1.IPV4 位址不再发放, V4-NAT 可能成为代用品.
V4 ip-address 不再发放, 想延续v4使用的, 只好用 NAT. 但在
NAT 内的网站无法被直接从外部拜访, Teredo tunnel 企图让 nat
隔离开的内部 v6 网站被外部能直接拜访, 但也引发击穿 NAT 防火
墙的安全疑虑.
没有 v4 ip-address 只好用 private ip-address 代用, 但未必
是想建防火墙隔离, 只因 private-ip 需用 NAT 隔离才不会引发混
乱, 所以隔离不是主要诉求. 但对真正想用 NAT 当防火墙的用户言,
为了引进 V6 要牺牲防火墙的功能那是不可想像的得不偿失, 所以想
让在 nat 后面的 v6 网站 被外部直接拜访将会是矛盾性的产品.
2.V4-NAT 该如何放行 V6 封包?
假如隔离只作用于 v4, 所以多个 private ip-v4 必需转址成一个
代表的 public ip 对外来往, 隔离并不必作用于 v6, 所以双堆的PC
可使用 private ipv4 但用NAT转换成代表的一个 public ip 对外.
假如 V6 封包是不受 V4-NAT router 阻拦, 外部来访就可使用V6, V6
ip-address 可直接来自 native v6 router 的通告使之配合 DNS 登录
自动设定. 若是V6孤岛也可暂时借用目前大量存在的 V4 网络, 使用
6to4 tunnel router 的通告来取得 IPV6 address 配合 DNS 使用.
此时, 6to4 tunnel 可使用那个 nat 对外的 public ip-address 透过
v4 建连线 tunnel 连到V6 大岛或骨干的 anycast 6to4 relay router,
完成对 v6 连线的来回.
如果隔离也要作用于 v6, 那就是要让 6to4 router 或 native v6
router 兼负 v6 的 NAT 作用, 此时只要 V6 router 对内通告产生的
ipv6 address 与对外出示的 v6 ip-address 做 address translation
的对照转换就能防止外部机器直接与内部 V6 站来往, 也就是 V6 V4
各自有其 NAT , 都能防止外部直接来往, 若是 v6 孤岛就可利用 V4
NAT 的 public-ipaddress 进行 6to4 tunnel 的衔接.
3.可放行或另行处理 V6 的 V4-NAT
这种不击穿 V4-NAT firewall 的 6to4 NAT 才是大家可接受的规格
吧! 就称呼这种装置为 V6-aware/passthru NAT.
假如旧有的 V4-NAT 仍然沿用, 最简单的办法是对 6to4 router 额
外给个 V4-address 让其可用于对外的 6to4 转换, V4-NAT 内部的站
点使用 private ipv4 address , 但 V6 address 则使用 6to4 tunnel
router 发放出来的 V6 通告位址.
如何结何两者只使用一个 public ipv4 address , 除了 teredo 外
还是会有其他简易的方法才是.