Network Address Translation
NAT
oplossing of obstakel?
2
NAT: oplossing of obstakel?
Inleiding De computer en het internet zijn niet meer weg te denken uit het onderwijs. Het gebruik
van internet is verweven met veel primaire onderwijsprocessen. Om werkstations toegang te bieden tot internet, wordt in het primair en voortgezet onderwijs, maar ook bij
sommige hogescholen, gebruik gemaakt van network address translation, kortweg NAT. Deze technologie levert echter problemen op voor veel nieuwe toepassingen, die juist in het onderwijs veelbelovend zijn.
Onderwijsinstellingen waarvan het netwerk
over-IP (VoIP) zijn inmiddels volwassen genoeg
gebruik van het internet niets van de door
ingezet. NAT kan hierbij echter een belemme-
zich ‘achter NAT’ bevindt, zullen bij traditioneel NAT gerealiseerde adresomzetting merken. Toepassingen zoals e-mail en door interne
om breed en met succes te kunnen worden ring vormen.
In deze brochure leggen we uit wat NAT is
gebruikers geïnitieerde activiteiten zoals web-
en op welke manier NAT invloed kan hebben op
site, indien aanwezig, is voor de buitenwereld
van de informatie in deze brochure kunt u ver-
surfen verlopen vlekkeloos. Ook de eigen webtoegankelijk.
Ook in het onderwijs begint echter het
besef door te dringen dat het internet veel
het gebruik van deze toepassingen. Met behulp volgens zelf bepalen op welke manier u met NAT omgaat.
NAT heeft alles te maken met IP-adressen.
meer mogelijk maakt dan de zojuist genoemde
Om de problematiek inzichtelijk te maken,
toepassingen zoals streaming video en audio,
dit adressysteem voor het internet.
basistoepassingen. Veelbelovende multimedia-
interactieve video, educatieve games en Voice-
begint deze brochure daarom met uitleg over
NAT: oplossing of obstakel?
3
IP-adressen en NAT
was het gevolg van de manier waarop de adres-
NAT is in 1994 door de Internet Engineering
dat er adressen waren gereserveerd voor multi-
Task Force (IETF) als standaard aangenomen.
Het mechanisme heeft zijn ontstaan te danken aan het feit dat de verzameling adressen van IPv4, de huidige versie van het Internet
Protocol, weliswaar groot is, maar niet onbeperkt. Deze adressen worden gebruikt om
computers vindbaar en bereikbaar te maken. De eerste gestandaardiseerde versie van
IPv4, waarvan de ontwikkeling halverwege de jaren ‘70 was begonnen, kwam uit in 1981.
Met zijn 32-bits (een reeks van 32 nullen en
enen) maakt IPv4 in theorie 2 , dat wil zeggen 32
4.294.967.296, unieke adressen mogelijk.
Het feitelijk beschikbare aantal adressen lag
echter ergens tussen de 3,2 en 3,3 miljard. Dit
Zijn de adressen echt bijna op?
sen waren onderverdeeld in klassen, en het feit casting, testdoeleinden en andere speciale toepassingen. Nog altijd betrof het ruimschoots
voldoende om decennialang te kunnen voorzien in welke behoefte dan ook, was de overtuiging.
De door vrijwel niemand voorziene groei die
het internet vanaf eind jaren ‘80 doormaakte,
de onstuimige toename van het aantal thuisnetwerken en bedrijfsnetwerken en het idee om
ook andere apparaten dan computers een IPadres te geven, zorgden ervoor dat het beeld volledig veranderde. Wanneer precies wist
niemand, maar dat de steeds steiler wordende
groeicurve van het aantal reeds bezette adres-
sen op afzienbare termijn tegen het plafond van de 32-bits adresruimte zou botsen, stond vast.
zijn op’ ook voor IPv4 voorlopig dus niet opgaat.
Hoewel de relatieve bijdrage die onder andere
De ontwikkeling van IPv6 is ondertussen met
RIR’s leveren aan het behoud van voldoende IP-
springende verschil met IPv4 is de uitbreiding
NAT en de stringente toewijzingscriteria van de adressen niet bekend is, zijn ze er gezamenlijk
wel in geslaagd het tempo waarin de verzame-
ling IPv4-adressen opraakt aanzienlijk terug te
volle kracht doorgegaan. Het meest in het oog van het adresformaat tot 128 bits, die het totale aantal mogelijke IP-adressen opvoert tot meer dan 3 x 1038. Dit getal zou overeenkomen met
dringen. De voorspelde uitputting van de IPv4-
meer dan 6 x 1023 adressen per vierkante meter
ter wereld, en ook buiten de vakbladen, de aan-
wijze van spreken niet alleen elke koelkast,
adresruimte trok nog niet zo lang geleden overal dacht. In 2003 wist de BBC zelfs te melden dat het jaar 2005 het IPv4-rampjaar zou worden,
het jaar waarin het echt afgelopen zou zijn.
Op basis van een wereldwijde inventarisatie van het daadwerkelijke gebruik van IPv4-adressen
zijn onderzoekers inmiddels tot een hele andere conclusie gekomen, en wel dat het gevreesde moment nog zeker tien jaar verder in de toe-
komst ligt. En dat het argument ‘de adressen
aardoppervlak en mogelijkheden bieden om bij maar ook elk vakje (en subvakje) van de koelkast een eigen IP-adres te geven. IPv6 biedt
echter veel meer dan aanzienlijk grotere adresruimte, waaronder automatische configuratie
van computers en routers, een activiteit die op dit moment nog veel handmatig werk vereist.
Ook biedt IPv6 ingebouwde mogelijkheden om
datatransport te beveiligen, waarmee dit protocol ook veiliger is dan IPv4.
Informatie over diensten die IPv6-enabled zijn is te vinden op de themaportal Infrastructuur van SURFnet: http://netwerk.surfnet.nl.
4
NAT: oplossing of obstakel?
De zoektocht naar een manier om dit moment
nadeel van de gehanteerde methode was dat
zo ver mogelijk vooruit te schuiven, resulteerde
aanvragen in de beginjaren van het internet
oplossingen: het gedifferentieerder en met
dat organisaties niet zelden het honderdvoudige
in een combinatie van twee elkaar aanvullende minder gulle hand toewijzen van IP-adressen
aan de ene kant en de introductie van NAT aan de andere. Op deze manier zou voldoende tijd
met zodanig gulle hand werden gehonoreerd,
van wat ze hadden gevraagd in handen kregen, en in de meeste gevallen daarna ook hielden. Tegenwoordig verloopt de toewijzing van
kunnen worden gewonnen om de inmiddels
adressen door IANA aan de hand van een hiërar-
van IPv4, dat een veel groter aantal adressen
den in handen gegeven van grote organisaties,
begonnen ontwikkeling van IPv6, de opvolger biedt, te kunnen voltooien.
Gedifferentieerdere uitgifte
De wereldwijde uitgifte van IP-adressen gebeurt onder auspiciën van de Internet Assigned
Numbers Authority (IANA). De uiteindelijke
ontvangers hebben hun IP-adressen voor onbepaalde tijd in bruikleen. Van het in eigendom
hebben of kopen van IP-adressen is dus nooit sprake.
De uitgifte door IANA van IP-adressen
gebeurde oorspronkelijk in grote blokken. Een
chisch systeem. Grote blokken IP-adressen wordie ze opgesplitst doorgeven aan kleinere organisaties. RIPE NCC (voluit: Réseaux IP
Européens Network Coordination Center) is verantwoordelijk voor Europa. Regionale internet
registries kunnen IP-adresblokken rechtstreeks
aan internet service providers (ISP’s) toewijzen
of de verdere toewijzing delegeren aan nationale internet registries (NIR’s) of kleinere lokale
internet registries (LIR’s). Instanties die adres-
sen aanvragen, moeten kunnen aantonen dat ze de aangevraagde adresruimte nodig hebben en efficiënt en doeltreffend zullen benutten.
NAT: oplossing of obstakel?
5
Port Address Translation
Port Address Translation (PAT) is de meest gebruikte vorm van NAT. Hier wordt per verbinding heen en weer vertaald tussen meerdere interne IP-adressen en één enkel publiek IP-adres.
ser.ver.ip.1
192.168.0.100
192.168.0.101
192.168.0.102
from:
to:
192.168.0.102 poort 1234
ser.ver.ip.2 poort 80
NAT
pub.lic.ip.no
192.168.0.102 poort 1234
pub.lic.ip.no poort 5678
192.168.0.100 poort 4123
pub.lic.ip.no poort 7586
192.168.0.101 poort 2314
pub.lic.ip.no poort 8675
VERTAAL TABEL
192.168.0.1
from:
to:
pub.lic.ip.no poort 5678
ser.ver.ip.2 poort 80
ser.ver.ip.2
from:
to:
from:
to:
192.168.0.1 poort 6782
192.168.0.102 poort 1234
ser.ver.ip.2 poort 5478
pub.lic.ip.no poort 5678
Voor de Nederlandse universiteiten, hoge-
scholen, academische ziekenhuizen en onder-
Wat is NAT?
zoeksinstellingen vervult SURFnet al vanaf de
NAT maakt het mogelijk om één enkel apparaat
instellingen hebben de mogelijkheid om vol-
als een soort postkamer die zich tussen het
begintijd van internet de rol van LIR. Deze
doende adressen af te nemen om hun lokale
netwerk mee te nummeren. Andere gebruikers krijgen hun IPv4-adressen door hun internet service provider (ISP) toegewezen. Of beter
gezegd: hun IP-adres, aangezien ISP’s in de meeste gevallen standaard niet verder gaan
dan toekenning van één enkel adres. En op die manier degenen die meerdere machines een
eigen IP-adres willen geven, in de richting van
(router, firewall of computer) te laten fungeren openbare internet en een lokaal of privaat netwerk bevindt. Op het openbare internet wordt gebruik gemaakt van de unieke IP-adressen; op de lokale netwerk wordt gebruik gemaakt
van 3 speciaal voor NAT vrijgemaakte reeksen • 10.0.0.0 - 10.255.255.255
• 172.16.0.0 - 172.31.255.255
• 192.168.0.0 - 192.168.255.255
Bovenstaande is terug te vinden in RFC 1631,
NAT drijven. Veel scholen in het primair en
een internet-standaard.
te maken.
Deze adressen kunnen in lokale netwerken
voortgezet onderwijs hebben met dit gegeven
zonder problemen worden gebruikt en zijn niet
uniek. Routers op het internet kunnen pakketjes met dit adres dan ook niet doorsturen (route-
ren) aangezien niet is vast te stellen naar welk netwerk ze moeten worden gestuurd.
Wat een NAT apparaat doet, is het niet-
6
NAT: oplossing of obstakel?
routeerbare, private IP-adres van de afzender
voor elk intern adres is ook een publiek adres
spakketje vervangen door zijn eigen publieke
functie. De computers met private adressen
uit het lokale netwerk in elk verstuurd gegeven(en unieke, routeerbare) IP-adres, waarna hij het pakketje doorstuurt naar de ontvanger.
nodig. Afscherming is hier de belangrijkste
zijn immers niet rechtstreeks te benaderen.
Deze stuurt zijn antwoord terug naar het adres
Dynamische NAT
interne afzender weer invoegt in de ontvangen
de vertaling van interne IP-adressen naar een
van het NAT-apparaat, dat het adres van de
gegevenspakketjes en het naar de machine in kwestie doorstuurt.
Er zijn verschillende varianten op NAT,
waarvan we er hier enkele zullen noemen.
Statische NAT
Bij statische NAT is sprake van één op één ver-
taling tussen een groep publieke IP-adressen en hun interne tegenhangers. Het zal duidelijk zijn
dat statische NAT niet bijdraagt aan de doelstel-
ling van zuiniger omgaan met IP-adressen, want
Bij dynamische NAT is er ook sprake van
publieke IP-adressen, maar daarbij is de koppeling tussen interne en externe adressen steeds weer anders (dynamisch).
Port Adress Translation
De derde vorm van NAT is, als meestgebruikte variant, in het kader van deze brochure het meest relevant. Het gaat om een vorm van
dynamische NAT waarbij heen en weer wordt
vertaald tussen meerdere interne IP-adressen en één enkel publiek IP-adres. Technisch iets
NAT: oplossing of obstakel?
7
nauwkeuriger geformuleerd: bij dit type NAT
kant en doeladres + doelpoort aan de andere
sen een combinatie van het publieke IP-adres
het lokale netwerk het initiatief neemt om ver-
wordt per verbinding heen en weer vertaald tusen een logisch poortnummer aan de ene kant
en een combinatie van het interne, niet-routeerbare IP-adres en een logisch poortnummer van
een computer aan de andere kant. Ter verduidelijking: waar het IP-adres leidt naar het huisnummer van een gebouw, zo leidt het poort-
nummer naar een specifieke ingang, een loket.
Deze vorm van NAT wordt ook wel Port Address Translation (PAT) genoemd.
binding te maken met de buitenwereld. De computers in het lokale netwerk zijn van buitenaf
dus niet direct te bereiken. Een tweede kenmerk van NAT is dat een regel in de NAT-vertaaltabel blijft bestaan zolang er verkeer heen en weer
gaat tussen de betrokken poorten. Is er gedu-
rende een bepaalde tijd geen verkeer, dan wordt de regel uit de tabel verwijderd.
De tussenstappen die bij de door NAT uitge-
In de illustratie is een grafische weergave te
voerde netwerkadresomzetting horen, rijmen
Een belangrijk kenmerk van NAT is dat elke
dat grofweg inhoudt dat elk IP-apparaat in
zien van het principe achter PAT.
ingang in de NAT-vertaaltabel (de lijst met de
combinaties bronadres + bronpoort aan de ene
8
kant) pas tot stand komt als de computer op
NAT: oplossing of obstakel?
niet met het end-to-end karakter van internet, principe zonder belemmeringen met elk ander IP-apparaat moet kunnen communiceren.
Daar hebben nogal wat mensen bezwaar tegen.
nische leeromgevingen en ander digitaal les-
niet tegen kunnen houden. Sterker nog:
gedoseerde levende inhoud. Inhoud die door
Dit bezwaar heeft de opmars van NAT echter
inmiddels wordt NAT-functionaliteit bij veel laaggeprijsde ADSL-routers standaard meegeleverd
en wordt NAT bij configuratie door de ISP in veel gevallen ook standaard geactiveerd.
In de tien jaar sinds de introductie van NAT
is de omgeving waarin IP-adresomzetting
plaatsvindt ingrijpend veranderd en verrijkt met compleet nieuwe toepassingen. Het zijn deze
toepassingen die voor NAT een uitdaging blijken te zijn, waardoor NAT het gebruik van deze
toepassingen kan belemmeren. Wat zijn nou
die toepassingen en waarom vormt NAT daar een obstakel voor?
Nieuwe toepassingen De tijd dat bandbreedte de beperkende factor
was voor invoering van nieuwe, data-intensieve
materiaal worden verrijkt met nauwkeurig
de gebruiker naar eigen behoefte bekeken kan worden, maar op diens locatie niet blijvend
wordt opgeslagen. Deze eigenschap van strea-
ming video betekent dat de drempel voor eige-
naren van beeldmateriaal om hun eigendom ter beschikking te stellen wordt verlaagd. Door
streaming video portals te voorzien van moge-
lijkheden om materiaal af te schermen en selectief ter beschikking te stellen, kan de bereidheid van aanbieders verder worden vergroot.
Die laatste mogelijkheid vinden we ook
terug in de SURFnet Videotheek, onderdeel
van de voor het hoger onderwijs en onderzoek bedoelde SURFnet Video Portal. De SURFnet
Videotheek is een afspeelomgeving die reeds
duizenden videobestanden bevat. De bestanden
zijn voorzien van extra informatie die het mogelijk maken om te zoeken op thema, onderwerp
datum en andere criteria. Een belangrijke toele-
toepassingen is ook in het onderwijs vrijwel
verancier van beeldmateriaal is het Nederlands
avond staan van een revolutie waarvoor het
inmiddels duizenden uren materiaal van de
voorbij. Alles wijst erop dat we aan de voor-
internet, als universeel en alomtegenwoordig
distributiemedium, opnieuw de wegbereider is. Tot de meest veelbelovende nieuwe toepassingen behoren zonder enige twijfel streaming video en videoconferencing.
Streaming media
Instituut voor Beeld en Geluid (NIBG), dat
publieke omroepen bij SURFnet online heeft
gezet. Dat er in het onderwijs grote belangstelling is voor de toepassing, bewijst het feit dat maandelijks tienduizenden in de SURFnet
Videotheek aanwezige videobestanden worden bekeken.
De SURFnet Videotheek biedt bestanden
Streaming video is een techniek die het moge-
die on-demand te bekijken zijn, maar SURFnet
zonder eerst het complete bestand
Onderwijs-TV en webvideo zijn er speciaal voor
lijk maakt om bewegende beelden te bekijken binnen te hoeven halen. Met streaming video
heeft de gebruiker vrijwel direct na de start van een sessie de beschikking over de gevraagde bewegende beelden. En ook de controle over
biedt ook live uitzendingen aan. SURFnet-TV,
educatieve uitzendingen en ook diverse digitale themakanalen van de omroepen worden via SURFnet doorgegeven.
Ter verdere ondersteuning van het gebruik
die beelden, in de vorm van voor- en achteruit
van streaming video biedt de SURFnet Video
andere besturingscommando’s. Een buffer zorgt
materiaal en hulpmiddelen voor het bewerken
spoelen, stilzetten, het maken van selecties en ervoor dat eventuele ‘hikjes’ in de verbinding niet direct leiden tot schokkerige beelden.
Met behulp van streaming video kunnen elektro-
Portal een uitgebreide verzameling instructie-
van materiaal. SURFnet geeft regelmatig prak-
tijkworkshops over de manier waarop streaming
video in het onderwijs kan worden geïntegreerd.
NAT: oplossing of obstakel?
9
Naar verwacht wordt, zal de video portal op
werkt. Reden genoeg om te veronderstellen dat
wijsinstellingen onderling door henzelf ontwik-
van slagen heeft. Of liever ‘had’, want er is heel
termijn gaan uitgroeien tot dé plek waar onderkeld materiaal kunnen uitwisselen.
SURFnet heeft samen met Kennisnet de
video portal uitgebreid naar het basisonderwijs, voortgezet onderwijs en het beroeps- en
volwassenenonderwijs. Dit is gebeurd in de vorm van de Kennisnet Video Portal.
Videoconferencing
wat veranderd. Het wegvallen van bandbreedtebeperkingen en de alomtegenwoordigheid van
het internet, gecombineerd met gestaag dalende kosten van de vereiste hardware en sterk toegenomen mogelijkheden van software,
zouden voor een radicale verandering kunnen gaan zorgen.
Sterker nog: het onderwijs zou wel eens het
Videoconferencing was lange tijd voorbehouden
toepassingsgebied kunnen gaan worden waar
geldt dat, als videovergaderen al mogelijk is,
van bekende instant messaging programma’s
aan een selecte groep gebruikers. Ook nu nog
het zich veelal beperkt tot een vaste plek binnen het bedrijf of de organisatie. En zelfs dan nog
komt het regelmatig voor dat ‘het’ gewoon niet
10
videoconferencing in het onderwijs weinig kans
NAT: oplossing of obstakel?
videoconferencing echt gaat doorbreken. Zo zou gebruik kunnen worden gemaakt voor videotelefonie, een vorm van lage kwaliteit videoconferencing.
192.168.0.100 192.168.0.1
from: 192.168.0.102 poort 1234
payload: I want to see a movie on address 192.168.0.102 and use port 5020. Bye!
to: ser.ver.ip.2 poort 554
192.168.0.102 is not routable
pub.lic.ip.no
from: pub.lic.ip.no poort 8765
from: ser.ver.ip.2 poort 8765
ser.ver.ip.2
payload: I want to see a movie on address 192.168.0.102 and use port 5020. Bye!
payload: I want to see a movie on address 192.168.0.102 and use port 5020. Bye!
to: ser.ver.ip.2 poort 554
to: 192.168.0.102 poort 5020
Adressering in de payload vormt een probleem bij niet routeerbare adressen.
Wat videoconferencing toevoegt, is inter-
actie die steeds dichter in de buurt komt te liggen van echte interactie tussen personen die
spelen. Succesvolle computergames slagen er in
spelers te verleiden om uren te investeren in het opdoen van nieuwe vaardigheden, zich in te
elkaar in levenden lijve ontmoeten. Het letterlijk
leven in een verhaalfiguur en de eigenschappen
echte samenwerking tussen leerlingen van
en samenlevingen. De mogelijkheid om
bij de les houden van langdurig zieke leerlingen,
scholen die op honderden kilometers van elkaar
af liggen, het live raadplegen van een expert die te ver weg of te druk bezet is voor een bezoek aan de school, de toepassingsmogelijkheden zijn legio. Het Expert op Afstand project, dat
SURFnet en Kennisnet hebben opgezet is hier een praktisch voorbeeld van. Het zijn toe-
passingsmogelijkheden die zich nog verder
en eigenaardigheden van andere verhaalfiguren stapsgewijs naar een zelfverdiend hoger niveau te gaan, en ook dat nieuwe niveau meester te
worden, zorgt voor een gevoel van ‘flow’ dat er op zijn beurt weer voor zorgt dat spelers,
ook degenen die zich in andere situaties maar moeilijk lijken te kunnen concentreren, geboeid blijven.
Deze kenmerken van computergames
zullen uitbreiden naarmate videconferencing
maken dat ze ook in het onderwijs uitermate
fysieke locatie, een doelstelling die internettech-
in het project Make-a-Game momenteel dan
steeds losser komt te staan van een bepaalde nologie helpt realiseren.
Educatieve games
bruikbaar zijn. SURFnet en Kennisnet werken
ook samen om het maken van educatieve games te stimuleren.
Videogames vormen een softwarecategorie die
IP-telefonie
begint te steken. De jongste loot aan deze tak
internet met voldoende bandbreedte heeft
qua omzetcijfers de filmindustrie naar de kroon van software zijn multiplayer games waarin spelers via het internet op verschillende
geografische locaties met en tegen elkaar
De vrijwel universele beschikbaarheid van
de weg vrijgemaakt voor nog een toepassing: Voice-over-IP. Ook in Nederland is inmiddels
een aantal grote VoIP-installaties gerealiseerd.
NAT: oplossing of obstakel?
11
baar met groeiende mogelijkheden.
NAT en de nieuwe toepassingen
IP-verbindingen behoren het eenvoudig opzet-
De toepassingen die we hierboven hebben
kosten, het versturen van berichten aan
probleemloos zolang er sprake is van communi-
En ook voor VoIP is inmiddels software beschikTot de voordelen van spraakverkeer over
ten van groepsgesprekken, de lage gebruiksgroepen gebruikers, locatieonafhankelijke
bereikbaarheid van medewerkers en integratie
van spraak- en dataverkeer (daar is slechts één
beschreven, functioneren over het algemeen
catie tussen twee of meerdere van een NAT-adres voorziene machines binnen het lokale netwerk. De routers die op het internet verantwoordelijk
netwerk voor nodig). Gecombineerd maken de
zijn voor het op de juiste manier doorleiden van
het mogelijk om medewerkers met behoud van
NAT-adres niet verder leiden en zullen ze dus
twee laatstgenoemde eigenschappen van VoIP bereikbaarheid en toegang tot de informatiesystemen en applicaties van de organisatie thuis te laten werken.
dataverkeer zullen gegevenspakketjes met een weggooien. Het gevolg hiervan is dat eindstati-
ons, die zich buiten het lokale netwerk bevinden, eindstations die zich binnen het NAT-netwerk bevinden niet kunnen bereiken. En externe
gebruikers kunnen dus ook niet op eigen intiatief
een videoconferentie of VoIP-gesprek starten met iemand binnen een NAT-netwerk.
12
NAT: oplossing of obstakel?
Ook in omgekeerde richting, als een eind-
station dat zich achter NAT bevindt, contact legt
met een eindstation op het internet, ontstaan er problemen. Zodra het eindstation in het lokale
netwerk het initiatief neemt voor een IP-verbinding, bijvoorbeeld voor een videoconferentie of voor het opvragen van een videostream, wordt
zijn IP-adres ingebed in de zogenoemde payload (de nuttige lading) van de gegevenspakketjes waarmee hij het aangeroepen eindstation uit-
nodigt om te communiceren. Dus in de audioen videopakketten wordt niet het publieke IP
adres ingevuld. Het aangeroepen eindstation
krijgt deze pakketjes binnen, opent ze en begint
audio en video terug te sturen naar het IP-adres van de initiatiefnemer. Als dit IP-adres een NAT-adres is, zullen de routers op internet
deze pakketjes met audio- en videoinformatie
weggooien, aangezien ze een niet-routeerbaar
IP-adres als bestemming hebben. Hoewel er in
eerste instantie verbinding lijkt te zijn gemaakt, zal het eindstation achter NAT de van het externe eindstation afkomstige audio en video nooit ontvangen. Een tweede obstakel is dat veel
streaming video servers en videoconferencing applicaties zelf bepalen welke poorten ze voor het terugzenden van audio en video willen
gebruiken. Dit komt omdat ze veelal ontworpen zijn voordat NAT er was of in eerste instantie
gebruikt werden voor lokale netwerken. Ze stu-
ren dus pakketjes terug naar een poortnummer dat niet in de tabel van het NAT apparaat staat
en dus ook niet bij het juiste eindstation afgeleverd kan worden.
Waarom gebruikt u NAT?
interne IP-adressen ontleent NAT zijn alternatie-
uiteenlopende redenen, bijvoorbeeld om meer-
Tegenstanders bestempelen deze vorm van
IP-adres, om een netwerk te beveiligen of om
hen een vals gevoel van veiligheid biedt en
NAT wordt ingeschakeld op netwerken om
dere apparaten bereikbaar te maken via één
ervoor te zorgen dat bij de overstap naar een
nieuwe provider het netwerk eenvoudig is aan te passen.
Beschikbaarheid IP-adressen
Hoewel er vaak nog specifiek om moet worden
ve benaming ‘masquerading’ (vermommen).
beveiliging als ‘security-by-hiding’, die volgens zonder verdere beveiligingsmaatregelen zelfs extra risico’s met zich meebrengt. NAT biedt
niet meer bescherming dan een erg eenvoudige firewall. Bij grotere netwerken zijn dus zeker nog meer maatregelen nodig.
gevraagd, is het tegenwoordig mogelijk om
Onafhankelijkheid
uw provider. Zeker wanneer de verbinding
bij de overstap naar een nieuwe provider, mak-
meerdere adressen toegewezen te krijgen van
wordt geleverd door een OSP (Onderwijs
Service Provider) behoort levering van een IP-range tot de standaard mogelijkheden. Beveiliging
NAT biedt, doordat de netwerkadresomzetting
het interne netwerk voor de buitenwereld verborgen houdt, bescherming tegen aanvallen
van buitenaf. Aan dit verborgen houden van de
Indien gebruik wordt gemaakt van NAT is het,
kelijk om het eigen netwerk ‘om te nummeren’. Het interne netwerk kan immers ongemoeid gelaten worden en alleen het NAT-systeem
hoeft te worden aangepast. Het is tegenwoordig echter mogelijk om adressen mee te nemen
(bijvoorbeeld in het geval van multihoming).
Bovendien is het overstappen naar een nieuwe
provider, zeker in het onderwijs, niet een regelmatig terugkerende activiteit.
NAT: oplossing of obstakel?
13
Wat nu?
nieuwe technologie zoals streaming video,
Dat NAT in conflict kan komen met nieuwe IP-
alle geledingen van het onderwijs van grote
toepassingen is al langer bekend. Juist doordat het nieuwe toepassingen betreft, is het pro-
bleem tot nu toe onderbelicht gebleven. Het is
niet de bedoeling om zo ver gaan als de auteur van het artikel ‘NAT: Just Say No’, maar dat
goed nadenken over NAT loont, is een gegeven. Er worden nieuwe standaarden ontwikkeld om beter met NAT om te gaan en in de nieuwe
applicaties geïmplementeerd. Maar wanneer
dit voor alle applicaties en alle NAT apparaten gerealiseerd is, weet niemand.
Deze brochure heeft hopelijk duidelijk gemaakt
dat de mogelijke implicaties van NAT de serieuze aandacht verdienen van iedere organisatie die
nadenkt over of bezig is met de invoering van
14
NAT: oplossing of obstakel?
videoconferencing en VoIP. Technologie die in betekenis zal gaan worden. Dit is ook de reden dat er momenteel wordt gewerkt aan een aan NAT gewijd Cookbook. In dit cookbook staan
praktische oplossingen voor veelvoorkomende
situaties waarbij NAT nu eenmaal een gegeven is.Daarbij wordt met name gekeken naar de in het voortgezet onderwijs veelgebruikte ISAserver. Dit cookbook is in pdf-formaat te
downloaden via: www.surfnetkennisnetproject.nl.
Deze brochure is tot stand gekomen in het kader
van het gezamenlijke SURFnet/Kennisnet project.
In dit project werken SURFnet en Kennisnet samen om innovatieve internetdiensten beschikbaar te maken voor het onderwijs in Nederland.
Tekst: Joost Mulder
Fotografie: Jac Kloots
Fotografie omslag: Aafke Holwerda
Vormgeving: RAAK Grafisch Ontwerp Utrecht Druk: De Longte Juli 2006
NAT: oplossing of obstakel?
15
SURFnet bv
Postbus 19035
3501 DA Utrecht
T +31 302 305 305 F +31 302 305 329
[email protected] www.surfnet.nl