IPv6与NAT(Network Address Translation)皆为IETF组织所制定的规范,前者为下一世代因特网协议,而后者则为网址转换之机制。
IPv6与NAT简介
IPv6的发展过程,除了一般所知的IPv4地址不足之问题外,还有诸多技术上的考虑,包括网络架构的简单化、网络组态的自动化、路由效能的改善、网络安全的提升、行动性的支持,以及服务质量的提供等。
IPv6地址长度为128位,最多可提供3.4 x 1038个固定地址。读者可将图一的IPv6标头格式,与图二的IPv4标头格式比较,可以发现前者少了6个字段,所以IPv6可节省不少封包处理之时间。
我们可以看出其中最明显的差异在于IPv6标头的流量卷标(Flow Label),而在IPv4中并无类似的字段。流量卷标的目的,在于标示特定的实时与多媒体讯务;而下层标头(Next Header)则是用来标示紧接于IPv6标头后的延伸标头种类,包括节点选项标头(Hop – by – Hop Options Header)、收端选项标头(Destination Options Header)、路由标头(Routing Header)、分割标头(Fragment Header)、认证标头(Authentication Header)、加密安全数据标头(Encrypted Security Payload Header)与其它上层之标头(Upper Layer Header),图三显示出IPv6延伸标头的架构。
IPv4地址的不足
这些延伸标头的先后次序,需依照上述的先后次序来排列。在IPv6普遍出现后,全世界因特网地址不足的情形可望能够解决。至于IPv4地址,目前已被注册使用的地址数约占全部的70%,专家预估2010年将会用尽。因为美国拥有约四分之三的IPv4地址,所以亚洲及欧洲等信息先进国家,已慢慢开始面临IP地址不足的问题了。而无线行动通讯与因特网家电设备在日渐普及后,将会需要固定的IP地址来做网络的链接。
虽然IPv6标准已大致完备,但要推动全球化,的确不是短时间内就能完成。究其原因,绝大多数的网络用户目前只用到电子邮件与WWW,这些应用不一定需要公共的IP地址,所以用户不易感受到IPv6的迫切需要。因此要将IPv6全面取代IPv4,可能需要相当长的一段时间。有关详细之IPv6相关规范,可以参考RFC 2460 – 2463与其它数十份相关的RFC。
NAT的网址转换
网址转换基本上是将一个网络地址转成另一个不同的地址的机制,最常见的是,利用一个IP地址将多部计算机连接上因特网。NAT的机制通常是安装在路由器上,它的一边连到末端网域(Stub Domain),就像是局域网络或企业网络,在此我们称之为内部网络;另一边则连到骨干网络,被称为外部网络。
一个送往外部网络的封包(Packet),NAT会将它的送端区域地址转换为全球单一地址;反之一个送往内部网络之封包,NAT会将它的全球单一地址转成内部区域地址;这种方式提供了企业网络(Intranet)用户一种有效且便宜的因特网撷取服务。不过透过网址转换后,虽然外部网络用户无法知道NAT的存在,但对内部而言,每个用户还是可以联机上网。
图四显示了NAT的运作方式,假设内部网络上的工作站A(192.168.100.100)送一封包至外部网络的服务器B(208.208.111.222),此封包在经过NAT路由器时,NAT机制会将送端地址192.168.100.100改成公共地址140.113.100.200。
因此当服务器B收到工作站A的封包时,送端的地址将会是140.113.100.200;而服务器B响应封包的收端地址也会是140.113.100.200,此封包在经过NAT路由器时,收端地址将被转换成192.168.100.100,然后再送至内部网络上的工作站A。如果内部工作站A与C都同时都连到服务器B,那么就必须以不同的TCP埠号(Port Number)来区分,因为对于不同的网络联机,其识别方法就是要利用收端与送端的IP地址与TCP埠号来作区分。
由图四的转址表可以看出,工作站A与C的外送封包使用同一个公共IP地址,但TCP埠号却不一样,因此NAT可以透过TCP埠号来分辨不同的内部区域网址。利用NAT的动机,除了因应日益短缺IPv4地址外,网络与信息安全的考虑以及管理上的方便也是重要的因素之一。
至于内部的网址不同于外部的网址也具有多项的意义,它可用在负载平衡(Load Balancing),例如热门网站可以利用NAT将大量查询要求分散到不同的网页服务器,以平衡各服务器的负载,并避免造成塞车。因为NAT转址的速度远比服务器执行网页查询的速度为快,因此只要内部区域地址不会太多,便不会造成NAT设备之塞车,同样的方法也可以用在大型数据库服务器上。
NAT的防火墙机制
NAT同时也提供了各式的撷取安全管制,最典型之例子就是防火墙(Firewall)的机制。
由于NAT可以将网络分隔成内部与外部,所有经过NAT设备的IP包头都需要在此重写,因此外部网络的用户事实上无法看到内部网络的状况,如此一来,可防止非法之入侵。NAT为提供网络管理者作业上的方便,面对日渐不足的IP地址,网络管理者可以使用私有IP,例如192.168.x.x或10.x.x.x;这些IP地址若只用于内部网络,可以不用登记注册。
另外一种日渐重要的网络转址应用为NAT – PT(Network Address Translation-Protocol Translation,RFC 2766),它是用来做IPv4与IPv6之间的协议转换。由于将IPv4转移至IPv6的过程是渐进式,因此预期两种协议将会同时存在相当长的一段时间,并且互相对话,而NAT – PT将继续扮演“翻译者”的角色。NAT – PT通常是路由器,并安装在网络的分界点(Network Boundary)。
IPv6与NAT的优缺点
从技术观点而言,IPv4已使用了二十多年,面对日新月异的各种应用,功能难免会有所不足。而IPv6则是针对这些不足之处加以改进,如在IP层的每个节点做错误检查(Checksum)、不用做封包切割(Fragmentation)、没有标头选项(Header Options)、以群播(Multicast)取代广播(Broadcast)、以64位取代原来之32位、最小MTU加大至1280字符(Bytes)、延伸标头(Extended Header)使选项部份不受限制,以及可以将选项的处理交给接收端等。因此整体而言,IPv6的效能将比IPv4更为强化。
此外,从用户之观点来看,IPv6可以支持随插随用(Plug and Play)的功能,大幅简化了网管者的作业。用户可以无接缝式的连上因特网、可以得到确保质量的服务,及可以提供更方便的多驻地(Multi – homing)功能,简单说就是同时连上多个ISP。
NAT的最大好处为简化网络异动的管理程序,例如当内部网络的服务器或主机的地址改变时,只要更改NAT路由器的设定,往后外部网络的主机想要联机到这些服务器或主机时,仍可以用原有的地址。
当然NAT也有一些缺点,如实际上它并没提供更多公用的IPv4地址,和它破坏了端对端的双向通讯模式;一部计算机可以透过NAT直接连到一部在公共IP网络上的计算机,但反过来看,后者却无法“看”到前者并直接与其连接。此外,它会造成单点当机,也就是说,如果NAT设备当机,所有经过它的联机都会因而中断。其余的缺点则有让IPsec功能失效,及行动式设备使用NAT将容易造成问题等。
IPv6与 NAT实务上的问题
IETF并非一开始就决定发展IPv6为下一世代因特网协议,事实上它有好几个竞争者。1994年初,下一世代IP建议书被制定出来后,一直到了1995年底,才完成第一份IPv6规范(RFC1883)。目前的IPv6规范(RFC 2460)则是在1997年底修正改进后的版本。至于网络地址转换器(The IP Network Address Translator,RFC 1631),则是在CIDR与 DHCP通过后,于1994年制定。虽然NAT比IPv6早一步制定,不过NAT很快地被普遍的接受与使用,而IPv6的推展则相对地缓慢。
IPv6的瓶颈与解决方案
IPv6发展缓慢的原因是可以理解,因为目前因特网大多数的应用系统都是在IPv4的架构底下,使用NAT并不会影响这些用户的日常应用,而且在技术上不受外部网络架构之影响。不过一旦更新为IPv6,那么所有相关的因特网连线作业、应用程序与所经过的路由设备都必须能够支持IPv6;也就是说牵涉到的层面很广,就算网络管理者改用新的IPv6协议,也只能更新内部网络的部份,并不能保证用户的各种应用都可以照常顺利执行。这些复杂度与不确定性,也间接地造成了许多系统管理者的观望。
目前渐进式的解决办法是使用双堆栈(Dual Stack)的方式,即网络设备商提供同时支持IPv4与IPv6的路由器;如此一来,不论是IPv4或IPv6的应用程序,使用起来都不成问题。不过为了要让所有因特网上的路由设备都更新成双堆栈系统,所有应用程序也应更新为IPv6版本,但这绝非短期间内可以完成。
除了实现过程上的复杂度外,还有IPv6的一些规范可能会造成问题。由于IPv6协议中有延伸标头的选项,因此如果为了安全考虑而启动封包过滤机制,那么所有封包上之延伸标头皆须检查;如果这些动作由网络节点来处理,那么将会大大降低路由器的效能。虽然透过硬件设计可以加速封包处理速度,但对于选项的处理并不易由硬件来实现,因此这方面的顾虑是可以理解的。
NAT发展的情况
简单小型的NAT设备在成本上比IPv6路由器设备便宜许多,其安装也十分容易,这也是它在发展与实现过程上之优势。不过NAT不见得适合大规模的系统,一方面是由于效能的考虑,另一方面,它的单点当机影响也是个重要因素。目前网络攻击事件层出不穷,NAT也很容易造成黑客攻击的目标;假如黑客一旦知道一个NAT的存在,并弄垮它,那么就等于瘫痪掉一个网络。
假如在NAT – PT的过程中,只是做地址的转换,那应该没什么问题,但若要转换协议中的其它字段,例如IPv6中的流量卷标或是延伸标头,因IPv4中没有这些项目,其结果是封包仍然可以到达目的地,但一些讯务特性将因NAT – PT而无法显现。
IPv6的未来趋势
目前在许多信息先进的国家,都有IPv6的大型或试用计划在进行,例如日本的WIDE、德国的JOIN/DFN、加拿大的Viagenie、挪威的UNINETT、瑞士的SWITCH、法国的G6/Renater2、奥地利的ACOnet,以及欧盟的Quantum等知名国际大厂也都相继投入了IPv6的发展与应用。在美国,微软(Microsoft)与思科(Cisco)与升阳(Sun)都宣布支持IPv6;在欧洲,英国电信(British Telecommunications)也提供了免费的IPv6来作试用;而Nokia则在英国展示了IPv6的仿真生活,并采用IPv6来实现行动因特网(Mobile Internet)。
日本发展最快,据估计NTT将成为全世界第一个利用IPv6的ISP,至于时间表所预期的状况是在未来三、五年内,IPv4与IPv6将同时并存一段时间。至于台湾,目前IPv6联盟已于2002年成立,并计划在2007年完成全台网络升级。
结语
随着IPv4的地址越来越难取得,且有越来越多的应用程序转移到IPv6上,用户将会慢慢改用IPv6;不过可能要等到因特网上的IPv4用户少到厂商不愿再提供服务时,IPv6才会全面实现。但要多久的时间,目前并不容易断定。
至于NAT,因为IPv6的地址充裕,因此不需要NAT再来扩充地址,不过网络转址的目的不一定是扩充地址,有些是用在负载平衡与安全防护方面,还有前面提到的IPv4/IPv6协议之转换。因此NAT预期在未来数年内还会持续地发展,就算IPv6全面实施,NAT仍是有一定的角色要扮演。
<作者任职于交通大学信息工程系:ycchen@cise.nctu.edu.tw>
相關作者
相關产业类别
相關关键字
相關组织
相關网站单元