文章写的有点长,核心就是介绍IP地址的原理,以及NAT有好处也有坏处,IPv6相比较IPv4也是有好处和坏处,感兴趣的可以往最后划。
以马原的视角浅谈IP地址的发展——IPv4、IPv6、NAT
IP归属地
??2022年四月,各大社交平台都相继上线了IP属地的显示功能,例如微博、微信、抖音等。IP属地,就是IP地址的归属地,它标识了我们的网络位置,这个网络位置是由运营商提供的。
??社会存在是指社会物质生活条件,是社会生活的物质方面,主要包括自然地理环境、人口因素和物质生产方式。社会意识是社会存在的反映,是社会生活的精神方面。社会存在和社会意识是辩证统一的。社会存在决定社会意识,社会意识是社会存在的反映,并反作用于社会存在。社会存在和社会意识辩证关系原理对于社会发展包括社会文化建设具有重要指导意义。文化是社会意识的重要组成部分,它为社会发展提供思想保证、精神动力、智力支持和凝聚力量。
??网络环境是社会存在的一部分,它为我们提供了网络空间的虚拟社会生活;网络文化是现实社会文化的延伸和多样化的体现,它是网络社会生活的反映。随着互联网的发展,越来越多的人享受到了互联网带来的便利,但是网络文化也潜移默化地对我们的价值观产生影响。网络空间环境的好坏决定网络文化的好坏,所以显示用户IP属地的这个行为,就是为了净化网络环境,从而更好地建设健康的网络文化,这样网络文化才能为我们的社会发展起到积极的作用。
图片来源:新浪微博-微博管理员-IP属地功能升级公告、微信-微信珊瑚安全-微信公众平台即将展示用户IP属地的公告、微信-抖音安全中心-抖音关于在个人主页等位置展示账号IP属地的公告
IP地址介绍
??互联网可以理解为一个大的网络集合,其中包含有多个网络子集。同一个网络子集中,每一台主机(或者说终端)网络地址是相同的,而主机地址是唯一的。主机地址设计成唯一的原因是,一个数据包通过转发的方式(直接转发或者路由),目的地址是不能有二义性的,不然底层都不知道到底是发给谁。
IP地址唯一的重要性(使用drawio绘制)
??IP地址,就是互联网中区分不同对象的一个标识。一开始设计互联网的时候,IP地址被设计为全球唯一的,同时为了便于寻址以及层次化构造网络,IP地址由两个部分组成:网络部分和主机部分。网络部分,有点类似于邮编的前几位或者我们身份证号码的前几位,不同地区的网络部分不相同;主机部分,就是在网络的一个主机位置。运营商通过终端的网络部分,就可以提供主机所在的归属地。就像邮编,从省到市,再到区。
??IP协议,现在为大家所熟知的是IP协议(版本4),即IPv4协议——互联网协议第4版(Internet Protocol Version 4),它的IP地址空间长度是32位,通常使用点分十进制表示。例如下图,主机H1的IP地址192.12.15.10,主机H2的IP地址192.12.15.12,它们的IP地址是不能相同的。主机H1和H2的网络地址是192.12.15.0,该网络的广播地址是192.12.15.255,这两个地址是该网络的保留地址,不分配给主机的。通常使用子网的网络地址+子网掩码,或者用无类域际路由(Classless Interdomain Routing,CIDR)标识网络。例如主机H1和H2的网络可以用子网的网络地址192.12.15.0+子网掩码255.255.255.0,或者192.12.15.0/24来表示。我们经常可以看到三个概念:IP地址(IP Address)、子网掩码(netmask)、默认网关(Default gateway),例如主机H1,主机IP地址192.12.15.10,标明了它在192.12.15.0/24网络中的网络位置;正如刚刚所说,互联网是一个大的网络集合,它可以被分割为多个网络子集,而子网掩码就是标识一个网络子集的大小的,如H1所在的子网,子网掩码为255.255.255.0说明主机地址可以在192.12.15.1~192.12.15.254之间取值;默认网关,就是给主机提供一个网络的路径,在主机发送数据包在查找路由表没有结果时,就发送给默认网关,例如路由器R1在主机H1网络的IP地址192.12.15.254。
IP地址举例(使用drawio绘制)
??理性认识是指人们借助抽象思维,在概括整理大量感性材料的基础上,达到关于事物的本质、全体、内部联系和事物自身规律性的认识。理性认识包括概念、判断、推理三种形式。概念是对同类事物共同的一般特性和本质属性的概括和反映,是思维的细胞,也是最基本的思维形式,如家庭、社会、国家、民族等就是一些基本的概念。理性认识的其他形式,都是在概念的组合和深化的过程中形成和发展的。从概念到判断再到推理,是理性认识由低级到高级的发展。 这里的IP地址是我们了解IP网络的一个敲门砖,掌握IP地址的相关知识,我们才能更好地认识IP网络。
IPv4地址耗竭
??随着网络的普及,上网的设备增加了,我们在看到互联网蓬勃发展的同时,也看到IP地址的枯竭。尤其是物联网技术的发展,要给每一个节点分配IP地址,这也加速了IPv4地址的消耗。在2019年11月25日,欧洲地区互联网注册网络协调中心(RIPE NCC,负责英国、欧洲、中东和部分中亚地区互联网资源分配)宣布,他们已经用完了IPv4地址[4]。
??矛盾是反映事物内部和事物之间对立统一关系的哲学范畴。对立和统一分别体现了矛盾的两种基本属性。矛盾的对立属性又称斗争性,矛盾的统一属性又称同一性。矛盾的同一性是指矛盾着的对立面相互依存、相互贯通的性质和趋势;矛盾的斗争性是矛盾着的对立面相互排斥、相互分离的性质和趋势。矛盾的同一性和斗争性在事物发展中具有重要作用。事物是由多种矛盾构成的。主要矛盾是矛盾体系中处于支配地位、对事物发展起决定作用的矛盾。次要矛盾是矛盾体系中处于从属地位、对事物发展起次要作用的矛盾。不仅如此,在每一对矛盾中,处于支配地位、起着主导作用的一方,是矛盾的主要方面,处于被支配地位、不起主导作用的一方,则是矛盾的次要方面。事物的性质是由主要矛盾的主要方面所决定的。把主要矛盾和次要矛盾、矛盾的主要方面和次要方面的辩证关系运用到实际工作中,就是要坚持“两点论”和“重点论”的统一。“两点论”是指在分析事物的矛盾时,不仅要看到矛盾双方的对立,而且要看到矛盾双方的统一;不仅要看到矛盾体系中存在着主要矛盾、矛盾的主要方面,而且要看到次要矛盾、矛盾的次要方面。“重点论”是指要着重把握主要矛盾、矛盾的主要方面,并以此作为解决问题的出发点。“两点论”和“重点论”的统一要求我们,看问题既要全面地看,又要看主流、大势、发展趋势。
??我们憧憬着互联网的美好未来,也要看到发展当中存在的矛盾,运用矛盾的同一性和斗争性原理指导实践。例如,网络终端的增加是当今互联网发展的趋势,网络终端的增加和IPv4空闲地址的减少的矛盾,该矛盾的斗争性处于主要方面。IPv4协议对当今互联网带来的主要问题的主要方面是地址空间不足。所以采取正确的方法和措施,来解决网络终端数量的增加和IPv4地址不够的矛盾,这样才能更好地推动IP协议的发展。
图片来源:https://baijiahao.baidu.com/s?id=1664454626878339245
IPv4地址耗竭的解决方法
??其实在此之前,互联网工程师们就为了应对IP地址不够用的问题,推出IPv6协议的地址、NAT技术等。IPv6采用与IPv4相同的数据传输方式,仍然提供无连接、不可靠的通信服务。IPv6相比于IPv4,扩展了编址能力,IPv6将地址空间从32位增加到128位,以支持更多级别的编址层次结构、更多的可寻址节点和更简单的地址自动配置,232变成2128,号称“给地球上每一粒沙子都分配IP”。否定之否定规律告诉我们,任何现实事物都将在其发展过程中实现自我否定,周期性地向更高级的存在形态前进,应从前进性和曲折性相统一中把握事物发展本质及其发展方向。 IPv4发展到IPv6是符合历史前进方向的,正是这种新事物产生、旧事物灭亡的新陈代谢运动,才使得IP互联网蓬勃发展。
NAT技术
关于NAT的原理,之前写过了,想了解具体的可以参考https://blog.csdn.net/Robert_30/article/details/124495844
??现如今的IP地址,还在要求全球唯一吗?答案是看情况。对于IPv4,公有地址必须是唯一的,而私有地址则可以出现相同的情况。任何真理都是在一定范围内、一定条件下才能够成立,超出这个范围,失去特定条件,就会变成谬误。
??IPv4的地址在设计的时候,有几种IP地址范围被分配用于特殊目的,这些地址作为私有地址被保留。这些私有网络能够使用一个称为网络地址转换(Network Address Translation,NAT)的进程连接到公网上,如下图展示了私有网络连接到公网的模型。私有地址在NAT存在的时候允许有相同的私有地址,这个就像两个不同的小区,都有1栋1单元101一样,虽然都是101,但此101非彼101。度是保持事物质的稳定性的数量界限,即事物的限度、幅度和范围,超出度的范围,此物就转化为他物。 私有网络IP地址的范围就是私有子网的范围,所以不同的私有子网,私有IP是可以相同的;公网IP,在全球范围内,则应该是唯一的。私有网络IP地址,在经过NAT之后,就已经变成了“公网地址”。当然,也存在套娃的现象,例如私网地址经过NAT,变成另外的一种私网地址了,但是本质上,同一个子网内的IP地址,是不能相同的。
私有网络(使用drawio绘制)
??最初NAT不是作为一个安全设备设计的。然而,它能提供一定等级的安全性,并且经常与防火墙配对提供附加的安全性。NAT的主要目标是允许大量的设备共享少量的公网IP地址,但是一般情况下(不考虑NAT穿透或端口转发),NAT服务器所支持的连接,必须是内部主机主动发起的,并且对外部网络来说,通过NAT服务器中继的分组都来自NAT服务器。所以,NAT在减少了IPv4协议地址不足的影响同时,它还提供了匿名与隐私的安全效果,网络攻击者不能主动连接内网主机,同时也无法得知内网状况。任何事物都不能孤立存在,都同其他事物处于一定的联系之中,并且在发展中存在表面的偶然性。 NAT技术使得我们可以组建私网,并且节约公网IP地址,它的安全性也是我们现如今网络的一个需求。通信除了追求更快、更准(也就是通信的有效性和可靠性)之外,在当今复杂的网络形式下,安全也是一个重要的课题。
??资本主义所有制是生产资料归资本家所有的一种私有制形式。在私有制下,生产资料和劳动产品归私人所有,一个人要想得到别人的产品以满足自己的需要,就只能进行交换。 IP地址的私有化,有点类似资本主义私有制,内网供内网管理员私人占有,私人支配。NAT破坏了IP地址结构模型的设计原则——每个IP地址均标识了一个网络的连接,会有很多相同的主机地址,使用NAT私自组网,如果需要其他数据,则需要外部连接进行数据传输。思考一下两个私网的数据进行交换,会是什么样的情形?
图片来源:https://0xzx.com/2021061205471511245.html
NAT技术带来的问题
??但是NAT的出现,也有一些附带的问题,例如使得FTP协议、Ipsec协议等变得更复杂。我们通过使用一项技术获得好处的同时,也会付出一定的代价。
??互联网接入的公司广泛使用运营商级网络地址转换(CG-NAT),多个用户之间同时共享一个IP地址,随着近年来共享单个IP的用户数量增加,在某些情况下甚至是数千个。在刑事调查中,IP地址通常是可以将犯罪与个人联系起来的唯一信息,但是NAT技术给网络犯罪跟踪、网络攻击溯源产生了影响。
??欧洲刑警组织总干事Rob Wainwright(罗布·韦恩莱特)在声明中表示,CG-NAT技术为执法机构调查并寻找犯罪归因方面带来严重的能力缺口。由于90%的移动互联网访问提供商使用CG-NAT,使得执法人员履行法律义务识别个人用户困难,更加无法识别联网手机用户实施的犯罪活动,因此打击网络犯罪的调查受阻[6]。好家伙!NAT既为我们普通用户提供匿名和隐私的安全防护,但是又让网络犯罪的打击更困难了?
??事物的发展是通过其内在矛盾运动以自我否定的方式而实现的,辩证否定的实质是“扬弃”,即新事物对旧事物既批判又继承,既克服其消极因素又保留其积极因素。树立辩证的否定观,反对形而上学地肯定一切或否定一切,要对事物采取科学分析的态度,使实践活动符合事物自我否定的辩证本性同时,又要求我们正确看待事物发展的过程,既要看到道路的曲折,更要看到前途的光明。 “麻匪,任何时候都要剿。不剿不行”,不能因为NAT的负面影响,就完全认定NAT是一个不好的技术。事实上,NAT是符合历史前进方向的,是具有远大前途的东西,我们既要看到发展的曲折,也要看到发展NAT技术的必要性。抓住主要矛盾是IP地址不足的问题。
图片来源:腾讯视频《让子弹飞》
NAT技术和IPv6的思考
??NAT主要是为了解决IPv4的地址空间不足问题的,IPv6也解决了这个问题。有人说NAT的出现,拖延了IPv6的发展进程,这个说法从一定角度上看,也是正确的。现如今,NAT有的被作为IPv4和IPv6的转换,或者从家庭NAT发展到运营商级NAT(即CG-NAT),再例如NPTv6使路由器能够将IPv6数据包标头转换为 IPv6 数据包标头[8],再例如NAT为无方向的IP协议增加了一个方向[10]等等,NAT作为一开始为了解决地址不足的一项技术,被不断地发展和壮大。当我们IPv6全部实施时,可能真的不再需要现有的NAT了。
??否定是事物发展的环节,是旧事物向新事物的转变,是从旧质到新质的飞跃。只有经过否定,旧事物才能向新事物转变。否定之否定规律告诉人们,任何现实事物都将在其发展过程中实现自我否定,周期性地向更高级的存在形态前进,应从前进性和曲折性相统一中把握事物发展本质及其发展方向。 现有的IPv4和IPv6的IP地址,将网络部分和主机部分合在一起标识,可能就是“错的”。128位的IPv6地址,不方便记,同时还增加了对地址的处理复杂度。IPv4的简单,无连接、不可靠的数据传输特性,使得它在互联网中大放异彩。但是,现如今,推行IPv6也是时代的潮流了,各大互联网运营商,服务提供商都在大力部署实施,但是到全面IPv6的阶段,还是有很长一个距离的,让我们静静等待吧。
图片来源:https://cloud.tencent.com/developer/article/1971067
参考文献:
[1]. 马克思主义基本原理概论[M].《马克思主义基本原理概论》编写组著.高等教育出版社.2021;
[2]. TCP/IP 协议族(第4版)[M]. (美) 福罗赞(Behrouz A. Forouzan)著;王海等译.清华大学出版社.2010;
[3]. 网络安全(第2版)[M].胡道元等著.清华大学出版社.2008;
[4]. 网络安全基础:网络攻防、协议与安全[M]. (美) 雅各布森(Douglas Jacobson) 著;仰礼友,赵红宇译.电子工业出版社.2016;
[5]. RIPE NCC. The RIPE NCC has run out of IPv4 Addresses[EB/OL].(2019-11-25)[2022-6-8].https://www.ripe.net/publications/news/about-ripe-ncc-and-ripe/the-ripe-ncc-has-run-out-of-ipv4-addresses;
[6]. EUROPOL.Are you sharing the same IP address as a criminal? Law enforcement call for the end of Carrier Grade NAT (CGN) to increase accountability online[EB/OL].(2017-10-17)[2022-6-8].https://www.europol.europa.eu/media-press/newsroom/news/are-you-sharing-same-ip-address-criminal-law-enforcement-call-for-end-of-carrier-grade-nat-cgn-to-increase-accountability-online;
[7]. IETF.Document Serch-NAT[EB/OL].[2022-6-7].https://datatracker.ietf.org/doc/search?csrfmiddlewaretoken=bFpdXpihwhLpLhGkjAcpgzevP6dfaqfHt0KY6Y28mK8Qv0gKwqf7BeEPRha3PjuZ&name=NAT&sort=&rfcs=on&activedrafts=on&by=group&group=;
[8]. CISCO. IP Addressing: NAT Configuration Guide-Chapter: NPTv6 Support[EB/OL].[2022-6-7].https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/ipaddr_nat/configuration/xe-16/nat-xe-16-book/iadnat-asr1k-nptv6.html#:~:text=The%20IPv6-to-IPv6%20Network%20Prefix%20Translation%20%28NPTv6%29%20provides%20a,function%20is%20referred%20to%20as%20an%20NPTv6%20Translator;
[9]. CSDN. ipv6 中为什么不需要 nat_如果NATv6 是个笑话,那么 IPv6 是什么?[周小囧/OL].[2022-6-9]. https://blog.csdn.net/weixin_31614235/article/details/113081646;
[10]. CSDN.IPv6的NAT原理[cebiaoshu0745/OL].[2022-6-9].https://blog.csdn.net/cebiaoshu0745/article/details/100965304