实现平滑的升级演进实现IPv6

以往，由于NAT大大延缓了IPv4地址枯竭所带来的影响，因此得到了广泛的应用。到了IPv6时代，地址空间已经不是问题了，那还用不用得到NAT呢？

拒绝NAT的理由

长期以来，IPv6的纯粹主义者一直反对建立IPv6+ NAT（即NAT66）的协议标准。直到今天，都没有NAT66相关的协议草案，更不用说已经发布的IETF RFC了，反对NAT的主要理由是IPv6有足够的地址空间，而且是全球唯一的，因此更多地址需求不是问题，IPv6不需要NAT/PAT功能来扩展地址空间或避免地址冲突。另一个反对NAT的论点是，有人将防火墙执行的有状态包过滤与IPv4 NAT功能混为一谈的，有状态包过滤可以为IPv6提供与IPv4相同的安全防护等级，只是没有NAT功能。“没有IPv6 NAT就意味着安全性降低”，这是一个长久以来的误区，更不用说IPv6天然自带IPSec安全保护功能了。此外，NAT显著增加了IPv4网络的复杂性，NAT使本地IPv4地址重叠的现象非常普遍，这给管理带来了难度。NAT会给需要端到端连接和在协议报文中嵌入IP地址的应用程序带来问题（例如FTP、IPsec、SIP、RTSP、SAP、SCTP、DCCP等）。总之，IPv4使用NAT是不得已的选择，IPv6没有必要再重蹈覆辙。

采用NAT的原因

然而实际情况并没有这么简单，IPv6规模部署不是平地起高楼，而是要基于现状进行逐步改造和升级演进，需要综合考虑更多因素带来的影响，包括成本、管理、安全、可迁移性、可扩展性等。人们选择采用NAT往往是出于多方面的原因：

1、安全性：NAT可以向外部实体隐藏内部网络结构，从而提供额外的安全防护层。通过隔离内部设备与外部设备的直接通信，避免被恶意探测，降低网络攻击的风险。例如内部网络采用SLAAC方式分配IPv6地址，其地址中包含主机MAC等敏感信息，可能被远程非法追踪和利用。

2、地址不足：尽管IPv6有巨大的地址空间，但ISP实际分配给客户的可能只有一小段全球单播地址（如/60或者/56），无法满足需求。这种情况下就需要使用可重复的私网地址，采用NAT实现隔离和互通。

3、复杂性：企业往往有多家ISP提供互联网接入服务，若没有NAT，每家ISP分配的IPv6地址都需要部署到内部网络中，造成一台主机配置多个不同ISP的IPv6地址，这大大增加了网络管理的复杂性和难度。

4、一致性：双栈环境下同时存在IPv4和IPv6，在IPv6中使用NAT有助于维护网络管理的一致性，降低管理的难度和成本投入。

5、兼容性：一些遗留的系统或者应用程序在使用IPv6时可能存在限制，而NAT可以作为一种临时的解决方案。

6、可移植性：企业采用私网地址有一个潜在好处，当更换ISP时可以确保更好的可移植性，不用再重新变更内部网络设备配置，只需要改变出口设备配置即可。

7、网络互通：企业内网或者行业专网采用了自主申请的IPv6地址（例如从APNIC、CNNIC申请），需要和ISP网络实现路由互通，这是一项巨大的挑战（ISP普遍不愿意接入其他机构的自建网络），一个可选的规避方案是采用NAT方式。

总结与建议

IPv6的原生设计理念是消除NAT，实现端到端的网络连接，这毫无疑问应该是未来IPv6的发展目标。但考虑到IPv6部署的现状和挑战，需要根据实际情况灵活选择不同的策略，之后逐步过渡到无NAT模式，实现平滑的升级演进。