1.IPV4 位址不再發放, V4-NAT 可能成為代用品.
V4 ip-address 不再發放, 想延續v4使用的, 只好用 NAT. 但在
NAT 內的網站無法被直接從外部拜訪, Teredo tunnel 企圖讓 nat
隔離開的內部 v6 網站被外部能直接拜訪, 但也引發擊穿 NAT 防火
牆的安全疑慮.
沒有 v4 ip-address 只好用 private ip-address 代用, 但未必
是想建防火牆隔離, 只因 private-ip 需用 NAT 隔離才不會引發混
亂, 所以隔離不是主要訴求. 但對真正想用 NAT 當防火牆的用戶言,
為了引進 V6 要犧牲防火牆的功能那是不可想像的得不償失, 所以想
讓在 nat 後面的 v6 網站 被外部直接拜訪將會是矛盾性的產品.
2.V4-NAT 該如何放行 V6 封包?
假如隔離只作用於 v4, 所以多個 private ip-v4 必需轉址成一個
代表的 public ip 對外來往, 隔離並不必作用於 v6, 所以雙堆的PC
可使用 private ipv4 但用NAT轉換成代表的一個 public ip 對外.
假如 V6 封包是不受 V4-NAT router 阻攔, 外部來訪就可使用V6, V6
ip-address 可直接來自 native v6 router 的通告使之配合 DNS 登錄
自動設定. 若是V6孤島也可暫時借用目前大量存在的 V4 網路, 使用
6to4 tunnel router 的通告來取得 IPV6 address 配合 DNS 使用.
此時, 6to4 tunnel 可使用那個 nat 對外的 public ip-address 透過
v4 建連線 tunnel 連到V6 大島或骨幹的 anycast 6to4 relay router,
完成對 v6 連線的來回.
如果隔離也要作用於 v6, 那就是要讓 6to4 router 或 native v6
router 兼負 v6 的 NAT 作用, 此時只要 V6 router 對內通告產生的
ipv6 address 與對外出示的 v6 ip-address 做 address translation
的對照轉換就能防止外部機器直接與內部 V6 站來往, 也就是 V6 V4
各自有其 NAT , 都能防止外部直接來往, 若是 v6 孤島就可利用 V4
NAT 的 public-ipaddress 進行 6to4 tunnel 的銜接.
3.可放行或另行處理 V6 的 V4-NAT
這種不擊穿 V4-NAT firewall 的 6to4 NAT 才是大家可接受的規格
吧! 就稱呼這種裝置為 V6-aware/passthru NAT.
假如舊有的 V4-NAT 仍然沿用, 最簡單的辦法是對 6to4 router 額
外給個 V4-address 讓其可用於對外的 6to4 轉換, V4-NAT 內部的站
點使用 private ipv4 address , 但 V6 address 則使用 6to4 tunnel
router 發放出來的 V6 通告位址.
如何結何兩者只使用一個 public ipv4 address , 除了 teredo 外
還是會有其他簡易的方法才是.