Современный интернет постепенно движется в сторону полного перехода на протокол IPv6, обеспечивая расширение адресного пространства и повышение эффективности сетевого взаимодействия. Несмотря на это, многие сервисы и ресурсы ещё долгое время будут доступны только через IPv4, что создаёт вызов для сетевых инженеров и администраторов. Одним из оптимальных решений для этого противоречия является технология NAT64, позволяющая клиентам с IPv6-сетями взаимодействовать с IPv4-серверами без необходимости внедрения двойной адресации (dual stack) на конечных устройствах. NAT64 основывается на преобразовании сетевых адресов и протоколов, преобразуя пакеты из IPv6 формата в IPv4 и обратно. Это даёт возможность полностью перейти на IPv6 внутренне, сохраняя при этом доступ к IPv4-ресурсам глобального интернета.
Адресация при этом строится специальным образом: внутренние IPv6-адреса транслируются в выбранный префикс, а последние 32 бита содержат оригинальный IPv4 адрес назначения. В современных условиях, когда многие крупные сети стремятся оптимизировать инфраструктуру, такой подход значительно упрощает маршрутизацию и управление IP-трафиком. Одним из инструментов реализации NAT64 является проект Jool — открытое программное обеспечение, интегрирующееся с Linux, которое обеспечивает трансляцию между адресными пространствами и портами аналогично традиционному NAT. Jool регулирует адресацию и сохраняет состояния соединений, позволяя множеству IPv6-клиентов использовать один или несколько публичных IPv4-адресов с выделенными портами. Это позволяет масштабировать решения и эффективно распределять доступ к ограниченным ресурсам IPv4.
Важной составляющей успешной работы NAT64 является поддержка со стороны DNS-серверов, реализуемая через механизм DNS64. Он синтезирует записи AAAA (IPv6-адреса) на основе существующих A-записей (IPv4-адресов). Таким образом, IPv6-only клиент получает корректированный DNS-ответ, который направляет трафик через NAT64 шлюз. Бесшовная интеграция DNS64 и NAT64 позволяет не изменять конечные настройки клиентских приложений и сервисов, упрощая эксплуатацию сетевой среды и сокращая расходы на адаптацию. Интересный и практичный пример внедрения NAT64 можно рассмотреть на базе сети компании IPng Networks.
Её инфраструктура построена с использованием многоуровневой архитектуры, включая MPLS транспортный слой и поверхностный протокол VPP, обеспечивающий взаимодействие с интернетом. В организации используется набор коммутаторов Centec, которые способны аппаратно обрабатывать IPv4, IPv6, MPLS и дополнительные технологии туннелирования с минимальным энергопотреблением и высокой производительностью. Для внутренней сети IPng Site Local предусмотрена адресация с префиксами 198.19.0.
0/16 для IPv4 и 2001:678:d78:500::/56 для IPv6. Это распределение позволяет сегментировать трафик, организовать управляющие подсети, выделить адреса для виртуальных машин и обеспечить гибкую маршрутизацию. Важной ролью играют гейтвеи, которые связывают внутренний IPng Site Local с внешним интернетом. В процессе перехода к IPv6-only модели перед специалистами сети IPng стоял вопрос обеспечения доступа к IPv4-only ресурсов, таких как, например, GitHub. Использование NAT64 стало ключевым решением для реализации этой задачи.
На границе сети установлены Border Gateways — серверы с двумя интерфейсами для внутренней и внешней сетей. Они обеспечивают функцию stateful firewall, а также NAT для IPv4 и IPv6. На каждом из них выделены пулы публичных IPv4 и IPv6 адресов для трансляции адресов внутренних пользователей. Особенностью реализации является применение модуля iptables SNAT для маскарадинга с пулом адресов, что компенсирует ограниченное количество портов у каждого отдельного IP. Для NAT64 была выбрана библиотека Jool, интегрированная с netfilter, позволяющая эффективно транслировать адресные пространства и порты между протоколами.
Конфигурация Jool предусматривает выделение специального IPv6 префикса pool6 — 2001:678:d78:564::/96 — для обслуживания NAT64, что соответствует рекомендациям стандарта RFC6146. Для корректной работы системы был важен настройка DNS64 на резолвере Unbound. Две строки конфигурации позволили включить синтез AAAA-записей из A-записей, используя выделенный NAT64 префикс. Это привело к тому, что IPv6-only хосты начали корректно получать IPv6-адреса для ресурсов с доступом только по IPv4, автоматически маршрутизируя трафик через Border Gateway. В дополнение, динамическая маршрутизация в IPng Site Local осуществляется посредством OSPF и OSPFv3.
Такая схема позволила организовать отказоустойчивость и балансировку нагрузки между несколькими Border Gateway, а также обеспечить корректную маршрутизацию префиксов IPv4, IPv6 и NAT64. Административная политика фильтрации гарантирует, что в сеть не попадёт нежелательный трафик, а гейтвеи смогут консолидировать маршруты и объявлять их в инфраструктуру BGP для обеспечения обратной маршрутизации. Благодаря интеграции BGP с использованием частного автономного номера AS64513 и сессий к магистральным маршрутизаторам, IPng Networks обеспечила полный контроль над маршрутизацией и возможность информировать сеть об адресных пулах NAT44, NAT66 и NAT64 без риска утечки информации на внешний уровень. Такой подход повышает безопасность и стабилизирует работу сети. Практическое внедрение показало высокую эффективность использования NAT64 для обеспечения интернет-доступа IPv6-only устройствам.
Инженерные оценки показали, что настройка NAT64 в сочетании с DNS64 и продуманной маршрутизацией становится естественным шагом при строительстве современных, масштабируемых и будущих сетей. Несмотря на то что технология NAT64 является сравнительно молодой, её внедрение значительно облегчает переход на IPv6 и одновременно поддерживает совместимость с устаревшими IPv4-ресурсами. Решения на базе открытого ПО, такие как Jool и Unbound, предоставляют доступные и гибкие возможности для сетевых администраторов и разработчиков. Перспективы развития NAT64 связаны с интеграцией в высокопроизводительные маршрутизаторы и программно-определяемые сети, что позволит расширять функциональность и улучшать масштабируемость. Также ожидается, что в будущем появятся новые стандарты и улучшения, направленные на повышение безопасности и снижение задержек в трансляции адресных пространств.
