NAT64

NAT64는 IPv6 전환 기술 중 하나로, IPv6 네트워크 환경에서 IPv4 전용 서비스에 접근하기 위해 IPv6 패킷을 IPv4 패킷으로 변환하는 네트워크 주소 변환(Network Address Translation) 방식이다. 일반적으로 IPv6‑only 네트워크와 IPv4‑only 네트워크 사이에 배치되어, IPv6 호스트가 IPv4 주소를 사용하는 인터넷 리소스에 직접 접속할 수 있도록 지원한다.

개념 및 원리

• 주소 변환: IPv6 주소와 IPv4 주소 사이에 매핑을 정의하여, IPv6 패킷의 목적지 주소를 IPv4 주소와 포트 번호로 변환한다. 변환 과정에서 IPv6 헤더는 IPv4 헤더로 교체되고, 필요에 따라 체크섬이 재계산된다.
• 프리픽스: 일반적인 NAT64 구현에서는 64:ff9b::/96 프리픽스를 사용한다. 이 프리픽스에 IPv4 주소를 삽입하면 IPv6 주소가 생성되며, 이를 IPv4‑Embedded IPv6 Address 라고 한다.
• DNS64와의 연계: NAT64는 보통 DNS64와 함께 동작한다. DNS64는 IPv4‑only 도메인에 대한 DNS 질의를 받아 IPv4 주소를 IPv6 형식으로 변환한 AAAA 레코드(64:ff9b::/96 프리픽스 포함)를 반환한다. 이를 통해 IPv6‑only 클라이언트는 기존 IPv4‑only 서비스에 접근할 수 있다.

구성 요소

적용 사례

• ISP 환경: IPv6 전환 초기 단계에서 IPv6‑only 고객에게 IPv4 서비스(예: 웹, 이메일)를 제공하기 위해 사용한다.
• 기업 네트워크: 내부 IPv6 전용 인프라를 유지하면서 외부 IPv4‑only 파트너 시스템에 접속해야 할 경우 적용한다.
• 클라우드 서비스: IPv6‑only 영역에서 기존 IPv4‑based API나 서비스에 접근하도록 지원한다.

장점

• IPv4 주소를 별도로 할당하지 않아도 되므로 주소 자원을 절약할 수 있다.
• 기존 IPv4 인프라를 그대로 활용하면서 IPv6 전환을 단계적으로 진행할 수 있다.
• DNS64와 결합하면 사용자 측에서 별도의 설정 없이 투명하게 동작한다.

한계 및 고려 사항

• 성능: 패킷 변환 과정에서 추가적인 처리 지연이 발생할 수 있다.
• 프로토콜 호환성: 일부 애플리케이션은 IP 주소를 직접 다루며, NAT64 변환에 의해 동작이 오류가 발생할 가능성이 있다(예: IP 기반 인증, 일부 P2P 프로토콜).
• 포트 제한: NAT64는 보통 1:1 매핑이 아닌 포트 기반 매핑을 사용하므로, 동일한 IPv4 주소에 대한 다중 연결이 제한될 수 있다.
• 보안: 변환 게이트웨이가 공격 표면이 될 수 있어 방화벽 정책 및 로그 관리를 강화해야 한다.

표준 및 관련 기술

• RFC 6146 – NAT64 및 DNS64 구조와 동작 정의
• RFC 6052 – IPv4‑Embedded IPv6 주소 형식 지정
• IPv6으로의 전환 계획(IPv6 transition mechanisms) – NAT64는 Dual‑Stack, 6to4, Teredo 등 다른 전환 기술과 병행하여 사용될 수 있다.

주요 구현체

• Cisco IOS XE – NAT64 기능을 제공하는 라우터 OS
• Juniper Junos – NAT64 및 DNS64 지원
• Linux kernel (tayga, Jool 등) – 오픈소스 NAT64 구현
• OpenBSD – pf와 ipfw를 이용한 NAT64 구성 가능

참고 문헌

1. RFC 6146, “Stateful NAT64/DNS64 Translator” (2011)
2. RFC 6052, “IPv6 Addressing of IPv4/IPv6 Translators” (2010)
3. “IPv6 Transition Mechanisms: An Overview”, IETF Internet Draft (2020)

위 내용은 공개된 기술 문서와 표준을 기반으로 작성되었으며, 최신 구현 및 운영 환경에 따라 세부 사항이 달라질 수 있다.