曾幾何時(shí),任何人都可以得到一個(gè)靜態(tài)互聯(lián)網(wǎng)協(xié)議(IP)C/24類(lèi)地址。這意味著獲得了256個(gè)地址,不過(guò)由于實(shí)際上0.0和0.255是不能使用的,還有一個(gè)地址被分配給網(wǎng)關(guān),所以能夠使用的數(shù)目是253。但是,對(duì)于大多數(shù)小企業(yè)來(lái)說(shuō),這已經(jīng)是綽綽有余了。真是此一時(shí),彼一時(shí)啊。
現(xiàn)在,ISP們不會(huì)輕易將C/24類(lèi)地址分配給任何人。相反,如果確實(shí)需要的話,用戶就需要為此付出額外費(fèi)用。對(duì)于今天的SOHO一族來(lái)說(shuō),默認(rèn)選擇似乎是一個(gè)C/30類(lèi)地址。它提供了四個(gè)主機(jī)地址,只能有一個(gè)被分配到實(shí)際設(shè)備上。是的,包括計(jì)算機(jī)在內(nèi)的所有網(wǎng)絡(luò)設(shè)備都可以利用網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)來(lái)連接到互聯(lián)網(wǎng)上;但NAT的實(shí)際效果非常有限,就如同企圖利用膠帶來(lái)永久性修復(fù)泄露的煤氣罐。
當(dāng)然,至少今天它還處在正常工作中,但是,當(dāng)明天需要更多地址的時(shí)間又應(yīng)該怎么辦?從長(zhǎng)遠(yuǎn)來(lái)看,正如美洲互聯(lián)網(wǎng)號(hào)碼注冊(cè)管理機(jī)構(gòu)(ARIN)總裁兼首席執(zhí)行官約翰·柯倫所說(shuō)的:“盡管對(duì)于單獨(dú)的一家企業(yè)來(lái)說(shuō),NAT可以正常工作,但I(xiàn)SP們都知道,在IPv4網(wǎng)絡(luò)下NAT的規(guī)模不可能支持用戶的增長(zhǎng)。這就是他們開(kāi)始選擇利用IPV6連接新客戶的原因。盡管在過(guò)渡到IPV6的時(shí)間,一些運(yùn)營(yíng)商級(jí)的NAT(IPV6和IPv4之間)將投入使用,但從互聯(lián)網(wǎng)長(zhǎng)期穩(wěn)定發(fā)展的角度來(lái)考慮,我們需要將重點(diǎn)放在讓公眾站點(diǎn)直接支持IPV6協(xié)議訪問(wèn)上。”
為什么NAT不能滿足未來(lái)的需求,還有其它方面的原因。來(lái)自颶風(fēng)電氣公司的IPV6推廣者歐文·德朗告訴我:“對(duì)于普通用戶來(lái)說(shuō),作為一站式解決方案的NAT是有效的,并且我們已經(jīng)開(kāi)發(fā)出支持更多地址空間的協(xié)議。實(shí)際上,它已經(jīng)在耗盡網(wǎng)絡(luò)地址之前給我們提供了10到12年非常有價(jià)值的緩沖期。不過(guò),不幸的是,這導(dǎo)致大量認(rèn)為該技術(shù)就是‘救世主’的神話出現(xiàn)。我認(rèn)為,現(xiàn)在是時(shí)間破除圍繞在NAT上的光環(huán),闡述事實(shí)了。”
“首先,”德朗繼續(xù)指出,“NAT帶來(lái)了一些問(wèn)題。其中的許多問(wèn)題不僅最終用戶沒(méi)有看見(jiàn),甚至對(duì)于部署NAT的網(wǎng)絡(luò)管理員來(lái)說(shuō)都是無(wú)法獲知的。但是,如果你詢(xún)問(wèn)任何不得不開(kāi)發(fā)在NAT上工作軟件的廠商的話,很快就會(huì)發(fā)現(xiàn),它讓軟件變得更加昂貴、復(fù)雜,甚至大于必須的部分。”
此外,“NAT使得用戶很難為位于范圍內(nèi)的機(jī)器提供外部服務(wù)。盡管我知道有人把這種限制當(dāng)作優(yōu)點(diǎn),但我還是堅(jiān)持自己的立場(chǎng),就是在大多數(shù)情況下,機(jī)器的擁有者在決定是否選擇使用來(lái)自互聯(lián)網(wǎng)的服務(wù)時(shí)不應(yīng)該遇到問(wèn)題。并且,在出現(xiàn)問(wèn)題的情況下,一個(gè)優(yōu)秀的防火墻也可以有效解決,而并不需要NAT。”
至于有些人說(shuō)的NAT可以提高安全性也經(jīng)不起認(rèn)真分析。“NAT和安全沒(méi)有任何關(guān)系。”德朗指出:“很多人認(rèn)為的安全性獲得提高是因?yàn)椋琋AT在數(shù)據(jù)包轉(zhuǎn)換的時(shí)間可以進(jìn)行監(jiān)測(cè)并對(duì)回復(fù)流量進(jìn)行反轉(zhuǎn)處理。所謂的NAT檢測(cè)失效可以提高安全性的說(shuō)法實(shí)際上沒(méi)有任何依據(jù)。只要防火墻配置合理的話,都可以處理檢測(cè)失效的情況。”
“因此,他進(jìn)一步指出:“NAT的核心作用有且僅有一個(gè),也就是提供到互聯(lián)網(wǎng)上的連接。它容許位于通常是一個(gè)的有限數(shù)目網(wǎng)絡(luò)地址后的大量用戶實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的訪問(wèn)。不過(guò),這種做法僅僅有利于最終用戶。對(duì)于服務(wù)器、路由器和其它需要在全球范圍內(nèi)確認(rèn)網(wǎng)絡(luò)身份的基礎(chǔ)設(shè)施來(lái)說(shuō),并沒(méi)有帶來(lái)任何幫助。”
并且,這還會(huì)導(dǎo)致真正問(wèn)題的出現(xiàn)。“將目前運(yùn)行的NAT擴(kuò)展到運(yùn)營(yíng)商級(jí),可能會(huì)導(dǎo)致幾個(gè)問(wèn)題的出現(xiàn)。首先就是:根據(jù)法律執(zhí)行通信協(xié)助法(CALEA)的規(guī)定,運(yùn)營(yíng)商級(jí)NAT網(wǎng)關(guān)應(yīng)該配備巨型磁盤(pán)存儲(chǔ)設(shè)備。(對(duì)于大型供應(yīng)商來(lái)說(shuō),這可能意味著一天1PB的數(shù)據(jù)量,持續(xù)的時(shí)間為7年,數(shù)目之巨大就可想而知了。)”
為什么數(shù)據(jù)量會(huì)這么大?德朗解釋說(shuō):“現(xiàn)在,為了確定一個(gè)用戶的情況,你使用針對(duì)該最終網(wǎng)站網(wǎng)關(guān)的公共IP地址就可以了。(家用/商務(wù)粒度通常已經(jīng)被認(rèn)為是足夠了)。然而,一旦運(yùn)營(yíng)商級(jí)NAT投入了使用,完成同樣的任務(wù)就需要完整的狀態(tài)表記錄和時(shí)間的詳細(xì)信息。由于需要時(shí)間戳,以便確定有問(wèn)題的用戶,因此,還需要更多的過(guò)程信息以便進(jìn)行調(diào)查。”
當(dāng)然,這個(gè)層面的NAT部署費(fèi)用也相當(dāng)高昂,并且性?xún)r(jià)比很低。更糟的是,“運(yùn)營(yíng)商級(jí)NAT將破壞很多現(xiàn)有的普通NAT穿越解決方案(讓用戶可以使用就象互聯(lián)網(wǎng)語(yǔ)音協(xié)議之類(lèi)在NAT中無(wú)法正常工作軟件的解決方案),導(dǎo)致在現(xiàn)有工作環(huán)境下的應(yīng)用在未來(lái)環(huán)境中出現(xiàn)問(wèn)題。”
總之,德朗給出了結(jié)論,“確實(shí),在利用雙棧更換和IPv4遷移的過(guò)程中存在一些未知數(shù),并且面臨其它方面的挑戰(zhàn)。但是,在運(yùn)營(yíng)商級(jí)NAT部署過(guò)程存在的未知數(shù)更大,面臨的挑戰(zhàn)更多。”
在這里,我補(bǔ)充一下,隨著IP地址數(shù)量的進(jìn)一步減少,最終用戶將很快發(fā)現(xiàn)在簡(jiǎn)單連接和網(wǎng)絡(luò)主機(jī)方面ISP價(jià)格的提高。利用NAT實(shí)現(xiàn)預(yù)定目標(biāo)是可行的,但是,最終付出的代價(jià)會(huì)更多。 IPv4和NAT的日子已經(jīng)屈指可數(shù)了。