北美市場可用 IPv4 地址耗盡！IPv6 接棒靠譜嗎？

由于北美市場的可用IPv4地址已經(jīng)在2015年9月耗盡，企業(yè)越來越迫切需要支持IPv6連接，至少在連接互聯(lián)網(wǎng)的服務(wù)上要支持。

美國互聯(lián)網(wǎng)網(wǎng)絡(luò)號碼注冊中心主席及CEO John Curran從1993年開始參與新版互聯(lián)網(wǎng)協(xié)議IPv6的設(shè)計與部署工作。

Curran反對Paul Vixie的觀點“現(xiàn)在安裝IPv6沒有任何好處”。根據(jù)Curran的觀點，雖然IPv6并不一定會直接帶來安全好處，但是IPv6連接能夠解決它設(shè)計之初要解決的問題：IPv4地址空間業(yè)已耗盡。

1、你在過去曾經(jīng)說過“IPv6比IPv4更安全”，這就像是在說“小汽車比卡車安全，又或者相反?！蹦敲碔Pv6連接到底對于企業(yè)安全性有什么重要影響呢？

John Curran：現(xiàn)在要清楚最重要的一個問題是，IPv6確實可能比IPv4更安全，但是注意只是可能。協(xié)議只是工具，因此結(jié)果如何取決于使用工具的方法。
      在這個問題上，IPv6確實有一定的優(yōu)勢，IPv6標準已經(jīng)在IPv6配置上規(guī)定了加密和驗證頭信息。因此，只要沒有專門去改寫它，而且供應(yīng)商沒有添加一個改寫的配置，IPsec功能就是默認開啟的。最終你可以獲得更安全的通信方式，因為有可能另一端支持比IPsec協(xié)議更高級的加密方式。

       因此，盡管你已經(jīng)獲得這個功能了，但我并不會對人說‘部署IPv6會更安全，’因為這并不是發(fā)明IPv6的初衷。IPv6的出現(xiàn)并不是為了解決這一問題的。它要解決的問題是IPv4地址已經(jīng)耗盡，同時全球互聯(lián)網(wǎng)仍在增長。因此，IPv6解決的是這個問題，同時也希望它不會加劇安全問題，同時如果人們部署得當，它還有可能實現(xiàn)更好的安全性。

2、你已經(jīng)通過IPsec實現(xiàn)了加密和驗證，但它們只是可選設(shè)置。這讓我想起了SSL和TLS的問題，這些協(xié)議支持向后兼容，可以降級到安全性沒那么高的安全協(xié)議，如RC4。但是，這會不會成為采用IPv6的一個問題呢，因為IPsec在IPv6中是可選的？

Curran：當然。它具有相同的挑戰(zhàn)和風(fēng)險。很難有一種方法使網(wǎng)絡(luò)本身變得更安全，因為你可以指定一種協(xié)議，但最終是其他人去部署這個協(xié)議。有一些供應(yīng)商會自己修改協(xié)議的特性，這種情況已經(jīng)發(fā)生過很多次了。即使標準要求安全性，但這并不意味著實際實現(xiàn)就一定是符合標準的。
我認為，任何人都不應(yīng)該相信啟用IPv6就能夠讓它們本身變得更加安全。我認為，啟用IPv6能夠讓它們保持技術(shù)和解決最重要的問題。此外，我認為啟用IPv6在很多時候都能夠提高網(wǎng)絡(luò)性能，但是很多人還沒有認識到這一點。

3、如果企業(yè)決定直接不提供其服務(wù)器和網(wǎng)站的IPv6連接，跟蹤用戶及流量的功能會受到怎樣的影響？

Curran：目前有一些公開網(wǎng)站仍然有在使用IPv4連接的用戶，他們沒有IPv6。因此，你有一個網(wǎng)站，網(wǎng)站對應(yīng)一個域名，它有IPv4地址和IPv4連接，但并沒有IPv6地址或IPv6連接。

對于互聯(lián)網(wǎng)而言，你只能通過IPv4訪問，但是有一些移動網(wǎng)絡(luò)已轉(zhuǎn)為IPv6。它們已經(jīng)完成遷移。為了訪問你的網(wǎng)絡(luò)，即使本地基站是IPv6，且手機使用IPv6連接基站，同時你的網(wǎng)站也在同一個城市，甚至有可能在同一個網(wǎng)絡(luò)，當我嘗試訪問你的IPv4網(wǎng)站時，我還是必須先連接到另一個城市，因為你的IPv4網(wǎng)絡(luò)對我而言是不可見的，需要先轉(zhuǎn)換為IPv6才能訪問。因為你并沒有轉(zhuǎn)換到IPv6，所以要由運營商來轉(zhuǎn)換，我訪問你的域名將返回一個IPv6地址，因為盡管你的網(wǎng)絡(luò)不支持IPv6，運營商的網(wǎng)絡(luò)是只支持IPv6的。

我將會連接到一個數(shù)據(jù)中心，由它將我的IPv6 HTTP請求映射到IPv4，然后再返回結(jié)果。這個過程可能經(jīng)過了很長距離：甚至可能到了另一個國家。因此，如果你不修改，其他人也會將網(wǎng)絡(luò)修改為IPv6，然后你必然發(fā)現(xiàn)它會對性能產(chǎn)生重大影響。

       這個問題現(xiàn)在就已經(jīng)在發(fā)生著：我有一些朋友在Facebook和LinkedIn工作，他們都告訴我公司的服務(wù)在IPv6上要比IPv4快，其中一個原因是因為運營商網(wǎng)絡(luò)已經(jīng)在移動端遷移至IPv6。

4、有時候好像我們必須在一些互聯(lián)網(wǎng)角落一直保留IPv4，就像有人仍然在使用Windows 95一樣。

Curran：Peter，你現(xiàn)在還在用著IPX（互聯(lián)網(wǎng)數(shù)據(jù)包交換）、DECnet或SNA（系統(tǒng)網(wǎng)絡(luò)架構(gòu)）嗎？是這樣，我敢肯定世界上某個角落一定還運行著這些東西。那么，世界某個角落是否還運行著IPv4呢？肯定的。它會不會成為討論焦點呢？按道理說，肯定不會的。

5、我們聊一下網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）和IPv6。IPv6鏈路本地尋址是否會替代NAT的功能。NAT的未來發(fā)展是怎么樣的？

Curran：首先，現(xiàn)在確實有很多地方部署著用于轉(zhuǎn)換地址的NAT。因此，如果你的設(shè)備只支持IPv6，那么顯然你一定要通過NAT才能連接IPv4，因為這里需要用到地址轉(zhuǎn)換。

另外，肯定也有IPv4到IPv4的轉(zhuǎn)換，因為如果你在一個包含私有地址的大型網(wǎng)絡(luò)中，然后又需要連接互聯(lián)網(wǎng)，那么這時就要用到IPv4到IPv4的NAT，許多家庭寬帶網(wǎng)絡(luò)就是這種情況。人們使用NAT是因為他們只有一個地址，然后他們又有200個人要連網(wǎng)。

那么，我們要知道NAT的特性。我甚至認為要有一個NAT IPv6標準，但我承認我自己并沒有花很多時間去研究這個問題。

這里有一個問題：NAT并不包含安全功能。

它可能帶來一些方便的管理特性；它不一定對性能有影響，還要取決于它的實現(xiàn)方式和負載；但是只要我們知道NAT不包含安全功能，那么所有答案都一樣：它不支持IPv4安全性，也不支持IPv6安全性。它可能會讓人覺得方便一些，但實際上讓人方便并不等于保證安全。
最后，你仍然需要一個防火墻。你需要用一個防火墻檢查協(xié)議和數(shù)據(jù)包，再決定是否允許數(shù)據(jù)包進入。如果使用了NAT，仍然需要一個防火墻。沒有人會說有NAT之后不需要防火墻也能夠保護網(wǎng)絡(luò)。

馬匹蒙上眼睛之后會跑得更快，但是它們看不見路。NAT就是這樣的東西：它讓人感覺良好，但是它不一定能夠改變問題。