Hlavní navigace

10 důvodů, proč mít NAT na IPv6

Petr Kapounek 11. 11. 2010

Je NAT síťové zlo? Nebo něco, co bychom měli mít i v IPv6? A jaké mohou být důvody pro použití NATu v sítích postavených na IPv6?

IP adresy verze 4 docházejí a všude se množí diskuze, jestli nasazení IPv6 hoří, nebo nehoří. Přibývá také střetů mezi příznivci a odpůrci IPv6 NATu. Přišel jsem si taky „praštit“ a nabízím konkrétní argumenty.

1. Přechod local ISP k jinému ISP

Málokterý lokální ISP má vlastní BGP router a přidělené AS od RIPE. Většina disponuje subnety od nadřazeného ISP. V případě náhlého přechodu k jinému ISP není možné naráz přečíslovat všechny klienty (někdy jsou jich tisíce) a nový ISP nemůže do Internetu propagovat rozsahy, které mu nepatří. NAT je jediné řešení jak udržet síť v provozu, než se provede nezbytné přečíslování.

2. Přístup z nenaroutováného subnetu

Často existuje důvod přidělit zákazníkovi samostatný rozsah, nikoliv podrozsah z nadřazeného routeru. Např. tehdy, když předpokládáme přepojení zákazníka do jiných fragmentů sítě a pro zákazníka by bylo časté přečíslování krajně nepohodlné a narušovalo provoz jeho technologií. Pokud provádím připojení fyzicky od zákazníka, nejprve si vytvořím NAT do sítě, pak projdu routery v síti a nastavím na nich routy na rozsah zákazníka a pak NAT zruším. Stejně mohu postupovat v případě nějakého nouzového přepojování.

3. Změna adresy serveru

Mám u spousty zákazníků nastavenou IP adresu nějakého serveru, typicky DNS a jsem nucen server přepojit, takže se změní jeho adresa. Změna nastavení u všech zákazníků by byla neúměrně pracná a výpadek pro mnoho klientů zdlouhavý. Nastavím DST-NAT a nechám jim původní adresy. Bez NATu by to bylo možné řešit pomocí proxy, což je zbytečně náročná aplikace na provoz, výkon i konfiguraci. NAT narozdíl od proxy nečte celé pakety, ale pracuje jen s hlavičkami.

4. Připojení zařízení bez možnosti změny nastavení

Zrovna tak se může stát, že zákazník má zařízení, kde z nějakého důvodu nemá přístup do konfigurace sítě. Můžu tak původní adresu namapovat 1:1 na novou a pro DNS server udělat výše zmíněný DST-NAT a zákazník může fungovat.

5. Přístup privátní sítě do Internetu

Mám síť na privátních rozsazích, např. komunitní síť, nebo prostě jen nechci rozsahy závislé na nadřazeném ISP. Po mém ISP tedy musím chtít, aby on popř. jeho ISP, zkrátka ten, kdo má BGP router, odpropagoval moje privátní rozsahy do Internetu. Pokud na to vůbec přistoupí, musím ještě doufat, že servery se kterými budu chtít komunikovat, nefiltrují komunikaci z privátních rozsahů. Anebo nastavím NAT.

6. Přístup privátní sítě se zajištěním soukromí

Ve stejné situaci můžu také chtít, aby můj privátní rozsah nebyl dostupný z Internetu. Tedy musím jednak přesvědčit nadřazeného ISP aby mě odpropagoval, za druhé musím použít firewall a zakázat komunikaci z Internetu do mého rozsahu. Dva zbytečné úkony. Přitom by stačilo zapnout NAT.

7. Připojení nebo propojení kolizních privátních sítí

Ať už přistupuji do Internetu z privátní sítě nebo propojuji více privátních sítí, rozsah, který používám, nesmí používat nikdo jiný, jinak dojde ke kolizi. Tedy zvolený náhodný prefix musí být dostatečně náhodný. To sice vyplývá z doporučení RFC, spoléhat se na to ale nedá.

8. Přístup privátní sítě s ochranou proti „šmírovacím“ orgánům

A nakonec můžu chtít nejen to, aby se do mé privátní sítě nikdo nedostal, ale také to, aby nikdo nemohl identifikovat počítač, který v Internetu komunikuje. Právě v době častých sporů ohledně sdílení dat je pro některé skupiny uživatelů Internetu značné riziko, je-li jejich IP adresa v Internetu jednoznačná. „Šmírovací“ zákon sice platí, ale nevztahuje se na neveřejné sítě. Ty mohou překládat adresy a nemusí vézt logy komunikace, zatímco vlastníka veřejné IP adresy udat musí tak jako tak. Nyní je sice legislativně možné být v Internetu anonymní, současná podoba IPv6 bez NATu to ale neumožňuje.

9. Přístup z IPv6 do IPv4

Pokud to někdo myslí s IPv6 vážně, jistě bude cílit na to, aby jeho síť byla IPv6 only. Bude to jistě jednodušší na správu a hotové řešení i do budoucna. Provozovat dual-stacky dalších 50 let není příliš lákavá představa. Aby se ale uživatelé na IPv6-only síti dostali na IPv4 zdroje, nezbývá než je překládat. Samostatnou specifikaci pro 6to4 NAT považuji přinejmenším za perverzní. RFC pro IPv6 totiž stanovuje tzv. IPv4 kompatibilní adresy. Stačilo by, aby se veškeré routery chovaly, jak selský rozum napovídá, a IPv4 kompatibilní adresy při přechodu na IPv4 rozhraní převáděli do plnohodnotného IPv4 formátu a naopak. Pak by bylo možné zmíněnou situaci řešit „běžným“ 6to6 NATem.

KL_HLASOVANI

10. Přístup z IPv4 do IPv6

Jedná se o nejsložitější variantu překladu, přesto věřím, že i tato si najde své využití. Pokud budeme v době Internetu s dominantním IPv6 potřebovat připojit staré zařízení IPv4-only – a takových bude spousta – použijeme krabičku IPv4toIPv6 router. Ten namapuje 1:1 lokální subnet např. 192.168.1.0/24 na příslušný počet IPv6 adres. Aby se zařízení na IPv6 adresy dostalo, bude nezbytné použít DNS server přímo na tomto routeru. Ten bude pro IPv6 DNS záznamy vracet IPv4 adresy z privátního rozsahu např. 10.0.0.0/8 a pro každé spojení samostatně provede DST-NAT do IPv6 sítě. Možná je to krkolomné, ale najdou se případy, kdy to bude nezbytné.

Závěrem

Když se s časovým odstupem po prvních testech IPv6 dívám na tuto problematiku, nemohu se zbavit dojmu, že v utváření protokolu IPv6 hrála větší roli politika či jakýsi naivní idealismus než selský rozum. Jistá skupinka architektů se rozhodla, že vymyslí ideální a dokonalý Internet budoucnosti. V nejbližších letech se ukáže, jestli jim to vyšlo, nebo technologické firmy vyjdou vstříc zákazníkům a navzdory specifikaci si to udělají po svém. Vsázím na to druhé.

Našli jste v článku chybu?
Vitalia.cz: Tesco nabízí desítky tun jídla zdarma

Tesco nabízí desítky tun jídla zdarma

Podnikatel.cz: „Lex Babiš“ Babišovi paradoxně pomůže

„Lex Babiš“ Babišovi paradoxně pomůže

Vitalia.cz: Když bílkoviny, tak jíme ty nekvalitní

Když bílkoviny, tak jíme ty nekvalitní

DigiZone.cz: Euro TV: personalizované znělky

Euro TV: personalizované znělky

Podnikatel.cz: Poslanci chtějí sebrat majetek Bakalovi

Poslanci chtějí sebrat majetek Bakalovi

DigiZone.cz: Mordparta: trochu podchlazený 87. revír

Mordparta: trochu podchlazený 87. revír

Lupa.cz: Blíží se konec Wi-Fi sítí bez hesla?

Blíží se konec Wi-Fi sítí bez hesla?

120na80.cz: Zázrak ze smetiště: co léčí lopuch?

Zázrak ze smetiště: co léčí lopuch?

120na80.cz: Co je padesátkrát sladší než cukr?

Co je padesátkrát sladší než cukr?

Lupa.cz: Bude Google platit médiím za použití článků?

Bude Google platit médiím za použití článků?

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

DigiZone.cz: Test: brýle pro virtuální realitu Exos Urban

Test: brýle pro virtuální realitu Exos Urban

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

DigiZone.cz: Samsung EVO-S: novinka pro Skylink

Samsung EVO-S: novinka pro Skylink

Vitalia.cz: Tradiční čínská medicína a rakovina

Tradiční čínská medicína a rakovina

Vitalia.cz: Tohle jsou nejlepší česká piva podle odborníků

Tohle jsou nejlepší česká piva podle odborníků

Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip

120na80.cz: Běžci, co jíst poslední dny před závodem?

Běžci, co jíst poslední dny před závodem?

Vitalia.cz: Muž, který miluje příliš. Ženám neimponuje

Muž, který miluje příliš. Ženám neimponuje

Vitalia.cz: Tahák, jak vyzrát nad zápachem z úst

Tahák, jak vyzrát nad zápachem z úst