为你的 IPv6 局域网配置 ULA 吧

近几个月来，三大运营商开始陆续在部分地区提供 IPv6 互联网的接入服务。在号称“每一粒砂子都可以获得一个地址”的 IPv6 时代，所有的设备都可以拥有公网地址，NAT 不再是刚需。那是不是我们不再需要内网地址了呢？ 本文将探讨一下这个话题。

IPv4 下的私有网络

曾经的 IPv4 网络也是点对点对等互联的：几乎所有互联网上的设备都拥有公网 IPv4 地址，甚至早期的 FTP 协议都只支持两个点对点连接的设备互传文件：客户端发起连接到务器传输指令；下载文件时需要监听端口，等待服务器端发起连接。

同时，IPv4 提供了三个私有网络(private network)地址段： 10.0.0.0/8，172.16.0.0/12 和 192.168.0.0/16，无需注册申请即可在私有网络中自由使用。 在 NAT 技术出现以前，这样的地址段通常只提供内网通信，不提供互联网访问服务。需要访问互联网时，往往需要依靠同时接入内外网的代理服务器。

后来 IPv4 地址不够用了，IPv6 就被提出出来了，同时顺便解决一下 IPv4 网络的缺陷。然而 IPv6 与 IPv4 完全不兼容，普及十分缓慢。为了缓解地址不够用的问题，NAT44 被大量运用，普通用户的公网 IPv4 地址被收回并高价卖给企业用户，越来越多的用户被安排进内网。再到后来，某些 ISP 甚至明目张胆把 不提供公网 IPv4 地址 写进合同了。

内网地址下的终端设备在互联网上丧失了点对点互联的能力，只能主动向拥有公网 IP 的设备发起连接，无法被动接受连接，P2P 使用受限，就像你拥有一部只能打出而不能呼入的电话。部分内网用户为了使自己的设备能够被远程连接，研究各种打洞、穿透与隧道技术，好不热闹。

IPv6 下的私有网络与 ULA

IPv6 拥有 128 位长的地址，号称“可以为每一粒砂子分配一个地址”，一劳永逸地解决了地址短缺问题。每个设备都可以拥有公网 IPv6 地址，点对点连接又回来了。其实想一想，我们只是重新获得了近十年里失去的东西罢了。

IPv6 时代，ISP 依然会为普通用户提供“动态” IPv6 地址：每次接入网络时，ISP 会重新分配一个 IPv6 地址前缀，这就使得用户侧所有终端的地址发生变化。如果你的终端设备之间有内部互联，这可能会造成服务中断。我们不希望自己运行的网络受制于 ISP ！

解决方法自然是：给你的局域网分配一个 IPv6 的内网地址段吧。 当然我不是让你重新使用 NAT。当然 IPv6 依然支持 NAT，如果你愿意，可以为你的终端分配内网 IPv6 地址，然后在网关处部署 NAT66，你就又重新再次回到了 NAT 时代。不过通常而言，NAT66 是没有必要的，而且使用 NAT 技术还会造成非常明显的性能损失。

在 IPv6 网络下，可以为每一个网络接口分配多个 IPv6 地址。你可以为你局域网的设备同时分配公网和内网地址，使你的设备同时接入内外两张网。

IPv6 提供一段称为 Unique Local Address （ ULA ）的地址段fc00::/7，包含fc00::/8和fd00::/8两部分：目前fc00::/8的使用还没有定义，我们不去管它；fd00::/8可以被自由使用。fd00::/8是一个十分巨大的地址段，你可以从中挑选一个/48的子段分配给你的局域网。RFC 4193建议使用随机生成的方法，使每个局域网的地址段都不同（这也是 ULA 名字的由来），从而避免局域网合并时地址冲突的麻烦。当然这主要是针对企业而讲的，家庭使用的话随机生成还是挑个好记的自己斟酌。如果要随机生成，Google 一下ULA generator有真相。

有了 ULA，你的设备在内部互访时可以直接使用固定的 ULA，和外部互访时则使用公网地址。只要保证你的路由表正确就可以：默认路由使用公网地址作为出口，ULA 地址段使用 ULA 作为出口。如果出现问题，检查一下你的 Router Advertisement 和 DHCPv6 服务的设置吧。