<div dir="ltr"><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Mar 26, 2015 at 10:49 PM, Andre Keller <span dir="ltr"><<a href="mailto:ak@list.ak.cx" target="_blank">ak@list.ak.cx</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>
<span class=""><br>
On 26.03.2015 15:37, Sanjeev Gupta wrote:<br>
> I am part of a team deploying IPv6 in S E Asia, for enterprises in<br>
> their offices. As we do not have clarity on who the ISP will be, and<br>
> this will change frequently till v6 availability stabilises, use of<br>
> ULA is common. A NAT66 device is used much a normal IPv4 NAT gateway;<br>
> the NAT66 means that if the upstream IPv6 prefix address changes, all<br>
> the PCs do ot end up with new addresses.<br>
<br>
</span>Why would you bother with NAT66 in this case? I mean using ULA for local<br>
traffic (like printing, filesharing, building control etc.) seems fine<br>
to me. For global connectivity you could just use SLAAC or DHCPv6 as an<br>
additional address? Does it really matter, if these additional addresses<br>
change from time to time?</blockquote></div><br></div><div class="gmail_extra">The idea is to stay in known territory, and replicate what the client 's team knows first.  With ULA and a NAT66 device, their network policies can be implemented "the way we have always done this"'; ie all outgoing allowed (mapped onto a unique global address, with the lower 64 bits the same), and all incoming blocked except where authorised.<br><br></div><div class="gmail_extra">With IPv4, they use NAT and PAT.  With IPv6, they no longer need to do PAT.  At sometime in future, once they have experience with v6, hopefully a better-thought-out firewall policy can be implemented.<br></div><div class="gmail_extra"><br clear="all"><div><div class="gmail_signature">-- <br>Sanjeev Gupta<br>+65 98551208     <a href="http://www.linkedin.com/in/ghane">http://www.linkedin.com/in/ghane</a></div></div>
</div></div>