10 důvodů, proč mít NAT na IPv6

Je NAT síťové zlo? Nebo něco, co bychom měli mít i v IPv6? A jaké mohou být důvody pro použití NATu v sítích postavených na IPv6?

IP adresy verze 4 docházejí a všude se množí diskuze, jestli nasazení IPv6 hoří, nebo nehoří. Přibývá také střetů mezi příznivci a odpůrci IPv6 NATu. Přišel jsem si taky „praštit“ a nabízím konkrétní argumenty.

1. Přechod local ISP k jinému ISP

Málokterý lokální ISP má vlastní BGP router a přidělené AS od RIPE. Většina disponuje subnety od nadřazeného ISP. V případě náhlého přechodu k jinému ISP není možné naráz přečíslovat všechny klienty (někdy jsou jich tisíce) a nový ISP nemůže do Internetu propagovat rozsahy, které mu nepatří. NAT je jediné řešení jak udržet síť v provozu, než se provede nezbytné přečíslování.

2. Přístup z nenaroutováného subnetu

Často existuje důvod přidělit zákazníkovi samostatný rozsah, nikoliv podrozsah z nadřazeného routeru. Např. tehdy, když předpokládáme přepojení zákazníka do jiných fragmentů sítě a pro zákazníka by bylo časté přečíslování krajně nepohodlné a narušovalo provoz jeho technologií. Pokud provádím připojení fyzicky od zákazníka, nejprve si vytvořím NAT do sítě, pak projdu routery v síti a nastavím na nich routy na rozsah zákazníka a pak NAT zruším. Stejně mohu postupovat v případě nějakého nouzového přepojování.

3. Změna adresy serveru

Mám u spousty zákazníků nastavenou IP adresu nějakého serveru, typicky DNS a jsem nucen server přepojit, takže se změní jeho adresa. Změna nastavení u všech zákazníků by byla neúměrně pracná a výpadek pro mnoho klientů zdlouhavý. Nastavím DST-NAT a nechám jim původní adresy. Bez NATu by to bylo možné řešit pomocí proxy, což je zbytečně náročná aplikace na provoz, výkon i konfiguraci. NAT narozdíl od proxy nečte celé pakety, ale pracuje jen s hlavičkami.

4. Připojení zařízení bez možnosti změny nastavení

Zrovna tak se může stát, že zákazník má zařízení, kde z nějakého důvodu nemá přístup do konfigurace sítě. Můžu tak původní adresu namapovat 1:1 na novou a pro DNS server udělat výše zmíněný DST-NAT a zákazník může fungovat.

5. Přístup privátní sítě do Internetu

Mám síť na privátních rozsazích, např. komunitní síť, nebo prostě jen nechci rozsahy závislé na nadřazeném ISP. Po mém ISP tedy musím chtít, aby on popř. jeho ISP, zkrátka ten, kdo má BGP router, odpropagoval moje privátní rozsahy do Internetu. Pokud na to vůbec přistoupí, musím ještě doufat, že servery se kterými budu chtít komunikovat, nefiltrují komunikaci z privátních rozsahů. Anebo nastavím NAT.

6. Přístup privátní sítě se zajištěním soukromí

Ve stejné situaci můžu také chtít, aby můj privátní rozsah nebyl dostupný z Internetu. Tedy musím jednak přesvědčit nadřazeného ISP aby mě odpropagoval, za druhé musím použít firewall a zakázat komunikaci z Internetu do mého rozsahu. Dva zbytečné úkony. Přitom by stačilo zapnout NAT.

7. Připojení nebo propojení kolizních privátních sítí

Ať už přistupuji do Internetu z privátní sítě nebo propojuji více privátních sítí, rozsah, který používám, nesmí používat nikdo jiný, jinak dojde ke kolizi. Tedy zvolený náhodný prefix musí být dostatečně náhodný. To sice vyplývá z doporučení RFC, spoléhat se na to ale nedá.

8. Přístup privátní sítě s ochranou proti „šmírovacím“ orgánům

A nakonec můžu chtít nejen to, aby se do mé privátní sítě nikdo nedostal, ale také to, aby nikdo nemohl identifikovat počítač, který v Internetu komunikuje. Právě v době častých sporů ohledně sdílení dat je pro některé skupiny uživatelů Internetu značné riziko, je-li jejich IP adresa v Internetu jednoznačná. „Šmírovací“ zákon sice platí, ale nevztahuje se na neveřejné sítě. Ty mohou překládat adresy a nemusí vézt logy komunikace, zatímco vlastníka veřejné IP adresy udat musí tak jako tak. Nyní je sice legislativně možné být v Internetu anonymní, současná podoba IPv6 bez NATu to ale neumožňuje.

9. Přístup z IPv6 do IPv4

Pokud to někdo myslí s IPv6 vážně, jistě bude cílit na to, aby jeho síť byla IPv6 only. Bude to jistě jednodušší na správu a hotové řešení i do budoucna. Provozovat dual-stacky dalších 50 let není příliš lákavá představa. Aby se ale uživatelé na IPv6-only síti dostali na IPv4 zdroje, nezbývá než je překládat. Samostatnou specifikaci pro 6to4 NAT považuji přinejmenším za perverzní. RFC pro IPv6 totiž stanovuje tzv. IPv4 kompatibilní adresy. Stačilo by, aby se veškeré routery chovaly, jak selský rozum napovídá, a IPv4 kompatibilní adresy při přechodu na IPv4 rozhraní převáděli do plnohodnotného IPv4 formátu a naopak. Pak by bylo možné zmíněnou situaci řešit „běžným“ 6to6 NATem.

EBF16

10. Přístup z IPv4 do IPv6

Jedná se o nejsložitější variantu překladu, přesto věřím, že i tato si najde své využití. Pokud budeme v době Internetu s dominantním IPv6 potřebovat připojit staré zařízení IPv4-only – a takových bude spousta – použijeme krabičku IPv4toIPv6 router. Ten namapuje 1:1 lokální subnet např. 192.168.1.0/24 na příslušný počet IPv6 adres. Aby se zařízení na IPv6 adresy dostalo, bude nezbytné použít DNS server přímo na tomto routeru. Ten bude pro IPv6 DNS záznamy vracet IPv4 adresy z privátního rozsahu např. 10.0.0.0/8 a pro každé spojení samostatně provede DST-NAT do IPv6 sítě. Možná je to krkolomné, ale najdou se případy, kdy to bude nezbytné.

Závěrem

Když se s časovým odstupem po prvních testech IPv6 dívám na tuto problematiku, nemohu se zbavit dojmu, že v utváření protokolu IPv6 hrála větší roli politika či jakýsi naivní idealismus než selský rozum. Jistá skupinka architektů se rozhodla, že vymyslí ideální a dokonalý Internet budoucnosti. V nejbližších letech se ukáže, jestli jim to vyšlo, nebo technologické firmy vyjdou vstříc zákazníkům a navzdory specifikaci si to udělají po svém. Vsázím na to druhé.

171 názorů Vstoupit do diskuse
poslední názor přidán 19. 10. 2012 14:33

Školení: Obsahová strategie a content marketing

  •  
    Proč je obsahový marketing výrazným trendem.
  • Jak navrhnout užitečnou obsahovou strategii.
  • Jak zlepšit workflow a výsledky copywritingu.

Detailní informace o školení content strategy »