IPv6 也有运营商级 NAT 了?

325 天前
 dianlujitao

现象

鄙校的 IPv6 曾经是全程走教育网的。近期似乎进行了某种改造(?),改造后某些流量仍然全程教育网,但有一部分会经过交换节点在中间的某段走电信 163 (下图框出来的部分就是电信的地址),当然也有可能以前就有走电信的线路只是我一直没有发现: 随之而来的问题是,在各个路由经过电信的查询 ip 的网站上查到的 ip 都变成了电信的 ip:

但全程走教育网的线路就不会出现这种问题,例如:

进一步验证

多次测试后发现手里刚好有分别全程走教育网和中间走电信的两台机器,于是通过本地发起 ssh 连接并同时在两边查看地址和端口的方式进一步进行验证。

全程教育网的机器(乌龟壳东京)

分别在本地和远端使用 ss 查看连接,结果如下:

# 本地
ESTAB      0      0      [240c:cxxxx1::3]:37560 [2603:c0xxx00::100]:22
# 远程
ESTAB      0      224    [2603:c0xxx00::100]:22    [240c:cxxxx1::3]:37560

可以发现两边显示的地址和端口号是一致的,说明中间没有进行地址转换

中间会走电信的机器(移动家宽)

# 本地
ESTAB      0      0      [240c:cxxxx1::3]:53174 [2409:8a62:7xxxx6b:c998]:22
# 远程
tcp        0    152 2409:8a62:7xxxx6b:c998:22 240e:659:11b1::f5:19259 ESTABLISHED

此时远端看到的传入 ip 地址变成了电信的,且端口号也变了,跟开了 NAT 一样。但需要额外说明的是,如果从远端发起连接的话,即使路由经过电信也不会进行地址转换,图就懒得放了。

问题

以上测试结果是否说明 IPv6 也开启了运营商级 NAT ?这么做的目的是什么?

往好的方面想,这只是单纯的路由配置错误吗?如果是的话如何反馈?

5505 次点击
所在节点    宽带症候群
27 条回复
ontry
325 天前
教育网死贵当年我们学校去买树买花都不去扩容,出口基本都是移动电信,当然结果就是学生不用为了上校园网花钱,你这看着就像是出口不够做的负载均衡走的电信
dianlujitao
325 天前
@huaseky 走电信没毛病,但为啥走着走着就 NAT 了呢
ontry
325 天前
@dianlujitao 按照校园网的德行看那延时应该还在信息处机房内, 准是那帮人搞幺蛾子呢
yyzh
325 天前
人家专门写了篇文章说这事
http://nyzr.njupt.edu.cn/ch/reader/download_pdf_file.aspx?journal_id=nyzr&file_name=3618E016C89268EC9C64DEF9E7E255657F64F099502862E04109EDF744140784E12B41D3622AF417C95DE1F13A7E6DA262C7457CC86A01CD8CD9B64C3F3E5BB1&open_type=self&file_no=202006004
soha
325 天前
不算什么错误,理解一下,人老师能把 IPv6 给你弄出来都已经很棒了。三大的价格比教育网便宜大碗,本地三大没有和赛尔做互联的话就得到处绕,而且赛尔口子大不起来,上网体验肯定不好,因此学校肯定希望能够就地解决流量+有更大的口子的。但是往三大宣告前缀又不简单,教育网又不会点头让三大代宣告前缀,学校就只能用运营商提供的 IP 。再加上一般人都是用 v4 的思维去整 v6 ,搞出个这种 n:1 NAT 也正常。这种情况其实是可以用无状态的 1:1 NAT 或者 NPTv6 的。另外也有一些不使用 NAT 来处理多个运营商前缀的实践,例如 RFC7157 和 RFC8678 。当然这个就更别指望老师能整出来了,而且也得终端主机配合。
shawnoob
325 天前
在 v 站遇见校友了
我也是这两天才发现的
yyzh
325 天前
@soha 还好.已经有人把操作过程都放出来了,其他学校照着抄应该问题不大.
https://blog.z0ukun.com/?p=3692
dxppp
325 天前
楼主可以考虑用 Nextrace

https://www.nxtrace.org

以及 GUI 版的 Opentrace

https://github.com/Archeb/opentrace
mytsing520
325 天前
不奇怪,你学校有电信和教育网两条专线(基于你的帖子数据判断),有一部分走了电信的出口,算不上运营商级 NAT

PS:教育网宽带价格昂贵,我所在的地区,1G 教育网宽带费用约合 2-3G 电信宽带的价格
ccbikai
325 天前
神奇的网络出口 IP ,刚好做了这个检测出口 IP 的工具,可以测一下分享一下吗?

https://html.zone/ip
intoext
325 天前
学校内部分的是 cernet 的 v6 地址,但是又不想所有 v6 流量都走 cernet (因为带宽低、费用高),做 nat66 分流到运营商。就这么简单
acbot
325 天前
好奇:教育网为啥没有参与这几年的国家级互联网骨干直联点建设?
dianlujitao
325 天前
@huaseky @yyzh @soha @mytsing520 感谢解释,我之前简单以为学校可以直接用教育网 ip 和电信做 peering ,没往需要使用电信提供的 ip 这方面想。现在看来 traceroute 里延迟 3ms 的电信 ip 是学校机房里接入电信出口的机器,在这里发生了教育网到电信的地址转换。
信息化处的老师还是非常给力的,前几天服务器配置错误导致 pppoe 不下发 v6 地址,报修后一下午就解决了,现在这个小问题可以忍一忍。

不过还有一个疑问:这种地址转换会不会影响 pt 上传?因为现在在 pt 站后台看到的客户端 ip 是 nat 后的


@dxppp 机子上装了 opentrace ,但发现他自带的几个数据源的 v6 归属地都不太准所以直接用原始 traceroute 截的图


@ccbikai 昨晚写完帖子就润家了,测不了
e8AsCM
325 天前
我去,在 v 站碰到校友了,顺便吐槽一下前两年校园网突然就开了局域网内隔离,NAT 类型似乎也变成对称式了,P2P 软件直接废掉了
Bear13023
325 天前
@yyzh 感觉这个博主写的很有料啊,还有类似通用性强的 blog 分享 2 个么
Xymmh
325 天前
就是学校在出口策略路由了,这是在校园网 ipv4 上很常见的事情,只不过现在 ipv6 也有了,看起来是一部分地址走教育网 v6 ,另一部分地址 NAT 后走电信 v6
这其实是个并不是很好的解决方案。更理想一点的方案应该是同时给终端分配教育网 v6 的地址和电信 v6 的地址,然后通过 DNS 调整用户连接的 CDN ,从而平衡两条线路的流量负载
Xymmh
325 天前
这是个非常不好的事情,IPv6 时代网络就应该保持纯粹,而且尽量使用 SLAAC 分配地址,再搞这些东西完全就是守旧不求创新的思想,应该从根本解决问题。希望其他学校不要效仿
li2921578
325 天前
...nat 好.学习下,看看家里怎么搞 nat
terrancesiu
325 天前
电信代播应该不可能,只是走策略路由的方式不够优雅,做下前缀翻译可以研究下。
dream0689
325 天前
@li2921578 家里 v6 前缀没有固定,应该搞不了,大概只能玩 nat66

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1013244

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX