Назад | Перейти на главную страницу

Переход на IPv6 подразумевает отказ от NAT. Это хорошая вещь?

Это Канонический вопрос про IPv6 и NAT

Связанный:

Как работает разделение на подсети IPv6 и чем оно отличается от разделения на подсети IPv4?

Как я могу «окунуться» в динамическую сетевую адресацию IPv6?

IPv6 без нат, а как насчет смены провайдера?

Итак, наш интернет-провайдер недавно установил IPv6, и я изучал, что должен повлечь за собой переход, прежде чем вступать в бой.

Я заметил три очень важных вопроса:

Наш офисный маршрутизатор NAT (старый Linksys BEFSR41) не поддерживает IPv6. Как и любой новый маршрутизатор, AFAICT. В книге, которую я читаю об IPv6, говорится, что он в любом случае делает NAT «ненужным».
Если нам нужно просто избавиться от этого роутера и подключить все напрямую к Интернету, я начинаю паниковать. Ни за что, черт возьми, я выложу нашу базу данных биллинга (с большим количеством информации о кредитных картах!) В Интернет для всеобщего обозрения. Даже если бы я предложил установить на нем брандмауэр Windows, чтобы только 6 адресов могли иметь к нему доступ, я все равно покрылся бы холодным потом. Я не доверяю Windows, брандмауэру Windows или сети в целом, достаточно большой, чтобы даже удаленно работать с этим.
Есть несколько старых аппаратных устройств (например, принтеров), которые вообще не поддерживают IPv6. И, вероятно, длинный список проблем безопасности, которые датируются примерно 1998 годом. И, вероятно, нет никакого способа исправить их каким-либо образом. И никакого финансирования на новые принтеры.

Я слышал, что IPv6 и IPSEC должны каким-то образом обезопасить все это, но без физически разделенных сетей, которые делают эти устройства невидимыми для Интернета, я действительно не вижу как. Я тоже могу действительно Посмотри, как любая защита, которую я создаю, будет быстро преодолена. Я использую серверы в Интернете в течение многих лет, и я хорошо знаком с вещами, необходимыми для их защиты, но о размещении чего-то частного в сети, например нашей базы данных биллинга, никогда не могло быть и речи.

Чем заменить NAT, если у нас нет физически отдельных сетей?

networking ipv6

Прежде всего, нечего бояться использования публичного IP-адреса, если ваши устройства безопасности настроены правильно.

Чем заменить NAT, если у нас нет физически отдельных сетей?

То же самое, что мы физически разделяем с 1980-х годов: маршрутизаторы и межсетевые экраны. Одно большое повышение безопасности, которое вы получаете с NAT, заключается в том, что он вынуждает вас использовать конфигурацию запрета по умолчанию. Чтобы получить любой служение через это, вы должны явно пробивать дыры. Более изящные устройства даже позволяют применять к этим дырам списки управления доступом на основе IP, как брандмауэр. Наверное, потому, что на самом деле у них есть «Брандмауэр».

Правильно настроенный брандмауэр предоставляет точно такую же услугу, что и шлюз NAT. Шлюзы NAT часто используются, потому что они Полегче чтобы попасть в безопасную конфигурацию, чем большинство брандмауэров.

Я слышал, что IPv6 и IPSEC должны каким-то образом обезопасить все это, но без физически разделенных сетей, которые делают эти устройства невидимыми для Интернета, я действительно не вижу как.

Это заблуждение. Я работаю в университете, в котором выделено / 16 IPv4, и подавляющая часть наших IP-адресов приходится на это общедоступное выделение. Безусловно, все наши рабочие станции и принтеры для конечных пользователей. Наше потребление RFC1918 ограничено сетевыми устройствами и некоторыми конкретными серверами, для которых требуются такие адреса. Я не удивлюсь, если вы только что вздрогнули, потому что я определенно так и сделал, когда пришел в свой первый день и увидел на своем мониторе наклейку с моим IP-адресом.

И все же мы выживаем. Зачем? Потому что у нас есть внешний брандмауэр, настроенный для отказа по умолчанию с ограниченной пропускной способностью ICMP. То, что 140.160.123.45 теоретически маршрутизируемо, не означает, что вы можете добраться туда из любой точки Интернета. Именно для этого были созданы брандмауэры.

При правильных конфигурациях маршрутизатора разные подсети в нашем распределении могут быть полностью недоступны друг для друга. Это можно сделать в таблицах маршрутизаторов или межсетевых экранах. Это отдельная сеть, которая раньше удовлетворяла наших аудиторов по безопасности.

Нет никакого способа, черт возьми, я выложу нашу базу данных счетов (с большим количеством информации о кредитных картах!) В Интернет, чтобы все могли ее увидеть.

Наша база данных биллинга находится на общедоступном IPv4-адресе и существует на протяжении всего ее существования, но у нас есть доказательства, что отсюда вы не можете добраться до нее. Тот факт, что адрес находится в общедоступном маршрутизируемом списке v4, не означает, что его доставка гарантирована. Два брандмауэра между злом Интернета и фактическими портами базы данных отфильтровывают зло. Даже со своего стола, за первым брандмауэром, я не могу добраться до этой базы данных.

Информация о кредитной карте - это особый случай. Это регулируется стандартами PCI-DSS, и в стандартах прямо указано, что серверы, содержащие такие данные, должны находиться за шлюзом NAT.¹. У нас есть, и эти три сервера отражают общее использование нами адресов RFC1918. Это не добавляет никакой безопасности, просто уровень сложности, но нам нужно установить этот флажок для аудита.

Первоначальная идея «IPv6 делает NAT делом прошлого» была выдвинута еще до того, как Интернет-бум действительно стал массовым явлением. В 1995 году NAT был обходным путем для обхода небольшого выделения IP. В 2005 году он был закреплен во многих документах по передовой практике безопасности и, по крайней мере, в одном крупном стандарте (точнее, PCI-DSS). Единственное конкретное преимущество NAT состоит в том, что внешний объект, выполняющий разведку в сети, не знает, как выглядит IP-ландшафт за устройством NAT (хотя благодаря RFC1918 у них есть хорошее предположение), и на IPv4 без NAT (например, как моя работа) это не так. Это маленький шаг в глубокоэшелонированной защите, а не большой.

Замена адресов RFC1918 - это так называемые уникальные локальные адреса. Как и RFC1918, они не маршрутизируют, если одноранговые узлы специально не разрешают им маршрутизировать. В отличие от RFC1918, они (вероятно) глобально уникальны. Трансляторы IPv6-адресов, которые преобразуют ULA в глобальный IP-адрес, существуют в системе периметра более высокого диапазона, но определенно еще не в системе SOHO.

Вы можете прекрасно выжить с публичным IP-адресом. Просто имейте в виду, что «общедоступность» не гарантирует «достижимость», и все будет в порядке.

Обновление 2017 г.

За последние несколько месяцев Amazon aws добавляет поддержку IPv6. Это только что добавлено в их Amazon-vpc предложение и их реализация дают некоторые подсказки относительно ожидаемых крупномасштабных развертываний.

Вам предоставляется выделение / 56 (256 подсетей).
Выделение представляет собой подсеть с полной маршрутизацией.
Ожидается, что вы установите правила брандмауэра (группы безопасности) соответственно ограничительный.
Нет NAT, он даже не предлагается, поэтому весь исходящий трафик будет идти с реального IP-адреса экземпляра.

Чтобы добавить одно из преимуществ безопасности NAT, теперь они предлагают Выходной интернет-шлюз. Это дает одно преимущество, подобное NAT:

К подсетям, стоящим за ним, нельзя получить прямой доступ из Интернета.

Это обеспечивает уровень глубокой защиты на случай, если неправильно настроенное правило брандмауэра случайно разрешит входящий трафик.

Это предложение не преобразует внутренний адрес в единый адрес, как это делает NAT. Исходящий трафик по-прежнему будет иметь исходный IP-адрес экземпляра, открывшего соединение. Операторам межсетевых экранов, которые хотят занести в белый список ресурсы в VPC, лучше будет занести в белый список сетевые блоки, а не определенные IP-адреса.

Маршрутизируемый не всегда означает достижимый.

¹: Стандарты PCI-DSS были изменены в октябре 2010 года, заявление, требующее адресов RFC1918, было удалено, и его заменили «изоляция сети».

Наш офисный маршрутизатор NAT (старый Linksys BEFSR41) не поддерживает IPv6. Ни один новый роутер не

IPv6 поддерживается многими маршрутизаторами. Просто не так много дешевых, нацеленных на потребителей и SOHO. В худшем случае, просто используйте коробку с Linux или перепрограммируйте маршрутизатор с помощью dd-wrt или чего-то еще, чтобы получить поддержку IPv6. Вариантов много, наверное, стоит присмотреться.

Если нам нужно просто избавиться от этого роутера и подключить все напрямую к Интернету,

Ничто в переходе на IPv6 не предполагает, что вам следует избавиться от устройств защиты периметра, таких как маршрутизатор / брандмауэр. Маршрутизаторы и брандмауэры по-прежнему будут обязательным компонентом практически каждой сети.

Все маршрутизаторы NAT эффективно действуют как межсетевой экран с отслеживанием состояния. Нет ничего волшебного в использовании адресов RFC1918, которые так сильно вас защищают. Это бит состояния, который делает тяжелую работу. Правильно настроенный брандмауэр защитит вас так же хорошо, если вы используете реальные или частные адреса.

Единственная защита, которую вы получаете от адресов RFC1918, - это то, что позволяет людям избежать ошибок / лени в конфигурации вашего брандмауэра и при этом не быть настолько уязвимыми.

Есть несколько старых аппаратных устройств (например, принтеров), которые вообще не поддерживают IPv6.

Так? Маловероятно, что вам нужно будет сделать это доступным через Интернет, а во внутренней сети вы можете продолжать использовать IPv4 и IPv6 до тех пор, пока все ваши устройства не будут поддержаны или заменены.

Если использование нескольких протоколов невозможно, возможно, вам придется настроить какой-то шлюз / прокси.

IPSEC должны как-то обезопасить все это

IPSEC зашифровывает и проверяет подлинность пакетов. Это не имеет ничего общего с избавлением от пограничного устройства и в большей степени защищает передаваемые данные.

Да. NAT мертв. Были попытки ратифицировать стандарты NAT поверх IPv6, но ни одна из них так и не сдвинулась с мертвой точки.

Это фактически вызвало проблемы у провайдеров, которые пытаются соответствовать стандартам PCI-DSS, поскольку в стандарте фактически указано, что вы должны находиться за NAT.

Для меня это одни из самых замечательных новостей, которые я когда-либо слышал. Я ненавижу NAT, и еще больше ненавижу NAT операторского уровня.

NAT должен был быть лишь бандажным решением до тех пор, пока IPv6 не стал стандартом, но он прочно укоренился в интернет-сообществе.

В переходный период вы должны помнить, что IPv4 и IPv6, помимо схожего имени, совершенно разные. ¹. Таким образом, устройства с двойным стеком, ваш IPv4 будет преобразован через NAT, а ваш IPv6 - нет. Это почти как два совершенно разных устройства, просто упакованных в один кусок пластика.

Итак, как работает доступ в Интернет по IPv6? То, как Интернет работал до изобретения NAT. Ваш интернет-провайдер назначит вам диапазон IP-адресов (так же, как и сейчас, но обычно он назначает вам / 32, что означает, что вы получаете только один IP-адрес), но теперь в вашем диапазоне будут миллионы доступных IP-адресов. Вы можете заполнить эти IP-адреса по своему усмотрению (с автоматической настройкой или DHCPv6). Каждый из этих IP-адресов будет виден с любого другого компьютера в Интернете.

Звучит страшно, правда? Ваш контроллер домена, домашние мультимедийный ПК и ваш iPhone с скрытым тайником порнографий все будет с, доступными в Интернете ?! Ну нет. Вот для чего нужен брандмауэр. Еще одна замечательная особенность IPv6 заключается в том, что он силы брандмауэры из подхода «Разрешить все» (как и большинство домашних устройств) в подход «Запретить все», когда вы открываете службы для определенных IP-адресов. 99,999% домашних пользователей с радостью сохранят свои брандмауэры по умолчанию и будут полностью заблокированы, что означает, что не будет разрешен ни один незапрашиваемый трафик.

¹_{Хорошо, есть нечто большее, чем это, но они никоим образом не совместимы друг с другом, даже если они оба разрешают работу одних и тех же протоколов поверх}

Требование PCI-DSS для NAT, как известно, является театром безопасности, а не реальной безопасностью.

Последний стандарт PCI-DSS отказался от называния NAT абсолютным требованием. Многие организации прошли аудит PCI-DSS с IPv4 без NAT, показав межсетевые экраны с отслеживанием состояния как «эквивалентные реализации безопасности».

Существуют и другие документы театра безопасности, призывающие к NAT, но, поскольку он уничтожает контрольные журналы и затрудняет расследование / устранение инцидентов, более глубокое изучение NAT (с PAT или без него) может отрицательно сказаться на безопасности.

Хороший межсетевой экран с отслеживанием состояния без NAT - намного лучшее решение для NAT в мире IPv6. В IPv4 NAT - неизбежное зло, с которым нужно мириться ради сохранения адресов.

Пройдет (к сожалению) некоторое время, прежде чем вы сможете обойтись без сети с одним стеком только для IPv6. А до тех пор можно использовать двойной стек с предпочтением IPv6, когда он доступен.

Хотя сегодня большинство потребительских маршрутизаторов не поддерживают IPv6 со стандартными прошивками, многие могут поддерживать его со сторонними прошивками (например, Linksys WRT54G с dd-wrt и т. Д.). Кроме того, многие устройства бизнес-класса (Cisco, Juniper) поддерживают IPv6 «из коробки».

Важно не путать PAT (NAT многие-к-одному, как это часто бывает на потребительских маршрутизаторах) с другими формами NAT и межсетевым экраном без NAT; как только Интернет станет доступен только для IPv6, брандмауэры по-прежнему будут предотвращать доступ к внутренним службам. Точно так же система IPv4 с NAT «один к одному» не защищается автоматически; это работа политики брандмауэра.

По этому поводу существует большая путаница, поскольку сетевые администраторы видят NAT в одном свете, а малые предприятия и частные клиенты - в другом. Позвольте мне уточнить.

Статический NAT (иногда называемый NAT «один-к-одному») предлагает абсолютно никакой защиты для вашей частной сети или отдельного ПК. С точки зрения защиты изменение IP-адреса бессмысленно.

Динамический перегруженный NAT / PAT, как и большинство домашних шлюзов и точек доступа Wi-Fi, абсолютно помогает защитить вашу частную сеть и / или ваш компьютер. По замыслу таблица NAT в этих устройствах является таблицей состояний. Он отслеживает исходящие запросы и отображает их в таблице NAT - время ожидания соединений истекает через определенное время. Любые незатребованные входящие кадры, которые не соответствуют содержимому таблицы NAT, по умолчанию отбрасываются - маршрутизатор NAT не знает, куда их отправить в частной сети, поэтому он их отбрасывает. Таким образом, единственное устройство, которое вы оставляете уязвимым для взлома, - это ваш маршрутизатор. Поскольку большинство уязвимостей безопасности основано на Windows, наличие такого устройства между Интернетом и вашим ПК с Windows действительно помогает защитить вашу сеть. Возможно, это не была изначально задуманная функция, которая заключалась в экономии на общедоступных IP-адресах, но она выполняет свою работу. В качестве бонуса большинство этих устройств также имеют возможности брандмауэра, который по умолчанию часто блокирует запросы ICMP, что также помогает защитить сеть.

Учитывая приведенную выше информацию, удаление с помощью NAT при переходе на IPv6 может подвергнуть миллионы потребительских устройств и устройств малого бизнеса потенциальному взлому. Это практически не повлияет на корпоративные сети, поскольку они имеют профессионально управляемые брандмауэры на своей границе. Потребительские сети и сети малого бизнеса, возможно, больше не имеют маршрутизатора NAT на основе * nix между Интернетом и их ПК. Нет причин, по которым человек не мог переключиться на решение, использующее только брандмауэр - гораздо безопаснее, если оно развернуто правильно, но также выходит за рамки того, что 99% потребителей понимают, как это сделать. Динамический перегруженный NAT дает некоторую защиту, просто используя его - подключите домашний маршрутизатор, и вы будете защищены. Легко.

Тем не менее, нет никаких причин, по которым NAT нельзя использовать точно так же, как он используется в IPv4. Фактически, маршрутизатор может быть спроектирован так, чтобы иметь один IPv6-адрес на WAN-порту с частной сетью IPv4 за ним и NAT на нем (например). Это было бы простым решением для потребителей и частных лиц. Другой вариант - разместить все устройства с общедоступными IP-адресами IPv6 - тогда промежуточное устройство может действовать как устройство L2, но обеспечивать таблицу состояний, проверку пакетов и полностью работающий межсетевой экран. По сути, нет NAT, но все же блокируются нежелательные входящие кадры. Важно помнить, что вы не должны подключать свой компьютер напрямую к WAN-соединению без промежуточного устройства. Если, конечно, вы не хотите полагаться на брандмауэр Windows. . . и это другое обсуждение. Каждая сеть, даже домашняя, требует периферийного устройства, защищающего локальную сеть, в дополнение к использованию брандмауэра Windows.

При переходе на IPv6 возникнут некоторые проблемы, но нет никаких проблем, которые нельзя было бы решить достаточно легко. Придется ли вам отказаться от старого маршрутизатора IPv4 или домашнего шлюза? Возможно, но когда придет время, появятся новые недорогие решения. Надеюсь, многим устройствам потребуется просто прошивка. Можно ли было спроектировать IPv6 так, чтобы он лучше вписался в текущую архитектуру? Конечно, но это то, что есть, и это никуда не денется - так что вы можете выучить это, прожить это, полюбить это.

Если NAT выживает в мире IPv6, скорее всего, это будет NAT 1: 1. Форма NAT, никогда не встречающаяся в пространстве IPv4. Что такое NAT 1: 1? Это перевод глобального адреса в локальный адрес 1: 1. Эквивалент IPv4 будет переводить все соединения с 1.1.1.2 только на 10.1.1.2 и так далее для всего пространства 1.0.0.0/8. Версия IPv6 будет преобразовывать глобальный адрес в уникальный локальный адрес.

Повышенная безопасность может быть обеспечена за счет частой ротации сопоставления адресов, которые вам не нужны (например, внутренних пользователей офиса, просматривающих Facebook). Внутри ваши номера ULA останутся такими же, поэтому ваш DNS с разделенным горизонтом продолжит работать нормально, но внешние клиенты никогда не будут использовать предсказуемый порт.

Но на самом деле это небольшая улучшенная защита от создаваемых хлопот. Сканирование подсетей IPv6 - действительно большая задача, и она невозможна без некоторого анализа того, как IP-адреса назначаются в этих подсетях (метод генерации MAC-адресов? Случайный метод? Статическое назначение удобочитаемых адресов?).

В большинстве случаев происходит то, что клиенты за корпоративным брандмауэром получат глобальный адрес, возможно, ULA, а брандмауэр периметра будет настроен на запрет всех входящих подключений любого типа к этим адресам. Для всех намерений и целей эти адреса недоступны извне. Как только внутренний клиент инициирует соединение, пакеты будут пропускаться через это соединение. Необходимость изменить IP-адрес на совершенно другой решается путем принуждения злоумышленника к просмотру 2 ^ 64 возможных адресов в этой подсети.

RFC 4864 описывает защиту локальной сети IPv6., набор подходов для обеспечения ощутимых преимуществ NAT в среде IPv6 без фактического обращения к NAT.

В этом документе описан ряд методов, которые могут быть объединены на сайте IPv6 для защиты целостности его сетевой архитектуры. Эти методы, известные под общим названием Защита локальной сети, сохраняют концепцию четко определенной границы между «внутренней» и «внешней» частной сетью и позволяют использовать брандмауэр, скрытие топологии и конфиденциальность. Однако, поскольку они сохраняют прозрачность адресов там, где это необходимо, они достигают этих целей без недостатка трансляции адресов. Таким образом, защита локальной сети в IPv6 может обеспечить преимущества трансляции сетевых адресов IPv4 без соответствующих недостатков.

Сначала в нем излагаются предполагаемые преимущества NAT (и разоблачаются их, когда это необходимо), а затем описываются функции IPv6, которые можно использовать для обеспечения тех же преимуществ. Он также содержит примечания по реализации и тематические исследования.

Хотя здесь слишком много времени для повторной печати, обсуждаются следующие преимущества:

Простой шлюз между "внутренним" и "внешним"
Брандмауэр с отслеживанием состояния
Отслеживание пользователей / приложений
Скрытие конфиденциальности и топологии
Независимый контроль адресации в частной сети
Множественная адресация / перенумерация

Это в значительной степени охватывает все сценарии, в которых может потребоваться NAT, и предлагает решения для их реализации в IPv6 без NAT.

Вот некоторые из технологий, которые вы будете использовать:

Уникальные локальные адреса: предпочитайте их во внутренней сети, чтобы внутренняя связь оставалась внутренней и чтобы внутренняя связь могла продолжаться даже в случае сбоя у интернет-провайдера.
Расширения конфиденциальности IPv6 с коротким временем жизни адресов и неочевидными идентификаторами интерфейсов: они помогают предотвратить атаки на отдельные хосты и сканирование подсети.
IGP, Mobile IPv6 или VLAN могут использоваться для скрытия топологии внутренней сети.
Наряду с ULA, DHCP-PD от провайдера упрощает перенумерацию / множественную адресацию, чем с IPv4.

(См. RFC для полной информации; опять же, это слишком долго, чтобы перепечатывать или даже брать важные выдержки.)

Для более общего обсуждения безопасности перехода IPv6 см. RFC 4942.

Вид. На самом деле существуют разные «типы» адресов IPv6. Ближайший к RFC 1918 (10/8, 172.16 / 12, 192.168 / 16) называется «Уникальный локальный адрес» и определен в RFC 4193:

http://en.wikipedia.org/wiki/Unique_local_address

Итак, вы начинаете с fd00 :: / 8, затем добавляете 40-битную строку (используя предопределенный алгоритм в RFC!), И вы получаете псевдослучайный префикс / 48, который должен быть глобально уникальным. Вы можете назначить остальную часть адресного пространства, как хотите.

Вам также следует заблокировать fd00 :: / 7 (fc00 :: / 8 и fd00 :: / 8) на вашем (IPv6) маршрутизаторе за пределами вашей организации - отсюда и слово «local» в имени адреса. Эти адреса, находясь в глобальном адресном пространстве, не должны быть доступны для всего мира, только внутри вашей «организации».

Если вашим серверам PCI-DSS необходим IPv6 для подключения к другим внутренним хостам IPv6, вам следует сгенерировать префикс ULA для своей компании и использовать его для этой цели. Вы можете использовать автоконфигурацию IPv6, как и любой другой префикс, если хотите.

Учитывая, что IPv6 был разработан таким образом, чтобы хосты могли иметь несколько адресов, машина может иметь - в дополнение к ULA - еще и глобально маршрутизируемый адрес. Таким образом, веб-сервер, который должен взаимодействовать как с внешним миром, так и с внутренними машинами, может иметь как префиксный адрес, назначенный провайдером, так и ваш префикс ULA.

Если вам нужна функциональность, подобная NAT, вы также можете взглянуть на NAT66, но в целом я бы построил архитектуру вокруг ULA. Если у вас есть дополнительные вопросы, вы можете проверить список рассылки "ipv6-ops".

ИМХО: нет.

Есть еще несколько мест, где SNAT / DNAT может быть полезен. Например, некоторые серверы были перемещены в другую сеть, но мы не хотим / не можем менять IP-адрес приложения.

Я не видел однозначного ответа о том, как потеря NAT (если он действительно исчезнет) с IPv6 повлияет на конфиденциальность пользователей.

Когда IP-адреса отдельных устройств являются общедоступными, веб-службам будет намного проще отслеживать (собирать, хранить, агрегировать во времени, пространстве и сайтах и обеспечивать множество вторичных применений) ваших путешествий по Интернету с различных устройств. Если только… Интернет-провайдеры, маршрутизаторы и другое оборудование позволяют легко и просто иметь динамические адреса IPv6, которые можно часто менять для каждого устройства.

Конечно, независимо от того, что у нас по-прежнему будет проблема публичности статических MAC-адресов Wi-Fi, но это уже другая история ...

Надеюсь, NAT уйдет навсегда. Это полезно только тогда, когда у вас мало IP-адресов и нет функций безопасности, которые не предоставляются лучше, дешевле и легче управляются брандмауэром с отслеживанием состояния.

Поскольку IPv6 = отсутствие дефицита, это означает, что мы можем избавить мир от уродливого взлома NAT.

Политика и базовая деловая практика, скорее всего, будут способствовать существованию NAT. Множество IPv6-адресов означает, что у интернет-провайдеров возникнет соблазн взимать плату за каждое устройство или ограничивать соединения только ограниченным количеством устройств. См. Эту недавнюю статью на /. например:

http://news.slashdot.org/story/11/03/17/0157239/British-ISPs-Could-Charge-Per-Device

Существует множество схем для поддержки NAT в сценарии перехода с V4 на V6. Однако, если у вас есть сеть, полностью использующая IPV6, и вы подключаетесь к вышестоящему провайдеру IPV6, NAT не является частью нового мирового порядка, за исключением того, что вы можете туннелировать между сетями V4 через сети V6.

У Cisco есть много общей информации о сценариях 4to6, миграции и туннелировании.

http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-nat_trnsln_ps6350_TSD_Products_Configuration_Guide_Chapter.html

http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-tunnel.html

Также в Википедии:

https://secure.wikimedia.org/wikipedia/en/wiki/IPv6_transition_mechanisms

К вашему сведению, любой интересующийся может использовать NAT / NAPT с IPV6. Все операционные системы BSD, в которых есть PF, поддерживают NAT66. Прекрасно работает. Из блога, который мы использовали:

ipv6 nat (nat66) от FreeBSD pf

Хотя nat66 все еще находится в стадии разработки, но FreeBSD pf уже давно поддерживает его.

(отредактируйте pf.conf и вставьте следующие коды)

v6_wan_if="your-v6-wan-interface-name"

v6_wan_ip="your-v6-wan-ip-address"

no nat on $v6_wan_if inet6 from $v6_wan_ip to any

nat on $v6_wan_if inet6 from any to any -> $v6_wan_ip

У вас все настроено!

Отлично работает для нас, людей, которые годами использовали squid с одним IP-адресом. С IPv6 NAT я могу получить 2 ^ 120 частных адресов (локальных), которые включают 2 ^ 56 подсетей с моими подсетями 5/64. Это означает, что я должен быть в 100 миллиардов раз умнее любого другого гуру IPv6, потому что у меня больше адресов.

На самом деле то, что у меня больше адресов (или, возможно, я использовал IPv6 дольше, чем у вас), на самом деле не делает IPv6 (или меня по той же проблеме) лучше. Однако это делает IPv6 более сложным, когда вместо PAT требуется брандмауэр, а NAT больше не является требованием, но является вариантом. Цель брандмауэра - разрешить все исходящие соединения и сохранить состояние, но заблокировать инициированные входящие соединения.

Что касается NAPT (NAT с PAT), потребуется некоторое время, чтобы вывести людей из строя. Например, пока мы не убедим вашего прадеда настроить свой собственный брандмауэр IPv6 без локальной адресации (частные адреса) и без помощи гуру, было бы неплохо поиграть с возможной идеей NAT, поскольку это будет все, что он знает.

Недавние предложения, выдвинутые для ipv6, предполагают, что инженеры, работающие над новой технологией, будут включать NAT в ipv6 по указанной причине: NAT предлагает дополнительный уровень безопасности.

Документация находится на веб-сайте ipv6.com, поэтому кажется, что все эти ответы о том, что NAT не обеспечивает безопасности, выглядят немного смущенными.

Я понимаю, что в какой-то момент (об этом можно только догадываться) региональные IPv4-адреса неизбежно закончатся. Я согласен с тем, что IPv6 имеет серьезные недостатки для пользователей. Проблема NAT чрезвычайно важна, поскольку он по своей сути обеспечивает безопасность, избыточность, конфиденциальность и позволяет пользователям без ограничений подключать почти столько устройств, сколько они хотят. Да, брандмауэр является золотым стандартом против незапрошенного сетевого вторжения, но NAT не только добавляет еще один уровень защиты, он также обычно обеспечивает безопасный дизайн по умолчанию, независимо от конфигурации брандмауэра или знания конечного пользователя о нем, независимо от того, как вы его определяете IPv4 с NAT и брандмауэром по умолчанию более безопасен, чем IPv6 только с брандмауэром. Другой проблемой является конфиденциальность, наличие маршрутизируемого в Интернете адреса на каждом устройстве откроет пользователям все виды потенциальных нарушений конфиденциальности, сбора личной информации и отслеживания способами, которые сегодня вряд ли можно представить в такой массе. Я также считаю, что без Ната мы можем получить дополнительные расходы и контроль через ИСП. Провайдеры могут начать взимать плату на каждом устройстве или на уровне использования пользователя, как мы уже видели с USB-модемом, это значительно уменьшит свободу конечного пользователя по открытому подключению любого устройства, которое они сочтут подходящим для этой линии. На данный момент лишь немногие интернет-провайдеры США предлагают IPv6 в какой-либо форме, и я чувствую, что нетехнические предприятия будут медленно переходить на него из-за дополнительных затрат с небольшой прибылью или без нее. Конечно, IPv6 имеет несколько преимуществ без NAT, но с дополнительными сложностями IPv6, не говоря уже о доступности приложений и сервисов, и многих других проблемах, IPv4 продлится еще как минимум десять лет, если не дольше.