IPv6过渡方案-DS-lite(4)

五道口生活网 http://www.wdklife.com

8.2 第三方承载级NAT

轻量级双栈的体系结构应该很容易地进行扩展，以支持第三方承载级NAT，轻量级双栈接口仅仅需要指向第三方承载级NAT的IPv6地址而不是服务提供商的承载级NAT的IPv6地址即可。轻量级双栈的实现应该让用户可以采用不同的机制，以实现承载级NAT的自动发现或者，例如：手动输入选中的承载级NAT的DNS名称。

8.3 接口初始化

在轻量级双栈结点上每个接口的初始化顺序还尚待分析，决定各个接口是在IPv4模式，IPv6模式，双栈模式或是轻量级双栈模式上工作需要启发式的方法。在请求/应答消息中是否存在上面讨论到的DHCPv6选项可能触发将在哪种模式下操作。

第九章 与多层NAT的体系结构对比

一个不同的体系结构是由多层朝着服务提供商网络边界的IPv4-IPv4的NAT。这些体系结构有一个关键的优点是：它能与任何已经存在的IPv4家用网关协同工作；但是，它有很多的缺点：

每个处于路径上的NAT都有它自已的应用层网关，这加大了网络失败或是错误配置的可能性；

现在大范围的可用私有IPv4地址空间是10.0.0.0/8，理论上，它能容纳一千六百万个地址，但实际上，它只有80%的利用率，只能容纳一千三百万个地址。这对于现在或将来的大规模部署是不够的，因此需要同时使用10网段地址的多个重叠拷贝，它本身增长了复杂性：

如果使用了网段10地址的多个拷贝，则解决网络上的故障会变得更加困难，测试时，向家用网关发送ping消息前需要明确指出客户位于哪个10网段域。这意味着为了包含这些信息，支撑系统需要做一定的改变；

多个重叠的10网段的拷贝经常在路由器或防火墙等地设备处聚集，在这些设备上考虑重叠的地址空间并需要仔细地进行配置，由于错误配置导致的调试问题也会变得相当耗时；

传统的拥有全球IPv4地址的用户和新的拥有私有IPv4地址的用户可能连接到相同的聚集路由器上，这个路由器必须基于源地址决定是直接将报文转发到因特网上还是送往一个翻译盒，即源地址路由。虽然要实现它并不是没有可能，但是这同样也增加了网络管理的复杂性。

五道口生活网 http://www.wdklife.com

五道口生活网 http://www.wdklife.com

上面所述的没有哪个问题可以彻底推翻多层NAT体系结构，但是综合起来，它们严重地增加了网络管理的复杂性。

第十章 与NAT-PT体系结构比较（或者NAT-PT的替代方案）

NAT-PT主要处理IPv6与IPv4之间的互相翻译，但是，它没有解决为传统的IPv4主机提供IPv4服务的问题。NAT-PT是针对绿地（green field）上的IPv6部署，允许它们访问在IPv4因特网上的服务和内容，在这个意义上，NAT-PT能与轻量级双栈针对直连到服务提供商网络的新设备在绿地上的部署相比。

在这种情形下，NAT-PT具有能够在边界设备上移除所有IPv4栈的优点，这对于一些内存资源非常小，对内存较敏感的设备非常关键。但是，如果它些设备仅仅需要与具有IPv6能力的服务器通信，是否有必要优先访问整个IPv4网络则显得不确定了。

在许多更通常的例子里，轻量级双栈比NAT-PT有如下几个优点：

轻量级双栈不需要DNS的任何改变，换句话说，没有必要合成假的AAAA记录来代表IPv4地址，这使得DNSsec的可靠性增加。

因为DNS应用层网关的原因，NAT-PT在拓扑结构上存在局限性，大部分情况下都要求所有的流量都通过一个单一的结点。因为在轻量级双栈中没有DNS应用层网关并且每个轻量级双栈设备能独立地连接到不同的轻量级双栈NAT上去，所以轻量级双栈体系结构的可扩展性较好。

应用层网关有时需要处理负载中的IP地址，在IPv4-IPv4的NAT上，这只是一个简单的32位域的替换，而在IPv6-IPv4的例子中，一个32位的域需要被替换为128位的域或者相反，这使得NAT-PT的应用层网关比轻量级双栈的应用层网关更加复杂。

更多的细节，请参考与NAT-PT相关的问题，即[RFC4966]。

第十一章 与DSTM体系结构的比较

DSTM通过提供给双栈结点一个暂时的IPv4地址以保证IPv6向后与IPv4兼容，这里的连接性同样是通过在IPv6之上的IPv4隧道来保证的。但是，DSTM是基于节点的需要进行IPv4地址的申请与释放的。而且作者自已也认为在大规模的宽带部署时，这种机制可能不能提供足够大的地址空间。

第十二章 IANA的考虑

这个草案向IANA申请分配一块著名的IPv4网络前缀e.f.g.h/29，这个地址范围用

五道口生活网 http://www.wdklife.com

五道口生活网 http://www.wdklife.com

来对轻量级的双栈接口进行计数。保留一个/29的前缀可以允许在一个多宿主的节点上最多有6个接口。此范围内最后一个IPv4地址被保留为这样的轻量级双栈主机上的默认网关的IPv4地址。

第十三章 安全考虑

与NAT相关的安全问题被研究了很久，请参考[RFC2663]和[RFC2993]。 但是，将NAT功能从家用网关移到服务提供商网络的核心并且由多个用户共享IPv4地址后，当需要进行数据记录以防止滥用时，需要有额外的要求。在一个IPv4地址并不唯一代表一台端主机的体系结构里，IPv4地址和一个时间戳不再能够标识一个特殊的宽带用户，需要有额外的信息如TCP端口号来实现这个目的。

相似的，有一些减轻攻击的技术当观测到一个IPv4地址有反常的行为后会将其置于一个“惩罚盒”中一段时间。但这样的技术运用到本文所述的体系中时，需要被修正，因为它在针对一个IPv4地址（假设是攻击者的地址）时有可能针对了多个用户。

当IPv4地址由多个用户共享时，端口变成了一种关键的资源，因此，在承载级NAT上需要采用某种技术来限制端口的使用，如分等级限制或者统一限制一个用户能使用的最大端口数目，如果这个数目是足够大的，它应该不会与通常的应用产生冲突并且同时对共享池提供一定的保护。

更多关于共享IPv4地址的考虑可以参考\。 如果在宽带网络上部署了某种形式的IPv6入口过滤机制，并且轻量级双栈服务只提供给这类用户，那么从注册用户IPv6地址开始，到承载级NAT终止的隧道不能被伪造。那么，仅仅需要一张根据隧道传输源地址的访问控制表，即可以判断是否要在承载级NAT的接口上接收这些进入的流量。

五道口生活网 http://www.wdklife.com

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说综合文库IPv6过渡方案-DS-lite(4)在线全文阅读。