Internet Architecture Board (IAB) v létě vydala RFC 5902, ve kterém vyjadřuje svůj názor na překlad adres (NAT) ve světě IPv6. Nejedná se o technický dokument, spíše o zhodnocení přínosů a problémů tohoto přístupu a z nich vycházející výzvu.
Není žádným velkým tajemstvím, že IAB, stejně jako většina odborníků, kteří se zabývají architekturou Internetu, není NATu příliš nakloněna a bere jej jako nutné zlo. Z tohoto hlediska je poměrně překvapivé, že zmiňované RFC se z velké části zabývá přednostmi mapování adres a důvody, pro které by mělo smysl o něm uvažovat i pro IPv6. Jsou rozpitvávány podrobněji, ale v podstatě je lze shrnout do tří skupin:
-
Šetří adresy. Tento přínos je pro IPv6 s jeho monumentálním adresním prostorem irelevantní, proto o něm v dokumentu není zmínka.
-
Zjednodušuje adresování. Překlad adres způsobí, že vnitřní adresy sítě jsou zcela nezávislé na okolí. Pokud síť změní poskytovatele Internetu, není nutné ji celou přeadresovávat, stačí jen změnit mapování na NATu. Podobně může NAT usnadnit připojení k několika poskytovatelům současně, čili multihoming. A do této kategorie spadá i snadnější poskytování podpory zákazníkům, kteří mají všichni ve svých sítích shodný adresní prostor („Máte v položce Výchozí brána nastaveno 10.0.0.1?“).
-
Přispívá k zabezpečení. Opakovaně se zdůrazňuje, že NAT není bezpečnostní mechanismus, nicméně jeho přínosy v této oblasti jsou neoddiskutovatelné. Skrývá uspořádání vnitřní sítě a omezuje přístup k jejím strojům, takže komplikuje snahu o její napadení. Ne nepřekonatelně, ale komplikuje.
Cenou, kterou platíme, je především špatná prostupnost NATu pro některé služby. Paradoxně především pro ty, které zahrnují přímou komunikaci koncových strojů (peer-to-peer systémy, IP telefonie, ICQ a spol. či online hry) a jsou velmi populární. Evidentně se s přítomností NATu dokáží vypořádat, ovšem významně to komplikuje jejich vnitřní mechanismy. A Internet je jeden obrovský příklad vítězství jednoduchých technologií nad složitějšími.
Technologickým garantem seriálu Pohněme s IPv6 je CZ.NIC.
Mám příležitost pohybovat se v obou prostředích, takže snad mohu srovnávat. Podílím se na správě poměrně velké sítě TU v Liberci, která je samozřejmě adresována veřejně. Obsahuje řadu serverů nabízejících to či ono, navíc jsou uživatelé kreativní a zkoušejí nejrůznější síťové služby. Spravovat NAT pro tento moloch by nutně znamenalo neustále se zabývat různými výjimkami a problémy (nebo nasadit velmi restriktivní politiku vůči uživatelům, což je ovšem na akademické půdě jen těžko myslitelné). Přeadresování, které jsme také absolvovali, protože kapacita některých podsítí přestala stačit a museli jsme změnit jejich uspořádání, bylo proti tomu procházkou růžovou zahradou. Sice představovalo velký zásah do vnitřností sítě, ovšem zásah jednorázový, který se odladil a je na dlouhou dobu klid.
Naopak doma mám – asi jako valná většina čtenářů – síť NATovanou s jedinou veřejnou adresou. Jelikož nemám potřebu z domova cokoli poskytovat, nikdy jsem to nevnímal jako příliš velkou újmu. Naopak mi přišlo vhod lehké posílení bezpečnosti, které to přináší. Ovšem pokud by se uživatel mohl spolehnout na to, že domácí krabička-všeuměl má od výrobce rozumně nastavené zabezpečení (jak doporučuje návrh draft-ietf-v6ops-cpe-simple-security), stane se bezpečnostní přínos NATu zanedbatelným a NAT samotný se přesune z kategorie „něco mi přináší“ do kategorie „nevadí mi“. A to je jako motivace pro nasazení dost málo.
Troufnu si zobecnit: Přínos NATu klesá s velikostí a rozmanitostí sítě, která se za ním nachází. Problémy, které přináší, ve velkých sítích obvykle převažují nad výhodami. Na NAT jsme si zvykli jako na nutné zlo, které oddaluje vyčerpání IPv4 adres. A když už ho máme, vidíme i některé jeho pozitivní stránky. Ale moc nevěřím, že správci sítí je budou považovat za natolik atraktivní, aby kvůli nim NAT nasadili i pro IPv6, kde budou mít adres habaděj.
Je záhodno poznamenat, že pokud by IPv6 NAT měl sloužit především pro nezávislost vnitřního adresního prostoru, zřejmě by pracoval odlišně, než jsme v současnosti zvyklí. Dnešní NAT je ve skutečnosti NAPT (Network Address and Protocol Translator), protože mění v procházejících paketech nejen IP adresu, ale i port. Důvodem je nedostatek veřejných IPv4 adres, obvykle si musí vystačit s jedinou. V IPv6 tento problém nejspíš nenastane, takže bude stačit jednoduše mapovat vnitřní IPv6 adresy na vnější a porty nechat být. Tím se jeho chování zjednoduší a poněkud se utlumí negativní, ale i pozitivní dopady (nebude už tak dobře skrývat identitu vnitřních počítačů).
Když se vrátíme k RFC 5902, IAB v něm upozorňuje, že je záhodno se dívat nejen na význam NATu pro koncovou síť, ale i na jeho dopady pro zbytek Internetu. To je postoj pro IAB sice pochopitelný, ale poměrně idealistický. Jestliže se správce sítě bude rozhodovat, zda nasadí IPv6 NAT, obávám se, že otázka „Co to způsobí zbytku Internetu?“ nebude mít v jeho úvahách příliš velkou váhu.
Závěr dokumentu se obecně nese v duchu budování vzdušných zámků. IAB konstatuje, že by bylo velmi žádoucí vyvinout koncepční mechanismy, které by umožnily větší nezávislost adresování vnitřní sítě na poskytovateli, usnadnily přeadresování a multihoming a odstranily tak motivaci pro nasazení NAT. To je jistě pravda, ovšem internetová komunita na nich pracuje odhadem tak 15 let, zatím bez výraznějších úspěchů.
Jak už jsem napsal, osobně doufám, že většina správců, když bude mít na vybranou, vyhodnotí život bez NATu jako jednodušší. Jinak nás do budoucna čeká podobně degradovaná síť, s jakou se potýkáme dnes. Že by problém vyřešila nějaká úžasná populární aplikace, která neprojede NATem a tudíž jej postaví mimo hru, příliš nevěřím. V současnosti si autor každé novinky dá pozor, aby vyřešil obcházení NATů. Bez něj nemá šanci masově prorazit.
