由于池下降在可用的IPv4地址中,服务提供商有动力寻找将其用户通信转换为IPv6的方法。如果他们能做到这一点,他们就能给他们的订户提供无限数量的IPv6地址。然而,绝大多数内容和服务仍然只使用ipv4。因此,需要配置IPv6报文与IPv4报文之间的转换方法,以保证IPv6转换的顺利进行。
虽然双栈是过渡到隧道或转换的首选机制,但双栈的问题是节点同时需要IPv4和IPv6地址。如果没有IPv4地址呢?那么,你必须部署一个只支持ipv6的系统。然而,我们现在面临的问题是,绝大多数内容仍然是ipv4。这些新的互联网服务或用户是如何与传统IPv4世界的其他部分通信的?
这个问题的中心是IPv6最初被认为不需要任何形式的转换,如端口地址转换(PAT),因为意图是每个系统都有一个公共IP地址。IPv6被设计成有许多过渡机制,因为“无旗日”的现实。IPv6的纯粹主义者强烈反对任何形式的NAT,而安全从业者则大声疾呼NAT不是一种安全策略。无论如何,网络地址转换器-协议转换器(NAT-PT)被开发出来(RFC 2766).有一些实现NAT-PT但NAT-PT也有记录在案的问题。这些问题包括DNS转换、安全性、多播、碎片化、可伸缩性,以及NAT干扰应用程序的事实,这些应用程序的地址嵌入在有效负载或安全机制(如IPsec)中。因此,IETFv6ops工作组于2007年7月与RFC 4966.
随着时间的推移,我们了解了更多关于现实的IPv6过渡策略。很明显,整个行业在实现IPv6上已经等待了太长时间,现在IPv4地址的稀缺正成为一个巨大的问题。IETF意识到某种形式的翻译是必要的,如果IETF没有规定最好的方法,那么制造商就会想出许多执行任务的非标准方法。最好是尝试解决这个问题并起草一个标准,尽管没有人喜欢这些妥协。2009年,IETF的行为已经成立了工作组快速运动确定对大多数人有吸引力的问题的解决方案。
与翻译相关的问题深深植根于服务提供商网络架构。服务提供商意识到,为IPv6连接收取额外费用是困难的,部署IPv6存在挑战和成本。服务提供商希望有更低成本的选择来部署IPv6,这可能不涉及在他们的网络中运行双协议。像6rd和DS-Lite这样的概念也与翻译的概念交织在一起。如果你对一些背景信息感兴趣CGN和LSN和ds liteJeff Doyle写了几篇非常好的文章。Carolyn Duffy Marsan也写了一篇关于IPv6和运营商级NAT.正当这场辩论愈演愈烈之时,一年前有一个NANOG46面板讨论了与NAT, 6rd和DS-Lite相关的问题。
首先,我应该稍微解释一下术语。NAT44是日常使用最多的。NAT44系统将私有IPv4地址转换为在Internet上使用的公有IPv4地址。大多数正在使用的应该被称为端口地址转换(PAT),因为使用的是单个公共IPv4地址。NAT是使用最频繁的术语,但NAT44更精确。NAT444是我们注定在不久的将来当IPv4地址短缺发生。我们将通过我们的宽带互联网接入路由器在家里执行NAT44,服务提供商将为他们的基础设施使用私有地址,然后在他们的大型NAT (LSN)设备上执行第二个NAT44,该设备连接到他们的互联网POPs。我不期待这个过渡时期。NAT64系统基于这一命名法,将IPv6数据包转换为IPv4数据包,从而可以遍历Internet。此外,NAT464是一个术语,用来描述客户的NAT设备和服务提供商的LSN之间存在IPv6网络连接的情况。 NAT46 is the compliment to NAT64 but it is unlikely at this stage if IPv4-only hosts will need to access IPv6-only services.
问题是,油墨仍在尝试这些标准中的一些。目前支持NAT64的设备非常少。服务提供商之所以紧张,是因为他们需要快速解决方案,因为时间不等人,要正确设计一个为数百万客户提供服务的大型系统的运行需要时间。思科有其运营商级的IPv6解决方案(CGv6),去年他们出版了一本纸在他们的解决方案。思科为运营商路由系统提供运营商级服务引擎(CGSE) (CRS-1),ASR路由器作为LSN设备。思科有配置指南和一个命令参考用于在IOS XR上配置NAT。Juniper的所有产品都有很好的IPv6支持。朱诺10.2支持ds lite在MX80以太网服务路由器上。朱尼珀有一个很好的白皮书在这些话题上。互联网系统联盟(ISC)已经开发出他们的地址族转换路由器(AFTR)与康卡斯特(Comcast)合作。本系统是中国广核集团公司开发的DS-Lite软件。来自ISC的苏珊娜·伍尔夫在NANOG46.
我来自落基山IPv6专责小组的同事(RMv6TF)认为对早期的NAT64/DNS64实现进行测试是个好主意。Ebben Aries和Chuck Sellers带来了他们广泛的IPv6知识和他们的玩具到我的办公室,我们花了一个上午的实验和测试。我们建立了一个简单的测试蜕皮NAT64的开源实现DNS64网关提供的Viagenie.这个实现提供了独立的NAT64和DNS64函数,在一个基于Fedora linux的LiveCD中运行。NAT64功能是对IPv6和IPv4报文进行转换,处理报文的路由和转发。DNS64功能将IPv6-only主机的AAAA查询转换为IPv4-only A记录查询,并维护两者之间的映射关系。你可以从Ivan Pepelnjak的演讲中了解更多关于NAT64和DNS64的知识,他的演讲题目是30分钟内完成NAT64和DNS64".
设置很简单。我们只是要求下载在Ecdysis的网页上找到Linux LiveCD。然后我们将ISO镜像(ecdysis-fedora-12-x86_64-20100226.iso)刻录到一张CD上,并将其放入有两个网络接口的笔记本电脑中。我们首先将一个笔记本电脑接口连接到一个只能连接到Internet的ipv4网络。另一个笔记本电脑接口连接到我们测试电脑所在的ipv6网络。Ecdysis系统的配置非常简单。以下是我们对Ecdysis系统所做的配置修改。
- 配置外部接口IPv4地址
- 日志含义创建到上游下一跳路由器的静态IPv4缺省路由
- 配置IPv4 Internet DNS解析器
- 配置内部接口的IPv6地址
- 配置一个IPv6网络,使用IPv6默认路由到Ecdysis笔记本电脑
配置文件包含在根目录中。“magic-quick-start.sh”文件将重新启动未绑定的服务。在nat64-config.sh中包含了大部分配置细节。保留的知名IPv6前缀64: FF9B:: / 96已经定义的。当您执行“ifconfig -a”时,您将注意到您有一个nat64接口。还有一些其他的在线资源如果你想自己测试的话,可以帮助你进行配置。
当我们设置这个时,我们使用Windows 7和苹果电脑作为ipv6专用客户端。Windows 7主机作为只支持IPv6的主机表现良好,因为它们会自动配置地址并使用IPv6进行DNS查询。我们发现,苹果笔记本电脑在通过网关时工作得并不好。苹果电脑自动配置了它们的地址,但在接收正确的地址时遇到了问题IPv6 DNS解析器由于缺乏DHCPv6支持。我们唯一的问题是苹果电脑如何处理在一个只有ipv6的环境中运行。有众所周知的问题OS-X 10.6如何处理IPv6 DNS解析,阻止它们到达仅IPv6的web内容。
我们使用的微软Windows 7测试计算机通过NAT64/DNS64网关,可以完美地连接ipv6。唯一的问题是,这些电脑无法访问互联网上只有ipv6的网站。当计算机执行IPv6查找时,它们会得到AAAA记录,但测试计算机与互联网的IPv6连接已经“中断”。请记住Ecdysis笔记本电脑的上游接口是ipv4,没有配置隧道。这是因为在我们的测试平台上,我们只有上游的ipv4网络连接。
显然,不需要执行NAT比执行NAT更好,但不幸的是,NAT是我们生活的世界的现实。希望您可以自己试验一下Ecdysis NAT64/DNS64的实现,并了解这种类型的翻译如何为您的组织带来好处。
斯科特