PDA

Bekijk Volledige Versie : 'IPv4-adressen zijn niet op'



Domenico
08/06/11, 19:44
Nou het volgende is een hele claim van Jos Vrancken. Lees het even en ik ben benieuwd hoe de professionals onder jullie hier over denken.

-----------------------------------------------------
bron: computable.nl (http://www.computable.nl/artikel/ict_topics/netwerken/3977934/1276932/ipv4adressen-zijn-niet-op.html?utm_source=Nieuwsbrief&utm_medium=E-mail&utm_campaign=Redactiemailing)
door: Jolein de Rooij

NAT biedt ruimte voor miljarden extra internet-verbindingen

Er is geen tekort aan IPv4-adressen. Zowel bedrijven als internet service providers kunnen nog minstens twintig jaar uit de voeten met de bestaande voorraad. Dat zegt universitair docent Jos Vrancken aan de Faculteit Techniek, Bestuur & Management van de Technische Universiteit Delft. De reden daarvoor is volgens hem dat Network Address Translation (NAT) nog ruimte biedt voor miljarden extra internet-verbindingen, en een veelvoud daarvan wanneer NAT verder wordt verbeterd.

'Laat het IPv4-tekort maar aan de markt over', zegt Vrancken. 'Die zoekt altijd naar kortetermijnoplossingen die lokaal voordeel bieden.´ Hij voorspelt dat Network Address Translation (NAT) de uitweg zal zijn uit de volgens hem schijnbare IPv4-crisis.
'NAT is rond 1994 tegelijk met IPv6 ontwikkeld. Het voordeel ervan was en is dat elk bedrijf er lokaal voordeel mee kan halen, ook als de rest van de wereld het nog niet heeft geïmplementeerd. Dat maakt dat de techniek bottom-up kan worden ingevoerd, in tegenstelling tot IPv6. Dat kan pas een succes worden wanneer het hele internet is overgestapt.'

IPv6 niet backwards compatible

Voor IPv6 daarentegen 'valt geen business case te maken', aldus Vrancken. 'Implementatie ervan levert alleen maar bedrijfsrisico's op. Het grote probleem van IPv6 is dat het niet backwards compatible is. Dat maakt de overgang naar IPv6 een bijzonder complexe en risicovolle operatie.'

'De werking van elke internet-applicatie is afhankelijk van een keten aan componenten. Als ergens binnen die keten ook maar één firewall staat die geen IPv6 doorlaat, kan bijvoorbeeld een databank niet bereikt worden. Het gevolg is een systeemstoring. Als dat een paar keer gebeurt, zetten bedrijven een punt achter het gebruik van IPv6 en wachten tot het verder ontwikkeld is.'

En dat is helemaal niet erg, volgens Vrancken. Intensiever gebruik van NAT is volgens Vrancken dé uitweg uit het huidige tekort aan IPv4-adressen. De universitair docent rekent voor: 'Via NAT kun je achter elk publiek IPv4-adres naar schatting 100 zware gebruikers en 1000 lichte hangen en daarnaast nog eens 10000 apparaten die weinig communiceren (koelkasten, etc.).' *

'Er zijn 4,3 miljard IPv4-adressen. Wanneer tien procent van die adresruimte via de mogelijkheden van NAT optimaal benut wordt, levert dat dus minimaal 40 miljard extra internet-aansluitingen op.'

Ondanks het opraken van alle IPv4-adressen hoeven we ons volgens Vrancken dus helemaal geen zorgen te maken over het internet: 'Er gaat helemaal niks mis, ook niet in China [de regio APNIC is zomer 2011 door zijn voorraad heen, red.] De onderzoeker heeft slechts één raad aan bedrijven: rustig afwachten. 'De komende twintig jaar is er niets aan de hand. ISP's gaan heus niet zeggen: jij krijgt van ons geen IPv4-adres. Ze stoppen je gewoon achter een NAT-box. Bedrijven zullen voor dezelfde oplossing kiezen.'

Ionstar
08/06/11, 19:56
Ik mag hopen dat internet providers hun gebruikers niet achter NAT plaatsen, want dat zal denk ik leiden tot een spam heaven. Normaal kun je bepaalde gebruikers blokkeren op IP adres en dan is het opgelost. Bij NAT blokkeer je dan direct potentieel duizenden gebruikers.

Paulewk
08/06/11, 20:00
Wat hij beweerd is niet feitelijk onjuist, maar imo wel vooruitgang tegengaand, NAT is een in prinpice een "hack" op IPv4 routering. Als alle hardware vendors en ISP's dezelfde houding als deze man zouden hebben dan staan we zelfs met NAT over 20 jaar weer voor exact hetzelfde probleem.

Zijn argumenten kloppen ook niet helemaal, z'n firewall bijv, als die WEL ipv6 ondersteund (anders kan dat IPv6 pakket uberhaupt niet bij die firewall komen) en het niet doorlaat, is deze gewoon (bewust) verkeerd geconfigureerd.

Ik vind het op z'n minst ook merkwaardig te noemen dat een 'universitaire docent' pleit voor de korte termijn oplossing.

The-BosS
08/06/11, 20:25
Man man man, denk dat die zelf nog even naar de unief moet. Want hij moet me eens uitleggen hoe je achter NAT bvb 250 webservers op poort 80 kunt plooien. Dat het in bedrijven van toepassing kan zijn ben ik wel mee akkoord maar dat gebeurd nu ook al. En grote bedrijven als IBM komen echt niet toe met een 10.x.x.x range en hebben daarom nog extra ranges. Ik zie het al voor me dat je aan je provider moet vragen wil je eens poort 9387 forwarden naar poort 80 van mijn NAT ip zodat ik buiten het NAT nog op mijn eigen webserver geraak ;).

Laten we zijn redenering dan even verder door trekken en dan kun je ook zeggen zet in ieder bedrijf en iedere ISP een mega proxy server met de volledige internet content en dan heb je ook geen IPv6 of want anders nodig. Buiten 1 lijn met een echt ipv4 adress die constant alles mirrored, maar daarvoor is het internet niet uitgevonden lijkt me.

Paulewk
08/06/11, 20:34
Man man man, denk dat die zelf nog even naar de unief moet. Want hij moet me eens uitleggen hoe je achter NAT bvb 250 webservers op poort 80 kunt plooien. Dat het in bedrijven van toepassing kan zijn ben ik wel mee akkoord maar dat gebeurd nu ook al. En grote bedrijven als IBM komen echt niet toe met een 10.x.x.x range en hebben daarom nog extra ranges. Ik zie het al voor me dat je aan je provider moet vragen wil je eens poort 9387 forwarden naar poort 80 van mijn NAT ip zodat ik buiten het NAT nog op mijn eigen webserver geraak ;).

Laten we zijn redenering dan even verder door trekken en dan kun je ook zeggen zet in ieder bedrijf en iedere ISP een mega proxy server met de volledige internet content en dan heb je ook geen IPv6 of want anders nodig. Buiten 1 lijn met een echt ipv4 adress die constant alles mirrored, maar daarvoor is het internet niet uitgevonden lijkt me.

Uhm, ik denk dat die man eerder op eyeballs doelt, dat word nu soms al achter NAT gedaan, daarmee kan je dus IP's besparen die je weer voor servers zou kunnen gebruiken.

Maar ook kantoren kunnen 9 v/d 10x (als ze dat al niet zijn) prima achter NAT. Wij hebben bijv op ons kantoor in Alkmaar FTTO van KPN, daar hebben wij 16 IP's bij, waarvan we er wel 2 gebruiken. Het "schokkende" is dat dit standaard is, er is niet gevraagt hoeveel IP's we nodig hebben.

IBM kan gok ik voor zijn kantoren makkelijk uit met 10.0.0.0/8, vergeet niet dat je dat ook weer kan subrouteren en waarom zouden ze zich beperken tot 10.0.0.0, er is ook nog 192.168 en 172.16. Ik denk trouwens dat IBM dit ook allang al doet.

Hoe apart de man z'n beweringen ook zijn denk ik niet dat deze man bedoeld dat men server toepassingen ook achter NAT moet doen.

visser
08/06/11, 20:53
Nou het volgende is een hele claim van Jos Vrancken. Lees het even en ik ben benieuwd hoe de professionals onder jullie hier over denken.

-----------------------------------------------------
bron: computable.nl (http://www.computable.nl/artikel/ict_topics/netwerken/3977934/1276932/ipv4adressen-zijn-niet-op.html?utm_source=Nieuwsbrief&utm_medium=E-mail&utm_campaign=Redactiemailing)
door: Jolein de Rooij

NAT biedt ruimte voor miljarden extra internet-verbindingen

Er is geen tekort aan IPv4-adressen. Zowel bedrijven als internet service providers kunnen nog minstens twintig jaar uit de voeten met de bestaande voorraad. Dat zegt universitair docent Jos Vrancken aan de Faculteit Techniek, Bestuur & Management van de Technische Universiteit Delft. De reden daarvoor is volgens hem dat Network Address Translation (NAT) nog ruimte biedt voor miljarden extra internet-verbindingen, en een veelvoud daarvan wanneer NAT verder wordt verbeterd.

'Laat het IPv4-tekort maar aan de markt over', zegt Vrancken. 'Die zoekt altijd naar kortetermijnoplossingen die lokaal voordeel bieden.´ Hij voorspelt dat Network Address Translation (NAT) de uitweg zal zijn uit de volgens hem schijnbare IPv4-crisis.
'NAT is rond 1994 tegelijk met IPv6 ontwikkeld. Het voordeel ervan was en is dat elk bedrijf er lokaal voordeel mee kan halen, ook als de rest van de wereld het nog niet heeft geïmplementeerd. Dat maakt dat de techniek bottom-up kan worden ingevoerd, in tegenstelling tot IPv6. Dat kan pas een succes worden wanneer het hele internet is overgestapt.'

IPv6 niet backwards compatible

Voor IPv6 daarentegen 'valt geen business case te maken', aldus Vrancken. 'Implementatie ervan levert alleen maar bedrijfsrisico's op. Het grote probleem van IPv6 is dat het niet backwards compatible is. Dat maakt de overgang naar IPv6 een bijzonder complexe en risicovolle operatie.'

'De werking van elke internet-applicatie is afhankelijk van een keten aan componenten. Als ergens binnen die keten ook maar één firewall staat die geen IPv6 doorlaat, kan bijvoorbeeld een databank niet bereikt worden. Het gevolg is een systeemstoring. Als dat een paar keer gebeurt, zetten bedrijven een punt achter het gebruik van IPv6 en wachten tot het verder ontwikkeld is.'

En dat is helemaal niet erg, volgens Vrancken. Intensiever gebruik van NAT is volgens Vrancken dé uitweg uit het huidige tekort aan IPv4-adressen. De universitair docent rekent voor: 'Via NAT kun je achter elk publiek IPv4-adres naar schatting 100 zware gebruikers en 1000 lichte hangen en daarnaast nog eens 10000 apparaten die weinig communiceren (koelkasten, etc.).' *

'Er zijn 4,3 miljard IPv4-adressen. Wanneer tien procent van die adresruimte via de mogelijkheden van NAT optimaal benut wordt, levert dat dus minimaal 40 miljard extra internet-aansluitingen op.'

Ondanks het opraken van alle IPv4-adressen hoeven we ons volgens Vrancken dus helemaal geen zorgen te maken over het internet: 'Er gaat helemaal niks mis, ook niet in China [de regio APNIC is zomer 2011 door zijn voorraad heen, red.] De onderzoeker heeft slechts één raad aan bedrijven: rustig afwachten. 'De komende twintig jaar is er niets aan de hand. ISP's gaan heus niet zeggen: jij krijgt van ons geen IPv4-adres. Ze stoppen je gewoon achter een NAT-box. Bedrijven zullen voor dezelfde oplossing kiezen.'


Laat ik een slagje om de arm houden dat journalisten nog wel eens de zaak maar half begrijpen, en dan ook nog stellig samenvatten.
Kortom, het zou kunnen dat dit verhaal door de prof een stuk genuanceerder verteld is dan dat het is weergegeven.

Maar oordelend naar het stuk hier illustreert het alle vooroordelen die je kunt hebben over managers en technisch inzicht van de softere sector van de wetenschap. (TBM!)
Wat IP (4 en 6) gemaakt heeft tot wat het is, zijn een aantal ontwerp- en netwerk kenmerken.
De relevante hier zijn dat IP netwerken zoveel mogelijk transparant zijn en vooral 'stateless' zijn.
Verkeersgedrag (tcp flow control) wordt bijna totaal door eindstations geregeld.
Een transparant en (voor wat betreft transit-verkeer) stateless netwerk maakt dynamisch herrouteren simpel, en maakt ook hoge snelheden tegen beperkte kosten hardware technisch mogelijk.

Ongeveer iedere goede netwerk engineer die ik ken verwacht dus vooral problemen bij de (waarschijnlijk toch deels onvermijdelijke) introductie van carrier grade nat.
Omdat dat dus wel stateful moet zijn.
Precies het soort problemen wat je ook hebt met bijvoorbeeld firewalls, die ook stateful moeten zijn, en vooral als ze redundant of verspreid moeten zijn is dat een grote opgave. Of (zelfs) met kleinschalige NAT.

Het is wel een leerzaam om een tijdje met een sniffer te kijken naar de toeren die sommige applicaties (moeten) uithalen om door gewone home NAT router te werken.
De probes naar een STUN server voor de diverse chat en messaging clients, de klagende thuisgebruikers dat hun routertje crasht als ze bittorrent gebruiken, UPNP,al die dingen.
Denk nu aan hetzelfde, maar dan dat al die gebruikers bij elkaar op één apparaat terecht komen. Wat gaat de CGN operator instellen als sessie limiet ?
En hoe gaat de de gebruiker voor wie "het weer niet werkt" ontdekken dat het daar aan ligt ? Op je thuisrouter _kun_ je dat nog zien, als je weet waar je kijken moet.

Maar goed, degenen die naar de professor luisteren en niks doen zullen dan een degraded service krijgen achter een carrier nat doos. Mensen die native IPv6 gebruiken hebben dan een internet wat 'gewoon werkt'. En zo is de business case tzt wel weer gemaakt.
Tot die tijd zal de business case om dat soort dozen te slijten ook wel gemaakt worden, evenals consultancy uren om ze te plaatsen en om problemen ermee te diagnosticeren.

cyberbootje
08/06/11, 21:56
Mwa, ergens klopt het wel. Sommige bedrijven hebben ALLE apparatuur een publiek ip toegewezen.
Ik weet nog van vroeger dat de HU zelfs printers op een publiek ip hadden staan(waarschijnlijk nu nog steeds) en dat is gewoon zonde.
Wil niet zeggen dat ze dat moeten omswitchen, nee liever niet zelfs want anders wordt de overgang naar ipv6 alleen nog maar verder onnodig lang uitgesteld...

The-BosS
09/06/11, 00:50
Mwa, ergens klopt het wel. Sommige bedrijven hebben ALLE apparatuur een publiek ip toegewezen.
Ik weet nog van vroeger dat de HU zelfs printers op een publiek ip hadden staan(waarschijnlijk nu nog steeds) en dat is gewoon zonde.

Zo zijn er voorbeelden genoeg te noemen van hogescholen/universiteiten, maar dat is hun fout ook niet maar oorspronkelijk die van IANA/RIPE die ze met /21, /16, naar hun kop smeet. Idem met bepaalde bedrijven die PI ranges hebben en nog geen 25% van hun range gebruiken, maar dat kun je die bedrijven onmogelijk verwijten.Neem een ISP als voorbeeld, waarom zou die meer ip adressen moeten hebben dan er inwoners zijn in de regio/land waar hij zijn diensten aanbied.

Dat is nu net de reden waarom ik zelf een /24 op mijn vdsl2 zou kunnen krijgen omdat de provider in kwestie een overschot heeft aan ranges door overnames etc. Maar ik zie IANA/RIPE ze nog niet direct terug vorderen voor andere doeleinden, omdat ze zelf ook weten dat dit een lapmiddel is en dat we toch eens over moeten naar IPv6.

Als je auto of server na 10 jaar uit elkaar valt en het je meer kost aan onderhoud en patches etc dan koop je toch ook een nieuwe, waarom kan dat dan niet met het IPv6 protocol.

Triloxigen
09/06/11, 09:51
Ik mag hopen dat internet providers hun gebruikers niet achter NAT plaatsen, want dat zal denk ik leiden tot een spam heaven. Normaal kun je bepaalde gebruikers blokkeren op IP adres en dan is het opgelost. Bij NAT blokkeer je dan direct potentieel duizenden gebruikers.

Ahaa.. want dat heb je niet bij IPv6 denk je?

Paulewk
09/06/11, 11:48
Zo zijn er voorbeelden genoeg te noemen van hogescholen/universiteiten, maar dat is hun fout ook niet maar oorspronkelijk die van IANA/RIPE die ze met /21, /16, naar hun kop smeet.

Dat is niet zozeer een fout van IANA, hoogstens kortzichtigheid, maar wie kon in die tijd bedenken dat het internet zo explosief zou groeien? Het was overigens ook logisch om grote blokken uit te delen omdat dat de route tabel klein hield. Bedenk ook dat CIDR pas sinds 1993 bestond. Daarvoor was alle routing classful.

unchained
09/06/11, 12:07
Zo zijn er voorbeelden genoeg te noemen van hogescholen/universiteiten, maar dat is hun fout ook niet maar oorspronkelijk die van IANA/RIPE die ze met /21, /16, naar hun kop smeet.l.

en zo doen ze het nu in principe met ipv6 ook ...
dus of ze nu echt leren van hun fouten?

akkoord, de eerste 100'en jaren ofzo komen we wel rond met ipv6, maar vergeet niet dat ze vroeger zaten te roepen dat er geen markt was voor computers en internet,
dat het niets zou worden, en dat ipv4 goed genoeg zou zijn.
de kans is nu gewoon veel kleiner dat het kan opgebruikt worden, maar wat we nu niet zien of denken, wil niet zeggen dat die dag er niet zal komen.

@triloxigen: ok, eigenlijk geen vraag naar mij, maar toch interesse:

waarom zou je bij ipv6 (zonder nat dus) gelijk noodzakelijk spam heaven hebben of duizenden gebruikers blokkeren?
gewoon 1 ip blokkeren en dat is dat? en voor de rest, hopen dat de ipv6 mailserver whitelist wat groeit en de spam niet.
of zit ik hier mis?

Wido
09/06/11, 12:30
Mwa, ergens klopt het wel. Sommige bedrijven hebben ALLE apparatuur een publiek ip toegewezen.
Ik weet nog van vroeger dat de HU zelfs printers op een publiek ip hadden staan(waarschijnlijk nu nog steeds) en dat is gewoon zonde.
Wil niet zeggen dat ze dat moeten omswitchen, nee liever niet zelfs want anders wordt de overgang naar ipv6 alleen nog maar verder onnodig lang uitgesteld...En zo hoort het ook! NAT is gewoon ranzig. Elke PC op het internet heeft gewoon een routeerbaar adres nodig, firewalls doen de rest.

Dat is JUIST het voordeel aan IPv6. Ik snap verder ook heel goed dat zulke omgevingen niet achter NAT zitten.

Ijsbox
09/06/11, 12:58
Elke zoveel tijd staat er iemand op die roept dat we met NAT nog lang vooruit kunnen, maar ik vrees dat dat geen stap vooruit maar achteruit is.

Stel elke ISP hangt zijn klanten op de 10/8 range. Naast dat er ISP's zijn met meer klanten dan dat er IP's in 10/8 zitten wordt het dan best lastig om thuis een servertje te draaien. Als je bijvoorbeeld de beelden van je webcam thuis op je smartphone wilt zien dan gaat het verkeer

webcam -> Modem (NAT vertaling) -> ISP (NAT vertaling) -> INTERNET -> Mobiele provider (NAT vertaling) -> Smartphone

zie dan maar eens een poort open te zetten....

Axel Polfliet
09/06/11, 13:07
NAT kan een oplossing zijn voor een aantal praktische doeleinde, maar kan zeker de voordelen van een fysiek IP niet vervangen. In heel veel gevallen is gewoon een fysiek IP vereist. Leuk wordt het ook dat als er abuse is op een bepaald IP je niet alleen meer het adres nodig heeft, maar ook nog eens de NAT host erachter.

Dat alles is nog geen eens de voornaamste reden waarom dit geen goed idee is voor algemene toepassing. Het weerhoudt vooruitgang. Als mensen nou eens stoppen met het tijd steken in dingen om de afname van IPv4 tegen te gaan en hun tijd stoppen in de implementatie van IPv6, dan waren we al bijna klaar. Mijn KPN internet verbinding is bijvoorbeeld nog steeds IPv4 only.

unchained
09/06/11, 13:13
Mijn KPN internet verbinding is bijvoorbeeld nog steeds IPv4 only.

ach, join the club :) in belgie denk ik niet dat er al een isp is die klanten ipv6 geeft (al is bv edpnet er wel mee bezig, maar dat zal denk ik ook niet dit jaar zijn)

misschien een poll/wedstrijd van maken, welke benelux isp zal zijn klanten eerst ipv6 (dual stack en/of native) aanbieden?
en wanneer zal dat zijn...

Axel Polfliet
09/06/11, 13:26
ach, join the club :) in belgie denk ik niet dat er al een isp is die klanten ipv6 geeft (al is bv edpnet er wel mee bezig, maar dat zal denk ik ook niet dit jaar zijn)

misschien een poll/wedstrijd van maken, welke benelux isp zal zijn klanten eerst ipv6 (dual stack en/of native) aanbieden?
en wanneer zal dat zijn...

In Nederland zijn er al wel een paar ISP's die het ondersteunen. XS4ALL bijvoorbeeld, maar datisgeen slecht idee.