[討論]V4枯竭NAT代用,雙堆6to4消除V6孤島,是要 …

看板IPv6作者ggg12345 (ggg)時間14年前 (2010/08/08 01:28)推噓1(1推 0噓 1→)

留言2則, 2人參與討論串1/3 (看更多)

1.IPV4 位址不再發放, V4-NAT 可能成為代用品. V4 ip-address 不再發放, 想延續v4使用的, 只好用 NAT. 但在 NAT 內的網站無法被直接從外部拜訪, Teredo tunnel 企圖讓 nat 隔離開的內部 v6 網站被外部能直接拜訪, 但也引發擊穿 NAT 防火牆的安全疑慮. 沒有 v4 ip-address 只好用 private ip-address 代用, 但未必是想建防火牆隔離, 只因 private-ip 需用 NAT 隔離才不會引發混亂, 所以隔離不是主要訴求. 但對真正想用 NAT 當防火牆的用戶言, 為了引進 V6 要犧牲防火牆的功能那是不可想像的得不償失, 所以想讓在 nat 後面的 v6 網站被外部直接拜訪將會是矛盾性的產品. 2.V4-NAT 該如何放行 V6 封包? 假如隔離只作用於 v4, 所以多個 private ip-v4 必需轉址成一個代表的 public ip 對外來往, 隔離並不必作用於 v6, 所以雙堆的PC 可使用 private ipv4 但用NAT轉換成代表的一個 public ip 對外. 假如 V6 封包是不受 V4-NAT router 阻攔, 外部來訪就可使用V6, V6 ip-address 可直接來自 native v6 router 的通告使之配合 DNS 登錄自動設定. 若是V6孤島也可暫時借用目前大量存在的 V4 網路, 使用 6to4 tunnel router 的通告來取得 IPV6 address 配合 DNS 使用. 此時, 6to4 tunnel 可使用那個 nat 對外的 public ip-address 透過 v4 建連線 tunnel 連到V6 大島或骨幹的 anycast 6to4 relay router, 完成對 v6 連線的來回. 如果隔離也要作用於 v6, 那就是要讓 6to4 router 或 native v6 router 兼負 v6 的 NAT 作用, 此時只要 V6 router 對內通告產生的 ipv6 address 與對外出示的 v6 ip-address 做 address translation 的對照轉換就能防止外部機器直接與內部 V6 站來往, 也就是 V6 V4 各自有其 NAT , 都能防止外部直接來往, 若是 v6 孤島就可利用 V4 NAT 的 public-ipaddress 進行 6to4 tunnel 的銜接. 3.可放行或另行處理 V6 的 V4-NAT 這種不擊穿 V4-NAT firewall 的 6to4 NAT 才是大家可接受的規格吧! 就稱呼這種裝置為 V6-aware/passthru NAT. 假如舊有的 V4-NAT 仍然沿用, 最簡單的辦法是對 6to4 router 額外給個 V4-address 讓其可用於對外的 6to4 轉換, V4-NAT 內部的站點使用 private ipv4 address , 但 V6 address 則使用 6to4 tunnel router 發放出來的 V6 通告位址. 如何結何兩者只使用一個 public ipv4 address , 除了 teredo 外還是會有其他簡易的方法才是. -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 140.115.5.53