PDA

Bekijk Volledige Versie : 'NAT vertraagt internet-verbindingen'



Domenico
16/06/11, 14:10
In de thread 'IPv4-adressen zijn niet op' (http://www.webhostingtalk.nl/ipv6/168796-ipv4-adressen-zijn-niet-op.html) legt Jos Vrancken uit dat door het gebruik van NAT de IPv4 schaarste wel meevalt en we hiermee nog wel jaren vooruit kunnen. De reacties van de forumleden spreken voor zich.

Hieronder de reactie van de IPv6 Task Force.

-----------------------------------------------------
bron: computable.nl (http://www.computable.nl/artikel/ict_topics/internet/3991795/1282763/nat-vertraagt-internetverbindingen.html?utm_source=Nieuwsbrief&utm_medium=E-mail&utm_campaign=Redactiemailing[URL="http://www.computable.nl/artikel/ict_topics/internet/3978058/1282763/handel-in-ipv4adressen-is-goed.html?utm_source=Nieuwsbrief&utm_medium=E-mail&utm_campaign=Redactiemailing)
door: Jolein de Rooij

Wanneer NAT op grote schaal door internetproviders wordt ingezet, wordt de snelheid van internetverbindingen 'moeilijk voorspelbaar'. Dat schrijft de IPv6 Task Force in een opinie-artikel op de site van Computable.

'Daarnaast zijn er enorme investeringen nodig om op zo'n grote schaal NAT te implementeren', zo schrijft de IPv6 Task Force. 'Deze investeringen helpen maar tijdelijk, terwijl investeringen in IPv6 lange-termijn voordeel oplevert.'

Het opinie-artikel is geschreven door een aantal leden van de IPv6 Task Force en 'wordt gesteund door onder andere KPN, TNO, XS4ALL en UNet.'

Falende internetverbindingen

De IPv6 Task Force verwijst in het opinie-artikel naar 'suboptimaal gedrag van NAT444' (http://tools.ietf.org/html/draft-donley-nat444-impacts-01) dat de Internet Engineering Task Force (IETF) waarnam in een uitgebreide serie test-opstellingen. In april 2011 legde de IETF verslag (http://tools.ietf.org/html/draft-donley-nat444-impacts-01) van deze tests.

NAT444 is een technologie wordt door providers gebruikt om internetverbindingen over IPv4 te kunnen blijven leveren 'tijdens de overgang naar IPv6'. De technologie voegt een extra, grootschalig NAT toe aan het netwerk van de provider.

Drie Amerikaanse providers (CableLabs, Time Warner Cable, en Rogers Communications) testten onafhankelijk van elkaar de impact van NAT444 op verschillende populaire internetdiensten. Daarbij werd gebruik gemaakt van een 'variëteit aan test-scenario's, netwerk-topologieën en -apparatuur van verschillende fabrikanten.'

'Veel geavanceerde taken (zoals peer-to-peer verkeer, video streaming, sommige internetspellen, en Ipv6-transitie technologieën zoals 6to4 en Teredo) falen ronduit of zijn onderhavig aan ernstige achteruitgang.' Deze effecten verschillen 'van leverancier tot leverancier' en van 'test-omgeving tot test-omgeving.' De preciese prestatieverlaging die NAT444 oplevert in een specifieke situatie is daardoor volgens de IETF-onderzoekers 'moelijk te voorspellen'.

Misbruik minder goed traceerbaar

Behalve slechtere internetverbindingen zijn er volgens de IETF-onderzoekers andere nadelen 'die ontstaan wanneer IPv4-adressen worden gedeeld via bijvoorbeeld NAT444'. Eén van die nadelen is verlies van geolokale informatie. 'Het is moeilijk voor externe entiteiten om IP en poort-informatie te herleiden tot een specifieke locatie of gebied.'

Een ander nadeel zou zijn dat de daders van internetmisbruik minder snel kunnen worden getraceerd. 'Het zal moeilijk zijn om te bepalen welk eindpunt verantwoordelijk is voor een bepaalde IPv4 verkeersstroom, op basis van enkel het IP-adres.'

The-BosS
16/06/11, 16:57
Die laatste alinea is natuurlijk een heel goed punt, maar hierbij vergeten ze ook de firewall van de content providers mee te rekenen. Stel iemand achter het provider nat doet iets wat de firewall triggert en die blokt het ip. Dan is het gevolg dat iedereen die achter die provider nat staat ook de dupe is van 1 iemand zijn acties. Stel dat je firewall dan nog eens ingesteld staat dat hij bij x aantal voorvallen (bvb 10) uit zelfde /24 range die volledig blokt. Dan zou je hiermee dus bvb een volledige provider (of regio/land) kunnen blokkeren in de firewall.

Ik blijf die provider nat een slechte oplossing vinden om globaal in te voeren.

Pantsy
16/06/11, 17:07
Klopt... blacklists zullen niet meer correct werken, wat ik wel heel erg fijn er aan vind is... privacy! Dan alsnog kan je netjes per provider zelf bijhouden welk internal ip bij welke klant hoort. Is eigenlijk best simpel, dan kom ik nog even terug op blacklists, die moeten dan per provider werken (local).

Mikey
16/06/11, 17:24
Maar dan hebben ze een extra beer op de weg, dat ze alle traffic entries moeten gaan loggen internal > external om uiteindelijk een internal ip aan een bepaalde actie te kunnen koppelen.

The-BosS
16/06/11, 17:29
... dan kom ik nog even terug op blacklists, die moeten dan per provider werken (local).

Als providers dan ook zo goed zullen reageren op abuse mails als ze nu doen dan loopt het zeker in het honderd. Trouwens het is nog altijd aan de content provider / hoster om te beslissen hoe strak hij zijn firewall instelt en niet aan de internet provider op welke websites hun klanten mogen.

Verder los je daarmee het probleem nog niet op dat sommige websites/streams maar 1 connectie per 1 ip toelaten. Dus dan kom je ook in het probleem als klant X onder provider nat naar stream 1 luistert, klant Y niet meer kan luisteren en zo zijn er nog tal van andere dingen zoals ftp, apache, iis, exim, dovecot, etc die kijken naar connecties per ip per seconden/minuten.

Wido
16/06/11, 19:59
Ik zou graag een reactie van de heer Vrancken hier op zien :) Ik ben en blijf tegenstander van NAT, kan het dan ook alleen maar eens zijn met dit bericht.

Nog over abuse tracking, als ISP zou je dus moeten gaan tracken welk intern IP op welk moment bij welke outbound connectie (IP + poort) hoorde, dat gaat me nog even een berg te loggen data worden!

Daarbij, als je NAT achter NAT hebt, dan werkt (zoals het artikel aangeeft) eigenlijk helemaal niets meer. We hebben nu al het UPNP wat op magische manier poorten voor je opent, maar ook dat is al een ranzige workaround voor het grote NAT probleem.