NAT, IPv6 of HA-IP? Wat is de beste route voor jouw netwerkverkeer?

Het meeste internetverkeer verloopt nog altijd via IPv4. Dit protocol heeft effectief ruimte voor ongeveer 3,2 miljard unieke IP-adressen. Dat lijkt veel, maar in een wereld met miljarden smartphones, servers en virtuele machines is het veel te weinig. NAT (Network Address Translation) vangt dit tekort deels op. Maar is NAT ook de beste manier om de route van jouw netwerkverkeer te bepalen?

Waarom zijn IPv4-adressen schaars?

In 1981 werd IPv4 officieel vastgelegd in een RFC. Er waren toen minder dan duizend computers via TCP/IP met elkaar verbonden. IPv4 kon alle machines van een eigen adres voorzien. Het protocol kan (in theorie) 4,3 miljard unieke IP-adressen toewijzen. Dat was zó veel meer dan nodig dat hele blokken IP-adressen werden gereserveerd voor de grondleggers van internet. Effectief zijn er daarom ongeveer 3,2 miljard unieke IPv4-adressen voor algemeen gebruik beschikbaar.

Hoeveel IPv4-adressen komen we tekort?

Inmiddels zijn er wel wat meer dan duizend computers met elkaar verbonden. Hoeveel precies, weet niemand. Naar schatting maken zo’n 5 miljard smartphones, laptops, desktops, servers en randapparaten gebruik van TCP/IP. Als je daar nog eens rond de 20 miljard IoT-apparaten en embedded systemen bij optelt, is het probleem helder. Er zijn te weinig IPv4-adressen om 25 miljard apparaten van een eigen nummer te voorzien.

De oplossing: een nieuw IP-protocol

De enorme hoeveelheden internetverkeer laten oude vertrouwde protocollen als IPv4 in hun voegen kraken. Begin jaren 90 werd al duidelijk dat de vraag naar IP-adressen het beschikbare aantal ging overstijgen. Als oplossing voor de lange termijn werd de ontwikkeling van IPv6 in gang gezet. Als tijdelijke tussenoplossing werd NAT in 1994 geïntroduceerd. De officiële lancering van IPv6 ligt inmiddels achter ons (dat was in 2012). Desondanks blijft NAT tot de dag van vandaag vol in gebruik om het tekort aan IPv4-adressen ‘tijdelijk’ te ondervangen.

Hoe werkt NAT?

TCP/IP verbindt systemen door data te versturen van het ene IP-adres naar het andere. Stel dat Systeem A (met IP-adres 192.168.0.1) via een router data verstuurt naar Systeem B (met IP-adres 192.168.0.2). De router hoeft in dat geval weinig te doen. Beide adressen zitten op hetzelfde, interne netwerk. De router stuurt het verkeer direct van het ene naar het andere apparaat.

Maar stel nu dat Systeem A een verbinding wil maken met een systeem buiten het eigen netwerk. Systeem A vraagt de router om het dataverkeer via de internetprovider te sturen. De router mag het interne IP-adres 192.168.0.1 niet op internet gebruiken. Het vervangt daarom dit interne IP-adres met zijn eigen publieke IP-adres. De functie die de router daarvoor aanwendt is NAT.

Dataverkeer samenbrengen en splitsen

NAT (Network Address Translation) maakt het mogelijk om het IP-adres van dataverkeer on-the-fly te veranderen. De router houdt een vertaaltabel bij waarin staat welk intern apparaat uitgaande verzoeken heeft gedaan. Met die tabel kan inkomend verkeer weer worden teruggestuurd naar het juiste systeem.

Dankzij NAT lijkt het alsof al het internetverkeer van de apparaten die aan één router hangen, van het publieke IP-adres van dat ene apparaat afkomstig is. Wanneer een antwoord terugkomt, stuurt de router op basis van de vertaaltabel en poortnummers de data door. Meerdere apparaten, thuis of op kantoor, delen zo samen één extern IP-adres.

Ook internetproviders gebruiken NAT, maar dan op grotere schaal. In dat geval spreken we van Carrier-Grade NAT (CGNAT). Dit brengt tientallen of honderden klanten samen onder één of meerdere publieke IP-adressen. CGNAT splitst al dat inkomende en uitgaande verkeer en brengt het weer netjes samen volgens de vertaaltabel.

Waarom werken met NAT als je ook IPv6 in kunt zetten?

IPv6 maakt vertaling via NAT overbodig. Dit protocol biedt genoeg adressen om ieder apparaat een uniek, publiek IP-adres te geven. Natuurlijk dachten de IPv4-ontwerpers dat met hun miljarden adressen voor duizend apparaten ook. Toch is IPv6 iets toekomstbestendiger. Dit protocol heeft zoveel adressen dat het iedere zandkorrel op aarde meerdere IP-adressen kan geven.

Gebruik IPv6 blijft beperkt

Met IPv6 stromen data van zender naar ontvanger zonder dat een router via NAT IP-adressen hoeft om te zetten. Toch wordt het nog maar beperkt gebruikt. Vooral in Europa en de VS gebruikt een groot deel van het internetverkeer nog steeds IPv4. Daar zijn verschillende redenen voor:

• IPv6 is niet backward compatible met IPv4
• Ondersteuning voor IPv6 laat op zich wachten
• IPv4 werkt nog steeds naar tevredenheid

IPv6 is niet backward compatible met IPv4

Zonder extra voorzieningen kun je IPv4 niet op bestaande apparaten blijven gebruiken terwijl je IPv6 geleidelijk uitrolt op nieuwe apparatuur. In een omgeving met beide IP-versies moet je de protocollen naast elkaar draaien, of via IPv6 tunnels aan elkaar koppelen. Dat vereist investeren in koppelingen, routers, firewalls en andere software. De voordelen van de overstap van IPv4 naar IPv6 lijken vaak niet op te wegen tegen de kosten en inspanning.

Ondersteuning voor IPv6 laat op zich wachten

Omdat adoptie van IPv6 op zich laat wachten, staan ontwikkelaars niet in de rij om IPv6 toepassingen te ontwikkelen. Veel gereedschappen voor het monitoren, onderhouden en beveiligen van netwerken zijn vooral op IPv4 gericht. Inmiddels overstijgt het gebruik van IPv6 in sommige landen IPv4, maar nog niet overal. Het lijkt een kwestie van tijd tot beschikbare tooling gaat volgen.

IPv4 werkt nog steeds goed genoeg

Dankzij technieken zoals NAT en CGNAT kunnen organisaties nog steeds met IPv4 uit de voeten. De prikkel om over te stappen naar IPv6 ontbreekt. Sterker nog: alhoewel NAT niet voor beveiliging bedoeld is, wordt het er wel vaak voor gebruikt. Beheerders verbergen met NAT interne IP-adressen, blokkeren ongevraagd inkomend verkeer en beperken het aantal beschikbare publieke IP-adressen.

NAT houdt IPv4 relevant

Het is bijna ironisch dat NAT, de tijdelijke maatregel in afwachting van IPv6, IPv4 zo relevant houdt dat het de overstap naar het nieuwe protocol vertraagt. Toch is het niet vreemd. Naast de aanvulling op beveiliging, biedt NAT twee andere handige voordelen. Je kunt het inzetten om in- en uitgaand verkeer op een VPS te controleren en om publiek dataverkeer slim door te sturen.

Beveiligen met NAT

NAT kan jouw systemen deels tegen ongewenst verkeer beschermen. Netwerkbeheerders gebruiken het vaak om ingaand verkeer te beperken tot dataverkeer dat vanaf het eigen netwerk is opgezet. Daarmee blokkeer je (in theorie) ongewenst digitaal bezoek van buiten. Hou er wel rekening mee dat NAT geen firewall is. NAT kan datapakketten niet inhoudelijk controleren. Dat geeft aanvallers handvatten om een NAT-blokkade te omzeilen.

In- en uitgaand verkeer op een VPS controleren met NAT

NAT geeft je controle over het dataverkeer dat via één of meerdere publieke IP-adressen van en naar jouw VPS loopt. Je kunt inkomend verkeer via specifieke poorten naar de juiste interne server of dienst doorsturen. Met NAT bepaal je welk VPS, welk type verkeer ontvangt, bijvoorbeeld HTTP of SSH. Je kunt verkeer vanaf verschillende interne systemen via een gedeeld extern IP-adres naar buiten sturen. NAT regelt in beide scenario’s de vertaalslag.

Publiek dataverkeer slim doorsturen met NAT

Met NAT maak je meerdere interne systemen bereikbaar via één publiek IP-adres. Door verkeer op specifieke poorten door te sturen naar verschillende interne systemen, kun je bijvoorbeeld meerdere webservices, applicaties of testomgevingen hosten zonder dat elk systeem een eigen extern adres nodig heeft. Je kunt bijvoorbeeld poort 443 verkeer naar een webserver sturen en verkeer op poort 2222 doorzetten naar een alternatieve SSH-toegang. In combinatie met reverse proxies of load balancers bouw je hiermee, ondanks beperkte IPv4-capaciteit, een flexibel en schaalbaar netwerk op.

HA-IP: een alternatief voor NAT én IPv6

Zoek je een alternatief voor NAT, maar ben je nog niet klaar voor de overstap naar IPv6? Overweeg dan HA-IP. Deze dienst van TransIP neemt je veel werk uit handen. Je configureert poorten en firewalls via een overzichtelijk dashboard, en regelt tegelijk automatische failover en load balancing. HA-IP haalt het handwerk uit NAT-beheer en houdt jouw servers bereikbaar.

Altijd bereikbaar, zelfs bij uitval

NAT laat je IP-adressen vertalen en beheren. HA-IP gaat een stap verder. Je kunt ook instellen naar welk VPS verkeer moet worden doorgestuurd als een gekoppeld systeem uitvalt. Zo blijf je bij storingen bereikbaar zonder dat je zelf hoeft in te grijpen.

Werken met een overzichtelijk dashboard

Anders dan bij NAT hoef je met HA-IP geen poorten of IP-adressen handmatig te koppelen. Via een dashboard stel je jouw VPS’en in en zie je wat er geregeld is. Je behoudt het overzicht en past instellingen snel en gemakkelijk aan.

Makkelijker opschalen bij drukte

Wordt het drukker in jouw digitale omgeving? Dan schaal je met HA-IP eenvoudig op: je voegt een extra VPS toe en verdeelt het verkeer automatisch over meerdere servers. Met NAT is dat technisch mogelijk, maar vereist het handmatig aanpassen van instellingen. HA-IP maakt dit proces een stuk eenvoudiger.

Wat is de beste route voor jouw netwerkverkeer?

Wat is de beste route voor jouw netwerkverkeer? Een overstap op IPv6 lijkt verleidelijk, maar soms is NAT een betere optie. Of je het nu ziet als technische noodoplossing of slimme routertechniek, één ding staat vast: NAT blijft nog wel even in gebruik.