Open Brief over IPv4 en NAT
Beste heer Vrancken,
Met stijgende verbazing heb ik kennis genomen van het artikel in de Computable van 17 juni jongstleden, waarin u aangeeft dat er de komende 20 jaar helemaal geen reden is om aan IPv6 te gaan denken, omdat NAT alle problemen die er misschien zouden zijn met betrekking tot de beschikbare adresruimte, wel zal oplossen.
Ik vind dit een op zijn minst, ononderbouwde uitspraak. Ik zal in deze reactie dan ook aangegeven waarom NAT juist géén oplossing is voor de uitdagingen waarvoor we de komende 5-10 jaar komen te staan.
Daarnaast stelt u in het artikel dat er geen business-case is voor bedrijven om over te gaan naar IPv6. Dat is naar mijn mening ook niet terecht, en ik zal aangeven waarom.
Ik wil er geen lange reactie van maken, veel van hetgeen ik ter weerlegging van het door u gestelde aanvoer is algemeen toegankelijke informatie beschikbaar na enig zoekwerk op internet. Van betrouwbare bronnen die zich al jarenlang bezighouden met het onderzoeken van de zin en onzin van IPv6.
Ten eerste NAT. “The only good NAT is no-NAT”. Het NAT mechanisme (of eigenlijk mechanismen want er bestaan meerdere varianten) is, in de basis, een regelrechte showstopper voor alle applicaties die in person-to-person communicatie willen voorzien. Skype is daar een voorbeeld van, maar ook SIP (IP-telefonie), andere ‘interpersonal messaging/communicating’ toepassingen die gebruik maken van RSTP en zelfs het vrij standaard gebruikte FTP. De reden is dat deze vormen van communicatie uit twee verbindingen bestaan: een controle verbinding en een verbinding waarover de data uitgewisseld wordt, en in de controle verbinding de ‘unique endpoint identification’ (UEI) is opgenomen. Dan wordt het erg lastig als de UEI iets anders is dan het IP adres, wat bij NAT altijd het geval is.
Om deze problemen op te lossen zijn op de apparaten waarop NAT is geïnstalleerd (bv de ADSL modems/routers, routers of firewalls bij bedrijven) voor standaard IP protocollen (SIP, FTP, RSTP etc) zogeheten Application Layer Gateways nodig die, per applicatie, ervoor moeten zorgen dat door NAT gewijzigde IP adressen doorgewerkt worden in de hogere lagen protocollen. De meeste routers hebben deze ALG’s voor de meeste bekende toepassingen wel geïnstalleerd, maar continuering van het gebruik van NAT impliceert dat voor iedere nieuw protocol of gewijzigde versie, aparte ALGs ontwikkeld moeten worden en op een of andere manier geïnstalleerd moeten worden op de al aanwezige apparatuur. Een scenario dat chaos creëert en het de gebruiker niet makkelijker zal maken. Voor toepassingen als Skype e.a. geldt dat er heel veel extra zaken nodig zijn om het werkend te krijgen, wat niet alleen de ontwikkeling ervan bemoeilijkt, maar ook de kans om problemen door de extra benodigde code doet toenemen.
Daarnaast speelt het tekort aan adresruimte voornamelijk bij providers. Als zij, zoals ooit geopperd, Providerbased NAT zouden gaan invoering, wordt de situatie helemaal onbeheersbaar, onoverzichtelijk en wordt het een uitdaging om dit soort toepassingen werkend te krijgen. NAT op NAT op NAT op NAT, ik kan mij niet voorstellen dat een weldenkend mens dit een zinvol en bruikbaar scenario zal vinden. Temeer daar er verwacht mag worden dat de komende 5 jaar met name een sterke toename zal zijn in de interpersonal communicatie toepassingen, ook met name vanuit bedrijven. Waar dit op dit moment vaak niet mogelijk is door de NAT implementatie.
Ook is NAT per definitie een ernstig beveiligingslek. Omdat de NAT tabellen opgeslagen moeten worden in ieder knooppunt waarop NAT wordt toegepast zijn deze door hackers op steeds meer plaatsen te achterhalen. En de tabellen bevatten zinvolle informatie over de poorten die op gastsystemen open staan. Ideaal dus om malversaties mee te plegen.
Een paar jaar geleden hield T-Mobile een onderzoek naar IPv6 voor het mobiele netwerk in de USA. Daaruit werd geconcludeerd:
- Het is erg lastig om NAT44 capaciteit te schalen en beheren omdat AJAX en andere web technologiën per gebruikers honderden sessies creëeren (en iedere sessie apart geNAT moet worden)
- NAT44 kan de groei in het aantal sessies nog voor ongeveer 5 jaar aan (dit onderzoek is in 2007 gedaan)
- IPv6 is nodig om onze groei te borgen en ter voorkoming van schaalbaarheids problemen met NAT44
Rest de business case. Die is er wel, maar mogelijk niet direct zichtbaar. Ten eerste de beveiliging. Waar nu nog vaak apart gebruik moet worden gemaakt van SSL of andere vorm van versleuteling, in IPv6 is implementatie via IPSec verplicht. Daarmee is een heel groot deel van de beveiligingsproblematiek in IPv4 al gedicht. Dat zou een trigger voor een business case kunnen zijn. En eindelijk kunnen bedrijven die er nu vanuit gaan dat NAT een firewall is, inzien dat ze een echte ‘statefull’ firewall moeten gaan invoeren.
Mobiliteit is ook iets waarvoor IPv6 specifiek is ontwikkeld. Aangezien wij steeds mobieler worden is het niet vreemd te veronderstellen dat dit de komende jaren een zeer belangrijke rol gaat spelen. IPv6 maakt de invoering ervan in ieder geval een stuk efficiënter dan IPv4. Reden te meer voor bijvoorbeeld Mobile Networks Operators om toch maar heel snel over te gaan naar IPv6.
U heeft gelijk als u stelt dat er geen IPv6 killer applicatie is op dit moment. U heeft ook gelijk als u stelt dat bedrijven en consumers op korte termijn vrijwel niets zullen merken van een IPv4 adres tekort. U heeft ook gelijk als u stelt dat er geen directe noodzaak is om over te gaan naar IPv6, tenminste, zolang dat geen betrekking heeft op providers.
Maar overgaan naar IPv6 kan wel nu al geld opleveren en daarmee een positieve business case creëren. Denk daarbij aan mobiliteit bij Het Nieuwe Werken (Anytime, anyplace, anywhere, any device), het gebruik van social media communicatievormen (peer-to-peer) en de al eerder genoemde multimediale interpersonal communicatie. Invoering van deze zaken kan voor bepaalde bedrijven een concurrentie voordeel opleveren of kostenreductie, en in deze gevallen is invoering van IPv6 zo gek nog niet omdat het mogelijk tegen lagere kosten dan een IPv4/NAT implementatie de gewenste functionaliteit kan bieden.
Maar ook zijn mergers/aquisities veel makkelijker door te voeren met IPv6 omdat er geen lastige hernummeringen hoeven plaats te vinden, kunnen de VLANs met de vaak volledig ondoorzichtige structuur en daardoor feitelijk onbeheersbaar geworden inrichting, afgeschaft worden. Nieuwe apparaten kunnen eenvoudig volledig zelflerend in een bestaand netwerk worden opgenomen zonder dat gebruikers (en daar gaat u in uw artikel volledig aan voorbij) daarvoor ook maar iets hoeven te doen. Wie beheert bij u thuis de DHCP omgeving? Bij hoeveel gezinnen thuis denkt u werkelijk dat er een persoon binnen het gezin is die de DHCP instellingen kan beheren? Of de firewall instellingen?
Kortom: er zijn best wel redenen om toch eens redelijk snel te gaan kijken in de mogelijkheden van IPv6 en zelfs als een organisatie op dit moment geen redenen ziet, is het toch uitermate verstandig om nu al te starten met een IPv6 pilot om te zien wat er veranderd moet worden en waarin geïnvesteerd moet worden om een overgang naar IPv6 mogelijk te maken. De wereld verandert veel sneller dan u denkt, en het is wel zaak voor organisaties om het moment dat het nodig is, de overgang snel en soepel uit te kunnen voeren.
Nee, over 20 jaar zullen er best nog wel IPv4 sites zijn, maar het overgrote deel zal IPv6 gebaseerd zijn. En IPv6 en IPv4 zullen echt nog wel 20 jaar naast elkaar blijven bestaan, maar ik voorspel dat binnen 10 jaar de top 1000 van alle websites volledig IPv6 zullen zijn en nieuwe toepassingen bieden die ook alleen met IPv6 bruikbaar zijn. Reden te meer om nu alvast te bekijken hoe je intern als organisatie over kunt gaan.
Met vriendelijke groeten
J. (John) Lasschuit
Beste Guido,
BeantwoordenVerwijdereneen paar reacties:
het is een beetje tegen het zere been van eenieder die zich inzet voor IPv6 om met het argument van NAT te komen. Dat is een gelopen race. Dat speelde een paar jaar geleden, maar inmiddels is het algemeen geaccepteerd dat de nadelen van NAT veel groter zijn dan de voordelen en alleen daarom het al het hooguit een oplossing voor de korte (<5 jaar) termijn zal zijn. Een hoogleraar zou dit moeten weten naar mijn mening.
Een business case gaat niet over geld besparen maar over wat er onder de streep overblijft. Als er meer verdient wordt dan geïnvesteerd, is het resultaat en dus de business case, positief. Als een bedrijf meer geldt verdient door het principe van de mobiele werker, kan dat bedrijf een positieve business case voor invoering van IPv6 hebben. Dat geldt ook als de business bestaat uit sociale interpersoonlijke communicatie (collaboration bv).
Omnummeren bij IPv6 is erg makkelijk omdat het hostadres gekoppeld is aan het laag 2 adres. Alleen de prefix hoeft dus gewijzigd te worden. Als twee bedrijven fuseren en ze zouden beiden IPv6 gebruiken volstaat het om of één nieuwe prefix voor beiden of één van beide bestaande prefixen te gebruiken, zonder dat er complete nummerschema's aangepast hoeven te worden. Met IPv4 moet dat heel erg vaak wel, omdat veel bedrijven dezelfde Private Address Space gebruiken in combinatie met NAT.
VLAN's werken op laag 3: ze hebben een ander IP netwerkadres. De enige reden om ook op laag 2 die scheiding door te voeren is beperking van het broadcast domain (vanwege een tegenwoordig al lang niet meer opgaand idee dat stations te veel data te verwerken zouden krijgen door broadcasts). Bij IPv6 zijn broadcast domains onafhankelijk van de datalink gemaakt en is er dus geen noodzaak meer voor VLANs.
Beheer wordt er zelfs een stuk eenvoudig door (maar vergt teveel om nu uit te leggen).
En je hebt volkomen gelijk met de opmerking dat er nu geen DHCP beheerders zijn in gezinnen thuis. Was dat maar zo, dan zouden een hoop problemen die bij thuisnetwerken optreden, sneller en eenvoudiger opgelost worden. Juist omdat de gemiddelde PC gebruiker geen verstand van DHCP heeft, treden er vaak problemen op. Laat staan dat de gemiddelde thuis gebruiker weet wat UPNP is of doet, welke firewall poorten open moeten staan voor NAT en welke ALG's gebruikt moeten worden.
Laat een standaard thuisgebruiker maar eens SIP installeren.
Enig idee hoeveel verschillende ADSL/kabelmodems er gebruikt worden en wat er allemaal aangepast moet worden als er bijvoorbeeld een nieuw soort bittorrent bedacht zou worden? Dat is nu juist de reden waarom ik aangeeft dat IPv6 daar veel beter voor geschikt is dan IPv4 met NAT, ALGs, UPNP en alle andere zaken die steeds bedacht moeten worden om het werken met IPv4 en NAT mogelijk te maken.
IPv6 is dus géén technisch verhaal, maar een functioneel iets. Het is een tactische of strategische keuze, geen operationele. Maar die keuze moet gemaakt worden, binnen een jaar of 5.
Ik hoop het hiermee iets duidelijker voor je gemaakt te hebben,
groeten
John