网络地址转换无法取代迁移到IPv6的必要性

　　曾几何时，任何人都可以得到一个静态互联网协议（IP）C/24类地址。这意味着获得了256个地址，不过由于实际上0.0和0.255是不能使用的，还有一个地址被分配给网关，所以能够使用的数目是253。但是，对于大多数小企业来说，这已经是绰绰有余了。真是此一时，彼一时啊。

　　现在，ISP们不会轻易将C/24类地址分配给任何人。相反，如果确实需要的话，用户就需要为此付出额外费用。对于今天的SOHO一族来说，默认选择似乎是一个C/30类地址。它提供了四个主机地址，只能有一个被分配到实际设备上。是的，包括计算机在内的所有网络设备都可以利用网络地址转换（NAT）来连接到互联网上；但NAT的实际效果非常有限，就如同企图利用胶带来性修复泄露的煤气罐。

　　当然，至少今天它还处在正常工作中，但是，当明天需要更多地址的时间又应该怎么办？从长远来看，正如美洲互联网号码注册管理机构（ARIN）总裁兼执行官约翰·柯伦所说的：“尽管对于单独的一家企业来说，NAT可以正常工作，但ISP们都知道，在IPv4网络下NAT的规模不可能支持用户的增长。这就是他们开始选择利用IPV6连接新客户的原因。尽管在过渡到IPV6的时间，一些运营商级的NAT（IPV6和IPv4之间）将投入使用，但从互联网长期稳定发展的角度来考虑，我们需要将重点放在让公众站点直接支持IPV6协议访问上。”

　　IPv6是“Internet Protocol Version 6”的缩写，其中Internet Protocol译为“互联网协议”。它是IETF设计的用于替代现行版本IP协议-IPv4-的下一代IP协议。目前的因特网所采用的协议族是TCP/IP协议族。IP是TCP/IP协议族中网络层的协议，是TCP/IP协议族的协议。IPv6正处在不断发展和完善的过程中，它在不久的将来将取代目前被广泛使用的IPv4。每个人将拥有更多IP地址。

　　目前我们使用的第二代互联网IPv4技术，技术属于美国。它的问题是网络地址资源有限，从理论上讲，编址1600万个网络、40亿台主机。但采用A、B、C三类编址方式后，可用的网络地址和主机地址的数目大打折扣，以至目前的IP地址近乎枯竭。其中北美占有3/4，约30亿个，而人口多的亚洲只有不到4亿个，中国截止2010年6月IPv4地址数量达到2.5亿，落后于4.2亿网民的需求。地址不足，严重地制约了我国及其他国家互联网的应用和发展。 　　一方面是地址资源数量的限制，另一方面是随着电子技术及网络技术的发展，计算机网络将进入人们的日常生活，可能身边的每一样东西都需要连入因特网。在这样的环境下，IPv6应运而生。单从数字上来说，IPv6所拥有的地址容量是IPv4的约8×10^28倍，达到2^128（算上全零的）个。这不但解决了网络地址资源数量的问题，同时也为除电脑外的设备连入互联网在数量限制上扫清了障碍。

　　但是与IPv4一样，IPv6一样会造成大量的IP地址浪费。准确的说，使用IPv6的网络并没有2^128个能充分利用的地址。首先，要实现IP地址的自动配置，局域网所使用的子网的前缀必须等于64，但是很少有一个局域网能容纳2^64个网络终端；其次，由于IPv6的地址分配必须遵循聚类的原则，地址的浪费在所难免。

　　但是，如果说IPv4实现的只是人机对话，而IPv6则扩展到任意事物之间的对话，它不仅可以为人类服务，还将服务于众多硬件设备，如家用电器、传感器、远程照相机、汽车等，它将是无时不在，无处不在的深入社会每个角落的真正的宽带网。而且它所带来的经济效益将非常巨大。

　　当然，IPv6并非十全十美、一劳永逸，不可能解决所有问题。IPv6只能在发展中不断完善，也不可能在一夜之间发生，过渡需要时间和成本，但从长远看，IPv6有利于互联网的持续和长久发展。 目前，国际互联网组织已经决定成立两个专门工作组，制定相应的国际标准。

　　网络地址转换（NAT,Network Address Translation）属接入广域网（WAN）技术，是一种将私有（保留）地址转化为合法IP地址的转换技术，它被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因很简单，NAT不仅完美地解决了lP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。

　　为什么NAT不能满足未来的需求，还有其它方面的原因。来自飓风电气公司的IPV6推广者欧文·德朗告诉我：“对于普通用户来说，作为一站式解决方案的NAT是有效的，并且我们已经开发出支持更多地址空间的协议。实际上，它已经在耗尽网络地址之前给我们提供了10到12年非常有价值的缓冲期。不过，不幸的是，这导致大量认为该技术就是‘救世主’的神话出现。我认为，现在是时间破除围绕在NAT上的光环，阐述事实了。”

　　“首先，”德朗继续指出，“NAT带来了一些问题。其中的许多问题不仅终用户没有看见，甚至对于部署NAT的网络管理员来说都是无法获知的。但是，如果你询问任何不得不开发在NAT上工作软件的厂商的话，很快就会发现，它让软件变得更加昂贵、复杂，甚至大于必须的部分。”

　　此外，“NAT使得用户很难为位于范围内的机器提供外部服务。尽管我知道有人把这种限制当作优点，但我还是坚持自己的立场，就是在大多数情况下，机器的拥有者在决定是否选择使用来自互联网的服务时不应该遇到问题。并且，在出现问题的情况下，一个的防火墙也可以有效解决，而并不需要NAT。”

　　至于有些人说的NAT可以提高安全性也经不起认真分析。“NAT和安全没有任何关系。”德朗指出：“很多人认为的安全性获得提高是因为，NAT在数据包转换的时间可以进行监测并对回复流量进行反转处理。所谓的NAT检测失效可以提高安全性的说法实际上没有任何依据。只要防火墙配置合理的话，都可以处理检测失效的情况。”

　　“因此，他进一步指出：“NAT的作用有且仅有一个，也就是提供到互联网上的连接。它容许位于通常是一个的有限数目网络地址后的大量用户实现对网络的访问。不过，这种做法仅仅有利于终用户。对于服务器、路由器和其它需要在范围内确认网络身份的基础设施来说，并没有带来任何帮助。”

　　并且，这还会导致真正问题的出现。“将目前运行的NAT扩展到运营商级，可能会导致几个问题的出现。首先就是：根据法律执行通信协助法（CALEA）的规定，运营商级NAT网关应该配备巨型磁盘存储设备。（对于大型供应商来说，这可能意味着一天1PB的数据量，持续的时间为7年，数目之巨大就可想而知了。）”

　　为什么数据量会这么大？德朗解释说：“现在，为了确定一个用户的情况，你使用针对该终网站网关的公共IP地址就可以了。（家用/商务粒度通常已经被认为是足够了）。然而，一旦运营商级NAT投入了使用，完成同样的任务就需要完整的状态表记录和时间的详细信息。由于需要时间戳，以便确定有问题的用户，因此，还需要更多的过程信息以便进行调查。”

　　当然，这个层面的NAT部署费用也相当高昂，并且性价比很低。更糟的是，“运营商级NAT将破坏很多现有的普通NAT穿越解决方案（让用户可以使用就象互联网语音协议之类在NAT中无法正常工作软件的解决方案），导致在现有工作环境下的应用在未来环境中出现问题。”

　　总之，德朗给出了结论，“确实，在利用双栈更换和IPv4迁移的过程中存在一些未知数，并且面临其它方面的挑战。但是，在运营商级NAT部署过程存在的未知数更大，面临的挑战更多。”

　　在这里，我补充一下，随着IP地址数量的进一步减少，终用户将很快发现在简单连接和网络主机方面ISP价格的提高。利用NAT实现预定目标是可行的，但是，终付出的代价会更多。　IPv4和NAT的日子已经屈指可数了。