为什么IPv6不能摆脱NAT网络地址转换？

关于IPv6（Inte.NET协议版本6）的最常见的神话之一是它将恢复所谓的端到端互联网原则。本文解释了当前企业WAN中当前无处不在的网络地址转换（NAT）如何使这种情况变得非常不可能。

互联网的核心设计原则之一通常被称为端到端原则，并赞成一个笨网络，大部分信息都驻留在主机上。该原理导致一种体系结构，其中网络简单地将数据报从源主机转发到目的地主机（或主机集），而无需对转发的数据报进行进一步的解释。

随着简单的互联网架构的发展，网络设备的激增违反了这一原则。主要的例子是网络地址转换（NAT）和端口地址转换（PAT-NAT的扩展）。

NAT本质上是为了保护稀缺的IPv4网络地址（通过在多个主机之间共享网络地址）而引入的。 例如，NAT是用于通过单个IPv4地址将整个家庭网络连接到因特网的事实标准，通常由Internet服务提供商（ISP）分配。NAT通过重写转发数据报的IPv4地址和传输端口号，来违反端到端原则。NAT还阻止从外部网络中的主机连接到NAT后面的主机的直接通信（因为NAT通常要求从内部网络内发起通信）。NAT网络地址转换被指出会增加网络的脆弱性，因为NAT的故障通常会影响NAT后面的整个网络。此外，NAT对受益于端到端连接的应用程序（例如对等网络）提出了挑战。

虽然NAT的引入主要是由于需要共享稀缺的IPv4网络地址，但使用NAT实现了许多其他好处：

• NAT减少了主机暴露。

• 他们提供主机隐私/伪装。

• NAT可以隐藏网络拓扑。

• 它们使企业的IP地址独立于ISP。

   

特别是地址独立性是导致具有大量公共IPv4地址的许多组织部署NAT的主要原因。

然而，由于NAT被广泛地认为其唯一作用是共享稀缺的IPv4地址，通常假设IPv6（因为有数量巨大的真实IP地址）消除了NAT的需要和动机，因此IPv6的部署将因此而恢复 “互联网的端到端原则”。

IPv6的神话：恢复了互联网的端到端原则

仔细分析网络地址转换（NAT）在当前Internet体系结构中所扮演的角色以及当前部署IPv6的策略，可以帮助消除这种已经确立的 “IPv6恢复互联网端到端原则” 的神话。

首先，如上所述，NAT提供除了共享稀缺网络地址之外的有价值的特征，例如地址独立性。NAT允许组织在组织网络内使用所谓的私有地址空间，因此在切换ISP时不需要重新编号内部IP地址。这可能是IPv6版NAT（称为NAT66）是最受欢迎的IPv6功能之一的原因之一。

其次，因为人们倾向于抵制变化（厌恶变化的心理）及其他原因，很有可能原有的IPv4网络的安全架构将被用于新的IPv6网络，因此，典型的IPv6子网将受到只允许返回业务的有状态防火墙保护（即，IPv6子网仅允许从网络内部发起的通信实例）。

最后，无论是IPv4和IPv6互联网中，IPv6过渡/双栈技术将导致部署大量的NAT。在IPv4 Internet中，将部署不同风格的NAT（CGN、A+P等），从而即使IPv4地址空间耗尽，也可以向新节点提供本地IPv4连接。在IPv6 Internet中，将部署IPv6/IPv4转换器（如NAT64），以便IPv6-only节点可以与IPv4-only的节点进行通信。这与其他IPv6过渡/共存技术一起，必将至少在短期和近期内增加IPv4和IPv6互联网的复杂性以及曾经笨网络所需的智能。

IPv6不仅不可能恢复Internet的端到端原则，而且NAT在短期内很可能会增加：事实证明，长期以来被视为“罪恶”的NAT已经成为IPv6中所期望的特性和IPv6传输的关键组件。