文章目录
- 为什么需要NAT66
- NAT66是如何工作的
- IPv6私网用户通过NAT66访问公网的应用
NAT66(IPv6-to-IPv6 Network Address Translation)是一种IPv6地址之间的转换技术,可以将一个IPv6地址前缀转换为另一个IPv6地址前缀。当IPv6私网用户接入IPv6公网时,可以使用NAT66,使得私网IPv6用户在获取资源的同时,保护隐私和安全。
为什么需要NAT66
NAT技术的演进
源于全球互联设备的爆炸增长,IPv4的地址空间已经不足以满足当前和未来的需求。NAT作为一种IP地址转换技术,可以一定程度地解决这个问题。IPv6(Internet Protocol Version 6,第6版互联网协议)技术的不断发展和政府积极开展IPv6应用推广的呼吁,IPv4逐步向IPv6转型。
随着IP网络更新换代的进程,NAT技术也在不断地演进。NAT技术的演进经历了多个不同时期,如下表所示。
表1-1 NAT技术的演进进程
根据上表信息可以得知:NAT技术的核心价值是解决IPv4地址不足和安全性不足的问题。那么,在IPv6的应用越来越广泛的今天,NAT技术又进行了怎样的演进呢?另外,当IPv6私网用户接入公网时,又该如何保护用户的隐私安全呢?
为响应IPv6私网用户对于隐私保护的需求,以及响应网络提供商对于节省IPv6地址和简化配置的需求,NAT66应运而生。
NAT66的核心价值是什么
当IPv6私网用户希望访问外部IPv6公共网络资源时,直接访问IPv6外网可能会造成IPv6私网用户用户信息暴露,而且IPv6私网用户地址动态分配,直接和外网互通会造成配置复杂,不易维护。NAT66是指IPv6地址之间的转换技术,可以同时解决用户侧对于安全性的需求和网络提供商对于简化配置的需求。NAT66的技术价值可总结为以下两点:
保护私网IPv6用户的隐私和安全
NAT66可以将IPv6私网地址转换为IPv6公网地址。当IPv6私网用户接入IPv6公网获取资源时,NAT66可以将IPv6私网用户的源地址进行转换,这样,即使是在转换后的公网地址被攻击的情况下,也可以保护私网用户的源地址不被泄露。除此之外,NAT66还可以通过识别流量的IP地址以及UDP目的端口号、TCP目的端口号对流量进行筛查,被视为攻击流量的流量特征会被加入到NAT66黑名单。NAT66会对列入黑名单的流量进行过滤,从而起到防攻击的目的。简化配置
NAT66设备部署在网络边缘,当分配给IPv6私网用户的公网地址前缀发生变化时,只需要修改网关设备的NAT66配置,无需修改私网IP配置,从而简化了配置,有助于降低IPv6网络维护和管理成本。
NAT66是如何工作的
在了解了NAT66的核心价值后,那么,NAT66又是如何工作的呢?
NAT66的转换方式
NAT66有两种转换方式,分别为NPTv6(IPv6-to-IPv6 Network Prefix Translation,IPv6-to-IPv6网络前缀转换)方式和静态NAT66方式,两种转换方式的区别如下表所示。
表1-2 NAT66的两种转换方式
简而言之,NAT66的两种转换方式基本相同,而区别在于NPTv6会根据IP地址转换前后地址前缀的变化,将前缀变化的补偿值加到接口ID上。
NAT66的转换原理
NAT66的工作原理如图所示,此工作原理同时适用于NPTv6和静态NAT66。
NAT66的工作原理
当IPv6的私网用户试图获取IPv6公网资源时,NAT66设备的处理过程如下:
- 当NAT66设备收到了Intranet中的Host设备发送的报文后,配置ACL引流策略将命中流策略的报文引入业务板进行处理。
- 业务板根据报文的源IPv6地址查找NAT66实例下配置的前缀映射关系进行NAT66转换。根据NAT66转换方式的不同,转换后的地址也不相同。当选择NPTv6方式时,会使用配置的外网前缀替换源地址的前缀,同时根据RFC规定根据转换前后前缀的变化,将前缀变化的补偿值加到接口ID上从而转换IPv6的接口标识部分。当选择静态NAT66方式时,只用配置的外网前缀替换源地址的前缀,建立会话,然后将报文发送至公网。
- NAT66设备收到Web Server的报文后,通过查找会话表匹配到步骤2中建立的表项,根据会话表项转换报文的目的地址,然后将报文发送至内网。
IPv6私网用户通过NAT66访问公网的应用
IPv6私网用户访问IPv6公网资源是NAT66的核心使用场景。如图所示,NAT66部署在CR(Core Router,核心路由器)/SR(Service Router,业务路由器)上,通过流量触发NAT66分配IPv6公网地址。某IPv6私网用户的地址前缀为2001:db8:1::1,为了能够隐藏用户的地址保护隐私安全,可以通过NAT66设备将私网用户使用的IPv6地址前缀转换为2001:db8:2::1。
IPv6私网用户通过NAT66访问公网的应用示意图
)
批量删除 `sys_job_log` 表)
 | 洛谷 B3758 括号序列)
)
