由于北美市場(chǎng)的可用IPv4地址已經(jīng)在2015年9月耗盡，企業(yè)越來越迫切需要支持IPv6連接，至少在連接互聯(lián)網(wǎng)的服務(wù)上要支持。

美國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)號(hào)碼注冊(cè)中心主席及CEO John Curran從1993年開始參與新版互聯(lián)網(wǎng)協(xié)議IPv6的設(shè)計(jì)與部署工作。

[[169072]]

Curran反對(duì)Paul Vixie的觀點(diǎn)“現(xiàn)在安裝IPv6沒有任何好處”。根據(jù)Curran的觀點(diǎn)，雖然IPv6并不一定會(huì)直接帶來安全好處，但是IPv6連接能夠解決它設(shè)計(jì)之初要解決的問題：IPv4地址空間業(yè)已耗盡。

你在過去曾經(jīng)說過“IPv6比IPv4更安全”，這就像是在說“小汽車比卡車安全，又或者相反。”那么IPv6連接到底對(duì)于企業(yè)安全性有什么重要影響呢?

John Curran：現(xiàn)在要清楚最重要的一個(gè)問題是，IPv6確實(shí)可能比IPv4更安全，但是注意只是可能。協(xié)議只是工具，因此結(jié)果如何取決于使用工具的方法。

在這個(gè)問題上，IPv6確實(shí)有一定的優(yōu)勢(shì)，IPv6標(biāo)準(zhǔn)已經(jīng)在IPv6配置上規(guī)定了加密和驗(yàn)證頭信息。因此，只要沒有專門去改寫它，而且供應(yīng)商沒有添加一個(gè)改寫的配置，IPsec功能就是默認(rèn)開啟的。最終你可以獲得更安全的通信方式，因?yàn)橛锌赡芰硪欢酥С直菼Psec協(xié)議更高級(jí)的加密方式。

因此，盡管你已經(jīng)獲得這個(gè)功能了，但我并不會(huì)對(duì)人說‘部署IPv6會(huì)更安全，’因?yàn)檫@并不是發(fā)明IPv6的初衷。IPv6的出現(xiàn)并不是為了解決這一問題的。它要解決的問題是IPv4地址已經(jīng)耗盡，同時(shí)全球互聯(lián)網(wǎng)仍在增長(zhǎng)。因此，IPv6解決的是這個(gè)問題，同時(shí)也希望它不會(huì)加劇安全問題，同時(shí)如果人們部署得當(dāng)，它還有可能實(shí)現(xiàn)更好的安全性。

你已經(jīng)通過IPsec實(shí)現(xiàn)了加密和驗(yàn)證，但它們只是可選設(shè)置。這讓我想起了SSL和TLS的問題，這些協(xié)議支持向后兼容，可以降級(jí)到安全性沒那么高的安全協(xié)議，如RC4。但是，這會(huì)不會(huì)成為采用IPv6的一個(gè)問題呢，因?yàn)镮Psec在IPv6中是可選的?

Curran：當(dāng)然。它具有相同的挑戰(zhàn)和風(fēng)險(xiǎn)。很難有一種方法使網(wǎng)絡(luò)本身變得更安全，因?yàn)槟憧梢灾付ㄒ环N協(xié)議，但最終是其他人去部署這個(gè)協(xié)議。有一些供應(yīng)商會(huì)自己修改協(xié)議的特性，這種情況已經(jīng)發(fā)生過很多次了。即使標(biāo)準(zhǔn)要求安全性，但這并不意味著實(shí)際實(shí)現(xiàn)就一定是符合標(biāo)準(zhǔn)的。

我認(rèn)為，任何人都不應(yīng)該相信啟用IPv6就能夠讓它們本身變得更加安全。我認(rèn)為，啟用IPv6能夠讓它們保持技術(shù)和解決最重要的問題。此外，我認(rèn)為啟用IPv6在很多時(shí)候都能夠提高網(wǎng)絡(luò)性能，但是很多人還沒有認(rèn)識(shí)到這一點(diǎn)。

如果企業(yè)決定直接不提供其服務(wù)器和網(wǎng)站的IPv6連接，跟蹤用戶及流量的功能會(huì)受到怎樣的影響?

Curran：目前有一些公開網(wǎng)站仍然有在使用IPv4連接的用戶，他們沒有IPv6。因此，你有一個(gè)網(wǎng)站，網(wǎng)站對(duì)應(yīng)一個(gè)域名，它有IPv4地址和IPv4連接，但并沒有IPv6地址或IPv6連接。

對(duì)于互聯(lián)網(wǎng)而言，你只能通過IPv4訪問，但是有一些移動(dòng)網(wǎng)絡(luò)已轉(zhuǎn)為IPv6。它們已經(jīng)完成遷移。為了訪問你的網(wǎng)絡(luò)，即使本地基站是IPv6，且手機(jī)使用IPv6連接基站，同時(shí)你的網(wǎng)站也在同一個(gè)城市，甚至有可能在同一個(gè)網(wǎng)絡(luò)，當(dāng)我嘗試訪問你的IPv4網(wǎng)站時(shí)，我還是必須先連接到另一個(gè)城市，因?yàn)槟愕腎Pv4網(wǎng)絡(luò)對(duì)我而言是不可見的，需要先轉(zhuǎn)換為IPv6才能訪問。因?yàn)槟悴]有轉(zhuǎn)換到IPv6，所以要由運(yùn)營(yíng)商來轉(zhuǎn)換，我訪問你的域名將返回一個(gè)IPv6地址，因?yàn)楸M管你的網(wǎng)絡(luò)不支持IPv6，運(yùn)營(yíng)商的網(wǎng)絡(luò)是只支持IPv6的。

我將會(huì)連接到一個(gè)數(shù)據(jù)中心，由它將我的IPv6 HTTP請(qǐng)求映射到IPv4，然后再返回結(jié)果。這個(gè)過程可能經(jīng)過了很長(zhǎng)距離：甚至可能到了另一個(gè)國(guó)家。因此，如果你不修改，其他人也會(huì)將網(wǎng)絡(luò)修改為IPv6，然后你必然發(fā)現(xiàn)它會(huì)對(duì)性能產(chǎn)生重大影響。

這個(gè)問題現(xiàn)在就已經(jīng)在發(fā)生著：我有一些朋友在Facebook和LinkedIn工作，他們都告訴我公司的服務(wù)在IPv6上要比IPv4快，其中一個(gè)原因是因?yàn)檫\(yùn)營(yíng)商網(wǎng)絡(luò)已經(jīng)在移動(dòng)端遷移至IPv6。

有時(shí)候好像我們必須在一些互聯(lián)網(wǎng)角落一直保留IPv4，就像有人仍然在使用Windows 95一樣。

Curran：Peter，你現(xiàn)在還在用著IPX(互聯(lián)網(wǎng)數(shù)據(jù)包交換)、DECnet或SNA(系統(tǒng)網(wǎng)絡(luò)架構(gòu))嗎?是這樣，我敢肯定世界上某個(gè)角落一定還運(yùn)行著這些東西。那么，世界某個(gè)角落是否還運(yùn)行著IPv4呢?肯定的。它會(huì)不會(huì)成為討論焦點(diǎn)呢?按道理說，肯定不會(huì)的。

我們聊一下網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)和IPv6。IPv6鏈路本地尋址是否會(huì)替代NAT的功能。NAT的未來發(fā)展是怎么樣的?

Curran：首先，現(xiàn)在確實(shí)有很多地方部署著用于轉(zhuǎn)換地址的NAT。因此，如果你的設(shè)備只支持IPv6，那么顯然你一定要通過NAT才能連接IPv4，因?yàn)檫@里需要用到地址轉(zhuǎn)換。

另外，肯定也有IPv4到IPv4的轉(zhuǎn)換，因?yàn)槿绻阍谝粋€(gè)包含私有地址的大型網(wǎng)絡(luò)中，然后又需要連接互聯(lián)網(wǎng)，那么這時(shí)就要用到IPv4到IPv4的NAT，許多家庭寬帶網(wǎng)絡(luò)就是這種情況。人們使用NAT是因?yàn)樗麄冎挥幸粋€(gè)地址，然后他們又有200個(gè)人要連網(wǎng)。

那么，我們要知道NAT的特性。我甚至認(rèn)為要有一個(gè)NAT IPv6標(biāo)準(zhǔn)，但我承認(rèn)我自己并沒有花很多時(shí)間去研究這個(gè)問題。

這里有一個(gè)問題：NAT并不包含安全功能。

它可能帶來一些方便的管理特性;它不一定對(duì)性能有影響，還要取決于它的實(shí)現(xiàn)方式和負(fù)載;但是只要我們知道NAT不包含安全功能，那么所有答案都一樣：它不支持IPv4安全性，也不支持IPv6安全性。它可能會(huì)讓人覺得方便一些，但實(shí)際上讓人方便并不等于保證安全。

最后，你仍然需要一個(gè)防火墻。你需要用一個(gè)防火墻檢查協(xié)議和數(shù)據(jù)包，再?zèng)Q定是否允許數(shù)據(jù)包進(jìn)入。如果使用了NAT，仍然需要一個(gè)防火墻。沒有人會(huì)說有NAT之后不需要防火墻也能夠保護(hù)網(wǎng)絡(luò)。

馬匹蒙上眼睛之后會(huì)跑得更快，但是它們看不見路。NAT就是這樣的東西：它讓人感覺良好，但是它不一定能夠改變問題。

如果有人仍然想要使用IPv4地址空間，然后在辦公網(wǎng)絡(luò)之外訪問內(nèi)部資源，又會(huì)怎么樣?

Curran：我想說的是，實(shí)際上現(xiàn)在還有非常非常多活躍的IPv4地址市場(chǎng)。我們有幾百個(gè)地址塊在不同的合作伙伴之間流轉(zhuǎn)。

現(xiàn)在還有地址劫持問題，我們不久前還就這個(gè)問題進(jìn)行過一次討論，Leslie Nobile(ARIN全球注冊(cè)知識(shí)高級(jí)主管)在NANOG(北美網(wǎng)絡(luò)運(yùn)營(yíng)商小組)上作了一個(gè)簡(jiǎn)短的報(bào)告。這不是說有人在賣一個(gè)地址塊或者使用其他方法尋址;而是說有人拿到一個(gè)合同上未更新的舊地址塊，然后意圖將它據(jù)為已有和賣給別人。這并不是一種創(chuàng)新——也有人曾經(jīng)賣過不屬于自己的橋梁或土地。有人在賣一些不屬于他們的IP地址。

最重要的是人們需要知道有一個(gè)網(wǎng)絡(luò)地址市場(chǎng)專門負(fù)責(zé)銷售網(wǎng)絡(luò)地址。

如果你確實(shí)需要更多的IPv4地址，那么幾十個(gè)組織(ARIN將它們稱為服務(wù)商)能幫你尋找到地址空間。而且，我們保證如果你和我們做生意，那么給你提供地址的機(jī)構(gòu)一定是真正有權(quán)使用這些地址的機(jī)構(gòu)。然后，我們負(fù)責(zé)轉(zhuǎn)移地址。

實(shí)際上這種方式很成功。我們有很大且仍在不斷增長(zhǎng)的轉(zhuǎn)移市場(chǎng)，因?yàn)橛性S多組織需要更多的過渡時(shí)間。如果你需要更多的時(shí)間，然后有一些人有不需要的地址空間，那么轉(zhuǎn)移市場(chǎng)就能夠完美地充當(dāng)中間角色。

思科最近發(fā)布了一份關(guān)于IPv6漏洞的報(bào)告，其中包括一個(gè)用友鄰發(fā)現(xiàn)創(chuàng)建的數(shù)據(jù)包用于執(zhí)行拒絕服務(wù)攻擊。你以前說過，IPv4已經(jīng)在全球部署了20年時(shí)間，因此我們有很多使用經(jīng)驗(yàn)，它的很多Bug也已經(jīng)被處理掉。如果大型企業(yè)擔(dān)心IPv6還有一些未發(fā)現(xiàn)的實(shí)現(xiàn)與部署問題，是否會(huì)影響他們部署IPv6連接的決定呢?

Curran：回想一下過去2~3年時(shí)間所發(fā)布的關(guān)于協(xié)議問題的報(bào)告數(shù)量。我們現(xiàn)在有了一個(gè)關(guān)于IPv6的嚴(yán)重問題報(bào)告。但是，IPv4上一樣有很嚴(yán)重的問題報(bào)告。

你可以打開CERT，然后查看其中的報(bào)告——幾乎每個(gè)月都有一個(gè)重大報(bào)告。這一份報(bào)告是關(guān)于IPv6的;其他的報(bào)告一直以來都是關(guān)于IPv4或特定協(xié)議的，而且數(shù)量很多。因此，我認(rèn)為，一份關(guān)于IPv6的報(bào)告并不是大事，或者說它的份量也不會(huì)超過關(guān)于其他協(xié)議的那些報(bào)告。

現(xiàn)在還處于一個(gè)過渡時(shí)期，但是即使有一個(gè)過渡時(shí)期也不會(huì)對(duì)部署協(xié)議有多大幫助。在IPv4中，我們?nèi)匀荒馨l(fā)現(xiàn)問題。我們確實(shí)通常不會(huì)在底層IPv4協(xié)議中找到問題——現(xiàn)在底層協(xié)議出現(xiàn)問題的概率已經(jīng)很小了，但是其他相關(guān)的部分有很多問題。例如，你可能在TCP或ARP實(shí)現(xiàn)中發(fā)現(xiàn)問題，也可能在路由協(xié)議上發(fā)現(xiàn)問題。

我們?nèi)匀辉趯ふ褺ug，且我們一定還會(huì)這樣做。似乎IPv4的Bug已經(jīng)變少了，這個(gè)現(xiàn)象很好。但是，你仍然需要注意其他協(xié)議的警報(bào)，所以如果部署了IPv6，你只是多了一個(gè)需要關(guān)注的方面而已。