工信部推进IPV6淘汰NAT,网络新时代即将到来——详解NAT与IPV6转换背后的技术变革与新挑战

7 月 15

Luke Fan中国故事 , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 工信部推进IPV6淘汰NAT,网络新时代即将到来——详解NAT与IPV6转换背后的技术变革与新挑战已关闭评论

大家好,欢迎收听“老范讲故事”的YouTube频道。今天,咱们来讲一讲工信部要去NAT啊,GFW是不是会有一些新的变化。这是什么时候的消息?7月10号的消息。工信部网站上发了一篇文章,说两个单位开会了,是工业和信息化部办公厅以及中央网信办秘书局。这俩单位开了什么会呢?就是网络去NAT专项工作会。这个会上讲的是什么呢?就是要加快IPV6的部署啊,规模以及流量的提升。

那么,到底啥是NAT啊?NAT是一个英文缩写,叫network address translation,就是网络地址的转换。为什么会有这样的一个东西呢?咱们一般的网络地址呢,叫IPV4,就是由四个数组成的,每个数呢,四位这种数呢,他不够读。其实现在的IPV4的地址已经分配光了。啊,那你说不对啊,我新买个手机没说上不了网啊,我新买个电脑也没说上不了网啊,对吧,怎么就分配光了呢?哎,这个里边就使用了这种叫NAT的技术。

什么意思啊?咱们以家里头为例啊,家里有一路由器,把路由器呢,通过拨号到中国联通、中国电信、中国移动啊,到这个地方去分配到了一个地址。但这个地址啊,是个临时地址啊,它是通过PPP OE啊或通过什么样的方式拨号拨上去的。你家里边的所有什么电脑啊、手机啊、平板啊,它通过这个路由器,进行Nat转换了以后,再去上网。对于网站来说,你访问了一个网站,访问了一个APP,那么他只知道什么呢?是你家这个路由器的IP地址是什么。

你提到的设备的 IP 地址,他确实不知道具体信息,因为这些地址通常经过了转换。这确实可能不利于我们定位所谓的“坏人”,并且家里的路由器没有固定 IP,每隔一段时间会更换,这可能是由于 IP 数量不足。此外,家庭网络通过 NAT 连接到互联网,意味着分配的并非公网 IP,其他人通过这个 IP 地址找到你实际上非常困难,甚至几乎不可能。这是目前的一个难题,因为 IPv4 的地址资源已经耗尽,我们长期依赖 NAT 技术来应对。然而,国家表示这不再可行,我们需要进行一些调整,即转向 IPv6。

IPv4 的地址数量不足,而 IPv6 则能解决这一问题。具体规定我们这里不深入讨论,但 IPv6 地址的数量极其庞大,足以让世界上的每个设备分配到多个 IP 地址,数量之多令人震惊。IPv6 技术并非新发明,已经存在多年,但为什么没有立即采用呢?原因之一是许多旧设备和网络不支持 IPv6,全面升级将是一个复杂的过程。其次,地址数量过多也带来问题,因为过去我们实施了大量地址封堵,比如 GFW 的运作机制,它通过封堵域名来限制访问,例如阻止对 Twitter.com 或其他特定域名的解析。

第二种方法,就是使用伪造的IP地址来对应特定的域名。比如,当尝试访问Facebook.com时,原本应导向的地址会被一个虚假的地址所替代。这样一来,目标地址要么变得无法访问,要么直接被特定的IP地址屏蔽。有些网站即便没有域名,仅凭IP地址也能访问,因此,直接封禁IP地址成为一种手段。这正是GFW(防火墙)的工作原理。然而,一旦涉及IPv6,情况就变得复杂了。因为一个网站可能拥有大量的IP地址,并且能够随时进行跳转和替换,这对于GFW的封堵技术提出了新的挑战。

此外,IPv6还带来了一个安全问题,那就是家庭设备的安全性。过去,通过NAT(网络地址转换)技术,家庭内部设备不具备公网IP,因而外界无法直接访问。但在IPv6环境下,所有家庭设备都能被赋予公网IP地址,这意味着它们将直接暴露在网络中。对于安全意识不足或技术不够娴熟的用户而言,这可能引发安全事件。

推广IPv6的过程中遇到的挑战,我们一直在讨论并尝试推动,但进展缓慢。主要原因在于现有设备过于老旧,难以迅速升级,同时,安全性问题也是一个重要考量。

我家里边装宽带的时候,这个师傅默认是直接给你把IPV6关掉的。哎,我当时换宽带,我还上去试去。我一看,哎,我说IPV6这个选项怎么是关着的?我就问人师傅,我说我现在想用IPV6,你能给我打开吗?哎,这个师傅还要专门重新给你设置一次。就是在国内装家庭宽带,默认都是关的啊。那么这次会有哪些行动呢?就是人家开这会都说了什么?咱们先想一想,整个IPV6替换IPV4,替换AT设备,一共有几个参与端啊?

第一个,家里头装宽带,规定了所有电信企业给人装宽带的时候,默认要打开,不要像我是那次似的,人家默认给你关了,你必须要自己重开去。第二个,它要求2025年7月以后,不允许再添加新的NAT设备了啊,以后就全都是IPV6设备了。第三个啊,他希望什么呢?固网的这种访问啊,你说移动端他不管啊,就是大家通过固定网络访问这些移动应用的时候,IPV6的流量不得低于70%,就大量还是要走IPV6的。

然后呢,云计算企业,因为我们去访问这些网站啊,访问这些设备的时候,他们都在云计算机房里的嘛。啊,你们要默认使用IPV6的去提供服务啊。你像我们去访问爱奇艺的时候,他有一个网址,那个网址映射到应该是一个IPV6的地址,而不是一个IPV4地址。还有这几块的大的要求。而且呢,也要求基础的电信企业啊,中国移动、中国联通、中国电信、铁通什么,这些人啊,你们的IPV6的联通率不得低于80%啊。他这样来去要求。

那么,为什么现在来讨论这件事呢?第一个原因是要以旧换新。你做了一次IPv6替换V4设备的这种升级,去除旧设备,干了一次这样的更新,那么所有的这些设备就得换新的了。我们现在的消费市场不是正需要拉动吗?要搞大规模以旧换新。而且,大家有没有想过,IPv6替换里头最难的东西是什么?我们家里电脑,如果稍微新一点,或者说5年以内的电脑,IPv6都是可以工作的。手机,5年以内的也都可以工作。路由器的话,有可能有一些旧的,可能需要更换。绝大部分的路由器,其实IPv6都是可以工作的。那么,有什么设备IPv6是工作不了的呢?智能设备,比如说你家里的智能净化器、智能空调、智能过滤器滤水器,这些设备,他们是不支持IPv6的。那么,这些设备是不是也可以更换一次了?你把所有的路由器都换成支持IPv6的以后,你家里这些智能电器是不是都可以换一换了?这是要做大规模的消费刺激。

所以,现在要去提这件事。而且,GFW的这个技术,应该也有一定的更新迭代了。就是对于这种IPv6的到来,应该已经做好了一些准备。但是大家相信,一旦开始广泛的使用IPv6,GFW各种的抽风,各种时灵时不灵的事情,应该会时有发生。而且未来呢,也是希望能够更好地监控每一个设备,到底是谁出来,说了一些不应该说的话。这个设备,这个IP地址到底在什么地方,这也是他们希望去找到的。你不要光想着IPv4,这种NAT设备都在咱们家里头。

有大量的 NAT 设备在哪里呢?在云计算机房里。我们去阿里云,去腾讯云,去亚马逊云,去买主机的时候,你一开始是没有固定 IP 地址的。固定 IP 地址是要花钱买的,向来都是给你一个虚拟地址。那虚拟地址是什么?就是一个 NAT 的地址啊。那我们是可以把很多的信息,放在这类虚拟地址上边去的。那么在这样的情况下啊,出了问题以后,你想去定位到这台机器,就相对来说要难一些。你改成 IPv6 了啊,通通都是有实体地址了。那么具体是哪一台服务器出了问题,它就可以快速地定位到那啊。这件事是所有 APP 都要备案,所有的网站都要备案,各种实名制,继续维稳的一个手段之一吧。

至于说家里边的设备,是不是可以被准确的追踪呢?我觉得倒不用太担心。为什么呢?因为 IPv6 刚才我不是讲吗,它的地址足够多。咱们的普通电脑,包括手机上网的时候,它是怎么做的?它有一个固定的 IP 啊,就是每一个设备都有唯一固定 IP,别人可以访问到你啊。但是呢,他还会再申请两个临时 IP。这两个临时 IP 会随时变。那么他去访问别人网站的时候,都是告诉你说,我是临时 IP 啊,我不是那个固定 IP,那个是保密的,我不告诉你。你再想通过这个临时 IP 追踪回来,没了啊,这个改了,而且是随机发生变化的。所以不用太担心,别人会通过这种 IPv6 的地址,直接找到你的电脑啊。除非你自己做了专门的设置啊,否则的话,安全性还是 OK 的。IPv6 的设备去访问网站的时候,都是使用临时 IP 的。

但是,国产的智能设备,啊,国产手机,包括安卓手机,他们是不是使用这种安全的方式啊?是不是使用临时地址,反追踪的方式去访问这些网站?这个就不好说了。反正,现在微软说,你们就老老实实的用 iPhone 吧,对吧。所以,大家也要小心一些。

那么,每家都有 IPv6 了,IPv6 到底怎么玩呢?啊,首先第一件事,要跟运营商沟通啊。你说我家里有网络,我先给运营商打个电话,说哎,我这 IPv6 到底通不通啊?通得了,通不了啊?能不能用啊?对吧,现在国家有文了,你是不是给我打开了啊?这个是第一件事。

第二个呢,你要到路由器上去设置,说哎,请给我打开 IPv6。你自己不会,没问题,可以给运营商打电话,让他给你设啊,打开 IPv6 啊。当然,这个过程呢,搞不好是要换路由器的。有一些特别早期,特别便宜的路由器是没法继续使的。再往后呢,就是家里边的所有设备,就可以获得 IPv6 的地址了。

再往后是什么?只要去设路由器上的防火墙,哎,我今天呢,还做了一个特别好玩的实验。我们家是有 NAS 的,我的 NAS 上是有 IPv6 的地址。我就在路由器上设置我的防火墙,说外网可以访问我的 IPv6 的地址,就是这个 NAS 服务器啊,在哪个端口上,如何去访问。设好了以后呢,我就可以把手机啊,脱离 Wi-Fi 网络啊,就是已经离开我们家路由器了,直接使用 5G 网络,可以挂在我们家 NAS 上直接看视频了,速度还挺快啊。所有的人都可以通过你家的路由器,通过你路由器上设置的防火墙。

访问到你家里头内部的各种设备啊,这个是允许的。但是你说我不会搞,你就不要瞎搞啊。默认是啊,你内部的设备,外部是不允许访问的啊。默认的防火墙打开了以后,会拦截所有的访问。以前外边的设备没法访问咱们防火墙,或者没法访问咱们路由器内部的设备,原因是因为他不知道里边的IP地址,他找不到。现在呢,IP地址是固定的,是可以找到的。但是路由器会默认的拦截所有访问。

最终总结一下,IPV6盛行以后啊,GFW会怎么样呢?第一个,如果在路由器上挂梯子,会影响IPV6的连接的啊。大家一定要注意,你如果把梯子挂在路由器上了,这个就没法使了。第二个,GFW一定会经历一些波动,有的时候能使,有的时候不能使,这个一定会存在。第三个呢,就是国外的很多网站可能会啊,做更多的对应设置,就是啊,他可能会有更多的IPV6的地址,在上面跳来跳去啊。你不可能把它所有都封掉,这种变化吧,可能会让一些GFW出现漏洞啊。这是当前的一个新的变化吧。

这个总结到这里。这一期就跟大家讲到这,感谢大家收听。请帮忙点赞,点小铃铛,参加Discord讨论群。也欢迎有兴趣、有能力的朋友加入我们的付费频道。再见。

Comments are closed.