ВГОРУ  

Чому NAT не потрібен в IPv6?

Аудіоверсія (натисніть «Відтворити» та плавно прокрутіть статтю ▶️?)

Чому NAT не потрібен в IPv6? NAT не потрібен для адрес IPv6, оскільки IPv6 має великий адресний простір. Це дозволяє здійснювати прямий зв'язок між пристроями, спрощуючи мережі та підвищуючи безпеку.

Хочете більше деталей?

Продовжуйте читати. 

У цій статті ми розглянемо NAT в контексті IPv4, як він працює і що робить IPv6, щоб усунути його необхідність. Крім того, ми також розглянемо кілька рішень для тих, кому потрібен IPv6, але хто все ще покладається на NAT. 

Чому NAT не потрібен в IPv6

Зміст

  1. Розуміння NAT в контексті IPv4
  2. Чому NAT не потрібен в IPv6?
    • Широкий адресний простір
    • Посилена безпека
    • Простота підключення та проектування мережі
  3. Альтернативні рішення для NAT в IPv6
  4. Часті запитання (FAQ)
  5. Висновки.

1. Розуміння NAT в контексті IPv4 

IPv4 має 32-бітну структуру адреси, що дозволяє використовувати 4,3 мільярда унікальних адрес. Велике число, якщо задуматися. Але, на жаль, до сьогоднішнього дня ця кількість (яку забезпечує IPv4) недостатньо велика, щоб обслуговувати зростаючий інтернет. Вчені в галузі IP у 80-х роках знали про це, тому вони запровадили IPv6-адрес щоб "коли-небудь" замінити IPv4.

Отже, IPv6 має 128-бітну адресну систему. Це означає, що IPv6 покриває набагато більший адресний простір, ніж IPv4 (IPv6 проти IPv4). На даний момент (і надовго) IPv6 вирішить проблему дефіциту адрес і полегшить маршрутизацію та управління мережами.

Але розгорнути IPv6 у всьому Інтернеті легше сказати, ніж зробити (Міграція та переваги IPv6). Існують буквально мільярди сервісів, пристроїв і додатків, які все ще спілкуються між собою за допомогою IPv4. Отже, NAT (Network Address Translation - трансляція мережевих адрес) або також відомий як NAT44, та інші обхідні шляхи були створені як тимчасові рішення. 

a. Яку проблему вирішує NAT? 

NAT (трансляція мережевих адрес) має велике значення для мереж IPv4. Маршрутизатори або сервери використовують його для перетворення приватних, локальних IP-адрес на публічні IP-адреси і навпаки. Іншими словами, NAT надає можливість розділити одну публічну IP-адресу з декількома пристроями в локальній мережі. Отже, один будинок (багато пристроїв, багато приватних IP-адрес) = одна публічна IP-адреса. Існує також функція Невизначеність на рівні носія (CGNAT) яка робить це в набагато більших масштабах. Громади, райони та цілі зони користуються єдиною публічною інтелектуальною власністю через CGNAT. 

Як було сказано раніше, причиною створення NAT (як своєрідного пластиру) було прагнення допомогти вирішити проблему нестачі IPv4-адрес. Ця розумна конструкція не тільки економить IPv4-адреси, але й додає рівень безпеки, приховуючи внутрішні IP-адреси локальних пристроїв від Інтернету.

b. Як працює NAT для IPv4? 

Наступне зображення ілюструє процес NAT в IPv4:

Чому NAT не потрібен в IPv6?

Місцевий зв'язок: Хост у приватній мережі з приватною IPv4-адресою (10.0.0.1) хоче надсилати дані на сервер в Інтернеті. Маршрутизатор налаштовано за допомогою NAT для керування трафіком між приватною мережею та інтернетом.

  • Переклад вихідних пакетів: Коли хост надсилає дані на сервер, пакет містить IP-адресу джерела (10.0.0.1, яка є приватною адресою хоста) та IP-адресу призначення (200.100.10.1, яка є публічною адресою сервера). Коли пакет досягає маршрутизатора з NAT, маршрутизатор переводить IP-адресу джерела з приватної адреси (10.0.0.1) на публічну IP-адресу маршрутизатора (150.150.0.1). Таке перетворення дозволяє маршрутизувати пакет через інтернет до сервера.
  • Переклад вхідних пакетів: Коли сервер відповідає, вхідний пакет має IP-адресу сервера як джерело (200.100.10.1) і публічну IP-адресу маршрутизатора як пункт призначення (150.150.0.1). Коли цей пакет досягає NAT-маршрутизатора, NAT перетворює IP-адресу призначення назад на приватну IP-адресу хоста (10.0.0.1). Таким чином, хост у приватній мережі отримує відповідь сервера.

c. Які обмеження NAT в IPv4?

Хоча NAT в мережах IPv4 має свої переваги, він також має свої недоліки, включаючи складність, перешкоджання наскрізному зв'язку і проблеми сумісності. Ці обмеження підкреслюють потребу в більш масштабованих рішеннях, таких як IPv6.

2. Чому NAT не потрібен в IPv6?

a. Великий адресний простір.

Основна причина, чому NAT не потрібен в IPv6, полягає в тому, що IPv6 має величезний адресний простір (340 ундемільйонів адрес, якщо бути точним), а це означає, що нам більше не потрібен NAT. NAT був явно розроблений для цього, щоб зберегти обмежений пул IPv4. Отже, завдяки цій величезній кількості доступних IPv6-адрес, будь-який хост або користувач може отримати публічну мережеву адресу IPv6.

b. Посилена безпека.

На відміну від IPv4, в IPv6 безпека є фундаментальним компонентом, а не другорядним. IPv6 від початку включає в себе безпеку (IPsec, наскрізне шифрування та безпечне виявлення сусідів). Це підвищує загальну безпеку мережі та усуває потребу в NAT. Метою NAT є подолання обмежень IPv4, а безпека, яку вона забезпечує, є побічним продуктом дизайну. Люди просто використовують NAT як де-факто брандмауер, оскільки він приховує внутрішні IP-адреси від зовнішніх загроз.

Примітка. Майте на увазі, що вбудований захист IPv6 насправді не є заміною NAT, оскільки IPv4 NAT приховує справжні IP-адреси, а IPSec (який також доступний для IPv4) забезпечує шифрування та автентифікацію. Насправді, з точки зору побудови мережі, IPSec і NAT можуть навіть доповнювати один одного. 

c. Простота підключення та проектування мережі 

Акцент IPv6 на покращеному наскрізному зв'язку та спрощеній побудові мережі зводить нанівець необхідність у NAT. Цей підхід покращує шляхи зв'язку, полегшує передачу даних у реальному часі та спрямовує з'єднання між пристроями через Інтернет, усуваючи посередників, таких як пристрої NAT (або інші обхідні шляхи). IPv6 спрощує проектування мережі завдяки використанню унікальних глобальних адрес для пристроїв, уникаючи складнощів трансляції адрес, притаманних IPv4, які можуть призвести до таких проблем, як подвійний NAT і ускладнення пошуку та усунення несправностей.

3. Альтернативні рішення NAT в IPv6?

Хоча для більшості розгортань IPv6 NAT не потрібна, існують певні випадки використання або налаштування мережі, де функціональність, подібна до NAT, все ще є корисною. У таких випадках можна використовувати такі рішення, як трансляція мережевих префіксів (NPTv6) або протокол керування портами (PCP) для досягнення аналогічних цілей без недоліків традиційного NAT в IPv4.

Примітка. Ці рішення слід використовувати з обережністю і економно в мережах IPv6, оскільки підхід за замовчуванням полягає в тому, щоб покладатися на широкий адресний простір протоколу і наскрізний зв'язок. Ці рішення не є заміною NAT44, вони лише мають на меті полегшити сумісність IPv6 і IPv4.

  • NPTv6: Він використовується, коли мережам потрібно змінити префікс своїх IPv6-адрес без зміни ідентифікатора інтерфейсу. NPTv6 може використовуватися в таких ситуаціях, як перенумерація мережі, мультихостинг і застосування політик.
  • NAT64: Перетворює IPv6-адреси в IPv4-адреси. Це корисно для того, щоб дозволити мережам, які використовують лише IPv6, отримати доступ до ресурсів у мережах IPv4.
  • PCP: Протокол керування портами можна використовувати в мережах IPv6 для керування перенаправленням вхідних пакетів пристроєм NAT, наприклад, NAT64.

Наступна діаграма ілюструє відмінності між NAT в IPv4 і двома сценаріями IPv6. 

  1. NAT в IPv4
  2. IPv6 без NAT 
  3. Переклад мережевих префіксів (NPTv6).
Чому NAT не потрібен в IPv6?
Малюнок пояснює залежність IPv4 від NAT через обмежену кількість адрес на противагу великій кількості адрес в IPv6, що зазвичай усуває потребу в NAT. Крім того, NPTv6 показано як альтернативу для певних випадків використання.

Ось що представляє кожна частина діаграми:

  • NAT в IPv4: На першій мережевій схемі показано локальний хост за приватною мережею, який підключений до публічної мережі IPv4 через маршрутизатор/брандмауер, що реалізує NAT. Пунктирна червона лінія зі стрілками вказує на процес трансляції, а віддалений хост у публічній мережі показаний як ціль зв'язку.
  • IPv6 без NAT: У другій частині показано локальний хост з IPv6-адресою, підключений безпосередньо до Інтернету IPv6 без будь-якого NAT, оскільки IPv6 дозволяє використовувати велику кількість адрес, що робить NAT непотрібним для збереження адрес. Зелена лінія зі стрілками вказує на прямий, не трансльований шлях між локальним і віддаленим хостами. У цьому сценарії кожен пристрій, як правило, має глобальну унікальну IPv6-адресу, що дозволяє здійснювати прямий наскрізний зв'язок без необхідності трансляції адрес.
  • NPTv6: Третя частина показує локальний хост в інтрамережі IPv6 за маршрутизатором/брандмауером, що реалізує NPTv6, який підключений до Інтернету IPv6. NPTv6 - це механізм трансляції префікса IPv6-адреси, подібний до того, як працює NAT в IPv4, але він зберігає незмінною частину адреси хоста. Пунктирна фіолетова лінія вказує на процес трансляції префікса.

4. Часті запитання (FAQ)

a. Чи можете ви навести реальний приклад, що ілюструє підвищення ефективності мережі, досягнуте без NAT?

Одним з чудових прикладів є Comcast (зараз Xfinity)одного з найбільших інтернет-провайдерів у США. Вони перейшли на IPv6 і побачили значне покращення продуктивності та управління мережею. Без NAT в архітектурі IPv6 маршрутизація стала простішою, затримки зменшилися, а зв'язок для клієнтів покращився. Це свідчить про практичні переваги IPv6 у великомасштабних мережах, які не залежать від NAT44.

b. Що таке NAT64? 

NAT64 транслює IPv6-адреси в IPv4-адреси, забезпечуючи зв'язок між пристроями IPv6 і IPv4. Цей протокол дозволяє пристроям, що підтримують лише IPv6, отримувати доступ до ресурсів IPv4. NAT64 забезпечує перехід IPv4-IPv6, дозволяючи мережам, що використовують лише IPv6, отримувати доступ до ресурсів IPv4. Однак він може спричинити такі складнощі, як сумісність додатків і вичерпання адрес.

c. Як IPv6-трафік може обійти NAT при підключенні до мереж IPv4 і зберегти наскрізний зв'язок?

В IPv6 є механізми, такі як Teredo і 6to4, які дозволяють трафіку IPv6 проходити через пристрої NAT при підключенні до мереж IPv4. Ці механізми допомагають зберегти наскрізний зв'язок без використання NAT в мережах IPv6.

5. Висновок.

Хоча NAT відігравала життєво важливу роль у підтримці життя IPv4, зараз вона застаріла в Середовище IPv6де кожен пристрій може мати власну унікальну глобальну адресу. Ці зміни не лише спрощують підключення, але й сигналізують про нову еру інтернет-архітектури, яка є більш ефективною, безпечною та готовою до роботи з постійно зростаючою кількістю підключених пристроїв.

Завдяки прикладам масштабних мереж і альтернативним рішенням для перехідних сценаріїв, перехід на IPv6 - це не просто технічне оновлення, а необхідна еволюція для майбутнього глобального зв'язку.

Попрощайтеся з ускладненнями НАТО! ?

Пориньте у безмежний світ IPv6 з RapidSeedbox!

Ніяких посередників, лише пряме володіння ІВ.
Ми завжди на зв'язку з вами завдяки цілодобовій підтримці 24/7.
Індивідуальний хостинг, який підходить саме вам.
Чіткі витрати, без сюрпризів.

Розпочніть свій шлях без НАТО вже сьогодні

Про автора Дієґо Астуріас

Аватар для Дієго Астуріаса

Дієґо Астуріас — ІТ-оглядач, який перетворює складний технічний жаргон на цікавий контент. Він має ступінь у галузі міжмережевої взаємодії у Вашингтоні, округ Колумбія, США, а також технічні сертифікати від Cisco, McAfee та Wireshark. Він має практичний досвід роботи в Латинській Америці, Південній Кореї та Західній Африці. Він публікувався в SiliconANGLE Media, Cloudbric, Pcwdld, Hackernoon, ITT Systems, SecurityGladiators, Rapidseedbox та інших виданнях.

Приєднуйтесь до 40K+ підписників розсилки

Отримуйте регулярні оновлення щодо кейсів використання Seedbox, технічних посібників, проксі-серверів, а також поради щодо конфіденційності/безпеки.

  1. Я категорично не згоден з думкою, що всі хости IPv4 повинні бути публічно підключені до Інтернету. Я не бачу в IPv6 жодного положення, яке б безпосередньо застосовувалося до мереж RFC1918, що потребують лише обмеженого підключення до Інтернету. Інша проблема з IPv6 полягає в тому, що більшість людей, які підключаються до Інтернету, не мають до нього доступу. Так чому ж мені не можна вимкнути IPv6, якщо я не розумію його належним чином і не маю до нього доступу?

    В Інтернеті існує багато дискримінації щодо переходу з IPv4 на IPv6, чому ви хочете вимкнути IPv6 - це поширене явище, і, на мою думку, IPv6 не може розумно задовольнити потреби приватних мереж. Багато дискримінації щодо бажання відключити IPv6 на сервері, тому що він не може бути реалізований належним чином, де в багатьох випадках він не може бути реалізований належним чином.

    На перший погляд, 128 біт проти 32 біт адресного простору здається чудовою ідеєю. Але не так швидко, оскільки існують проблеми з підтримкою такого великого адресного простору в інфраструктурі, яка забезпечує роботу Інтернету. На жаль, немає такої альтернативи, як IPX, яка була б вільно доступна для приватних локальних мереж. Novell навіть не хоче підтримувати IPX сьогодні, хоча, можливо, було б дуже розумно перевести приватні мережі IPv4 з використанням NAT, щоб дозволити обмежене і контрольоване підключення до Інтернету до IPX і розгорнути шлюз IPX до IPV6 за необхідності, IPv4 до IPX, коли IPV6 недоступний.

    IPv6 був розроблений в умовах, коли все повинно знаходитись на сервері корпорації, доступ до якого здійснюється через загальнодоступний Інтернет. Хоча хмарні технології мають певні переваги, я не хочу сплачувати податки, зберігати свою фінансову інформацію або іншу конфіденційну приватну інформацію на чиємусь незахищеному глобальному сервері, доступному для всіх. IPv6 ніколи не призначався для вирішення цієї проблеми конфіденційності. Наскільки я можу судити, найбільша перевага IPv6 є також його найбільшим недоліком. Квінтильйон адрес? Не все повинно бути в Інтернеті. Потрібна нова інфраструктура, і пройде багато часу, перш ніж більшість людей матимуть необхідну інфраструктуру, щоб мати доступ до IPv6 або навіть отримати його пропозицію. Існує також проблема навчання, багато людей не знають, як розгортати IPv6, навіть якби вони мали доступ. Мені б хотілося, щоб у Linux він не був увімкнений за замовчуванням. Вимкнути його важче, ніж мало б бути. Є багато помилок, якщо ви не підключені до IPv6 або намагаєтесь вимкнути його на користь IPv4, або і того, і іншого.

Висловіть свою думку

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *