連接IPv6和IPv4的NAT64

　　那些只運行IPv6的主機在這幾年仍然可以用那些只在IPv4網(wǎng)絡(luò)上提供的服務(wù)，，但是幾年后，IPv4堅持想要和只運行IPv6的網(wǎng)絡(luò)進行聯(lián)系可能就會難上加難了。

　　互聯(lián)網(wǎng)工程小組(IETF)一直在思考使IPv4與未來IPv6之間進行交流的方式。這樣一來，我們就不需要升級現(xiàn)有的設(shè)備了。為了使在明尼阿波利斯明年11月份舉行的IETF大會能夠取得更多的進展，最近他們在蒙特利爾舉行了為期兩天的會議。

　　而IETF所面臨的問題是，盡管IPv4與IPv6有某種家族相似性，但是二者之間還是有本質(zhì)區(qū)別的：IPv4使用的是32位地址，而IPv6使用的則是128位地址。那么你怎樣才能使你的僅有IPv4地址的系統(tǒng)與僅有IPv6地址的系統(tǒng)進行交流呢?

　　其實很簡單：你把數(shù)據(jù)包翻譯過來不就結(jié)了么?IETF幾年前就在實施一項名為SIIT(Stateless IP and ICMP Translation)的項目，目的就是實現(xiàn)IPv4向IPv6的過渡。但是，SIIT面臨的一個最大問題是：一一對應(yīng)問題。

　　這就造成了兩方面的問題：將來不會有足夠的IPv4地址來使用(這就是我們吧IPv6放在首位的原因)，所以在IPv6-to-IPv4這個問題上，必須是對個系統(tǒng)共用一個IPv4地址。這相對來說是比較容易實現(xiàn)的：只需實用SIIT，然后定期的對IPv4進行網(wǎng)絡(luò)地址轉(zhuǎn)換。NAT- PT(Network Address Translation-Protocol Translation)使用的就是這項技術(shù)，NAT-PT把SIIT協(xié)議轉(zhuǎn)換技術(shù)和IPv4網(wǎng)絡(luò)中動態(tài)地址轉(zhuǎn)換技術(shù)(NAT)結(jié)合在一起，它利用了 SIIT技術(shù)的工作機制，同時又利用傳統(tǒng)的IPv4下的NAT技術(shù)來動態(tài)地給訪問IPv4節(jié)點的IPv6節(jié)點分配IPv4地址，很好地解決了SIIT技術(shù)中全局IPv4地址池規(guī)模有限的問題。

　　完美的NAT-PT系統(tǒng)應(yīng)該是對大部分網(wǎng)絡(luò)而言，你只需要簡單的在IPv6和IPv4之間制定一些規(guī)則，網(wǎng)絡(luò)就能很好的工作。對某些協(xié)議，像FTP,VoIP，或者點對點應(yīng)用將會拒絕，因為當(dāng)一個IPv6系統(tǒng)通告IPv4主機她的IPv6地址時，IPv4主機將無法使用IPv6地址。歸根到底，欺騙DNS的方式并不是IETF推薦的方式，所以，NAT-PT最終被宣布成為歷史，不再推薦使用。

　　我一直在參與NAT64的提案，其他諸如NAT6和SNAT-PT都與NAT-PT一樣存在不同程度的缺憾。舉例來說：如果主機實施的是 DNSSEC安全DNS協(xié)議，他顯然不會接受合成的IPv6地址虛假記錄。但是，主機可以修改在履行DNSSEC驗證之后，創(chuàng)建自己的地址。

　　從SIIT和NAT-PT規(guī)定到現(xiàn)在的十年時間里，IETF在NAT方面做了大量的工作，特別是在NAT設(shè)備如ICE，STUN和TURN和點對點的應(yīng)用等方面。他們大部分都可以被應(yīng)用在IPv6-to-IPv4 NATs和IPv6點對點應(yīng)用(如果不是NAT，他們必須要能夠繞過放過墻)。所以即使需要對IPv6主機做一些性能上的提升，就這一問題還是能達(dá)成一個合理的規(guī)范的。

　　但是還有一個問題就是IPv4客戶端與IPv6服務(wù)器之間的對話。雖然轉(zhuǎn)換可以在很多相似的地方實施，但問題是：在低端不可能將128位的IPv6地址編碼城32位的IPv4地址去響應(yīng)一個虛假的DNS。在蒙特利爾會議上有相當(dāng)多的討論是關(guān)于是否有解決IPv4客戶端到IPv6服務(wù)器問題的其他方式?，F(xiàn)在，能運行IPv6的服務(wù)器是也可以運行IPv4的，但在因特網(wǎng)上還是有許多只運行IPv4的服務(wù)器。但是，像美國軍方這樣的大用戶表示，他們將來有能力解決IPv4客戶端到IPv6主機之間的問題。

　　這個問題我們遺留下來看能否做出一個折中的方案來解決兩邊的問題，要么盡快拿出一個IPv6-to-IPv4的方案要么就花一點時間來解決IPv4-to-IPv6的問題。

　　另一個有趣的方法是Dual Stack Lite(不是拼寫錯誤，是實際名稱)。它是基于這一觀點的：如果你在一個IPv6網(wǎng)絡(luò)上提供進行過網(wǎng)絡(luò)轉(zhuǎn)換的IPv4隧道連接，無論(否則)只運行 IPv6的主機或者是主機只能運行IPv4的都可以連接目的地為IPv4的主機。DS-Lite的巧妙之處在于雖然通常IPv4的數(shù)據(jù)包被IPv6主機或者僅對IPv4服務(wù)的家庭路由器的轉(zhuǎn)發(fā)是通過隧道方式進行的，但是ISP網(wǎng)絡(luò)處的網(wǎng)絡(luò)地址轉(zhuǎn)換盒子關(guān)心的只是來自IPv6的數(shù)據(jù)包，所以所有的主機都是用地址192.168.0.1是沒有問題的。有趣的是，這使得發(fā)生在這個網(wǎng)絡(luò)地址轉(zhuǎn)換盒的“運營商級的NAT ”(用DS -Lite的說法)幾乎是NAT64由轉(zhuǎn)換的。IETF已經(jīng)決定將像DS-Lite之類的方案標(biāo)準(zhǔn)化。

　　最終，一個以IVI命名的解決方案更新了NAT-PT，SII T類之間映射某些IPv4和IPv6地址。(IVI在中國表示國際疫苗研究所)

　　總的來說，那些只運行IPv6的主機在這幾年仍然可以用那些只在IPv4網(wǎng)絡(luò)上提供的服務(wù)，但是幾年后，IPv4堅持想要和只運行IPv6的網(wǎng)絡(luò)進行聯(lián)系可能就會難上加難了。