关于IPv6(Inte.NET协议版本6)的最常见的神话之一是它将恢复所谓的端到端互联网原则。本文解释了当前企业WAN中当前无处不在的网络地址转换(NAT)如何使这种情况变得非常不可能。
互联网的核心设计原则之一通常被称为端到端原则,并赞成一个笨网络,大部分信息都驻留在主机上。该原理导致一种体系结构,其中网络简单地将数据报从源主机转发到目的地主机(或主机集),而无需对转发的数据报进行进一步的解释。
随着简单的互联网架构的发展,网络设备的激增违反了这一原则。主要的例子是网络地址转换(NAT)和端口地址转换(PAT-NAT的扩展)。
NAT本质上是为了保护稀缺的IPv4网络地址(通过在多个主机之间共享网络地址)而引入的。 例如,NAT是用于通过单个IPv4地址将整个家庭网络连接到因特网的事实标准,通常由Internet服务提供商(ISP)分配。NAT通过重写转发数据报的IPv4地址和传输端口号,来违反端到端原则。NAT还阻止从外部网络中的主机连接到NAT后面的主机的直接通信(因为NAT通常要求从内部网络内发起通信)。NAT网络地址转换被指出会增加网络的脆弱性,因为NAT的故障通常会影响NAT后面的整个网络。此外,NAT对受益于端到端连接的应用程序(例如对等网络)提出了挑战。
虽然NAT的引入主要是由于需要共享稀缺的IPv4网络地址,但使用NAT实现了许多其他好处:
NAT减少了主机暴露。
他们提供主机隐私/伪装。
NAT可以隐藏网络拓扑。
它们使企业的IP地址独立于ISP。
特别是地址独立性是导致具有大量公共IPv4地址的许多组织部署NAT的主要原因。
然而,由于NAT被广泛地认为其唯一作用是共享稀缺的IPv4地址,通常假设IPv6(因为有数量巨大的真实IP地址)消除了NAT的需要和动机,因此IPv6的部署将因此而恢复 “互联网的端到端原则”。
IPv6的神话:恢复了互联网的端到端原则
仔细分析网络地址转换(NAT)在当前Internet体系结构中所扮演的角色以及当前部署IPv6的策略,可以帮助消除这种已经确立的 “IPv6恢复互联网端到端原则” 的神话。
首先,如上所述,NAT提供除了共享稀缺网络地址之外的有价值的特征,例如地址独立性。NAT允许组织在组织网络内使用所谓的私有地址空间,因此在切换ISP时不需要重新编号内部IP地址。这可能是IPv6版NAT(称为NAT66)是最受欢迎的IPv6功能之一的原因之一。
其次,因为人们倾向于抵制变化(厌恶变化的心理)及其他原因,很有可能原有的IPv4网络的安全架构将被用于新的IPv6网络,因此,典型的IPv6子网将受到只允许返回业务的有状态防火墙保护(即,IPv6子网仅允许从网络内部发起的通信实例)。
最后,无论是IPv4和IPv6互联网中,IPv6过渡/双栈技术将导致部署大量的NAT。在IPv4 Internet中,将部署不同风格的NAT(CGN、A+P等),从而即使IPv4地址空间耗尽,也可以向新节点提供本地IPv4连接。在IPv6 Internet中,将部署IPv6/IPv4转换器(如NAT64),以便IPv6-only节点可以与IPv4-only的节点进行通信。这与其他IPv6过渡/共存技术一起,必将至少在短期和近期内增加IPv4和IPv6互联网的复杂性以及曾经笨网络所需的智能。
IPv6不仅不可能恢复Internet的端到端原则,而且NAT在短期内很可能会增加:事实证明,长期以来被视为“罪恶”的NAT已经成为IPv6中所期望的特性和IPv6传输的关键组件。