以往，由于NAT大大延緩了IPv4地址枯竭所帶來的影響，因此得到了廣泛的應(yīng)用。到了IPv6時代，地址空間已經(jīng)不是問題了，那還用不用得到NAT呢？

拒絕NAT的理由

長期以來，IPv6的純粹主義者一直反對建立IPv6+ NAT（即NAT66）的協(xié)議標準。直到今天，都沒有NAT66相關(guān)的協(xié)議草案，更不用說已經(jīng)發(fā)布的IETF RFC了，反對NAT的主要理由是IPv6有足夠的地址空間，而且是全球唯一的，因此更多地址需求不是問題，IPv6不需要NAT/PAT功能來擴展地址空間或避免地址沖突。另一個反對NAT的論點是，有人將防火墻執(zhí)行的有狀態(tài)包過濾與IPv4 NAT功能混為一談的，有狀態(tài)包過濾可以為IPv6提供與IPv4相同的安全防護等級，只是沒有NAT功能?！皼]有IPv6 NAT就意味著安全性降低”，這是一個長久以來的誤區(qū)，更不用說IPv6天然自帶IPSec安全保護功能了。此外，NAT顯著增加了IPv4網(wǎng)絡(luò)的復(fù)雜性，NAT使本地IPv4地址重疊的現(xiàn)象非常普遍，這給管理帶來了難度。NAT會給需要端到端連接和在協(xié)議報文中嵌入IP地址的應(yīng)用程序帶來問題（例如FTP、IPsec、SIP、RTSP、SAP、SCTP、DCCP等）?？傊?，IPv4使用NAT是不得已的選擇，IPv6沒有必要再重蹈覆轍。

采用NAT的原因

然而實際情況并沒有這么簡單，IPv6規(guī)模部署不是平地起高樓，而是要基于現(xiàn)狀進行逐步改造和升級演進，需要綜合考慮更多因素帶來的影響，包括成本、管理、安全、可遷移性、可擴展性等。人們選擇采用NAT往往是出于多方面的原因：

1、安全性：NAT可以向外部實體隱藏內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，從而提供額外的安全防護層。通過隔離內(nèi)部設(shè)備與外部設(shè)備的直接通信，避免被惡意探測，降低網(wǎng)絡(luò)攻擊的風(fēng)險。例如內(nèi)部網(wǎng)絡(luò)采用SLAAC方式分配IPv6地址，其地址中包含主機MAC等敏感信息，可能被遠程非法追蹤和利用。

2、地址不足：盡管IPv6有巨大的地址空間，但ISP實際分配給客戶的可能只有一小段全球單播地址（如/60或者/56），無法滿足需求。這種情況下就需要使用可重復(fù)的私網(wǎng)地址，采用NAT實現(xiàn)隔離和互通。

3、復(fù)雜性：企業(yè)往往有多家ISP提供互聯(lián)網(wǎng)接入服務(wù)，若沒有NAT，每家ISP分配的IPv6地址都需要部署到內(nèi)部網(wǎng)絡(luò)中，造成一臺主機配置多個不同ISP的IPv6地址，這大大增加了網(wǎng)絡(luò)管理的復(fù)雜性和難度。

4、一致性：雙棧環(huán)境下同時存在IPv4和IPv6，在IPv6中使用NAT有助于維護網(wǎng)絡(luò)管理的一致性，降低管理的難度和成本投入。

5、兼容性：一些遺留的系統(tǒng)或者應(yīng)用程序在使用IPv6時可能存在限制，而NAT可以作為一種臨時的解決方案。

6、可移植性：企業(yè)采用私網(wǎng)地址有一個潛在好處，當更換ISP時可以確保更好的可移植性，不用再重新變更內(nèi)部網(wǎng)絡(luò)設(shè)備配置，只需要改變出口設(shè)備配置即可。

7、網(wǎng)絡(luò)互通：企業(yè)內(nèi)網(wǎng)或者行業(yè)專網(wǎng)采用了自主申請的IPv6地址（例如從APNIC、CNNIC申請），需要和ISP網(wǎng)絡(luò)實現(xiàn)路由互通，這是一項巨大的挑戰(zhàn)（ISP普遍不愿意接入其他機構(gòu)的自建網(wǎng)絡(luò)），一個可選的規(guī)避方案是采用NAT方式。

總結(jié)與建議

IPv6的原生設(shè)計理念是消除NAT，實現(xiàn)端到端的網(wǎng)絡(luò)連接，這毫無疑問應(yīng)該是未來IPv6的發(fā)展目標。但考慮到IPv6部署的現(xiàn)狀和挑戰(zhàn)，需要根據(jù)實際情況靈活選擇不同的策略，之后逐步過渡到無NAT模式，實現(xiàn)平滑的升級演進。