網路地址轉換(NAT)技術是否拖慢了互聯網發展?

1993年,互聯網工程任務組(IETF)成立了工作小組研究新一代的IP技術。1996年,IPv6的若干標準被正式提出。

1994年,NAT技術被提出。

這兩者被提出之間的時間差距並不算大,但是現在NAT技術已經普及到了千家萬戶,而IPv6與NAT相比卻基本沒有進展。那麼IPv6是否真的遠遠優於IPv4?如果是這樣的話,那麼NAT技術的存在是否一定程度上影響了IPv4轉向IPv6的進程,從而影響到了互聯網的發展?


持正方觀點的人認為如果沒有NAT技術,由於IPv4地址供不應求,會倒逼產業界大力發展IPv6,進而完全取代IPv4技術,互聯網發展會更好。

持反方觀點的人認為,恰恰由於NAT技術的存在,使得人人都可以輕鬆上網,才促進了互聯網蓬勃發展。沒有互聯網的深入人心,也沒有現如今萬物互聯的物聯網的發展。

作者是支持反方觀點的,NAT技術是互聯網發展特定時期的火箭推進器

為了發射一顆衛星,需要一級火箭、二級火箭的推升,衛星才能最終被推送到特定的軌道上。NAT技術就像那個一級火箭一樣,它在互聯網發展起到助力推升的作用。但是NAT技術正如一級火箭的命運一樣,最終會退出歷史舞台,但不能因為推出歷史舞台而否定它的做出的歷史貢獻。

在這20多年的互聯網發展中,業界越來越認識到互聯網對新型經濟的重要性,同時隨著越來越多通信設備需要IP地址互聯,業界也越來越清晰認識到IPv4地址對互聯網發展的掣肘。

一方面,通過給IPv4打技術補丁,這個技術補丁就是NAT技術,這樣可以保證絕大多數的應用程序,在NAT的幫助下至少可以通信。君不見人人手持一台移動手機,依靠IPv4 + NAT,刷知乎、聊天、視頻、購物。。。

另一方面,業界也在大力發展IPv6技術,目前絕大多數的只能手機終端、電腦、路由器、交換機、防火牆等設備已經支持雙協議棧,一個IPv4協議棧,另一個是IPv6協議棧。如果有讀者不相信這一點,可以在自己的手機終端、電腦上查看一下便知。

有DHCP的幫助,只要網路切換到IPv6,用戶自然就會通過DHCP拿到IPv6的IP地址等上網參數,壓根不需要用戶參與繁瑣的IPv6配置過程,這一切對用戶是透明的,換句話說,IPv4切換到IPv6用戶是不會感覺到的。

既然IPv6一切(網路、終端)就緒,那為何不將互聯網從IPv4切換到IPv6呢?

這是一個關乎全球每一個人的系統工程,裡面隱藏著很多風險,比如一些應用程序會在應用層嵌入IPv4地址,遷移到IPv6網路會第一個罷工。

而IPv4歷經那麼多年的風雨考驗,成熟而穩定,IPv6處於小範圍的試驗階段,隱含著未知的風險。

IPv4儘管IP地址短缺,但在NAT的幫助下,依然活的好好的。

IPv6儘管IP地址充沛,但遷移的系統風險,是難以評估而控制的。

該來的總會來了,儘管比2018第一場雪來的晚一些,IPv6一定會取代IPv4。

這個過程不是一蹴而就的,會是一個緩慢的過程,IPv6會一點點擴大自己的勢力範圍。在這漫長的歲月里,NAT技術會繼續存在,用於NAT44,用於NAT64,這樣就可以保證IPv4的主機與IPv6通信。這個過程可以概括為「兼容並蓄、蠶食市場、取而代之」

NAT安全性

NAT技術首要目標是讓用戶上網,這個技術聽起來很抽象,如果說NAT技術是一項代理技術,可能讀者會更好理解一點。這個代理是否可以提供一點安全性?

如果沒有NAT,用戶電腦直接暴露在Internet上,電腦也沒有開啟防火牆,電腦上默認打開一些埠,Internet上的用戶是可以掃描並訪問的,比如135/136/137/139/445,就可以利用這些埠上的安全漏洞來開採這台電腦。

有了NAT設備的存在,掃描用戶埠的工作幾乎不可能,除非NAT設備手工做了靜態映射。而動態NAT映射只是用戶主動訪問互聯網才產生的,問題用戶會使用「135/136/137/139/445」這些知名埠做為源埠訪問互聯網嗎? 當然不會。

但NAT提供的安全性屬於副產品,提供的安全性在新式攻擊方法面前顯得非常無力

NAT提供的安全性,可以歸納為一句話,「把洪水猛獸擋在門外就安全了」

一般NAT提供兩種方法:

(1) 動態NAT

只允許區域網用戶主動訪問Internet,動態自動生成

(2) 靜態NAT

允許Internet用戶訪問區域網特定埠資源,手工配置生成

如果用戶沒有手工配置靜態NAT,那麼區域網只允許一種流量,即區域網用戶主動訪問Internet

攻擊者恰恰就是利用用戶主動訪問Internet的時候,誘惑用戶去點擊一些惡意鏈接下載一些軟體,把病毒通過用戶主動的方式,搬運到用戶的電腦上。

這些惡意軟體/代碼,無需用戶的干預,每次開機自動運行,收集電腦上的感興趣內容,源源不斷發送給Internet上的伺服器。這些伺服器還可以下達特定的命令,讓這些惡意軟體執行。從某種意義上來說,用戶的電腦雖然還在家中,但已不完全屬於用戶了!

對於這種攻擊,NAT是無能為力的,NAT只是做基於IP/Port的轉換,對於用戶下載的文件里可能攜帶惡意代碼是不可能知道的。

由於NAT通常位於Internet與區域網的邊界,而防火牆也位於這兩者邊界,所以很多防火牆都兼有NAT功能。

防火牆深度檢查進出的報文的應用層,匹配到病毒庫的signature(特徵碼),會將報文拒之門外,這樣就可以保護區域網的用戶電腦。

這種基於signature的方法,只能對付現有的病毒,無法處理新發明的病毒。

總結一下

長江之水後浪打前浪,前浪死在沙灘上。

IPv6未來一定會取代IPv4,前景是光明的,但道路是曲折的!

NAT技術推動了互聯網的蓬勃發展,而不是阻礙了互聯網的發展,功不可沒,這點是無法否認的!


先回答題主的問題

是的,NAT肯定是一定程度拖累了v6的普及,而且還衍生出了CGN這種方案…

再來看其它爭議問題

NAT是不是個安全技術?

不是為安全而生,不代表它不能作為安全技術來用

剪了網更安全?

這是什麼邏輯?安全=不可訪問?

安全怎麼看也應該是"可控的訪問"吧?

最後

老強調自己IETF什麼什麼的,沒什麼意思吧?IETF落不了地的標準很多誒…

還有說都是人的問題我也不是很同意,畢竟很多事技術人員說了並不算…

更何況,業務問題擺在那裡,你當年沒有推動起來的東西,現在推動的難度更大,也沒有辦法…

標準是一回事,落地是另一回事…

話說好像最近工信部下文推動v6落地了的…有的時候,真的是政治力量最強啊…


你對IPv4和IPv6是不是有什麼誤會?

你自己都說了,到96年IPv6才被提出。IPv4早在80年就已經提出了,到了90年代因為大量聯網設備的普及才發現地址空間不夠用才想辦法去解決,這個時候能用低成本解決的方法當然是在原有的IPv4協議上去增加地址空間,也就是NAT技術的出現。IPv6對IPv4的最大優勢當然就是它幾乎無限的地址空間(當然實際也是有限的,2的128次方)。但是你也要知道,在IPv4已經大量普及的情況下推廣一個新的協議,需要大量的設備更換成本,為了降低成本只能是將這個切換過程緩慢地推進,實際上,直到今天,依然有大量設備是運行在不支持IPv6協議的古董機器上的。所以實際不存在NAT技術拖慢了互聯網發展這件事情,真正會拖慢普及的完全是成本問題而不是技術問題。


在一些技術型企業,有時候有了新的技術,新的解決方案,同樣要解決如何說服別人去用的這個問題。這個問題可能發生在企業內部,也可能發生在企業之間。

首先別人為什麼要換?如果現有的技術方案別人完全能滿足需求,肯定是非常難推動別人去修改的。「不換就是拖慢了公司發展」 這種帽子扣別人頭上,別人肯定會很搞笑的看著你。畢竟人家改,也是有時間和工作量,成本,風險機會成本要付出的。人家肯定也要衡量收穫/付出比。你光動嘴皮子,付出些時間,就能收穫1.技術方案被別人採納 2. 別人可能直接或間接的依賴你的維護,(軟體或者硬體)組件,你以為別人心裡沒有一桿秤嗎?

其次,你新的技術方案有哪些突破性的優點?這有時候也是別人的衡量點,你真的準備好介紹文檔了嗎?這種優點一般要能夠量化,數據要有說服力,而且提升個x% x&<100 一般就別提了。

最後 ,很多需求方總是有一些特殊的邊緣需求,你在給別人介紹的技術方案主體中,很可能覆蓋不到。當別人提出的時候,你能否在介紹過程的問答環節第一時間給出一個沒有明顯漏洞的解決方案?這既考驗你的方案的技術成熟度,也考驗你對別人需求調研的成熟度。比如NAT可以作為一些安全措施的輔助,這個問題被提出的時候你看樓下ipv6的擁護者是怎麼回應的?


kubernetes在每台機子上跑一個nat照樣是未來的技術發展方向呢

看不慣的人將來都會因為找不到飯碗滾蛋~


推薦閱讀:

智能路由這麼火,為什麼TPlink沒有這樣的戰略,它的營銷怎麼那麼低調?
為什麼電腦的ip地址要和網關的ip同一個子網才可以上網?
家裡路由器放哪個位置最好?物理學家教你
路由器 AP、路由、中繼、橋接模式的區別
360安全路由2評測:百兆寬頻大房子家庭的穿牆利器

TAG:路由器 | 互聯網行業 | IT行業 | TCPIP |