Er is geen tekort aan IPv4-adressen. Zowel bedrijven als internet service providers kunnen nog minstens twintig jaar uit de voeten met de bestaande voorraad. Dat zegt universitair docent Jos Vrancken aan de Faculteit Techniek, Bestuur & Management van de Technische Universiteit Delft. De reden daarvoor is volgens hem dat Network Address Translation (NAT) nog ruimte biedt voor miljarden extra internet-verbindingen, en een veelvoud daarvan wanneer NAT verder wordt verbeterd.
'Laat het IPv4-tekort maar aan de markt over', zegt Vrancken. 'Die zoekt altijd naar kortetermijnoplossingen die lokaal voordeel bieden.´ Hij voorspelt dat Network Address Translation (NAT) de uitweg zal zijn uit de volgens hem schijnbare IPv4-crisis.
'NAT is rond 1994 tegelijk met IPv6 ontwikkeld. Het voordeel ervan was en is dat elk bedrijf er lokaal voordeel mee kan halen, ook als de rest van de wereld het nog niet heeft geïmplementeerd. Dat maakt dat de techniek bottom-up kan worden ingevoerd, in tegenstelling tot IPv6. Dat kan pas een succes worden wanneer het hele internet is overgestapt.'
IPv6 niet backwards compatible
Voor IPv6 daarentegen 'valt geen business case te maken', aldus Vrancken. 'Implementatie ervan levert alleen maar bedrijfsrisico's op. Het grote probleem van IPv6 is dat het niet backwards compatible is. Dat maakt de overgang naar IPv6 een bijzonder complexe en risicovolle operatie.'
'De werking van elke internet-applicatie is afhankelijk van een keten aan componenten. Als ergens binnen die keten ook maar één firewall staat die geen IPv6 doorlaat, kan bijvoorbeeld een databank niet bereikt worden. Het gevolg is een systeemstoring. Als dat een paar keer gebeurt, zetten bedrijven een punt achter het gebruik van IPv6 en wachten tot het verder ontwikkeld is.'
En dat is helemaal niet erg, volgens Vrancken. Intensiever gebruik van NAT is volgens Vrancken dé uitweg uit het huidige tekort aan IPv4-adressen. De universitair docent rekent voor: 'Via NAT kun je achter elk publiek IPv4-adres naar schatting 100 zware gebruikers en 1000 lichte hangen en daarnaast nog eens 10000 apparaten die weinig communiceren (koelkasten, etc.).' *
'Er zijn 4,3 miljard IPv4-adressen. Wanneer tien procent van die adresruimte via de mogelijkheden van NAT optimaal benut wordt, levert dat dus minimaal 40 miljard extra internet-aansluitingen op.'
Ondanks het opraken van alle IPv4-adressen hoeven we ons volgens Vrancken dus helemaal geen zorgen te maken over het internet: 'Er gaat helemaal niks mis, ook niet in China [de regio APNIC is zomer 2011 door zijn voorraad heen, red.] De onderzoeker heeft slechts één raad aan bedrijven: rustig afwachten. 'De komende twintig jaar is er niets aan de hand. ISP's gaan heus niet zeggen: jij krijgt van ons geen IPv4-adres. Ze stoppen je gewoon achter een NAT-box. Bedrijven zullen voor dezelfde oplossing kiezen.'
NAT
Network Address Translation (NAT) is een techniek om een deel van een netwerk van het publieke internet af te scheiden. Het introduceert een scheiding van adresruimten (privé en publiek) en een gateway tussen beide adresruimten. De creatie van zo'n privé-netwerk gebeurt door achter één publiek IP-adres een verzameling adresnummers te hanteren uit een speciale range van adressen. Deze adressen kunnen in elk NAT-netwerk hergebruikt worden. Toch kunnen gebruikers achter een NAT-box gewoon gebruik maken van het internet: 'Ze kunnen skypen, mailen, twitteren, peer-to-peer downloaden, gamen, kortom alles wat ze willen. En servers zet je bij een hostingbedrijf.'
NAT is volgens Vrancken dan ook een populaire techniek, die alom toegepast wordt: Elk consumentenmodem is een NAT-box. Hetzelfde geldt voor bedrijven. De overgrote meerderheid van bedrijfsnetwerken zijn NAT-netwerken.'
*
* Volgens Vrancken is dit een voorzichtige schatting, die rekening houdt met de beperking dat het TCP/IP-protocol voor elk adres 65.000 poorten te verdelen heeft. Een gebruiker die gebruik maakt van een webapplicatie-suite zoals Google Apps soupeert ongeveer 200 van die 65.000 poorten op.
Jos Vrancken
Na afgestudeerd te zijn als wiskundige aan de Universiteit Utrecht, promoveerde Jos Vrancken in 1991 als computerwetenschapper aan de Universiteit van Amsterdam. Hij ontwikkelde onder meer methoden voor protocol-verificatie. Van 1991 tot en met 2008 werkte hij als systeemarchitect bij Rijkswaterstaat. Sinds 2002 is hij daarnaast universitair docent bij de Faculteit Techniek, Bestuur & Management in Delft. Hij doet onder meer onderzoek aan verkeersmanagementsystemen voor wegverkeer en de bottom-up invoering van nieuwe ict-standaarden.
Zou het dan toch allemaal niet meer dan een veredeld ‘millennium-probleem’ zijn?
Wat doet deze man vreemde uitspraken. Rustig afwachten? Yeah right. Laten we gewoon heel TU Delft achter 1 NAT verbinding hangen. Gewoon omdat het kan. Want zelfs met een redelijke flow tracking implementatie moet dat natuurlijk theoretisch haalbaar zijn. Vervolgens herverdelen we de vrijgekomen B-class van TU Delft naar de rest van Nederland.
Dat de man zulke domme uitspraken doet valt hem natuurlijk niet te verwijten. TU Delft is zelf niet in staat om IPv6 op haar netwerk uit te rollen, wat in en in triest is voor een Technische Universiteit.
Wat een bijzondere verhaal zeg, deze meneer weet ons te vertellen wat wij al jaaaaren doen.
Toch zijn de adressen volgens mij bijna allemaal uitgedeeld. En is er gebleken dat de totale ruimte van ipv4 gewoon niet groot genoeg is om in de toekomst aan de ip behoeft te voorzien
Het is echt niet zo dat alles ineens op te lossen is door de boel te gaan natten, want dat doet iedereen al, welk bedrijf heeft nou voor elk apparaat in zijn bedrijf een eigen public ip?
In een datacenter kan je ook meerdere servers op hetzelfde ip zetten, maar het houd een keer op. Je kan niet meerdere websites aanbieden op 1 ip. het is namelijk niet te verkopen om een webserver aan te bieden die alleen op port 87654 te bereiken is, die moet altijd op port 80/443 draaien anders wordt het onwerkbaar.
De heer Vrancken gaat er van uit dat particulieren geen servertje thuis hebben staan voor FTP of een kleine website. “Servers zet je bij een hostingbedrijf”. En het internet is een plaats waar grote bedrijven informatie en diensten leveren, terwijl de gewone gebruiker gewoon consument moet spelen en verder zijn mond moet houden.
Beste Jos, Ik denk dat je je toch nog wat beter moet inlezen in de techniek. Voor client werkzaamheden is NAT prima ! Maar om services aan te bieden heb je toch nog steeds een static IP nodig waar dat service verkeer op aankomt ! Je kan dan wel een NAT box hebben met daarop een static IP. Maar als je 2 webservers achter deze NAT box wil draaien die beiden op port 80 fungeren dan heb je toch al een wat groter probleem (nu is het met HTTP nog redelijk makkelijk op host header het verkeer te scheiden wat nu in de praktijk al veelvuldig gebeurt) maar ga je naar moeilijkere protocollen toe zoals HTTPS of andere vergelijkbare complexe protocollen dan gaat het achter een NAT box toch echt wel lastig worden kan ik je verzekeren.
Je kan het met hem eens zijn of niet, maar dat de slome opkomst van IPV6 komt omdat een fundementeel deel van internet gaat zitten vervangen waar echt iedereen aan mee moet doen om het te laten werken kan je niet echt omheen. Het is voor ITers ook erg moeilijk het fenomeen IPV6 te verkopen aan de personen die alle hardware ervoor moeten aanschaffen. (binnen een bedrijf) Concrete voorbeelden van voordelen die een bedrijf er binnen redelijk termijn aan gaat hebben zijn er namelijk gewoon niet.
De heer Vrancken toont weer eens aan waarom TB’ers zich vooral niet met technische zaken moeten bemoeien en waarom we de hele ICT sectie van TBM beter kunnen opheffen.
NAT levert vele problemen op wanneer directe verbindingen noodzakelijk zijn. Onder andere dat gamen, peer-to-peer downloaden en Skypen is alleen maar mogelijk omdat er ook end-users (supernodes) zijn die niet achter NAT zitten. Allerlei vage UDP poortjeprik trucs moeten uitgehaald worden om directe verbindingen op te kunnen zetten naar clients die achter NAT zitten. NAT is geen oplossing maar een workaround.
Wij mogen op dit moment geen studenten achter NAT hebben van Surfnet omdat we dan het hele NAT-segment dicht moeten gooien als er een besmetting op blijkt. Ze mogen zelfs niet achter een proxy-server op het web, ook niet als ze zelf toch een publiek adres hebben (omdat abuse door derden tot op een computer moet zijn terug te voeren).
Je hebt voor NAT alleen 10.x.x.x, 172.16.x.x t/m 172.23.x.x en 192.168.x.x beschikbaar. Voor een partij als Surfnet zou alleen klasse A (10.x.x.x) in aanmerking komen om in zijn geheel op over te gaan (als dat al lukt). Dat betekent dan wel dat ze binnen zichzelf alleen nog de andere twee (Klasse B en C) over hebben voor NAT. Als bij voorbeeld Surfnet in een wereldwijd universitair verband ook nog diensten afneemt – bijvoorbeeld voor de genoemde malware en abuse monitoring – zou NAT toch aanzienlijke consequenties hebben.
Het zal me toch niet verbazen als IPv6 alsnog zou doorbreken.
Jos Vrancken is hier lekker vlot mee. Zijn we jaren in discussie over de noodzaak van ipv4 naar ipv6 over te stappen, zou dat overbodig zijn. Althans er is een ander alternatief, NAT. Maar, en dan komt de aap uit de mouw, dat moet nog wel even worden aangepast. Met dergelijke redeneringen schiten we niet echt op.
NAT degradeert de mogelijkheden van het Internet. Zo moet je de NAT-router configureren wanneer je gebruik wil maken van inkomende verbindingen van buiten. Dit heb je nodig wanneer je een server wil plaatsen of effectief peer-to-peer verbindingen op wil zetten.
Daar heb je allemaal geen last van wanneer ieder systeem een eigen, vanaf buiten bereikbaar adres heeft.