[网络入门科普系列] ipv4即将竭尽的现在 如何看待单向访问IP

从前两年开始，关注IT新闻的童鞋们应该都留意到，无论是国际、还是国内，ipv4资源即将竭尽的新闻，而最终解决这个问题的方法，则是全网升级到ipv6。

什么是ip地址？有什么用？

所谓互联网络，是基于二层与三层连接的传输网络。二层我们可以理解为MAC地址传输，三层则为IP地址传输，当我们发起PPPOE拨号或者DHCP请求的时候，电脑会携带自己的MAC地址，向PPPOE/DHCP服务器请求分配IP地址以及网关地址，然后PPPOE/DHCP服务器则向我们分配IP地址以及网关地址，并将我们的IP地址与MAC地址捆绑起来，这样，网络便互联起来了。


成功获取IP地址后，我们可以在网卡详细信息里看到如下信息


上图中10.245.13.148则是我本机获取到的ipv4地址，网关为10.245.13.129。

而ipv4地址，分为私网IP以及公网IP两种。
一般来说，私网IP网段为：
10.0.0.0 – 10.255.255.255
172.16.0.0 – 172.31.255.255
192.168.0.0 – 192.168.255.255

公网地址则为1.0.0.0 – 223.255.255.255 排除掉私网地址。
其中，0和255为保留地址不可用

而公网IP地址统一由国际IP地址分配机构ICANN进行分配，各国家ISP均要向其进行申请后，方使用这些IP地址。而我们可以看到ipv4地址是非常有限的，并且目前已经快要竭尽了。

---

面对ipv4地址即将竭尽，ISP有什么解决方案呢？

我想现在大部分家庭用户家里都已经添置了路由器，而路由器的最基础作用，就是拨号后，将ISP分配的公网IP地址，转换为私网IP地址，提供给多台内网电脑使用，做到共享上网的目的。而这个将公网IP地址，转换为私网IP地址的功能，专业术语则为NAT，Network Address Translation 网络地址转换协议。

而ISP的设备当然也是支持NAT协议的，因为大部分的家庭客户只需要普通的上网，不需要对外提供服务，因此ISP开始对家庭客户采用了NAT的方法，分配私网IP给家庭客户使用。

由于ISP分配的私网地址，客户是无法对外提供服务的，因此业内将这种IP地址称之为“单向访问IP”。顾名思义，单向访问即客户可访问公网服务，但公网无法逆向访问客户私网服务。



而普通正常，没经过ISP NAT的公网IP地址，则为双向访问地址。

---

如何看待单向访问IP

单向访问IP地址
缺点：
1.无法提供对外服务功能。
公网无法ping通连通单向访问IP地址，即使设置了DDNS动态解析也无法解析到家庭路由器所获取的私网IP地址。
2.ISP大网增加了故障点
ISP大网需要增设一台路由器做NAT转换之用，一般来说可能会是一个小区或者是一栋楼，这样的话增设的这台路由器如果出现故障则会出现大面积的故障，增加了单点故障率，当然这个路由器不是家庭几百块的货色，根据用户数而定，至少也是市售过十万的设备了（当然ISP有超低的集采价）。当然也有ISP直接用网关设备做NAT，这样无疑对网关增加了负荷，故障率也一样是会提升的。
优点：
1.安全性更高
有一些客户比如网吧、物业赠送网络等，经常会遭受来自外界的DDoS、肉鸡等高压攻击，导致整网网络慢。而且这些用户一般不会对外提供服务，这种情况下则可由ISP做单向访问IP，则可以有效的将这些攻击压力转移给ISP（ISP的设备性能更好，若网络因被攻击导致网速慢、瘫痪还可以直接投诉ISP）。

---

如何识别我的网络是哪种IP

说了这么多，那我们怎么去鉴别我们的网络到底是单向访问IP，还是双向访问IP呢？
其实很简单。
首先我们可以在路由器状态（若无路由器，则是本机网卡详细信息）里，看到ISP给我们分配的公网地址。


然后，我们可以在一些支持反向查询IP地址的网站（比如IP138），反向查询我们的IP地址


若两个IP地址一致，则为双向访问地址；若否，则为单向访问地址。

---

全球网络IP使用现况

目前，全球ipv4地址已于2011年2月3日分配完毕，各国均已无法再继续向ICANN申请ipv4地址。但是这并不代表目前全球的ipv4地址已经竭尽，而是分配权下发到各个国家、各个ISP的手上，如何将这些所剩不多的ipv4资源有效的分配、利用，以延长其生命周期，则成为了各个ISP的重要任务。犹如上面所说，做一次NAT则可以节省很大量的ipv4资源。
而在今年，2013年，全球ipv6暨下一代互联网高峰会议也即将召开，而后，我国相信也会出台一些新的互联网相关策略。

国内ISP ipv6现况
当然，国内ISP也并不只是一味的去回避问题，用其他手段延长ipv4的生命周期。目前已经有不少的地区开始试用ipv6协议，并且部分ISP给出了相当优惠的措施。比如深圳某ISP对于承诺使用一年ipv6宽带，费用全免的承诺。而从售后响应上看，并没有出现什么重大的问题，故障率与ipv4差异并不大，可以说已经相当成熟了。另外，本人还发现，深圳移动的GPRS EDGE 2G业务已经升级到ipv6了，在日常使用中也并无异常。
看来接下来只是如何规划，有序的开展ipv6升级工作。

---

全面升级ipv6以解决ipv4竭尽

ipv4地址长度为32位，而ipv6则增加到128位，理论上可分配2的128次方个地址。
分作8组，每组为4个16进制数，比如FE80:1234:1234:1234:1234:1234:1234:1234。
而FE80开头的地址，则为私网地址。
一组间若为全0，则可由两个冒号“::”代替。
比如FE80:1234:0000:1234:1234:1234:1234:1234
则可简写为FE80:1234::1234:1234:1234:1234:1234
连续的全0，则也可由两个冒号“::”代替，但若不连续则不行。
比如FE80:1234:0000:0000:0000:1234:1234:1234
则可简写为FE80:1234:: 1234:1234:1234

由此我们可以看出，ipv6资源已经可以满足地球过百年的应用，而ipv4则不会再有任何的发展，所以只有全面升级ipv6才是ISP正确的路，ipv4私网化（单向访问）终归也会有竭尽的时候。而目前中国电信、中国移动（铁通）两家运营商也已经在积极的进行着升级，中国联通则暂时没有接触，情况不明。

---

如何升级ipv6？普通用户而言有什么要求？

全网升级ipv6只需要isp做出合理的规划，并替换掉一些十多年前的陈旧网络设备，重新做一下配置即可，目前市售的企业级路由器均已支持ipv6协议。

ipv6对普通用户而言有什么要求？
若家庭用户使用路由器，则需要查看路由器是否支持ipv6协议，一般官方网站或者产品规格、说明书里都会有注明。而无路由器、使用PC直连的用户，则需要注意，windows XP、windows server2003默认均不支持ipv6，需要安装协议。
安装方法：CMD – ipv6 install
而对于win7及以上系统来说则已经默认安装ipv6协议了。

学习了 感谢楼主分享 最近就在找这个

听过一个说法，不上ipv6的原因是因为GFW还没有具备墙ipv6的能力

学习了…………

太专业了，看的模模糊糊，不过还是要给赞（￣▽￣）b

又到了普及IPv6的时候了~

deyu260 发表于 2013-3-26 21:40
就算外网是ipv6 到我的路由器还是内网 所以影响不大 而外网还是用域名来记

ipv6地址你要记得住算你狠

necamper 发表于 2013-3-16 01:17
**** 作者被禁止或删除 内容自动屏蔽 ****

绝大部分家庭使用的路由器不支持ipv6，因为普通家庭基本上用的低端产品

coraloneee 发表于 2013-3-16 00:10
我记得3年前的路由器基本都不支持，不知道现在如何了

高端路由器08年的都可以支持，目前千兆LAN口的路由器大多可以支持

McLaren 发表于 2013-3-15 23:27
路由不支持，给我V6也没用

等ipv6普及，市面上路由器估计全支持了。

全看完了 懂了一部分本来就了姐的,不懂的还是不懂

很好的科普文章，学习了一下

世纪冰雷 发表于 2013-5-3 20:37
其实GFW无非几种方法，ACL，黑DNS，堵端口……即使IPV6也是一样的方法……没差……
...

gfw真没那么简单啊

它不仅仅是存在于大出口的，从第一级isp的接入机房开始，多层的各种会话劫持，可以做的事情比简单的封堵多多了

以前还没彻底堵死的时候，有时候访问gmail什么的https的网站，会提示说“当前网页存在不安全的内容”，那种就是被gfw给中间人了

gfw以技术讲是世界顶尖水平的，设备供应商也是cisco，juniper，ibm这类厂商，再加上自主知识产权（这词在这里很别扭啊）的七层内容过滤之类的实现，非加密类的通讯协议在gfw面前一点隐私都无，再配上现在的大数据（数据分析数据挖掘自动化什么的），就更是如此了

ipv6先天自带各种安全特性（ipsec之类原来的都是ipv6上的概念，现有的vpn这一类的应用其实都是ipv6原有的部分安全概念在ipv4的实现而已），从理念和实现机制上就和ipv4不在一个档次上（比如包头长度是否固定的问题，比如广播多播的问题，比如验证机制的问题），这种时候除了中间人攻击这种还是会有痕迹而且很费事很消耗资源的搞法，基本就得像cia和fbi那种，收买各个信息相关组织成员和开源社区成员，在实现里直接留后门，或者等bug了（比如bsd的ipsec实现被cia收买开发人员，比如ssl的滴血漏洞这种）

当然各国有各国的实现方法，米帝的信息检索过滤比国朝的gfw一点不差（甚至从某种程度上更黑），只是处理手段会不一样------国朝这种简单封堵图省事的搞法最明显而且招人恨了，不过问题是虽然gfw属于技术含量高，投入大，存在意义也很重大的项目，但是貌似行政级别却很低，别的部门随便有个阿猫阿狗就能指使的他们团团转，记得以前cu上有人提到过sourceforce抽风，就是因为先是有人举报说freenvpn，openvpn之类的在上面所以封了，然后又有人通过朋友了什么的去解释说那上面只是源码，没啥政治目的，所以又解封，然后又不知道什么人去举报，封了，再去解释……

这样


PS：关于国朝和米帝的处理手段不同这个，举个例子就是洋葱网络（tor），国朝干脆一封了事，有新桥接中继出来就继续封，而米帝那边就是想法子渗透进去控制住，各种伪装成中继点（这种其实因为tor的通信机制的问题还是很难直接获取到足够多的有用信息），各种试图抓入口和出口

最终的结果就是国内根本上不了tor了，而米帝那边先轰杀了丝绸之路，又抓了n个黑客组织成员……

对于普通人而言，国内的这种干脆不让用的搞法当然更容易被察觉和招人恨

莆田电信还是双向访问的

武英仲 发表于 2013-3-18 09:19
关键是，GFW还不支持IPV6，所以大规模普及还是没戏

早以在2010年支持了

我这ISP全锁，到死也别想指望用上IPV6,只求他别锁EMULE端口，好连个服务器下点美剧看下,城乡区别大，城里电信随便升10MBPS，农村洗洗睡，还是猫，光猫只有移动有，但像是在一个电脑陪训教室一样，人一多卡爆。网页打不开，只有QQ这狗RI的能上

马克~学习了

世纪冰雷 发表于 2013-5-3 20:37
其实GFW无非几种方法，ACL，黑DNS，堵端口……即使IPV6也是一样的方法……没差……
...

现在网络真TMD的全是污水,没有一个干净的DNS,很杯具而且正常的的没有几个.
国内我觉得就163的内容能看看

世纪冰雷 发表于 2013-5-3 20:37
其实GFW无非几种方法，ACL，黑DNS，堵端口……即使IPV6也是一样的方法……没差……
...

没有GFW时,他们用的CISCO的设备就能把端口全关了,不是说IPV6方式不一样所以关不了

risigcd123456 发表于 2013-5-3 20:31
但问题是他要让人上网,虽然封的方法太多,但他要安全有效可行的,这种有点拨网线的感觉.
有些人写的神马IPV ...

其实GFW无非几种方法，ACL，黑DNS，堵端口……即使IPV6也是一样的方法……没差……

世纪冰雷 发表于 2013-4-29 16:18
GFW一样两条ACL就可以封住……没区别……

但问题是他要让人上网,虽然封的方法太多,但他要安全有效可行的,这种有点拨网线的感觉.
有些人写的神马IPV6爬墙一点也不好,都不想下没有IPV6的人怎么转嘛,转也转不了,全是NAT之后的.
HE公会以前的免费的VPN,兲朝人用得多全给收回了.