关于IPv6的六大误区：IPv6并非更安全(1)(2)

“如果有人想违规转让IP地址的话，他们就得冒着其地址被ARIN收回重新分配的风险，”Curran说。“我们有足够的人手会敦促申请了IPv4地址的机构尽快使用这些地址。”

区域注册商正在考虑一种新的策略，将允许IPv4地址空间可以从一家区域注册商转让给另一家区域注册商。

“北美地区在互联网发展的初期就分配了大量的地址空间，”Curran说。“这些资源应该为整个互联网社区所使用。我预计我们将会看到地区间的转让。”

号码资源组织NRO）主席Raul Echeberria承认，IPv4地址黑市是可能出现的，但是他说，由于现有IPv4地址转让的规则，他也不能确定这个黑市一定会出现。

“有些IPv4地址当然会有可能在体系之外进行交易，但是我相信，和在体系之内进行转让的数量相比，这只会是极少的一部分。”他说。

Echeberria补充说，IPv4地址的价值会随着网络经营者纷纷采用IPv6而逐渐降低，因而使黑市变得没有吸引力。

“如果互联网社区向IPv6迁移，那么IPv4地址的价值未来就会下降，”他说。

5. IPv6比IPv4更安全

IPv6的支持者们称，新协议的好处之一就是它内置了对于IPSec的支持，后者是一种互联网安全标准，可在两个端点之间进行授权和加密通信。然而专家们认为，IPv4对于IPSec的支持也很充分，因此其安全性并不比IPv6更差。

“所谓IPv6比IPv4更安全其实是没有根据的，”Blue Coat系统公司首席科学家李清译音）说。“IPv6的设计是为了让IPSec的实施更便利，允许IPSec运行的更好而已，但它也只是提供了一种便利，并不等于说IPv6本身会更安全。”

短期来看，IPv6反而有可能会让互联网更不安全，而不是更安全。这是因为有如此之多的网络经营者们会同时升级到相对而言还尚未被实践所验证的IPv6技术上去。

“长期来看，IPv6是会极大地提升互联网的安全性，因为每个端点都能够加密。但是要实现这样的安全将会是一个漫长的过程，”Curran说。“短期来看，IPv6会首次将大量新的代码功能带到网络上，任何时候，只要你在整个互联网上使用新代码，就都有可能会出现大量的代码漏洞。所以人们必须对IPv6的安全提高警惕。”

另外一个问题是，短期内只会有少数的网络工程师拥有如何让IPv6网络更安全的技巧和经验。

“目前来看，机构都非常缺乏IPv6的运营经验，因而自然会出现不少的人为错误，”销售IPv6 DNS设备的Infoblox公司负责架构和技术的副总裁Cricket Liu说。“配置IPv6的网络工程师们肯定会犯一些在IPv6环境下不可能犯的错误。因此IPv6的实施质量将会成为一个问题。”

还有，安全厂商的IPv6产品目前还不能提供和IPv4产品同样多的安全功能或者同等水平的安全性能。

“假如你的网络厂商告诉你说，他们的产品在IPv4和IPv6环境下性能完全一样，那是在胡说，”VeriSign的CSO Danny McPherson说。“多数商用产品的厂商们都已经认识到，要想在规模和功能上保持与IPv4环境下的一致性那是不太可能的。”

McPherson认为，部署IPv6将会生成很多新的漏洞。例如互联网将需要更多的地址转换设备，而这些设备也会招致分布式拒绝服务攻击DDoS），或者出现单点失灵的情况。还有就是网络经营者对于互联网流量的可见性也会降低，所以他们也更难发现类似僵尸网络等类型的攻击。

“肯定会出现一些漏洞窗口，除非我们完全迁移到IPv6上去。迁移的速度越快，我们就会越安全，”McPherson说。他还补充说，“如果你的网络是完全IPv6的，那么你就能更好地确保能够与IPv4相同的控制和对策。”

6. IPv6会让互联网更简单

IPv6提出了端到端通信的承诺，从而可以取消网络地址转换设备NAT）和其他中间设备，这些设备都是为了延续IPv4有限寻址空间的寿命而必须的。

但是现实情况却是，网络经营者必须让IPv6和IPv4共存多年，而两种协议的这种共存将会让网络管理在可预见的未来中变得更为复杂。

“IPv4仍将继续存在数十年之久，”Curran说。“何时才能完全放弃IPv4，并没有一个时间表，但是随着时间的推移，这种共存状况将会比只运行IPv6的成本更加高昂。年复一年，运行两种网络协议所带来的并发症肯定会出现。”

网络经营者必须同时运行两种协议，是因为IPv6不能后向兼容，这也是很多CIO和CTO们所不相信的事实。的确，互联网设计社区已经指出过，IPv6设计的最大失误就是它不能向后与IPv4兼容。

“很多人想当然地认为IPv4和IPv6是兼容的，IPv4和IPv6主机之间的互操作性是不需要做太多操作就能实现的，”McPherson说。“如果两者之间没有双堆栈的话，那它们之间就需要一些转换设备。”

一度曾有人宣称，IPv6将是NAT设备的末日，坚持互联网纯粹性的人之所以痛恨这些NAT设备，就是因为它们阻碍了IP通信的畅通。然而网络经营者们之所以一再推迟了向IPv6的升级，就是因为他们现在仍然需要依靠运营商级的NAT设备以及其他IPv6-IPv4的转换设备，以便适应预计在未来12个月内出现的大量的IPv6网络流量。

“多数的迁移技术要么就是靠NAT设备本身来实现的，或者是通过NAT设备来实现的，”Liu说。“例如Teredo一种IPv6-over-IPv4隧道技术）就是通过NAT实现的。Nat64IPv6-IPv4转换框架）就是一种转换技术。我不认为NAT设备会很快消失。”

“在未来五年内，事情将会变得更为复杂，因为我们将会有两种协议同时共存，”Liu说。“我们还必须要用这些繁杂的转换技术。不是一种，而是多种……如果真要相信IPv6会把我们突然间带进一个端到端的网络通信乐园，那是不切实际的。”