由于北美市場的可用IPv4地址已經在2015年9月耗盡，企業越來越迫切需要支持IPv6連接，至少在連接互聯網的服務上要支持。

美國互聯網網絡號碼注冊中心主席及CEO John Curran從1993年開始參與新版互聯網協議IPv6的設計與部署工作。

[[169072]]

Curran反對Paul Vixie的觀點“現在安裝IPv6沒有任何好處”。根據Curran的觀點，雖然IPv6并不一定會直接帶來安全好處，但是IPv6連接能夠解決它設計之初要解決的問題：IPv4地址空間業已耗盡。

你在過去曾經說過“IPv6比IPv4更安全”，這就像是在說“小汽車比卡車安全，又或者相反。”那么IPv6連接到底對于企業安全性有什么重要影響呢?

John Curran：現在要清楚最重要的一個問題是，IPv6確實可能比IPv4更安全，但是注意只是可能。協議只是工具，因此結果如何取決于使用工具的方法。

在這個問題上，IPv6確實有一定的優勢，IPv6標準已經在IPv6配置上規定了加密和驗證頭信息。因此，只要沒有專門去改寫它，而且供應商沒有添加一個改寫的配置，IPsec功能就是默認開啟的。最終你可以獲得更安全的通信方式，因為有可能另一端支持比IPsec協議更高級的加密方式。

因此，盡管你已經獲得這個功能了，但我并不會對人說‘部署IPv6會更安全，’因為這并不是發明IPv6的初衷。IPv6的出現并不是為了解決這一問題的。它要解決的問題是IPv4地址已經耗盡，同時全球互聯網仍在增長。因此，IPv6解決的是這個問題，同時也希望它不會加劇安全問題，同時如果人們部署得當，它還有可能實現更好的安全性。

你已經通過IPsec實現了加密和驗證，但它們只是可選設置。這讓我想起了SSL和TLS的問題，這些協議支持向后兼容，可以降級到安全性沒那么高的安全協議，如RC4。但是，這會不會成為采用IPv6的一個問題呢，因為IPsec在IPv6中是可選的?

Curran：當然。它具有相同的挑戰和風險。很難有一種方法使網絡本身變得更安全，因為你可以指定一種協議，但最終是其他人去部署這個協議。有一些供應商會自己修改協議的特性，這種情況已經發生過很多次了。即使標準要求安全性，但這并不意味著實際實現就一定是符合標準的。

我認為，任何人都不應該相信啟用IPv6就能夠讓它們本身變得更加安全。我認為，啟用IPv6能夠讓它們保持技術和解決最重要的問題。此外，我認為啟用IPv6在很多時候都能夠提高網絡性能，但是很多人還沒有認識到這一點。

如果企業決定直接不提供其服務器和網站的IPv6連接，跟蹤用戶及流量的功能會受到怎樣的影響?

Curran：目前有一些公開網站仍然有在使用IPv4連接的用戶，他們沒有IPv6。因此，你有一個網站，網站對應一個域名，它有IPv4地址和IPv4連接，但并沒有IPv6地址或IPv6連接。

對于互聯網而言，你只能通過IPv4訪問，但是有一些移動網絡已轉為IPv6。它們已經完成遷移。為了訪問你的網絡，即使本地基站是IPv6，且手機使用IPv6連接基站，同時你的網站也在同一個城市，甚至有可能在同一個網絡，當我嘗試訪問你的IPv4網站時，我還是必須先連接到另一個城市，因為你的IPv4網絡對我而言是不可見的，需要先轉換為IPv6才能訪問。因為你并沒有轉換到IPv6，所以要由運營商來轉換，我訪問你的域名將返回一個IPv6地址，因為盡管你的網絡不支持IPv6，運營商的網絡是只支持IPv6的。

我將會連接到一個數據中心，由它將我的IPv6 HTTP請求映射到IPv4，然后再返回結果。這個過程可能經過了很長距離：甚至可能到了另一個國家。因此，如果你不修改，其他人也會將網絡修改為IPv6，然后你必然發現它會對性能產生重大影響。

這個問題現在就已經在發生著：我有一些朋友在Facebook和LinkedIn工作，他們都告訴我公司的服務在IPv6上要比IPv4快，其中一個原因是因為運營商網絡已經在移動端遷移至IPv6。

有時候好像我們必須在一些互聯網角落一直保留IPv4，就像有人仍然在使用Windows 95一樣。

Curran：Peter，你現在還在用著IPX(互聯網數據包交換)、DECnet或SNA(系統網絡架構)嗎?是這樣，我敢肯定世界上某個角落一定還運行著這些東西。那么，世界某個角落是否還運行著IPv4呢?肯定的。它會不會成為討論焦點呢?按道理說，肯定不會的。

我們聊一下網絡地址轉換(NAT)和IPv6。IPv6鏈路本地尋址是否會替代NAT的功能。NAT的未來發展是怎么樣的?

Curran：首先，現在確實有很多地方部署著用于轉換地址的NAT。因此，如果你的設備只支持IPv6，那么顯然你一定要通過NAT才能連接IPv4，因為這里需要用到地址轉換。

另外，肯定也有IPv4到IPv4的轉換，因為如果你在一個包含私有地址的大型網絡中，然后又需要連接互聯網，那么這時就要用到IPv4到IPv4的NAT，許多家庭寬帶網絡就是這種情況。人們使用NAT是因為他們只有一個地址，然后他們又有200個人要連網。

那么，我們要知道NAT的特性。我甚至認為要有一個NAT IPv6標準，但我承認我自己并沒有花很多時間去研究這個問題。

這里有一個問題：NAT并不包含安全功能。

它可能帶來一些方便的管理特性;它不一定對性能有影響，還要取決于它的實現方式和負載;但是只要我們知道NAT不包含安全功能，那么所有答案都一樣：它不支持IPv4安全性，也不支持IPv6安全性。它可能會讓人覺得方便一些，但實際上讓人方便并不等于保證安全。

最后，你仍然需要一個防火墻。你需要用一個防火墻檢查協議和數據包，再決定是否允許數據包進入。如果使用了NAT，仍然需要一個防火墻。沒有人會說有NAT之后不需要防火墻也能夠保護網絡。

馬匹蒙上眼睛之后會跑得更快，但是它們看不見路。NAT就是這樣的東西：它讓人感覺良好，但是它不一定能夠改變問題。

如果有人仍然想要使用IPv4地址空間，然后在辦公網絡之外訪問內部資源，又會怎么樣?

Curran：我想說的是，實際上現在還有非常非常多活躍的IPv4地址市場。我們有幾百個地址塊在不同的合作伙伴之間流轉。

現在還有地址劫持問題，我們不久前還就這個問題進行過一次討論，Leslie Nobile(ARIN全球注冊知識高級主管)在NANOG(北美網絡運營商小組)上作了一個簡短的報告。這不是說有人在賣一個地址塊或者使用其他方法尋址;而是說有人拿到一個合同上未更新的舊地址塊，然后意圖將它據為已有和賣給別人。這并不是一種創新——也有人曾經賣過不屬于自己的橋梁或土地。有人在賣一些不屬于他們的IP地址。

最重要的是人們需要知道有一個網絡地址市場專門負責銷售網絡地址。

如果你確實需要更多的IPv4地址，那么幾十個組織(ARIN將它們稱為服務商)能幫你尋找到地址空間。而且，我們保證如果你和我們做生意，那么給你提供地址的機構一定是真正有權使用這些地址的機構。然后，我們負責轉移地址。

實際上這種方式很成功。我們有很大且仍在不斷增長的轉移市場，因為有許多組織需要更多的過渡時間。如果你需要更多的時間，然后有一些人有不需要的地址空間，那么轉移市場就能夠完美地充當中間角色。

思科最近發布了一份關于IPv6漏洞的報告，其中包括一個用友鄰發現創建的數據包用于執行拒絕服務攻擊。你以前說過，IPv4已經在全球部署了20年時間，因此我們有很多使用經驗，它的很多Bug也已經被處理掉。如果大型企業擔心IPv6還有一些未發現的實現與部署問題，是否會影響他們部署IPv6連接的決定呢?

Curran：回想一下過去2~3年時間所發布的關于協議問題的報告數量。我們現在有了一個關于IPv6的嚴重問題報告。但是，IPv4上一樣有很嚴重的問題報告。

你可以打開CERT，然后查看其中的報告——幾乎每個月都有一個重大報告。這一份報告是關于IPv6的;其他的報告一直以來都是關于IPv4或特定協議的，而且數量很多。因此，我認為，一份關于IPv6的報告并不是大事，或者說它的份量也不會超過關于其他協議的那些報告。

現在還處于一個過渡時期，但是即使有一個過渡時期也不會對部署協議有多大幫助。在IPv4中，我們仍然能發現問題。我們確實通常不會在底層IPv4協議中找到問題——現在底層協議出現問題的概率已經很小了，但是其他相關的部分有很多問題。例如，你可能在TCP或ARP實現中發現問題，也可能在路由協議上發現問題。

我們仍然在尋找Bug，且我們一定還會這樣做。似乎IPv4的Bug已經變少了，這個現象很好。但是，你仍然需要注意其他協議的警報，所以如果部署了IPv6，你只是多了一個需要關注的方面而已。