Er is geen tekort aan IPv4-adressen. Zowel bedrijven als internet service providers kunnen nog minstens twintig jaar uit de voeten met de bestaande voorraad. Dat zegt universitair docent Jos Vrancken aan de Faculteit Techniek, Bestuur & Management van de Technische Universiteit Delft. De reden daarvoor is volgens hem dat Network Address Translation (NAT) nog ruimte biedt voor miljarden extra internet-verbindingen, en een veelvoud daarvan wanneer NAT verder wordt verbeterd.
'Laat het IPv4-tekort maar aan de markt over', zegt Vrancken. 'Die zoekt altijd naar kortetermijnoplossingen die lokaal voordeel bieden.´ Hij voorspelt dat Network Address Translation (NAT) de uitweg zal zijn uit de volgens hem schijnbare IPv4-crisis.
'NAT is rond 1994 tegelijk met IPv6 ontwikkeld. Het voordeel ervan was en is dat elk bedrijf er lokaal voordeel mee kan halen, ook als de rest van de wereld het nog niet heeft geïmplementeerd. Dat maakt dat de techniek bottom-up kan worden ingevoerd, in tegenstelling tot IPv6. Dat kan pas een succes worden wanneer het hele internet is overgestapt.'
IPv6 niet backwards compatible
Voor IPv6 daarentegen 'valt geen business case te maken', aldus Vrancken. 'Implementatie ervan levert alleen maar bedrijfsrisico's op. Het grote probleem van IPv6 is dat het niet backwards compatible is. Dat maakt de overgang naar IPv6 een bijzonder complexe en risicovolle operatie.'
'De werking van elke internet-applicatie is afhankelijk van een keten aan componenten. Als ergens binnen die keten ook maar één firewall staat die geen IPv6 doorlaat, kan bijvoorbeeld een databank niet bereikt worden. Het gevolg is een systeemstoring. Als dat een paar keer gebeurt, zetten bedrijven een punt achter het gebruik van IPv6 en wachten tot het verder ontwikkeld is.'
En dat is helemaal niet erg, volgens Vrancken. Intensiever gebruik van NAT is volgens Vrancken dé uitweg uit het huidige tekort aan IPv4-adressen. De universitair docent rekent voor: 'Via NAT kun je achter elk publiek IPv4-adres naar schatting 100 zware gebruikers en 1000 lichte hangen en daarnaast nog eens 10000 apparaten die weinig communiceren (koelkasten, etc.).' *
'Er zijn 4,3 miljard IPv4-adressen. Wanneer tien procent van die adresruimte via de mogelijkheden van NAT optimaal benut wordt, levert dat dus minimaal 40 miljard extra internet-aansluitingen op.'
Ondanks het opraken van alle IPv4-adressen hoeven we ons volgens Vrancken dus helemaal geen zorgen te maken over het internet: 'Er gaat helemaal niks mis, ook niet in China [de regio APNIC is zomer 2011 door zijn voorraad heen, red.] De onderzoeker heeft slechts één raad aan bedrijven: rustig afwachten. 'De komende twintig jaar is er niets aan de hand. ISP's gaan heus niet zeggen: jij krijgt van ons geen IPv4-adres. Ze stoppen je gewoon achter een NAT-box. Bedrijven zullen voor dezelfde oplossing kiezen.'
NAT
Network Address Translation (NAT) is een techniek om een deel van een netwerk van het publieke internet af te scheiden. Het introduceert een scheiding van adresruimten (privé en publiek) en een gateway tussen beide adresruimten. De creatie van zo'n privé-netwerk gebeurt door achter één publiek IP-adres een verzameling adresnummers te hanteren uit een speciale range van adressen. Deze adressen kunnen in elk NAT-netwerk hergebruikt worden. Toch kunnen gebruikers achter een NAT-box gewoon gebruik maken van het internet: 'Ze kunnen skypen, mailen, twitteren, peer-to-peer downloaden, gamen, kortom alles wat ze willen. En servers zet je bij een hostingbedrijf.'
NAT is volgens Vrancken dan ook een populaire techniek, die alom toegepast wordt: Elk consumentenmodem is een NAT-box. Hetzelfde geldt voor bedrijven. De overgrote meerderheid van bedrijfsnetwerken zijn NAT-netwerken.'
*
* Volgens Vrancken is dit een voorzichtige schatting, die rekening houdt met de beperking dat het TCP/IP-protocol voor elk adres 65.000 poorten te verdelen heeft. Een gebruiker die gebruik maakt van een webapplicatie-suite zoals Google Apps soupeert ongeveer 200 van die 65.000 poorten op.
Jos Vrancken
Na afgestudeerd te zijn als wiskundige aan de Universiteit Utrecht, promoveerde Jos Vrancken in 1991 als computerwetenschapper aan de Universiteit van Amsterdam. Hij ontwikkelde onder meer methoden voor protocol-verificatie. Van 1991 tot en met 2008 werkte hij als systeemarchitect bij Rijkswaterstaat. Sinds 2002 is hij daarnaast universitair docent bij de Faculteit Techniek, Bestuur & Management in Delft. Hij doet onder meer onderzoek aan verkeersmanagementsystemen voor wegverkeer en de bottom-up invoering van nieuwe ict-standaarden.
Ach blijft Jos toch als enige over op IPv4. Zijn we in de toekomst van dit soort publicaties af 😉 !
Wat een onzin dit verhaal, natuurlijk kan je leuke dingen doen met NAT maar dit is echt niet de oplossing!
Voor een thuisgebruik kan je prima NAT gebruiken in je DSL modem dit wordt natuurlijk nu ook al gedaan maar dan moet de provider dus wel 1 publiek ipv4 adres toekennen per klant en dat is nu juist het probleem want deze zijn gewoon op. okey dan ga je over naar ISP NAT voor de thuisgebruiker dus 1000 klanten worden door de ISP naar 1 ip geNAT leuk als iemand zich dan illegale activiteiten uitvoert dan worden meteen 1000 klanten gebklokker op basis van 1 publiek IP en moet de ISP maar uitzoeken wie het heeft gedaan.
Daarnaast heb je natuurlijk nog bedrijfsoplossing en hosting waarbij je echt niet alles achter NAT kan gooien.
kortom gewoon over naar IPv6, natuurlijk kan je met dualstak in je back offie nog gebruik blijven maken van ipv4
NAT is inderdaad de mogelijkheid om het verbruik van Internet adressen te reduceren. Met name de grotere bedrijven – geen NAT, iedereen een “echt” Internet adres – zorgen voor leegloop. Als dat nu eens gereguleerd wordt – echte controle of de aangevraagde adressen gebruikt worden – dan heeft ipv4 nog een langer leven dan in de commercieele wereld wordt gezegd.
Als abuse op de persoon terug te leiden moet zijn: er zijn nieuwere firewall technieken waarbij rechten worden toegekend aan een gebruiker, niet een adres. Die logging levert dan wel de gevraagde informatie, terwijl er gewoon NAT gebruikt kan worden.
Hoewel NAT geen 100% bescherming garandeert, is het een prima middel om gepast met de beschikbare middelen om te gaan.
@Rob Koelmans:
Surfnet valt dus in de categorie waar NAT geen goede oplossing is. Dat wil niet zeggen dat NAT nooit een goede oplossing is.
Deze meneer heeft zeker nog nooit met VoIP gewerkt. Knappe jongen die 1000en VoIP gebruikers achter een NAT wil hangen. Daar heb je een berg CPU en geheugen voor nodig..
Echt iemand die de klok hoort, maar vooral niet weet waar in godesnaam die klepel nou hangt.
NAT is gewoon een smerige workaround die misschien voor 1% van de thuisgebruikers handig is, maar in serieuzere omgevingen (en dat is als er al 1 VoIP door een NAT heen moet) dan is het een no-go..
Nee, meneer in Delft.. ga maar eens opnieuw je huiswerk doen!
@Marc Enschede
Dat alles direct op internet zit is echt is extreem veel gevallen ook domweg onwenselijk en onverantwoord.
IPV6 is niet de heilige graal die het principe van een lokaal netwerk op gaat heffen, het gaat alleen zorgen dat een dreigend adressentekort het hoofd geboden kan worden.
In netwerkarchitectuur veranderd volgens mij gewoon helemaal niets met de komst van IPV6.
Je wil (ik iig) niet als bedrijf al je hardware direct aan het internet hebben hangen. Het heeft ook geen enkel voordeel, alleen maar risico’s.
Last is dus redelijk subjectief. Als je het moet instellen om het te laten werken kan er ook geen deur open staan die misbruikt kan worden. Dit is een beveiligsvoordeel die ikzelf altijd zal verkiezen boven het gemak van alles wat klakkeloos werkt.
Ach, als iemand je dan vraagt: Wat is jullie website? Eh, ik bedoel, portnummer? Enne provider is?
Ja ja, dus http://www.kpn.com, port 88332…
Handig!
@Rob Koelmans:
Ook binnen SURFnet is NAT een mogelijkheid. SURFnet verlangt gewoon traceability. Als je goede logging in je NAT realiseert, heeft SURFnet geen enkel probleem met welke NAT of PAT oplossing dan ook.
NAT verminderdt echter wel de mogelijkheden van gebruik van internet. Al die 1000 apparaten die af en toe naar internet willen, wil men misschien ook wel vanaf internet benaderen.
Er wordt toch steeds gesproken over even naar huis internetten om je koffiezetapparaat en magnetron aan te zetten? Dat is met NAT niet mogelijk.
@WL van Geldrop: NAT wordt al sinds jaar en dag toegepast waar het wel een goede oplossing is. Waar het eventueel verder nog een een goede oplossing voor is, moeten dan wel toewijsbare ranges bij vrijkomen. Je hebt nu eenmaal niet meer beschikbaar om toe te wijzen wat al toegewezen is en het gaat om een tekort aan toewijsbare adressen.
@Paul Snoep: Als abuse DOOR DERDEN op de persoon/pc terug te leiden moet zijn.