在PPPOE场景下部署NAT66也是一种不错的方法

mpls

网上经常看到一种说法: IPv6上NAT还不如不用IPv4，但是NAT也分好多种，在PPPOE动态前缀的场景下NAT66也是一种好选择。

连接性方面:
   有人认为使用NAT会影响点到点连接，其实不会的。因为IPv6地址众多，所以只需要转换IPv6前缀部分，而不需要转换后64位接口标识和端口号。电脑拿到一个私网地址和直接拿到一个公网地址联通性没有任何区别。

性能方面:
    假如从运营商获取到一个/60的动态前缀，然后自己也准备一个私网的/60前缀，那么公网私网是一对一映射的，而且都是根据规则进行转换的，完全不需要维护NAT表项，所以我认为性能要比IPv4的NAT性能要好。

使用NAT66前缀转换的好处:
1.  不影响传入连接
2.  没有过段时间电脑网卡一大堆过期地址的烦恼
3. 方便写防火墙规则

zhuojiawei

有没有可能v4NAT，v6透传呢？

小和尚啊

《关于加速下一代互联网基础设施建设与应用创新，支撑产业数字化转型的建议》

mpls

小和尚啊 发表于 2024-4-23 19:25
《关于加速下一代互联网基础设施建设与应用创新，支撑产业数字化转型的建议》 ...

我内网已经实现纯IPv6，但是访问IPv4还得使用NAT64，所以只要IPv4网络还有价值，从运营商获取的Pv6前缀还是动态的，NAT就不会消失。 另外，NAT66的好处谁用谁知道。

mpls

zhuojiawei 发表于 2024-4-23 19:23
有没有可能v4NAT，v6透传呢？

如果我想在内网抛弃IPv4只部署IPv6呢？  如果我的内网较大，需要跑一些动态路由协议呢？

zhuojiawei

mpls 发表于 2024-4-23 19:36
如果我想在内网抛弃IPv4只部署IPv6呢？  如果我的内网较大，需要跑一些动态路由协议呢？ ...

60位前缀应该足够用了吧
路由协议也只能跑在内网，运营商不会跟你连吧？除非BGP线路

wybb

pt本来是明显受益于ipv6的，甚至可以说我上ipv6最大实际受益就是pt下载，但是你这种nat方式并不能和主流的bt软件兼容，bt软件对ipv6的支持方式是通过获取当前电脑的ipv6地址，并将该地址发送给torrent服务器，而你现在只能获取nat地址

mpls

zhuojiawei 发表于 2024-4-23 19:43
60位前缀应该足够用了吧
路由协议也只能跑在内网，运营商不会跟你连吧？除非BGP线路 ...

我的内网分为出口路由器，核心交换机，接入交换机三个层次，全三层设计。

mpls

wybb 发表于 2024-4-23 19:45
pt本来是明显受益于ipv6的，甚至可以说我上ipv6最大实际受益就是pt下载，但是你这种nat方式并不能和主流的b ...

试过bt下载是没问题的，至于差别没有比较过。类比于ipv4和在路由器上设置某内网个IP为DMZ的效果是一样的。

zhuojiawei

mpls 发表于 2024-4-23 19:48
我的内网分为出口路由器，核心交换机，接入交换机三个层次，全三层设计。 ...

三层也没有关系呀，60位的地址足够用了呀，想不通。。。

mpls

zhuojiawei 发表于 2024-4-23 19:59
三层也没有关系呀，60位的地址足够用了呀，想不通。。。

你有没有想过这么多层级地址怎么分配？

DHCPv6 PD试过不行，

1是需要配DHCP中继，
2是PPPOE重播前缀改变，DHCPv6  PD可不会通知下面的设备前缀变了，即使前缀有效期设置为5分钟，也需要等待好久，DHCP重新获取地址也需要时间。
3.  PPPOE重播，内网全部瘫痪，动态路由协议需要重新收敛计算

mpls

zhuojiawei 发表于 2024-4-23 19:59
三层也没有关系呀，60位的地址足够用了呀，想不通。。。

另一种方案是内网部署私网地址，但是在PC接入网关上配置公网地址，使用动态路由协议打通。但是缺点还是那些缺点:  没法写防火墙规则:  前缀更新慢，重播会导致断网一段时间:   电脑一堆无效地址：

wybb

mpls 发表于 2024-4-23 19:54
试过bt下载是没问题的，至于差别没有比较过。类比于ipv4和在路由器上设置某内网个IP为DMZ的效果是一样的 ...

肯定是有问题的，只能连出，不能连进，bt下载ipv4和ipv6的实现方式是完全不同的，torrent服务器用的是客户端连接服务器时候的ipv4地址，也就是ipv4外网地址，但是ipv6并不是如此，ipv6采用客户端自己汇报自己的ipv6公网地址，所以upnp和dmz都不能支持ipv6的连入，因为其他客户端只能拿到你的nat后的ipv6地址，而不是公网的ipv6

小肚腩

IPV6开了之后上本站的速度，感觉有了秒开的感觉了。
》ping chiphell.com
正在 Ping opencdnkav6.jomodns.com [240e:97d:10:1a00::b73d:b129] 具有 32 字节的数据:
来自 240e:97d:10:1a00::b73d:b129 的回复: 时间=8ms
来自 240e:97d:10:1a00::b73d:b129 的回复: 时间=7ms
来自 240e:97d:10:1a00::b73d:b129 的回复: 时间=7ms
来自 240e:97d:10:1a00::b73d:b129 的回复: 时间=7ms

mpls

wybb 发表于 2024-4-23 20:16
肯定是有问题的，只能连出，不能连进，bt下载ipv4和ipv6的实现方式是完全不同的，torrent服务器用的是客 ...

那就综合各自的优势呗，新增一个vlan专门放这些设备，然后分配公网。日常上网NAT66很舒服。

zhuojiawei

mpls 发表于 2024-4-23 20:09
你有没有想过这么多层级地址怎么分配？

DHCPv6 PD试过不行，

是我欠考虑了，你提到的三点确实成问题

但需要动态路由协议的内网最起码也上百台终端了吧？办一条固定IP的专线更合适

wybb

mpls 发表于 2024-4-23 20:48
那就综合各自的优势呗，新增一个vlan专门放这些设备，然后分配公网。日常上网NAT66很舒服。 ...

nat66并没有你所说的任何优势
1.  不影响传入连接
ipv6外网地址更不用说了，肯定没有任何问题

2.  没有过段时间电脑网卡一大堆过期地址的烦恼
这是因为在服务器使用了SLAAC对客户端进行分配，并且客户端启用了临时ipv6地址
windows下直接通过命令行关闭这一特性就可以了，本身就是一个安全特性
netsh interface ipv6 set privacy state=disable
而android系统只支持slaac而不支持dhcpv6，所以不开启slaac会导致android手机不能使用ipv6

3. 方便写防火墙规则
由于关闭了临时ipv6地址，使用slaac来分配的话，每个客户端的后缀都与网卡mac有关（或者采用随机化后缀，这个特性也可以通过命令行关闭随机化netsh interface ipv6 set global randomizeidentifiers=disabled），这时候所有客户端的ipv6地址都是动态前缀+固定后缀（EUI-64），而这种结构非常方便编写防火墙规则

nn1122

如果有DDNS服务部署的话，v6 nat是很好的选择，你要访问的多个内网设备都在同一个v6公网地址内，以下是我自己v6 DDNS使用的一个场景

mpls

wybb 发表于 2024-4-23 21:28
nat66并没有你所说的任何优势
1.  不影响传入连接
ipv6外网地址更不用说了，肯定没有任何问题

1.  BT/PT问题更应该说是软件适配问题吧，单纯网络联通性是没有问题的，反正没有完美的东西，除非加钱。
2. Win使用SLAAC方式确实会生成两个地址，这没问题。但是当PPPOE重播后旧的两个地址虽然不再使用但是依然还在，即使把前缀有效期设置的很短，旧的两个地址也会存在很长一段时间。

3. 我用的是企业级设备，IPv6的防火墙都是需要指定源地址目的地址的，动态前缀配不了。不知道你说的防火墙很好配置是怎么实现的。

4. 你说的这些配置好像就是关闭隐私地址和使用EUI64规范生成接口ID，好像不能彻底解决问题。再者如果有大量设备或者有的设备不归我管，弄这些也不太现实是吧。

mpls

nn1122 发表于 2024-4-23 22:04
如果有DDNS服务部署的话，v6 nat是很好的选择，你要访问的多个内网设备都在同一个v6公网地址内，以下是我自 ...

DynV6有一个功能挺好的，只需要在一台设备上部署更新脚本，可以实现同一个子网内所有设备都能用DDNS。前提是内网设备都遵循EUI64规范生成接口id。

xu089757

飞塔用户表示直接关掉v6……非要开也只考虑nat66

chainofhonor

没用到这么高级的 我就是普通的nat6 内网用的fc00网段

完全和有公网ipv4一样的操作

chainofhonor

chainofhonor 发表于 2024-4-24 01:49
没用到这么高级的 我就是普通的nat6 内网用的fc00网段

完全和有公网ipv4一样的操作

方便区分，我的v6内网网段是fc00:192:168:1::/64

chainofhonor

chainofhonor 发表于 2024-4-24 01:50
方便区分，我的v6内网网段是fc00:192:168:1::/64

简单粗暴方便，完全和有公网ipv4一样的  唯一的学习成本就是要会开启nat6 openwrt很简单，取消勾选wan6的pd获取的那个框，然后去op官网查看开启nat6的官方教程

Lentrody

mpls 发表于 2024-4-23 22:20
1.  BT/PT问题更应该说是软件适配问题吧，单纯网络联通性是没有问题的，反正没有完美的东西，除非加钱。
...

说明你的企业级设备对IPv6功能的开发还不完善。
要管理大量设备就用DHCPv6分配固定后缀呗。
至于Android不支持DHCPv6是个政治问题，大概是Google在表达对自由主义的追求，无状态的SLAAC难以管理和监控，比较符合人家的价值观。

dcl2009

很同意这个思路，我现在家里就是开了nat6，把前缀缩小到112，这样哪台设备用了那个ip一目了然，同时也不会出现地址混乱的情况

nepdaisuki

op的防火墙对的是v6后段的固定后缀，内网设备的v6地址，后面一些位数的是固定的。。你企业级路由v6支持确实不太好

IPv6-通信
来自 IP 范围 240e::/20 位于 wan
到 IP 范围 ::xxxx:xxxx:xxxx:xxxx/0, 端口 xxxx 位于 lan       
接受转发       


贴个op的v6通信规则，这是到某个设备端口
         

vancho

就是netmap对吧，前缀翻译。我用了很久了，尤其是跑pt，然后内网还能用v6通信。做好防火墙即可

vancho

vancho 发表于 2024-4-24 10:56
就是netmap对吧，前缀翻译。我用了很久了，尤其是跑pt，然后内网还能用v6通信。做好防火墙即可 ...

mpls

nepdaisuki 发表于 2024-4-24 07:15
op的防火墙对的是v6后段的固定后缀，内网设备的v6地址，后面一些位数的是固定的。。你企业级路由v6支持确实 ...

如果设备太多，那么用匹配后缀的方法好像需要写大量规则？而且我还需要查看每一台终端去看一下设备的接口id，对于稍大点的网络这显然是不太现实的，所以，我觉得根据子网前缀匹配才是合理的做法。