Переключение на IPv6 подразумевает сброс NAT. Это хорошо?

Это канонический вопрос об IPv6 и NAT

Связанный:

• Как работает подсеть IPv6 и чем она отличается от подсети IPv4?
• Как я могу «погрузить пальцы» в динамическую сетевую адресацию IPv6?
• IPv6 без nat, но как насчет изменения ISP?

Так что наш провайдер недавно установил IPv6, и я изучал, что переход должен повлечь за собой, прежде чем участвовать в драке.

Я заметил три очень важных вопроса:

1. Наш офисный маршрутизатор NAT (старый Linksys BEFSR41) не поддерживает IPv6. Ни один из более новых маршрутизаторов, AFAICT. Книга, которую я читаю об IPv6, говорит мне, что она делает NAT «ненужным» в любом случае.

2. Если мы должны просто избавиться от этого роутера и подключить все напрямую к Интернету, я начинаю паниковать. Нет никакого черта, что я выложу нашу базу данных счетов (с большим количеством информации о кредитной карте!) В Интернет, чтобы все могли ее увидеть. Даже если бы я предложил настроить на нем брандмауэр Windows, чтобы разрешить доступ к нему только 6 адресам, я все равно был в холодном поту. Я не доверяю Windows, брандмауэру Windows или сети в целом, чтобы даже чувствовать себя удаленно комфортно.

3. Есть несколько старых аппаратных устройств (то есть принтеров), которые абсолютно не поддерживают IPv6. И, вероятно, список проблем безопасности, относящихся к 1998 году. И, скорее всего, никоим образом не исправить их. И нет финансирования для новых принтеров.

Я слышал, что IPv6 и IPSEC должны как-то сделать все это безопасным, но без физически разделенных сетей, которые делают эти устройства невидимыми для Интернета, я действительно не понимаю, как это сделать. Я также могу реально увидеть, как любая защита, которую я создаю, будет разрушена в короткие сроки. Я уже несколько лет эксплуатирую серверы в Интернете, и я достаточно хорошо знаком с вещами, необходимыми для их защиты, но о том, что в сети всегда есть что-то частное, например, наша платежная база данных, не может быть и речи.

Чем я должен заменить NAT, если у нас нет физически отдельных сетей?

Прежде всего, нечего бояться находиться в публичном распределении IP-адресов, если ваши устройства безопасности настроены правильно.

Чем я должен заменить NAT, если у нас нет физически отдельных сетей?

То же самое, что мы физически разделяем их с 1980-х годов, маршрутизаторы и брандмауэры. Один большой выигрыш в безопасности, который вы получаете с помощью NAT, заключается в том, что он принудительно вводит конфигурацию, запрещающую использование по умолчанию. Чтобы получить какой-либо сервис через него, вы должны явно пробить дыры. Более изящные устройства даже позволяют вам применять ACL на основе IP к этим дырам, как брандмауэр. Вероятно, потому что у них есть «Брандмауэр» на коробке, на самом деле.

Правильно настроенный брандмауэр предоставляет точно такую ​​же услугу, что и шлюз NAT. Шлюзы NAT часто используются, потому что им легче войти в безопасную конфигурацию, чем большинство брандмауэров.

Я слышал, что IPv6 и IPSEC должны как-то сделать все это безопасным, но без физически разделенных сетей, которые делают эти устройства невидимыми для Интернета, я действительно не понимаю, как это сделать.

Это заблуждение. Я работаю в университете, который имеет / 16 IPv4-распределение, и подавляющее большинство наших IP-адресов приходится на это публичное распределение. Конечно, все наши рабочие станции и принтеры. Наше потребление RFC1918 ограничено сетевыми устройствами и некоторыми конкретными серверами, где такие адреса требуются. Я не удивлюсь, если вы только что вздрогнули, потому что я, конечно, сделал, когда я появился в мой первый день и увидел пост-это на моем мониторе с моим IP-адресом.

И все же мы выживаем. Почему? Потому что у нас есть внешний брандмауэр, настроенный на запрет по умолчанию с ограниченной пропускной способностью ICMP. Тот факт, что 140.160.123.45 является теоретически управляемым, не означает, что вы можете добраться туда, где бы вы ни находились в общедоступном Интернете. Это то, для чего предназначены брандмауэры.

При правильных настройках маршрутизатора различные подсети в нашем распределении могут быть абсолютно недоступны друг для друга. Вы можете сделать это в таблицах маршрутизаторов или межсетевых экранах. Это отдельная сеть, которая удовлетворяла наших аудиторов в прошлом.

Нет никакого черта, что я выложу нашу базу данных счетов (с большим количеством информации о кредитной карте!) В Интернет, чтобы все могли ее увидеть.

Наша платежная база данных находится на общедоступном IPv4-адресе и существует на протяжении всего ее существования, но у нас есть доказательства того, что вы не сможете получить ее отсюда. Тот факт, что адрес находится в общедоступном маршрутизируемом списке v4, не означает, что он гарантированно будет доставлен. Два межсетевых экрана между пороками Интернета и действительными портами базы данных отфильтровывают зло. Даже со своего стола, за первым брандмауэром, я не могу добраться до этой базы данных.

Информация о кредитной карте - это особый случай. Это зависит от стандартов PCI-DSS, и стандарты прямо указывают, что серверы, содержащие такие данные, должны находиться за шлюзом NAT ¹ . Наши есть, и эти три сервера представляют наше общее использование адресов RFC1918. Это не добавляет никакой безопасности, только уровень сложности, но нам нужно проверить этот флажок для проверок.

Первоначальная идея «IPv6 делает NAT ушедшим в прошлое» была выдвинута до того, как бум в Интернете по-настоящему охватил весь мейнстрим. В 1995 году NAT был обходным путем для небольшого распределения IP. В 2005 году он был закреплен во многих документах по рекомендациям по безопасности и, по крайней мере, в одном основном стандарте (в частности, PCI-DSS). Единственное конкретное преимущество, которое дает NAT, заключается в том, что внешний объект, выполняющий реконфигурацию в сети, не знает, как выглядит IP-пейзаж позади устройства NAT (хотя благодаря RFC1918 у них есть надежное предположение), и на IPv4 без NAT (такой как моя работа) это не так. Это маленький шаг в глубокой защите, а не большой.

Замена адресов RFC1918 - это так называемые уникальные локальные адреса. Как и RFC1918, они не маршрутизируют, если одноранговые узлы специально не разрешат им маршрутизировать. В отличие от RFC1918, они (вероятно) уникальны во всем мире. Трансляторы адресов IPv6, которые переводят ULA в глобальный IP, существуют в аппаратуре с более высоким диапазоном периметра, определенно еще не в аппаратуре SOHO.

Вы можете просто выжить с публичным IP-адресом. Просто имейте в виду, что «public» не гарантирует «достижимость», и у вас все будет хорошо.

Обновление 2017

В последние несколько месяцев Amazon AWS добавила поддержку IPv6. Он только что был добавлен к их предложению amazon-vpc , и их реализация дает некоторые подсказки относительно того, как ожидаются крупномасштабные развертывания.

• Вы получили распределение / 56 (256 подсетей).
• Распределение является полностью маршрутизируемой подсетью.
• От вас ожидают, что правила брандмауэра ( группы безопасности ) будут установлены соответствующим образом.
• NAT отсутствует, он даже не предлагается, поэтому весь исходящий трафик будет поступать с фактического IP-адреса экземпляра.

Чтобы добавить одно из преимуществ безопасности NAT, они теперь предлагают выходной интернет-шлюз только для выхода . Это предлагает одно NAT-подобное преимущество:

• Подсети позади этого не могут быть напрямую доступны из Интернета.

Что обеспечивает уровень глубокой защиты на случай, если неправильно настроенное правило брандмауэра случайно разрешит входящий трафик.

Это предложение не переводит внутренний адрес в один адрес, как это делает NAT. Исходящий трафик по-прежнему будет иметь исходный IP-адрес экземпляра, который открыл соединение. Операторам брандмауэра, которые ищут ресурсы для белого списка в VPC, будет лучше использовать сетевые блоки белого списка, а не конкретные IP-адреса.

Маршрутизация не всегда означает достижимость .

¹ : Стандарты PCI-DSS изменились в октябре 2010 года, заявление, предписывающее адреса RFC1918, было удалено, и его заменила «изоляция сети».

Наш офисный маршрутизатор NAT (старый Linksys BEFSR41) не поддерживает IPv6. Ни один из более новых маршрутизаторов

IPv6 поддерживается многими маршрутизаторами. Просто не так много дешевых, ориентированных на потребителей и SOHO. В худшем случае, просто используйте коробку с Linux или перепрограммируйте свой маршрутизатор с помощью dd-wrt или чего-то еще, чтобы получить поддержку IPv6. Есть много вариантов, вам, вероятно, просто нужно выглядеть сложнее.

Если мы должны просто избавиться от этого маршрутизатора и подключить все напрямую к Интернету,

Ничто в переходе на IPv6 не предполагает, что вам следует избавляться от устройств защиты периметра, таких как ваш маршрутизатор / брандмауэр. Маршрутизаторы и брандмауэры по-прежнему будут обязательным компонентом практически каждой сети.

Все маршрутизаторы NAT эффективно действуют как межсетевой экран с отслеживанием состояния. В использовании адресов RFC1918 нет ничего волшебного, что вас так сильно защищает. Это бит состояния, который делает тяжелую работу. Правильно настроенный брандмауэр защитит вас также, если вы используете реальные или частные адреса.

Единственная защита, которую вы получаете от адресов RFC1918, - это то, что люди могут избежать ошибок / лени в конфигурации вашего брандмауэра и при этом не быть такими уж уязвимыми.

Есть несколько старых аппаратных устройств (то есть принтеров), которые абсолютно не поддерживают IPv6.

Так? Маловероятно, что вам нужно будет сделать это доступным через Интернет, а во внутренней сети вы можете продолжать использовать IPv4 и IPv6, пока все ваши устройства не будут поддерживаться или заменяться.

Если запуск нескольких протоколов не возможен, возможно, вам придется настроить какой-либо шлюз / прокси.

IPSEC должны как-то обезопасить все это

IPSEC шифрует и аутентифицирует пакеты. Это не имеет никакого отношения к избавлению от вашего пограничного устройства, и имеет больше защиты данных при передаче.

Да. NAT мертв. Были некоторые попытки ратифицировать стандарты для NAT через IPv6, но ни один из них так и не появился.

Это на самом деле вызвало проблемы у провайдеров, которые пытаются соответствовать стандартам PCI-DSS, так как стандарт фактически утверждает, что вы должны быть за NAT.

Для меня это одни из самых замечательных новостей, которые я когда-либо слышал. Я ненавижу NAT и еще больше ненавижу NAT операторского уровня.

NAT когда-либо предназначался только для решения проблемы, пока IPv6 не станет стандартом, но он укоренился в интернет-сообществе.

В течение переходного периода вы должны помнить, что IPv4 и IPv6, помимо схожего имени, совершенно разные ¹ . Таким образом, на устройствах с двумя стеками ваш IPv4 будет NAT, а ваш IPv6 - нет. Это почти как два совершенно разных устройства, просто упакованные в один кусок пластика.

Итак, как работает доступ в Интернет по протоколу IPv6? Ну, как интернет работал до того, как был изобретен NAT. Ваш интернет-провайдер назначит вам диапазон IP-адресов (как и сейчас, но обычно он назначает вам / 32, что означает, что вы получаете только один IP-адрес), но ваш диапазон теперь будет иметь миллионы доступных IP-адресов. Вы можете заполнить эти IP-адреса по своему усмотрению (с автоматической настройкой или DHCPv6). Каждый из этих IP-адресов будет виден с любого другого компьютера в Интернете.

Звучит страшно, правда? Ваш контроллер домена, домашний медиа ПК и ваш iPhone с скрытым тайником порнографий все будет с , доступными в Интернете ?! Ну нет. Вот для чего нужен брандмауэр. Еще одна замечательная особенность IPv6 заключается в том, что он заставляет брандмауэры использовать подход «Разрешить все» (как и большинство домашних устройств) в подходе «запретить все», где вы открываете службы для определенных IP-адресов. 99,999% домашних пользователей с радостью сохранят свои брандмауэры по умолчанию и будут полностью заблокированы, что означает, что не будет разрешен трафик без запроса.

¹ _{Хорошо, это намного больше, чем это, но они никоим образом не совместимы друг с другом, хотя они оба допускают использование одних и тех же протоколов.}

Хорошо известно, что требование PCI-DSS для NAT является театром безопасности, а не реальной защитой.

Самая последняя версия PCI-DSS отказалась от вызова NAT как абсолютного требования. Многие организации прошли аудит PCI-DSS с IPv4 без NAT, в котором брандмауэры с сохранением состояния представлены как «эквивалентные реализации безопасности».

Существуют и другие документы, относящиеся к театру безопасности, в которых содержится призыв к NAT, но, поскольку он уничтожает контрольные журналы и затрудняет расследование / устранение инцидентов, более глубокое изучение NAT (с или без PAT) может быть отрицательным для безопасности системы.

Хороший межсетевой экран с сохранением состояния без NAT - это превосходное решение для NAT в мире IPv6. В IPv4 NAT является необходимым злом, которое нужно терпеть ради сохранения адреса.

(К сожалению) пройдет некоторое время, прежде чем вы сможете обойтись без единой сети IPv6. До тех пор способ запуска - двойной стек с предпочтением IPv6, если он доступен.

Хотя большинство потребительских маршрутизаторов сегодня не поддерживают IPv6 со стоковыми прошивками, многие могут поддерживать его со сторонними прошивками (например, Linksys WRT54G с dd-wrt и т. Д.). Кроме того, многие устройства бизнес-класса (Cisco, Juniper) поддерживают IPv6 "из коробки".

Важно не путать PAT (много-к-одному NAT, как это принято на потребительских маршрутизаторах) с другими формами NAT и с межсетевым экраном без NAT; как только Интернет станет доступным только для IPv6, брандмауэры по-прежнему будут препятствовать работе внутренних служб. Аналогично, система IPv4 с индивидуальным NAT не защищена автоматически; это работа политики брандмауэра.

В этом вопросе много путаницы, поскольку сетевые администраторы видят NAT в одном свете, а малый бизнес и частные клиенты видят его в другом. Позвольте мне уточнить.

Статический NAT (иногда называемый NAT-to-one NAT) не обеспечивает абсолютно никакой защиты вашей частной сети или отдельного ПК. Смена IP-адреса не имеет смысла с точки зрения защиты.

Динамический перегруженный NAT / PAT, как и то, что делают большинство жилых шлюзов и точек доступа Wi-Fi, абсолютно помогает защитить вашу частную сеть и / или ваш компьютер. По своей структуре таблица NAT в этих устройствах является таблицей состояний. Он отслеживает исходящие запросы и отображает их в таблице NAT - время соединения истекает через определенное время. Любые незапрошенные входящие кадры, которые не соответствуют тому, что находится в таблице NAT, по умолчанию отбрасываются - маршрутизатор NAT не знает, куда отправить их в частной сети, поэтому он отбрасывает их. Таким образом, единственным устройством, которое вы оставляете уязвимым для взлома, является ваш маршрутизатор. Поскольку большинство эксплойтов безопасности основано на Windows, наличие такого устройства между Интернетом и ПК с Windows действительно помогает защитить вашу сеть. Это может быть не изначально предназначенная функция, который должен был сэкономить на общедоступных IP-адресах, но он выполняет свою работу. В качестве бонуса большинство из этих устройств также имеют возможности брандмауэра, которые по умолчанию часто блокируют запросы ICMP, что также помогает защитить сеть.

Учитывая вышеприведенную информацию, утилизация с NAT при переходе на IPv6 может подвергнуть миллионы устройств для потребителей и малого бизнеса потенциальному взлому. Это не окажет практически никакого влияния на корпоративные сети, поскольку они имеют профессионально управляемые межсетевые экраны на своем краю. Сети потребителей и малого бизнеса могут, возможно, больше не иметь маршрутизатор NAT на базе * nix между Интернетом и их ПК. Нет никаких причин, по которым человек не мог бы переключиться на решение только с брандмауэром - гораздо безопаснее при правильном развертывании, но и за рамками того, что 99% потребителей понимают, как это сделать. Динамический перегруженный NAT обеспечивает некоторую защиту только благодаря его использованию - подключите ваш домашний маршрутизатор, и вы защищены. Легко.

Тем не менее, нет никаких причин, по которым NAT нельзя использовать точно так же, как он используется в IPv4. Фактически, маршрутизатор может быть спроектирован так, чтобы иметь один IPv6-адрес на порте WAN с частной сетью IPv4 за ним, к которой подключен NAT (например). Это было бы простым решением для потребителей и бытовых людей. Другим вариантом является размещение всех устройств с общедоступными IP-адресами IPv6 - тогда промежуточное устройство может действовать как устройство L2, но предоставляет таблицу состояний, проверку пакетов и полностью работающий межсетевой экран. По сути, нет NAT, но все еще блокирует любые нежелательные входящие кадры. Важно помнить, что вы не должны подключать свои ПК напрямую к WAN-соединению без посредников. Если, конечно, вы не хотите полагаться на брандмауэр Windows. , , и это другое обсуждение.

Будут некоторые проблемы роста с переходом на IPv6, но нет никаких проблем, которые не могут быть решены довольно легко. Придется ли вам отказаться от старого маршрутизатора IPv4 или жилого шлюза? Возможно, но когда придет время, появятся недорогие новые решения. Надеюсь, многим устройствам просто понадобится прошивка. Может ли IPv6 быть спроектирован так, чтобы более органично вписываться в текущую архитектуру? Конечно, но это то, что есть, и оно не уходит - так что вы могли бы также изучить это, жить этим, любить это.

Если NAT выживет в мире IPv6, он, скорее всего, будет 1: 1 NAT. Форма NAT, никогда не встречавшаяся в пространстве IPv4. Что такое NAT 1: 1? Это перевод 1: 1 глобального адреса на локальный адрес. Эквивалент IPv4 будет переводить все соединения в 1.1.1.2 только в 10.1.1.2 и т. Д. Для всего пространства 1.0.0.0/8. Версия IPv6 будет переводить глобальный адрес в уникальный локальный адрес.

Повышенная безопасность может быть обеспечена за счет частого поворота сопоставления для адресов, которые вам не нужны (например, пользователи внутреннего офиса, просматривающие Facebook). Внутренне, ваши номера ULA останутся прежними, так что ваш DNS с разделенным горизонтом продолжит работать просто отлично, но внешне клиенты никогда не будут на предсказуемом порту.

Но на самом деле, это небольшая улучшенная защита от хлопот, которые он создает. Сканирование подсетей IPv6 является действительно большой задачей и неосуществимо без некоторого изучения того, как IP-адреса назначаются в этих подсетях (метод генерации MAC-адресов «Случайный метод», статическое назначение адресов, читаемых человеком »).

В большинстве случаев происходит то, что клиенты, находящиеся за корпоративным брандмауэром, получат глобальный адрес, возможно, ULA, и брандмауэр периметра будет настроен так, чтобы запретить все входящие подключения любого типа к этим адресам. Во всех отношениях эти адреса недоступны извне. Как только внутренний клиент инициирует соединение, пакеты будут пропущены по этому соединению. Необходимость изменить IP-адрес на что-то совершенно иное решается путем принуждения злоумышленника пролистать 2 ^ 64 возможных адресов в этой подсети.

RFC 4864 описывает защиту локальной сети IPv6 , набор подходов для обеспечения ощутимых преимуществ NAT в среде IPv6, фактически не прибегая к NAT.

В этом документе описан ряд методов, которые могут быть объединены на сайте IPv6 для защиты целостности его сетевой архитектуры. Эти методы, известные под общим названием «Защита локальной сети», сохраняют концепцию четко определенной границы между «внутренней» и «внешней» частной сетью и обеспечивают межсетевой экран, скрытие топологии и конфиденциальность. Однако, поскольку они сохраняют прозрачность адресов там, где это необходимо, они достигают этих целей без недостатка преобразования адресов. Таким образом, защита локальной сети в IPv6 может обеспечить преимущества трансляции сетевых адресов IPv4 без соответствующих недостатков.

Сначала в нем описываются предполагаемые преимущества NAT (и, если необходимо, отлаживает их), затем описываются функции IPv6, которые можно использовать для обеспечения тех же преимуществ. Он также предоставляет заметки по реализации и тематические исследования.

Хотя здесь слишком много времени для перепечатки, обсуждаются следующие преимущества:

• Простой шлюз между «внутри» и «снаружи»
• Stateful firewall
• Отслеживание пользователей / приложений
• Конфиденциальность и скрытие топологии
• Независимый контроль адресации в частной сети
• Многодомность / перенумерация

Это в значительной степени охватывает все сценарии, в которых может потребоваться NAT, и предлагает решения для их реализации в IPv6 без NAT.

Вот некоторые из технологий, которые вы будете использовать:

• Уникальные локальные адреса. Предпочитайте их во внутренней сети, чтобы внутренняя связь оставалась внутренней и чтобы внутренние связи могли продолжаться даже в случае сбоя интернет-провайдера.
• Расширения конфиденциальности IPv6 с короткими временами жизни адресов и явно не структурированными идентификаторами интерфейса: они помогают предотвратить атаку отдельных узлов и сканирование подсети.
• IGP, Mobile IPv6 или VLAN могут использоваться для скрытия топологии внутренней сети.
• Наряду с ULA, DHCP-PD от ISP упрощает перенумерацию / множественную адресацию по сравнению с IPv4.

( См. RFC для полной информации; опять же, это слишком долго, чтобы перепечатывать или даже брать существенные выдержки из.)

Для более общего обсуждения безопасности перехода IPv6 см. RFC 4942 .

Что-то вроде. На самом деле существуют разные «типы» адресов IPv6. Ближайший к RFC 1918 (10/8, 172.16 / 12, 192.168 / 16) называется «Уникальный локальный адрес» и определен в RFC 4193:

http://en.wikipedia.org/wiki/Unique_local_address

Итак, вы начинаете с fd00 :: / 8, затем добавляете 40-битную строку (используя предварительно определенный алгоритм в RFC!), И в итоге вы получаете псевдослучайный префикс / 48, который должен быть глобально уникальным. У вас есть оставшаяся часть адресного пространства для назначения, как вы хотите.

Вам также следует заблокировать fd00 :: / 7 (fc00 :: / 8 и fd00 :: / 8) на маршрутизаторе (IPv6) за пределами вашей организации - отсюда «local» в имени адреса. Эти адреса, находящиеся в глобальном адресном пространстве, не должны быть доступны всему миру, просто в вашей «организации».

Если вашим серверам PCI-DSS требуется IPv6 для подключения к другим внутренним хостам IPv6, вы должны сгенерировать префикс ULA для своей компании и использовать его для этой цели. При желании вы можете использовать автоконфигурацию IPv6, как и любой другой префикс.

Учитывая, что IPv6 был разработан таким образом, чтобы узлы могли иметь несколько адресов, у компьютера может быть, в дополнение к ULA, также глобально маршрутизируемый адрес. Таким образом, веб-сервер, который должен общаться как с внешним миром, так и с внутренними машинами, может иметь как префиксный адрес, назначенный провайдером, так и ваш префикс ULA.

Если вам нужна NAT-подобная функциональность, вы можете взглянуть и на NAT66, но в целом я бы разработал ULA. Если у вас есть дополнительные вопросы, вы можете проверить список рассылки «ipv6-ops».

ИМХО: нет.

Есть еще места, где SNAT / DNAT могут быть полезны. Например, некоторые серверы были перенесены в другую сеть, но мы не хотим / не можем изменить IP приложения.

Надеюсь, NAT уйдет навсегда. Это полезно только в том случае, если у вас нехватка IP-адресов и нет функций безопасности, которые не предоставляются лучше, дешевле и легче управляются с помощью межсетевого экрана с отслеживанием состояния.

Поскольку IPv6 = больше не является дефицитом, это означает, что мы можем избавить мир от отвратительного взлома NAT.

Я не видел однозначного ответа о том, как потеря NAT (если он действительно исчезнет) с IPv6 повлияет на конфиденциальность пользователей.

Благодаря публичному раскрытию IP-адресов отдельных устройств веб-службам будет намного проще отслеживать (собирать, хранить, агрегировать во времени и пространстве и сайтах и ​​облегчать множество вторичных использований) ваши путешествия по Интернету с ваших различных устройств. Если только ... Интернет-провайдеры, маршрутизаторы и другое оборудование не позволяют и легко иметь динамические адреса IPv6, которые можно часто менять для каждого устройства.

Конечно, независимо от того, что у нас все еще будет проблема доступности статических MAC-адресов Wi-Fi, но это другая история ...

Существует много схем поддержки NAT в сценарии перехода с V4 на V6. Однако, если у вас есть вся сеть IPV6 и вы подключены к вышестоящему провайдеру IPV6, NAT не является частью нового мирового порядка, за исключением того, что вы можете туннелировать между сетями V4 через сети V6.

У Cisco есть много общей информации о сценариях 4to6, миграции и туннелировании.

http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-nat_trnsln_ps6350_TSD_Products_Configuration_Guide_Chapter.html

http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-tunnel.html

Также в Википедии:

https://secure.wikimedia.org/wikipedia/en/wiki/IPv6_transition_mechanisms

Политика и базовая деловая практика, скорее всего, будут способствовать существованию NAT. Множество адресов IPv6 означает, что интернет-провайдеры будут склонны взимать плату за устройство или ограничивать соединения только ограниченным числом устройств. Смотрите эту недавнюю статью на /. например:

http://news.slashdot.org/story/11/03/17/0157239/British-ISPs-Could-Charge-Per-Device

К вашему сведению, любой интересный использует NAT / NAPT с IPV6 может. Все операционные системы BSD с PF поддерживают NAT66. Работает отлично. Из блога мы использовали :

ipv6 nat (nat66) от FreeBSD pf

хотя nat66 еще находится в стадии разработки, но FreeBSD pf уже поддерживает его в течение длительного времени.

(отредактируйте pf.conf и вставьте следующие коды)

v6_wan_if="your-v6-wan-interface-name"

v6_wan_ip="your-v6-wan-ip-address"

no nat on $v6_wan_if inet6 from $v6_wan_ip to any

nat on $v6_wan_if inet6 from any to any -> $v6_wan_ip    

У вас все настроено!

Отлично работает для нас, людей, которые годами используют squid с одним IP-адресом. С помощью IPv6 NAT я могу получить 2 ^ 120 частных адресов (локальных сайтов), которые включают в себя 2 ^ 56 подсетей с моими 5/64 подсетями. Это значит, что я должен быть в 100 миллиардов раз умнее любого другого гуру IPv6, потому что у меня больше адресов.

Правда в том, что только то, что у меня больше адресов (или, возможно, я использовал IPv6 дольше, чем вы), на самом деле не делает IPv6 (или меня по той же проблеме) лучше. Это, однако, делает IPv6 более сложным, когда вместо PAT требуется брандмауэр, а NAT больше не является обязательным требованием, но является опцией. Цель брандмауэра - разрешить все исходящие соединения и сохранить состояние, но заблокировать входящие инициированные соединения.

Что касается NAPT (NAT с PAT), потребуется некоторое время, чтобы вывести людей из менталитета. Например, пока мы не сможем заставить вашего прадеда настроить его собственный брандмауэр IPv6 без локальной адресации сайта (частных адресов) и без какой-либо помощи гуру, было бы неплохо поиграть с возможной идеей NAT, так как это будет все, что он знает.

Недавние предложения, выдвинутые для ipv6, предполагают, что инженеры, работающие над новой технологией, будут включать NAT в ipv6, причина этого: NAT предлагает дополнительный уровень безопасности.

Документация находится на веб-сайте ipv6.com, так что, похоже, все эти ответы о том, что NAT не предлагает никакой защиты, выглядят немного смущенными

Я понимаю, что в какой-то момент в будущем (это можно только предположить) региональные адреса IPv4 неизбежно закончатся. Я согласен, что IPv6 имеет ряд серьезных недостатков. Проблема NAT чрезвычайно важна, поскольку она обеспечивает безопасность, избыточность, конфиденциальность и позволяет пользователям подключать практически любое количество устройств без ограничений. Да, брандмауэр является золотым стандартом против нежелательных вторжений в сеть, но NAT не только добавляет еще один уровень защиты, он также обычно обеспечивает безопасность по умолчанию, независимо от конфигурации брандмауэра или знаний конечного пользователя, независимо от того, как вы определяете его IPv4. с NAT и брандмауэром по-прежнему более безопасным, чем IPv6 только с брандмауэром. Другая проблема - это конфиденциальность, наличие маршрутизируемого интернет-адреса на каждом устройстве откроет пользователям все возможные потенциальные нарушения конфиденциальности, сбор личной информации и отслеживание таким способом, который вряд ли можно себе представить сегодня в такой массе. Я также придерживаюсь мнения, что без Nat мы можем быть открыты для дополнительных расходов и контроля через Isp's. Isp может начать заряжаться на устройстве или на уровне пользователя, как мы уже видели при использовании USB-модема, это значительно уменьшило бы свободу конечного пользователя открыто подключать любое устройство, которое они считают подходящим, на линии. На данный момент немногие провайдеры США предлагают IPv6 в любой форме, и я чувствую, что нетехнические компании будут переключаться медленно из-за добавленной стоимости с небольшой прибылью или без нее.