点放在让公众站点直接支持IPv6协议访问上。”

  为什么NAT不能满足未来的需求,还有其它方面的原因。来自飓风电气公司的IPv6推广者欧文·德朗告诉我:“对于普通用户来说,作为一站式解决方案的NAT是有效的,并且我们已经开发出支持更多地址空间的协议。实际上,它已经在耗尽网络地址之前给我们提供了10到12年非常有价值的缓冲期。不过,不幸的是,这导致大量认为该技术就是‘救世主’的神话出现。我认为,现在是时间破除围绕在NAT上的光环,阐述事实了。”

  “首先,”德朗继续指出,“NAT带来了一些问题。其中的许多问题不仅最终用户没有看见,甚至对于部署NAT的网络管理员来说都是无法获知的。但是,如果你询问任何不得不开发在NAT上工作软件的厂商的话,很快就会发现,它让软件变得更加昂贵、复杂,甚至大于必须的部分。”

  此外,“NAT使得用户很难为位于范围内的机器提供外部服务。尽管我知道有人把这种限制当作优点,但我还是坚持自己的立场,就是在大多数情况下,机器的拥有者在决定是否选择使用来自互联网的服务时不应该遇到问题。并且,在出现问题的情况下,一个优秀的防火墙也可以有效解决,而并不需要NAT。”

  至于有些人说的NAT可以提高安全性也经不起认真分析。“NAT和安全没有任何关系。”德朗指出:“很多人认为的安全性获得提高是因为,NAT在数据包转换的时间可以进行监测并对回复流量进行反转处理。所谓的NAT检测失效可以提高安全性的说法实际上没有任何依据。只要防火墙配置合理的话,都可以处理检测失效的情况。”

  “因此,他进一步指出:“NAT的核心作用有且仅有一个,也就是提供到互联网上的连接。它容许位于通常是一个的有限数目网络地址后的大量用户实现对网络的访问。不过,这种做法仅仅有利于最终用户。对于服务器、路由器和其它需要在全球范围内确认网络身份的基础设施来说,并没有带来任何帮助。”

  并且,这还会导致真正问题的出现。“将目前运行的NAT扩展到运营商级,可能会导致几个问题的出现。首先就是:根据法律执行通信协助法(CALEA)的规定,运营商级NAT网关应该配备巨型磁盘存储设备。(对于大型供应商来说,这可能意味着一天1PB的数据量,持续的时间为7年,数目之巨大就可想而知了。)”

  为什么数据量会这么大?德朗解释说:“现在,为了确定一个用户的情况,你使用针对该最终网站网关的公共IP地址就可以了。(家用/商务粒度通常已经被认为是足够了)。然而,一旦运营商级NAT投入了使用,完成同样的任务就需要完整的状态表记录和时间的详细信息。由于需要时间戳,以便确定有问题的用户,因此,还需要更多的过程信息以便进行调查。”

  当然,这个层面的NAT部署费用也相当高昂,并且性价比很低。更糟的是,“运营商级NAT将破坏很多现有的普通NAT穿越解决方案(让用户可以使用就象互联网语音协议之类在NAT中无法正常工作软件的解决方案),导致在现有工作环境下的应用在未来环境中出现问题。”

  总之,德朗给出了结论,“确实,在利用双栈更换和IPv4迁移的过程中存在一些未知数,并且面临其它方面的挑战。但是,在运营商级NAT部署过程存在的未知数更大,面临的挑战更多。”

  在这里,我补充一下,随着IP地址数量的进一步减少,最终用户将很快发现在简单连接和网络主机方面ISP价格的提高。利用NAT实现预定目标是可行的,但是,最终付出的代价会更多。 IPv4和NAT的日子已经屈指可数了。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章