Managed hosting door True

'IPv6 is een religie'

'Markt zoekt altijd naar kortetermijnoplossingen met lokaal voordeel´

Dit artikel delen:
Netwerksecurity

'Internet-organisaties zoals de IETF, IANA en ICANN hebben een religie van IPv6 gemaakt. Ze zitten vast in oude idealen, maar die idealen zijn in de praktijk al lang dood.' Dat zegt universitair docent Jos Vrancken aan de Faculteit Techniek, Bestuur & Management van de Technische Universiteit Delft.

'De IPv6-lobby is niet economisch gedreven, maar wordt aangezwengeld door organisaties die zich moreel verantwoordelijk voelen voor verouderde internet-idealen. Eén daarvan is het end-to-end-principe. Dat stelt dat elke computer ter wereld rechtstreeks moet kunnen communiceren met elke andere computer op het internet, geholpen door wereldwijd unieke IP-adressen.'

'NAT verbreekt dat systeem van unieke adressen, doordat het afgeschermde subnetten toestaat.' Een heel verstandig idee, volgens Vrancken: 'Een open ruimte veronderstelt dat iedereen zich netjes gedraagt. Maar dat is tegenwoordig een totaal irreëel uitgangspunt. Dat achterhaalde idee ligt echter wel aan de basis van IPv6.'

Bottom-up adoptie

Vrancken is van mening dat zowel bedrijven als internet service providers nog minstens twintig jaar uit de voeten kunnen met de bestaande voorraad IPv4-adressen. De reden daarvoor is volgens hem dat Network Address Translation (NAT) nog ruimte biedt voor miljarden extra internet-verbindingen, en een veelvoud daarvan wanneer NAT verder wordt verbeterd. De handel in IPv4-adressen lost volgens hem de rest van het schaarste-probleem op.

Volgens Vrancken, wiens visie veel tegenstand oproept,  'zoekt de markt altijd naar kortetermijnoplossingen die lokaal voordeel bieden.´ Hij voorspelt dat Network Address Translation (NAT) de uitweg zal zijn uit de schijnbare IPv4-crisis. 'NAT is rond 1994 tegelijk met IPv6 ontwikkeld. Het voordeel ervan was en is dat elk bedrijf er lokaal voordeel mee kan halen, ook als de rest van de wereld het nog niet heeft geïmplementeerd. Dat maakt dat de techniek bottom-up kan worden ingevoerd, in tegenstelling tot IPv6. Dat kan pas een succes worden wanneer het hele internet is overgestapt.'

IPv6 Transitie-tool

NAT kan volgens Vrancken verder verbeterd worden door het principe van gescheiden adresruimten consequenter toe te passen. ‘Een netwerk achter zo'n superNAT heeft een adresruimte die volledig ontkoppeld is van zijn omgeving (doorgaans het publieke internet). Zo'n superNAT heeft veel mooiere eigenschappen en is een veel krachtiger tool dan de huidige NAT.'

Deze superNAT kan volgens Vrancken ook dienen als application level gateway om applicaties volledig te ontkoppelen van het netwerk waarop ze draaien. 'Dit maakt, paradoxaal genoeg, deze superNAT tot de ideale IPv6-transitietool: binnen het eigen netwerk kan men zonder problemen op IPv6 overstappen. De applicaties hebben daar geen last van omdat ze afgeschermd worden door de application level gateway en de omgeving merkt er ook niets van omdat die afgeschermd wordt door de gateway tussen eigen netwerk en omgeving. Alleen, elke reden voor zo'n transitie is ook verdwenen. Mocht de omgeving op IPv6 overstappen, ook geen probleem: dit vereist alleen een aanpassing in de gateway tussen eigen netwerk en omgeving.'

NAT

Network Address Translation (NAT) is een techniek om een deel van een netwerk van het publieke internet af te scheiden. Het introduceert een scheiding van adresruimten (privé en publiek) en een gateway tussen beide adresruimten. De creatie van zo'n privé-netwerk gebeurt door achter één publiek IP-adres een verzameling adresnummers te hanteren uit een speciale range van adressen. Deze adressen kunnen in elk NAT-netwerk hergebruikt worden. Toch kunnen gebruikers achter een NAT-box gewoon gebruik maken van het internet: 'Ze kunnen skypen, mailen, twitteren, peer-to-peer downloaden, gamen, kortom alles wat ze willen. En servers zet je bij een hostingbedrijf.'

NAT is volgens Vrancken dan ook een populaire techniek, die alom toegepast wordt: Elk consumentenmodem is een NAT-box. Hetzelfde geldt voor bedrijven. De overgrote meerderheid van bedrijfsnetwerken zijn NAT-netwerken.'

Jos Vrancken

Na afgestudeerd te zijn als wiskundige aan de Universiteit Utrecht, promoveerde Jos Vrancken in 1991 als computerwetenschapper aan de Universiteit van Amsterdam. Hij ontwikkelde onder meer methoden voor protocol-verificatie. Van 1991 tot en met 2008 werkte hij als systeemarchitect bij Rijkswaterstaat. Sinds 2002 is hij daarnaast universitair docent bij de Faculteit Techniek, Bestuur & Management in Delft. Hij doet onder meer onderzoek aan verkeersmanagementsystemen voor wegverkeer en de bottom-up invoering van nieuwe ict-standaarden.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Reacties

In alle "IPv6-hoeft-niet" artikelen zie ik 1 rode draad: de naam "Jos Vrancken". Wat heeft deze man tegen IPv6? Als hij 100 jaar geleden was geboren was hij waarschijnlijk voor de stoommachine en tegen de verbrandingsmotor. Als hij 60 jaar geleden was geboren was hij waarschijnlijk tegen transistors en voor de buis. Hij heeft waarschijnlijk nog een platenspeler, TV met beeldbuis en houdt zijn eten warm door de pan in te pakken in kranten en onder de dekens te zetten...

Voor deze types hebben de Engelsen een mooie term: de 'Luddite'.

In modern usage, "Luddite" is a term describing those opposed to industrialisation, automation, computerisation or new technologies in general.

@Jos Je vergeet steeds het grote probleem met supernat (oftewel CGN's) dat identificatie niet meer mogelijk is. Het end-to-end principe heeft dat als extra voordeel. Als een hacker achter een supernat zit valt hij niet meer te identificeren met de huidige methodes. Naast het (publieke) IP-adres van de hacker moet de host die aangevallen wordt ook poortnummer gaan loggen. En vervolgens moet de tijdstip veel nauwkeuriger worden opgeslagen. Een goeie hacker laat bij een supernat gewoon een script mee lopen die willekeurig 65536 poorten opent op de NAT om zo de logging in de war te brengen.

Daarnaast introduceer je nog meer intelligentie in het midden. Iets wat heel onwenselijk is. Vergelijk het met de deep-packet-inspection rel van een paar weken geleden. Supernats zorgt er voor dat de providers ineens weer de controle hebben over jouw gedrag op het internet. Wil je meer en beter internet dan moet je gaan betalen (netneutraliteit?).

Supernats zullen tijdelijk een oplossing zijn. Dat geef ik toe. Maar de echte oplossing is IPv6 en het klopt dat dat pas de oplossing is als de hele wereld over is. Maar het helpt niet met berichten zoals die van jou.

Het lijkt erop dat Jos Vrancken een "Controlfreak" is. Wat is er tegen dat ieder individu contact kan maken met elk ander individu? De samenleving wordt al genoeg gecontoleerd, superNAT is voor "Controlfreaks", en maar een tijdelijke oplossing. Geef ieder mens de vrijheid zonder controle door providers.

Het hele punt van de domotica lijkt hier ook te worden vergeten, de heer Vrancken gaat constant uit van desktops lijkt het, waar volgens hem geen inkomende connecties zijn.

Ik heb thuis de luxe dat ik mijn thermostaat over IP kan benaderen en mijn verwarming zo kan regelen, hoe kom ik daar bij als mijn provider me achter NAT plaatst?

Ook zijn technieken als VOIP erg lastig in combinatie met NAT, laat staan als je door meerdere NAT lagen heen moet.

De heer Vrancken lijkt dat constant maar te vergeten.

Dit soort berichten zijn verder ook niet goed voor IT-managers die over IPv6 beslissingen moeten maken, dit geeft hen een excuus om de broodnodige investeringen uit te stellen.

Een aantal mensen gaan op de harde manier leren dat ze te laat zijn met IPv6 implementeren, de dag waarop er geen IPv4 adres meer te verkrijgen is en zij hun klanten niet meer kunnen bedienen. Ik kan niet wachten tot die dag aanbreekt...

Dat IPv6 belangrijke voordelen biedt ten opzichte van IPv4 lijkt me duidelijk. Maar is een overgang naar IPv6 op korte/middenlange onontkoombaar?

Aangezien de landen in het Verre Oosten sinds medio april 2011 al door hun voorraad IPv4-adressen heen zijn, heb ik een belrondje gedaan bij enkele providers, technische universiteiten en bedrijven aldaar. De trend die zij aangeven is de volgende: 1) er is een levendige (grijze) handel ontstaan in IPv4-adressen; en 2) er wordt intensiever gebruik gemaakt van NAT.

Dit tot teleurstelling en verbazing van enkele betrokken technici, maar de economische realiteit blijkt vooralsnog af te wijken van het technisch ideaal en komt akelig dicht bij de stelling van Vrancken. Wellicht helemaal niet handig en verstandig van die Aziaten, maar dit is de stand van zaken na enkele maanden zonder nieuwe uitgiftes van IPv4.

Natuurlijk kan deze trend omslaan, temeer omdat de verschillende overheden de adoptie van IPv6 actief promoten, maar met een magere 23% support overall van IPv6 in Zuid-Korea (is zelfs de laatste maanden gedaald!) schiet het ook daar niet erg op. En van een paniekstemming over het tekort is er al helemaal geen sprake.

Een nadeel van NAT dat hier nog niet genoemd is, is dat van een belangrijk overgangsmechanisme: IPv6 tunneling over IPv4, de meeste implementaties niet werken van achter een NAT.

Van de automatische tunnels, werkt 6to4 niet van achter een NAT, daarvoor is een publiek IPv4 adres nodig. Teredo werkt wel vanachter een enkel pyramide NAT, maar het werkt niet van achter een dubbel NAT. En dat laatste heb je al gauw als een thuisnetwerk wordt aangesloten op een CGNAT.

Van de niet automatische tunnels werkt alleen AYIYA van achter een NAT, zelfs vanachter een dubbel NAT. Maar AYIYA wordt voor zo ver ik weet alleen door SixXs aangeboden en is nogal inefficient qua overhead. Het door de meeste tunnelbrokers aangeboden 6in4 vereist een publiek IPv4 adres.

Carrier Grade NAT frustreert de invoering van IPv6 dus ook nog indirect.

Adoptie van IPv6 neemt toe, uitgifte en het bandbreedte gebruik ook. Het aantal IP-Adressen wat voorbij komt neemt misschien af vanwege de kwalitatieve toename van (betere) implementaties. De kennis neemt toe en het aantal experimentele implementaties neemt af. Dat is mijn vermoeden op de feedback en info die ik hier en daar hoor/lees.

Op de AMS-IX zie ik geen afname afgelopen 12 maanden:
http://www.ams-ix.net/cgi-bin/stats/sflow_grapher?type=ipv6&scale=normal&counter=bps&interval=yearly

"Volgens Vrancken, wiens visie veel tegenstand oproept, 'zoekt de markt altijd naar kortetermijnoplossingen die lokaal voordeel bieden.´"

Precies! En daarom kun je niet alles aan de vrije markt overlaten. We hebben voorbeelden genoeg gezien, waar de vrije markt er een puinhoop van gemaakt heeft. Vrije internet toegang is veel te belangrijk om de markt maar helemaal zijn gang te laten gaan. Sturing is helaas nodig.

@Michiel: Praktijkvoorbeelden van een puinhoop heb je helaas niets aan. Je kunt een vrije en een centraal door experts gestuurde markt alleen vergelijken in goed opgezette experimenten (op objectief vergelijkbaar resultaat) en dan ook alleen nog maar door een groot aantal herhalingen statistisch te onderzoeken. Dergelijk onderzoek is in de vorige eeuw veel op universiteiten uitgevoerd. Het boekje Wisdom of Crowds biedt hier een goed overzicht van.

Er komt een moment (zie boek The Tippingpoint Malcolm Gladwell) dat IPv6 een kritischepunt bereikt, waarna iedereen opeens IPv6 wil hebben/gaat doen. Voorspelling 2012 of 2013 ??

Doordat we steeds meer devices op IP krijgen (en dan heb ik het niet over die paar computers en smart phones), komt er een enorme vraag naar publieke IP adressen.

"De handel in IPv4-adressen lost volgens hem de rest van het schaarste-probleem op."

Ofwel IPv4 adres prijzen lopen op, naarmate de vraag stijgt, totdat het goedkoper is om toch maar eens over IPv6 na te gaan denken.

Nou goed, ik hoop dat de tipping point nu is bereikt. Grote partijen zien volgens mij de voordelen (lagere kosten op de langere termijn) nu al in.

Als de vraag stijgt zullen de prijzen van IPv4 adressen ongetwijfeld oplopen. Maar op lange termijn lijkt het me een slechte investering. Zodra IPv6 doorzet, zal de vraag immers weer snel afnemen en dan zijn de IPv4 adressen ineens weinig of niets meer waard. Toch?

@Wido
"Ik heb thuis de luxe dat ik mijn thermostaat over IP kan benaderen en mijn verwarming zo kan regelen, hoe kom ik daar bij als mijn provider me achter NAT plaatst?"

Via een reverse proxy zou je erbij kunnen. Je krijgt van de provider een header die je kan toevoegen aan een webpagina en vervolgens wordt de informatie op basis van de header doorgezet naar jouw interne IP-adres.

Het is zeker op grote schaal niet de beste optie, maar het is een mogelijkheid die op dit moment veel wordt gebruikt bij bedrijven.

Niets staat individuen, service providers en overheden in de weg om NAT toe te passen in een IPv6 omgeving indien zij dat zouden willen.

Vrancken kan dus gerust zijn: hij kan zichzelf achter een NAT adres plaatsen terwijl de rest gewoon transparent IPv6 gaat gebruiken.

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.