image

Interview met IPv6-expert Iljitsch van Beijnum

woensdag 15 maart 2006, 11:12 door Redactie, 16 reacties

Tien jaar geleden werd er voorspeld dat IPv4 adressen in hoog tempo zouden opraken. Die voorspelling blijkt niet helemaal te kloppen, want er worden nog steeds IP-adressen vergeven. Toch besloot de Internet Engineering Task Force om een oplossing te zoeken in de vorm van IPv6. IPv4 gebruikt 32 bits adressen, IPv6 doet het met 128 bits adressen. Die ruimte is groot genoeg om 155 miljard IPv4 internetten op te zetten. Een van de voordelen (of mythes), is dat IPv6 veiliger is dan IPv4. Wij stelden IPv6-expert Iljitsch van Beijnum en auteur van het boek "Running IPv6", de volgende vragen:

Een van de security pluspunten van IPv6 is dat het wormaanvallen voorkomt omdat het niet meer te doen is om IP-ranges te scannen, aangezien dit er zo enorm veel zijn. Volgens onderzoekers Steven Bellovin, Bill Chesswick en Angelos Keromytis is dit een mythe, en kunnen wormen zich via een "two-level strategy" toch verspreiden. IPv6 is dus toch niet zoveel veiliger?...
Als je met een machine met een groot beveiligingslek aan 't internet hangt ben je natuurlijk nooit veilig. Dat wil niet zeggen dat er geen verschil is: met het huidige IPv4 is simpelweg het één voor één scannen van alle adressen een werkbare manier om zulke machines te vinden. Met IPv6 niet, vanwege het enorme aantal adressen. Maar mocht de aanvaller al weten bij welke ISP het slachtoffer zit en welk merk ethernetkaart deze heeft, dan behoort scannen weer tot de mogelijkheden omdat dan een hoop bits in het adres bekend zijn. En wormen die zich via email en websites verspreiden hebben natuurlijk geen last van IPv6.

IPv6 zou onder andere NAT moeten vervangen omdat elke machine een eigen ip-adres kan krijgen, maar NAT wordt door veel mensen juist als firewall gebruikt en is dus erg functioneel.
Het is waar dat NAT voor een makkelijk onderscheid tussen "binnen" en "buiten" zorgt, waarbij enge dingen van buiten voor het grootste deel niet naar binnen kunnen. Bij IPv6 moett je ofwel iedere machine voor zich firewallen (wat mijn voorkeur heeft) ofwel een stateful firewall neerzetten en dus "met de hand" bepalen wat wel en niet naar binnen mag. Tegenover het nadeel van iets meer werk staat het voordeel dat je zo veel betere controle hebt over wat er wel en niet naar binnen komt en niet afhankelijk bent van wat de NAT toevallig wel of niet tegenhoudt. Daarnaast hoef je nooit meer te knoeien met portforwarding. Al met al toch wel een verbetering, lijkt me.

Het IPv6 adres dat je krijgt wordt mede gebaseerd op het MAC- adres van je netwerkkaart. "Daar gaat je anonimiteit op het internet" hoor je mensen al zeggen. Kun je voorstellen dat mensen bang zijn voor een inbreuk op hun privacy.
Klopt, als ik met mijn laptop een website bezoek over IPv6 dan zijn de eerste 64 bits van het adres afhankelijk van de plek waar ik op dat moment ben, maar de laatste 64 bits zijn altijd hetzelfde want die komen uit het MAC adres. Zo is mijn machine dus herkenbaar ongeacht waar ik aan het IPv6-internet hang. Oplossing: gebruik in plaats van je MAC adres een random nummer om je adres te genereren. Windows XP genereert iedere 24 uur een nieuw random adres dat gebruikt wordt voor uitgaande sessies, maar heeft daarnaast nog wel een MAC-adresgebaseerd adres voor inkomende sessies. Onder BSD/MacOS kan je dit type adressen activeren met sysctl -w net.inet6.ip6.use_tempaddr=1 en onder Linux met sysctl -w net.ipv6.conf.all.use_tempaddr=2.

IPv6 is nodig omdat het aantal IPv4 adressen aan het opraken is. Toch is er geen harde "deadline" gesteld. Het is dus mogelijk dat de IPv4 adressen straks echt op zijn? en als dit zo ernstig is, waarom duurt het dan nog zolang voordat er op IPv6 wordt overgestapt?
Wat was er eerder, de kip of het ei?

Stel dat je nu zo enthousiast bent dat je gelijk IPv6 installeert op je systeem. Vervolgens kan je naar runningipv6 via IPv6, maar naar security.nl, Google, en zelfs naar de website van de Internet Engineering Task Force (bedenkers van IPv6) moet je toch over IPv4. Omgekeerd zien de contentnetwerken dat alle eindgebruikers nog op IPv4 zitten, en de ISPs dat de eindgebruikers en contentnetwerken nog voor 99,9% over IPv4 communiceren. Zodoende ziet niemand veel aanleiding om op heel korte termijn IPv6 in te voeren.

Er zijn nog 1,4 miljard IPv4-adressen vrij, en vorig jaar zijn er 165 miljoen uitgegeven. De laatste schattingen zijn dat rond 2012 alle IPv4-adressen in gebruik zijn. Het is dus niet zozeer dat we nu allemaal zo snel mogelijk op IPv6 moeten overstappen, maar meer dat we langzaamaan de eerste stappen in die richting moeten gaan zetten om er over drie tot vijf jaar klaar voor te zijn. Ik zou iedereen aanraden om bij het aanschaffen van nieuwe apparatuur op te letten of het wel te upgraden is naar IPv6, en het kan ook geen kwaad om eens wat te experimenteren op een testmachine. Als je dat doet kom je niet over een aantal jaren voor onaangename verassingen te staan.

Denk je dat door de opkomst van VoIP, videoconferencing etc, de ontwikkeling en acceptatie van IPv6 sneller zal verlopen?
Ja en nee. Ja omdat dit soort toepassingen veel beter werkt zonder NAT en omdat VoIP-telefoons ook allemaal een adres nodig hebben. Nee omdat juist de traditionelere applicaties zoals web en mail nu goed over IPv6 te gebruiken zijn, terwijl nieuwe applicaties meestal in eerste instantie alleen over IPv4 werken.

IPv6 heeft een verplichte ondersteuning van IPSec, dat verschillende voordelen boven SSL heeft. Toch is IPSec nooit echt populair geworden. Zal IPv6 dit veranderen en voor de doorbraak van IPSec zorgen?
Ik hoop het. Het nadeel van SSL is dat het wel goed is in je geheimen bewaren, maar het is niet erg robuust: je kan een SSL-sessie net zo makkelijk onderuit halen als een gewone TCP-sessie. Omdat IPsec op IP- niveau werkt kan het dit soort aanvallen wel weerstaan. Maar voor applicatiemakers is SSL veel makkelijker, omdat je het zo in je applicatie kan stoppen en het werkt. Bij IPsec ben je afhankelijk van het operating system en is het erg moeilijk of zelfs onmogelijk voor een applicatie om het juiste niveau van beveiliging af te dwingen. Nu alle belangrijke operating systems een redelijk volwassen IPv6- implementatie aan boord beginnen te krijgen, waar IPsec deel van uitmaakt, zou het makkelijker moeten gaan worden om IPsec als vervanging voor SSL te gaan gebruiken, maar ik verwacht dat dit niet erg snel zal gaan.

Een ander security pluspunt van IPv6 is de uitgaande Hop Limit, waardoor het niet mogelijk is spoofing aanvallen uit te voeren. Hoewel deze "truc" al langer bekend is, wordt die niet gebruikt. Denk je dat dit met IPv6 zal veranderen?
Bij protocollen die alleen op een lokaal netwerk mogen werken kan je makkelijk zien of een pakket door een router gegaan is door naar het Hop Limit (IPv6) of Time To Live (IPv4) veld in de pakketheader te kijken. Als de zender dit op 255 zet en de ontvanger ziet ook 255, dan zat er blijkbaar geen router tussen, want die verlagen dit veld bij het doorsturen van een pakket. Dit wordt inderdaad bij bijvoorbeeld IPv6 neighbor discovery en bij ICMPv6 Redirect gebruikt, maar bij IPv4 is het nog schaars: voor zover mij bekend alleen bij het BGP routing protocol als extra optie onder de naam "Generalized TTL Security Mechanism (GTSM)". Hopelijk gebruiken alle nieuwe lokale protocollen dit mechanisme, zowel in IPv6 als IPv4, maar helaas is het moeilijk om het in een bestaand protocol in te bouwen. Dit zie je ook met GTSM bij BGP: beide kanten moeten het met de hand aanzetten dus het wordt in praktijk zelden gebruikt.

Hoe staat het met de compatibiliteit van huidige systemen met IPv6?
Het is interessant om te zien dat veel systemen al IPv6 aankunnen. Met het volgende commando krijg je antwoord van alle systemen met IPv6 aan boord op je lokale netwerk:

ping6 -c 2 -I em0 ff02::1 (Linux/BSD/Mac)
ping6 -n 2 ff02::1 (Windows XP/2003)

(em0 is hier de naam van je netwerkinterface, meestal en0 of en1 op de Mac)

Van BSD-gebaseerde systemen zoals FreeBSD en MacOS kan je nog een stuk meer informatie loskrijgen:

ping6 -c 2 -I em0 -w ff02::1

Reacties (16)
15-03-2006, 12:57 door Anoniem
Dat gaat dus nog wel een 10 jaar duren. IPv6 is voor
Chinezen en andere druk bevolkte landen. Beveiliging met
IPv6 lijkt gemakkelijker, maar we hebben ssl vpn's en
daarnaast zijn de IPv4 adressen een stuk makkelijker te
onthouden.
15-03-2006, 16:35 door Anoniem
Door Anoniem
Dat gaat dus nog wel een 10 jaar duren. IPv6 is voor
Chinezen en andere druk bevolkte landen. Beveiliging met
IPv6 lijkt gemakkelijker, maar we hebben ssl vpn's en
daarnaast zijn de IPv4 adressen een stuk makkelijker te
onthouden.

DNS anyone?
15-03-2006, 17:19 door Anoniem
Ook al zouden alle IP's op zijn is er geen noodzaak om over te stappen.

Immers iedereen die al een IPv4 adres heeft gaat niet moeilijk doen, want
alles zal gewoon blijven werken.

Ook gebruiken de meeste ISP's in Nederland al een content filter tussen
haar gebruikers en het internet. (vol maar eens een niet bestaande
domein naam in, zie je een search pagina van je ISP dan weet je genoeg)
dus het is voor ISP's al een eitje om verder te gaan met NAT incombinatie
met rfs1918. Voordat ik reacties krijg dat NAT resource intensief is, ja dat
klopt, maar vergeet niet dat in elke wijkcentrale een router staat die je
ADSL verbinding termineert als je hierop gaat natten heb je dit probleem in
veel mindere mate.

Verder maakt iederen die via KPN gaat al gebruik van een rfc1918 adres
waarover hun eigen adres gerouteerd word.

Dus 2012 word niet het jaar voor IPv6. Pas indien overstappen zonder veel
investering kosten kan zal men er voorzichtig de stappen gaan zetten.

Verder is het verkeerd om naar de wereld te kijken, immers het Chineze
probleem is niet het onze.

IP blokken zijn in vijven gedeeld. Wij in Europa maken gebruik van blokken
die door RIPE beheerd worden. Pas als die op zijn en ze niet nieuwe
blockken krijgen van IANA hebben we een tekort.

Verder zijn er miljoenen adressen die niet in gebruik zijn, maar wel
geclaimd worden door bedrijven en organisaties. Sommige hebben al wat
van hun IP's ingeleverd en anderen verkopen hun blokken.

Ook heb je in Europa maar een beperkt aantal IP adresen nodig.
Immers de adres space is 4.294.967.296 trek daar een derde vanaf voor
rfc1928, broadcast etc..

Hou je een slordige 3 miljard over.
De wereld bevolking bestaat uit 6,4 miljard.
In europa 655 miljoen. Dus 700 miljoen adressen voor alle inwoners 1
plus alle webdiensten is meer dan voldoende.

Wij zouden dan te nimmer ipv6 hoeven te gebruiken.

Ten zij men elk apparaat een IP adres wil geven (iets wat waarvoor men
ipv6 wil gaan gebruiken) maar dan is het nog maar de vraag of mensen en
ISP's hun infrastructuur willen veranderen omdat te kunnen faciliteren.

Ook is er nog geen sprake van een "killer" applicatie of druk vanuit
bepaalde hoek.

Dus de noodzaak om over te stappen is er gewoon niet.
15-03-2006, 21:24 door Anoniem
Meneer DNS onthoudt de ip-adressen wel.
IPv6 is handig als ik mijn pak hagelslag een eigen ip-adres
wel geven.
16-03-2006, 10:29 door Anoniem
Door Anoniem
Ook heb je in Europa maar een beperkt aantal IP adresen nodig.
Immers de adres space is 4.294.967.296 trek daar een derde vanaf voor
rfc1928, broadcast etc..

Hou je een slordige 3 miljard over.
De wereld bevolking bestaat uit 6,4 miljard.
In europa 655 miljoen. Dus 700 miljoen adressen voor alle inwoners 1
plus alle webdiensten is meer dan voldoende.

Wij zouden dan te nimmer ipv6 hoeven te gebruiken.

Ten zij men elk apparaat een IP adres wil geven (iets wat waarvoor men
ipv6 wil gaan gebruiken) maar dan is het nog maar de vraag of mensen en
ISP's hun infrastructuur willen veranderen omdat te kunnen faciliteren.

Waarom zou ik als persoon een IP adres nodig zijn, of een van mijn 650
miljoen mede europeanen. Het lijkt mij veel verstandiger wanneer mijn
apparaten een IP adres gebruiken en de meeste van de 650 miljoen
europeanen hebben meerdere apparaten welke een IP (kunnen)
gebruiken.
Dan loopt je vergelijking aardig scheef aangezien "meerdere keren 650
Miljoen" nu eenmaal meer is als 700 miljoen.
16-03-2006, 12:01 door Anoniem
Zelf gebruik ik al een tijdje IPv6 naast IPv4 (via een
tunnel, 80 bits voor mezelf ;-) ), en werkt al leuk. Echt
een verademing als je iedere PC gewoon een eigen publiek IP
adres kan geven, en geen geneuzel met NAT.
Als mijn provider zou gaan natten (wat ergens hierboven
voorgesteld word), ben ik toch echt de eerste die weg gaat.
Het beperkt je mogelijkheden van je internet verbinding
behoorlijk.

Zeggen dat IPv6 niet nodig is, is naar mijn mening je kop in
't zand steken. Ik vind het dan ook jammer dat sommige
netwerk devices nog steeds geen IPv6 ondersteunen.
16-03-2006, 16:16 door Anoniem
anoniempje schreef:
> Verder is het verkeerd om naar de wereld te
> kijken, immers het Chineze probleem is niet het onze.

Dat is nog eens een voorbeeld van je kop in het zand steken.
Vooral niet naar de wereld kijken.
En wat dacht je van India ? 1 miljard mensen
Gaan we die landen loskoppelen van het internet, of is het
ook ons probleem ?
Die landen zullen echt wel overstappen op ipv6
Kijk naar de tendensen, elk jaar worden er meer ipadressen
gevraagd,
ook als je de gereclaimde adressen meerekend.
In de US is het aantal ipadressen al 5 maal groter dan het
aantal inwoners,
in Canada is dat 2 maal.
Bereid je maar alvast voor, het is echt onvermijdelijk.
16-03-2006, 20:56 door gmlk
Meer adress ruimte is niet het enige voordeel van IPv6. Een hoop nieuwe
technologie die veel mensen zouden kunnen waarderen (zoals zeroconf)
zitten al ingebakken in IPv6.

We hebben natuurlijk te maken met de wet van de remmende voorsprong.
Iedereen zit op iedereen anders te wachten tot dat die de eerste zet doet.
Net als met bijvoorbeeld de floppy drive of USB (uiteindelijk doorbrak Apple
deze blockade). Iemand moet de eerste zet doen en de rest volgt dan wel.

zie ook [url=http://europa.eu.int/information_society/policy/nextweb/ipv6/
index_en.htm]Europa's plannen[/url]
16-03-2006, 21:08 door gmlk
Buiten dat alles om: [url=http://www.toyz.org/mrblog/archives/00000155.html]
NAT moet nu echt eens op de schroothoop gegooid worden[/url].

NAT is in strijd met de basis principes van het internet. Zowel het [url=http://
en.wikipedia.org/wiki/End-to-end_principle]end-to-end principle[/url] als het uitgangspunt van een [url=http://en.wikipedia.org/wiki/Dumb_network]stupid network[/url] worden door NAT om zeep geholpen.

Just say NO to NAT kids...
17-03-2006, 05:13 door Anoniem
Door Anoniem
Waarom zou ik als persoon een IP adres nodig zijn, of een van mijn 650
miljoen mede europeanen. Het lijkt mij veel verstandiger wanneer mijn
apparaten een IP adres gebruiken en de meeste van de 650 miljoen
europeanen hebben meerdere apparaten welke een IP (kunnen)
gebruiken.

Er zal een tijd komen dat je biometrische passpoort ook een "IP" adres
krijgt. Pas na authenticatie kun je dan het internet op.
Met IPv6 schijnt zich hier heel goed voor te lenen.
17-03-2006, 05:20 door Anoniem
Door Anoniem
Zelf gebruik ik al een tijdje IPv6 naast IPv4 (via een
tunnel, 80 bits voor mezelf ;-) ), en werkt al leuk. Echt
een verademing als je iedere PC gewoon een eigen publiek IP
adres kan geven, en geen geneuzel met NAT.

Er bestaat geen noodzaak om elk apparaat een publiek IP adres te geven.
Sterker nog het is onwenselijk, je wil graag een onderscheid kunnen
maken tussen private space and public space, zodat je je verkeer expliciet
routeerd/nat zodat ze van private naar public gaan.


Als mijn provider zou gaan natten (wat ergens hierboven
voorgesteld word), ben ik toch echt de eerste die weg gaat.
Het beperkt je mogelijkheden van je internet verbinding
behoorlijk.

Bij hoeveel ISP's denk jij over een ECHTE native internet verbinding te
kunnen beschikken ?
Bij elke ISP zijn "trucs" uitgehaald om verbindingen mogelijk te zijn, is het
niet routeren over rfc1918 (KPN) dan is het wel overschrijvingen per lijn.
Hoe dan ook de tijd dat je SLIP echt 100% tussen jouw en een server liep
is allang voor bij.


Zeggen dat IPv6 niet nodig is, is naar mijn mening je kop in
't zand steken. Ik vind het dan ook jammer dat sommige
netwerk devices nog steeds geen IPv6 ondersteunen.

Er is momenteel geen noodzaak voor.
En indien er in Europa geen tekort ontstaat zal er ook geen noodzaak
ontstaan.

IPv4 zal over 20 jaar nog volop gebruikt worden, mark my words.

Wat denk je dat het kost om in Europa over te stappen op IPv6 ?
Als je eens een onnummerings project hebt gedaan bij een ISP zul je al
een idee hebben.
17-03-2006, 05:25 door Anoniem
Door gmlk
Just say NO to NAT kids...

Wees blij dat NAT bestaat, zonder NAT geen DMZ, FIREWALLS,
CONTENT, FILTERS, SSL ACCELATORS en aller belangrijkst LOAD
BALANCERS.

Zonder NAT geen internet op dit moment.

End-to-End is iets (lijkt me) uit de tijd toen wetenschappers elkaar
vertrouwden en je graag met een guest account met telnet
toegangsverschaften.

Maar tegenwoordig is elke vorm van beveiliging gebaseerd op het zovaak
mogelijk termineren van een verbinding, waarna een "controle" proces
plaats vind die de vervolgende verbinding naar binnen (of buiten) op
zet/intieerd etc..etc..
17-03-2006, 19:14 door Anoniem
Om de anoniempjes uit elkaar te kunnen houden, ik ben weer
die anoniem van het originele bericht :-)

Door Anoniem
Door Anoniem
Zelf gebruik ik al een tijdje IPv6 naast IPv4 (via een
tunnel, 80 bits voor mezelf ;-) ), en werkt al leuk. Echt
een verademing als je iedere PC gewoon een eigen publiek IP
adres kan geven, en geen geneuzel met NAT.

Er bestaat geen noodzaak om elk apparaat een publiek IP
adres te geven.
Sterker nog het is onwenselijk, je wil graag een onderscheid
kunnen
maken tussen private space and public space, zodat je je
verkeer expliciet
routeerd/nat zodat ze van private naar public gaan.
Zolang het om clients gaat geef ik je gelijk voor wat
betreft nat, maar bijvoorbeeld bittorrent gooit dan al weer
root in het eten.

Wel leuk als je op verschillende PC's server processen wilt
draaien. Dat je bijvoorbeeld nat om inside/outside te
scheiden is een andere toepassing van nat. De nat waar ik op
doelde is meerdere PC's dmv. nat van 1 publiek IP adres
gebruik laten maken.



Als mijn provider zou gaan natten (wat ergens hierboven
voorgesteld word), ben ik toch echt de eerste die weg gaat.
Het beperkt je mogelijkheden van je internet verbinding
behoorlijk.

Bij hoeveel ISP's denk jij over een ECHTE native internet
verbinding te
kunnen beschikken ?
Bij elke ISP zijn "trucs" uitgehaald om verbindingen
mogelijk te zijn, is het
niet routeren over rfc1918 (KPN) dan is het wel
overschrijvingen per lijn.
Hoe dan ook de tijd dat je SLIP echt 100% tussen jouw en een
server liep
is allang voor bij.
Zolang ik hier op mijn inbelverbinding een pubilek IP adres
krijg (en dat krijg ik) word er vanuit mijn beleving niet
genat. Zodra dat een rfc1918 adres word, ga ik een andere
ISP zoeken.



Zeggen dat IPv6 niet nodig is, is naar mijn mening je kop in
't zand steken. Ik vind het dan ook jammer dat sommige
netwerk devices nog steeds geen IPv6 ondersteunen.

Er is momenteel geen noodzaak voor.
En indien er in Europa geen tekort ontstaat zal er ook geen
noodzaak
ontstaan.

IPv4 zal over 20 jaar nog volop gebruikt worden, mark my words.

Wat denk je dat het kost om in Europa over te stappen op IPv6 ?
Als je eens een onnummerings project hebt gedaan bij een ISP
zul je al
een idee hebben.
De overgang naar IPv6 is dan ook geen "big bang" scenario,
maar een langzame verandering. Als we echt pas in 2012 het
licht gaan zien met z'n allen geloof ik best dat het dan nog
8 jaar duurt.
Er zullen steeds meer devices komen die IP adressen
gebruiken (DVD spelers, mobiele telefoons, VoIP telefoons,
PC's (vaak al meerdere per huishouden), en als je de
verhalen mag geloven staan de koelkasten, magnetrons en
koffiezetters straks ook allemaal te trappelen), dus dat
tekort aan adressen gaat wel komen.

Ook vind ik dat de hoeveelheid adressen te vaak als enige
voordeel gezien word. Andere voordelen als integratie van
IPSec en andere features worden vaak onderbelicht.

Ok, ff voor de lol nog wat cijfers over de adressen:
IPv4: 4.294.967.296 adressen
IPv6: 340.282.366.920.938.463.463.374.607.431.768.211.456
adressen
Dat is 79.228.162.514.264.337.593.543.950.336 keer meer
Dat is 655.570.793.348.866.943.898.599 adressen per
vierkante meter
Als 1 adres 1 gram zou wegen, weegt IPv4 de helft van het
empire state building, en IPv6 56.000.000.000 keer meer dan
de aarde (deze komt van een site, heb ik niet kunnen
controleren).

Sorry, ben een beetje getallenfreak :-)
17-03-2006, 20:49 door gmlk
Door Anoniem
Door gmlk
Just say NO to NAT kids...
Wees blij dat NAT bestaat, zonder NAT geen DMZ, FIREWALLS, CONTENT, FILTERS, SSL ACCELATORS en aller belangrijkst LOAD BALANCERS.
[url=http://en.wikipedia.org/wiki/Network_address_translation]NAT[/url] is niet noodzakelijk voor deze dingen.

[url=http://en.wikipedia.org/wiki/Firewall_%28networking%29]Firewalls[/url] kun je transparant maken als je wilt ([url=http://ezine.daemonnews.org/
200207/transpfobsd.html]transparent bridging firewalls[/url]) dat zou een betere DMZ vormen dan de meeste tegenwoordige oplossingen. Effectief lijkt het een kabel die zeer selectief ip packets laat vallen.

Caching Proxy servers (niet alle protocollen maar wel voor bijvoorbeeld http)
zijn goed mogelijk zonder NAT.

Dit is voor het eerst dat ik van [url=http://en.wikipedia.org/wiki/SSL_acceleration]SSL acceleration[/url] hoor. De noodzaak voor NAT is mij echter niet helemaal duidelijk. Dit werkt net zo goed zonder.

Load balancing kan prima zonder NAT (bv. [url=http://en.wikipedia.org/wiki/
Round_robin_dns]Round Robin DNS[/url]).

Zonder NAT geen internet op dit moment.
Dat is een beetje overdreven.

Ik geef toe dat NAT een veelgebruikt optie is en ook dat de alternatieven
wellicht te moeilijk zijn voor de meeste systeembeheerders om te begrijpen
laat staan om ze toe te passen.

NAT geeft mensen het gevoel dat ze veilig zitten (of dat terecht is....) en veel
mensen zouden zonder NAT zich waarschijnlijk 'bloot' voelen. Technisch
zijn er echter geen redenen om NAT toe te passen en zijn er genoeg
redenen om geen NAT te gebruiken.
18-03-2006, 17:26 door gmlk
Door Anoniem
Om de anoniempjes uit elkaar te kunnen houden, ik ben weer
die anoniem van het originele bericht :-)
Of wellicht een idee om
mensen de optie te geven om een pseudoniem in te vullen?

Door $naam (anoniem) op $dag-en-tijd:

Of wat wikipedia doet: van iedereen het ipadress laten zien?

Door anoniem ($ipadress) op $dag-en-tijd:

;->
20-03-2006, 18:46 door iljitsch
Door Anoniem
Ook al zouden alle IP's op zijn is er geen noodzaak om over
te stappen.

[...]

Ook heb je in Europa maar een beperkt aantal IP adresen
nodig. Immers de adres space is 4.294.967.296 trek daar
een derde vanaf voor rfc1928, broadcast etc..

Hou je een slordige 3 miljard over.
De wereld bevolking bestaat uit 6,4 miljard.
In europa 655 miljoen. Dus 700 miljoen adressen voor alle
inwoners 1
plus alle webdiensten is meer dan voldoende.

Dus wij hebben dan ongeveer 1,1 adres per persoon en in
Noord-Amerika is het nu al ongeveer 4:1, maar de overige
5,35 miljard aarbewoners moeten het dan met 1,5 miljard
adressen stellen, ofwel met minder dan één adres per drie
personen? (Zie ook http://www.bgpexpert.com/addrspace.php?query=overview)

Daarnaast is het enorm veel werk om adressen efficiënt te
gebruiken. Routers werken met blokken van 8, 16, 32, 64,
128, 256 enzovoort adressen. Heb je er dan ergens 25
nodig, dan blijven er 7 ongebruikt. Voordat de procedures
strenger werden was het ook niet ongewoon om te zien dat
mensen ongeveer tien keer zoveel adressen opgebruikten
dan ze daadwerkelijk operationeel gebruikten. Vergelijk
bijvoorbeeld met het telefoonnet: de grote steden in
Nedderland hebben 7-cijferige telefoonnummers, wat
voldoende is voor 9 miljoen telefoonaansluitingen, terwijl
alleen 010 en 020 misschien met hangen en wurgen over
een miljoen inwoners in het betreffende gebied komen, laat
staan meer dan een miljoen telefoonabonnees. Maar je hebt
gewoon wat extra ruimte nodig om efficiënt te kunnen
werken.

Het is niet onmogelijk om verder te gaan met IPv4 en IPv6
links te laten liggen, maar is dat verstandig? Het bouwen van
een netwerk met een aantal routers en een aantal servers
op basis van IPv6 is nu al makkelijker dan op basis van
IPv4: veel minder gedoe met adressen, en een aantal
dingen zijn veel makkelijker/flexibeler. Natuurlijk is het even
wennen en het is werk om alles om te bouwen, maar dan
ben je wel van het gezeur af.

Als nu inzet op vasthouden aan IPv4 dan wordt het leven
ieder jaar een beetje moeilijker naarmate IPv4-adressen
moeilijker te krijgen zijn en dikke kans dat je na verloop van
tijd alsnog om moet. Als je nu echter voorzichtig begint met
IPv6 en een plan opstelt dan kan je wanneer je toch
apparatuur en/of software vervangt dit in één moeite IPv6-
klaar maken en draai je over vijf jaar IPv6 zonder dat het
noemenswaardige inspanning gekost heeft.

Last but not least heeft IPv6 sinds kort "unique site local"
adressen waardoor iedereen z'n eigen blokje privé-adressen
kan genereren zodat als je verschillende privénetwerken wilt
koppelen je geen gedoe krijgt omdat ze allemaal 10.x.x.x
gebruiken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.