Artikel

Implementatie van IPv6 in de ICT-infrastructuur

Invoering van IPv6 is belangrijk, maar doe het op de juiste wijze

De voorraad IPv4 adressen raakt op, dat is ondertussen algemeen bekend onder ICT specialisten. Het invoeren van IPv6 is uiteindelijk de enige toekomstbestendige oplossing voor dit probleem. Er zijn echter veel ICT’ers die denken: ‘Onze organisatie heeft nog voldoende IPv4 adressen, dus waarom tijd besteden aan IPv6?’. Er zijn echter andere partijen op het internet die onvoldoende IPv4 adressen hebben en dus al overstappen op IPv6. Zonder IPv6 zal uw organisatie in de toekomst niet optimaal met deze partijen kunnen communiceren via internet. Invoering van IPv6 is dus voor iedereen belangrijk, alleen de timing hiervan verschilt per situatie. In dit artikel wordt ingegaan op de noodzaak van de invoering van IPv6 en op welke wijze dit het beste gedaan kan worden.

Wat is IPv6?

IPv6, voluit Internet Protocol versie 6, is de nieuwe versie van het systeem dat op alle computers op de wereld de verbinding met internet mogelijk maakt. Tot nu toe is het internet gebaseerd op IPv4. In februari van dit jaar is de wereldwijde voorraad IPv4 adressen echter opgeraakt [1]. In Azië (APNIC) zijn ze inmiddels ook door de lokale voorraad heen [2]. Europa (RIPE NCC) zal in 2012 de voorraad uitgeput hebben [3]. Vanaf dat moment kunnen bedrijven en internetproviders geen nieuwe adressen meer krijgen. Hierna raken binnen enkele maanden de interne voorraden van de internetproviders leeg, waarna ook consumenten en het MKB geen nieuwe adressen meer kunnen krijgen. Het einde van het huidige groeimodel van het internet is in zicht.

In de negentiger jaren is reeds een oplossing voor het IP-adrestekort bedacht: IPv6. Het belangrijkste verschil tussen IPv4 en IPv6 is dat de adreslengte vergroot is van 32 bits naar 128 bits. Hiermee is het aantal unieke adressen onvoorstelbaar groot: 340.282.366.920.938.463.463.374.607.431.768.211.456, een getal met 39 cijfers. Dat is genoeg om bijvoorbeeld iedere zandkorrel op de aarde een eigen IP-nummer te geven. Ter vergelijking: het huidige IPv4 heeft "slechts" 4,3 miljard adressen. Een groot aantal, maar minder dan één adres per wereldburger. En dat terwijl bijvoorbeeld Nederland al 25 miljoen adressen voor 16,7 miljoen inwoners gebruikt.

Om het mogelijk te maken dat het internet doorgroeit qua aantallen gebruikers en dienstverleners is de invoering van IPv6 dus noodzakelijk.

Waarom en wanneer overstappen?

Wat veel mensen vergeten is dat IPv4 en IPv6 twee losstaande protocollen zijn. Iemand met alleen een IPv4 aansluiting kan niet communiceren met iemand met alleen een IPv6 aansluiting. Beide partijen moeten hetzelfde protocol spreken, of er zijn vertaalslagen nodig die dan door derden geleverd moeten worden. Organisaties die alleen een IPv4 aansluiting hebben, komen in de problemen zodra één van hun leveranciers een dienst, zoals een website, on-line ordersysteem of cloud oplossing, alleen nog maar over IPv6 aanbiedt.

De aanbieders van dergelijke diensten kunnen er echter nog niet vanuit gaan dat hun gebruikers over IPv6 beschikken. Zo lang het mogelijk is om de dienst ook over IPv4 aan te bieden zal dat ook zeker gebeuren. IPv4 blijft voorlopig nog de manier om een zo groot mogelijke doelgroep te bereiken. Andersom geldt hetzelfde. Zolang het mogelijk is om IPv4 verbindingen aan te bieden zullen internetproviders dat doen, want daarmee bereiken hun klanten een zo groot mogelijk deel van het internet.

De vraag is dus: ‘Wanneer komt het moment dat óf een aanbieder van een dienst, óf een gebruiker van zo’n dienst gedwongen wordt om het zonder IPv4 te doen?’ En dat is een vraag die moeilijk te beantwoorden is. Alle organisaties hebben tegenwoordig zowel de rol van dienstaanbieder (op zijn minst in de vorm van een website en een e-mailserver) als de rol van gebruiker van dergelijke diensten. Er moet dus gekeken worden naar alle communicatie waarbij uw organisatie gebruik maakt van internet. Dus alle websites, alle diensten (Voice-over-IP, bestandsuitwisseling, koppelingen tussen systemen etc.), alles waar verbinding mee gemaakt wordt en alles wat verbindingen ontvangt. Door het veelvuldige gebruik van internet bij veel werkzaamheden is dit vaak al moeilijk te inventariseren.

Er is dus een reële kans dat uw organisatie opeens IPv6 communicatie nodig heeft. Dit kan zijn omdat één van uw leveranciers in de situatie komt dat ze alleen nog maar over IPv6 kunnen communiceren (hun website en/of ordersysteem is alleen over IPv6 bereikbaar, hun cloud dienst ondersteunt alleen nog maar IPv6 etc.). Maar het kan ook zijn dat één van uw ketenpartners, klanten en/of gebruikers geen volwaardige IPv4 verbinding meer heeft. De verwachting is namelijk dat deze laatste groep de eerste zullen zijn die zonder IPv4 adressen komen te zitten. Bij internetaansluitingen voor consumenten worden de meeste IPv4 adressen per dag in gebruik genomen, en die zullen dus het snelste door de voorraad heen zijn. De ‘oplossing’ hier is zowel simpel als storend: meer NAT (Network Address Translation). Consumenten krijgen geen eigen IPv4 adres meer, maar moeten hun IPv4 adres met anderen delen. Één van de problemen voor een aanbieder van bijvoorbeeld een website is dat traceerbaarheid heel moeilijk wordt. Achterhalen wie verantwoordelijk is voor acties op het internet wordt erg lastig als honderden gezinnen allemaal met hetzelfde afzenderadres communiceren.

En stel dat uw organisatie zelf een nieuwe internetverbinding nodig heeft en deze wordt met extra NAT geleverd. Het open zetten van poorten voor binnenkomende verbindingen zal niet meer mogelijk zijn. Toepassingen zoals Voice-over-IP, maar ook het opzetten van VPN verbindingen en het draaien van een eigen web- of e-mailserver is op zulke verbindingen niet mogelijk.

In al deze situaties is er maar één echte oplossing: IPv6 gebruiken. Daarmee krijgt iedereen ruim voldoende adressen. Om precies te zijn 18.446.744.073.709.551.616 adressen per LAN. Zo goed als oneindig veel dus. Ik ben tenminste nog nooit een switch tegengekomen met zo veel poorten. En het aantal LANs zal ook geen probleem zijn. Elke organisatie krijgt voldoende adressen voor 65.536 LANs. Dit zijn voldoende adressen om een praktische indeling te maken waarbij bijvoorbeeld het beveiligingsbeleid eenvoudig in te richten is [4].

Hoe IPv6 op juiste wijze in te voeren?

Het is dus belangrijk om bewust te zijn van de noodzaak voor IPv6. Dat betekent echter niet dat nu overal hals over kop IPv6 ingevoerd moet worden. Sterker nog: als IPv6 slecht ingevoerd wordt kan dat een risico voor de werking en beveiliging van de ICT-infrastructuur opleveren. Als IPv6 ingevoerd wordt dan moet het op zijn minst in alle opzichten gelijkwaardig zijn aan IPv4. De beveiliging, maar ook de betrouwbaarheid en de performance kunnen niet onderdoen voor IPv4.

Voor een goede invoering van IPv6 is allereerst goede kennis van IPv6, maar ook van IPv4 en netwerken in het algemeen, noodzakelijk. Afhankelijk van wie de verantwoordelijkheid over het netwerk heeft zullen uw eigen ICT mensen of uw ICT-dienstverleners zich moeten laten scholen. IPv6 is op veel punten makkelijker dan IPv4. Zo heeft elk IPv6 netwerk standaard een bijna oneindig aantal adressen, waardoor het vooraf inschatten hoeveel IP adressen er per netwerk gereserveerd moeten worden niet meer van toepassing is. Ook de ingebouwde automatische configuratie (Stateless address auto-configuration, oftewel SLAAC) van PC’s, smartphones, tablets en andere apparatuur maakt het invoeren van IPv6 eenvoudiger. Bij het inrichten van koppelingen en het beveiligingsbeleid, of bij het oplossen van storingen, is het erg prettig dat er geen NAT meer is. Elk IPv6 adres is wereldwijd uniek waardoor verwarring wordt voorkomen. Op andere punten is het, mede doordat de werking van IPv4 zo ingesleten is, juist wat ingewikkelder. Juist de afwezigheid van NAT is voor veel netwerkbeheerders in het begin onwennig. Ook de combinatie van SLAAC met DHCPv6 is anders dan we met IPv4 gewend zijn. Ook het feit dat elk systeem meer dan één IPv6 adres kan hebben, is soms verwarrend. Al deze wijzigingen zijn echter bewust ingevoerd en kunnen, mits goed ingezet, het leven van een netwerkbeheerder eenvoudiger maken.

Nadat de betrokkenen theoretische kennis hebben opgedaan, is het tijd om praktische kennis en ervaring op te doen. Veel netwerkbeheerders doen IPv6 ervaring op doordat ze het in hun thuisnetwerk uitproberen. Door dat aan te moedigen kan een organisatie een groot voordeel behalen. Het sponsoren van een IPv6 geschikte router voor thuisgebruik is dan helemaal niet zo gek. Ook binnen het bedrijfsnetwerk een testnetwerk opzetten is heel nuttig. Daar kunnen de hardware en software [5] uitvoerig getest worden in een veilige omgeving.

En dan is het tijd om naar de productienetwerken te kijken. Als voorstander van IPv6 zou ik het natuurlijk fantastisch vinden als iedereen overal direct IPv6 zou kunnen invoeren. Dat is echter niet te managen en brengt veel te veel risico’s met zich mee. Bij een reële invoering van IPv6 zal eerst gekeken moeten worden naar de plekken waar IPv6 het snelst nodig is en de plekken waar een onverwachte noodzakelijkheid tot invoering van IPv6 voor veel problemen kan zorgen binnen uw organisatie. Een niet goed voorbereide invoering van een nieuwe technologie als IPv6 is risicovol voor zowel de beveiliging als de stabiliteit van de infrastructuur.

Doordat de eigen beheerders controle hebben over het interne netwerk zullen hier niet snel verrassingen optreden. Communicatie met externe partijen gaat ook gedeeltelijk over het interne netwerk, dus dit zal ook niet helemaal buiten schot blijven. Veranderingen in de rest van de wereld dicteren echter de snelheid waarmee IPv6 voor externe communicatie ingevoerd moet worden, dus hier is de kans op een verrassing veel groter. Begin daarom stap voor stap met de meest cruciale onderdelen die nodig zijn voor deze externe communicatie: onderdelen die zeker niet overhaast veranderd mogen worden.

Een belangrijk element hierbij is de verbinding met de internetprovider. Goede zakelijke internetproviders zijn zich al jaren aan het voorbereiden op IPv6. Let hierbij wel goed op de beveiliging. IPv6 mag natuurlijk geen achterdeur naar het interne netwerk bieden. Eerst de beveiliging controleren voordat een IPv6 aansluiting geïmplementeerd wordt, is een absolute noodzaak.

Dan is het tijd voor de eerste toepassingen. De DNS / domeinnaam infrastructuur is hier een goed voorbeeld van. Bijna alle communicatie gebruikt domeinnamen, en deze zullen dus zeker met IPv6 moeten werken. Het netwerk tussen de koppeling met de internetprovider en de DNS servers moet hierbij van IPv6 voorzien worden, net als de DNS servers zelf. Als dit alles ingericht is moet dat ook aan de partij die de domeinnaam heeft geregistreerd worden doorgegeven. Zij zullen zorgen dat ook de buitenwereld weet hoe de DNS servers over IPv6 bereikbaar zijn.

Hierna zijn er wat meer keuzemogelijkheden. Eerst de websites, of toch eerst de e-mailservers? Of toch misschien eerst zorgen dat uw medewerkers diensten van anderen over IPv6 kunnen bereiken? Dat zijn keuzes waar geen direct antwoord op gegeven kan worden, maar als uw organisatie zo ver is gekomen dan hebben de betrokken mensen inmiddels alweer zo veel meer inzicht in de materie dat ook de volgende stap goed te zetten is.

Waar is IPv6 nu al in gebruik?

In Azië worden organisaties nu gedwongen om gebruik te gaan maken van IPv6 aangezien daar de IPv4 voorraden al op zijn. In Europa wordt echter ook al jaren gewerkt aan de IPv6 infrastructuur van internetproviders. Zo is de Amsterdam Internet Exchange (AMS-IX), één van de grootste internetknooppunten ter wereld, al sinds 1998 bezig met IPv6.

Ook binnen bedrijven zijn er al veel systemen die met IPv6 werken, al is dat niet altijd bewust. In moderne besturingssystemen zoals Windows Vista, Windows 7, Mac OS-X en Linux staat IPv6 standaard aan. Microsoft heeft aangegeven dat IPv6 vanaf Windows 7 en Server 2008 een integraal onderdeel uitmaakt van het besturingssysteem en dat er niet meer getest wordt met IPv6 uitgeschakeld [6]. Het uitschakelen van IPv6 levert daardoor een niet door Microsoft ondersteunde configuratie op. Goede IPv6 beveiliging in het netwerk is daardoor belangrijk, ook al wordt er nog niet actief gebruik van gemaakt.

Conclusie

Het invoeren van IPv6 is voor iedereen van belang. Sommige organisaties zullen eerst geconfronteerd worden met diensten die over IPv6 aangeboden worden. Andere organisaties zullen juist zelf diensten zoals websites en e-mail over IPv6 moeten aanbieden, omdat hun klanten en/of gebruikers geen volwaardige IPv4 verbinding meer kunnen krijgen. Wanneer dit moment komt is moeilijk te voorspellen en hangt af van de aanwezige communicatiestromen. Dat moment kan echter snel komen en op het laatste moment overhaast een nieuw netwerkprotocol invoeren is nooit een goede keuze. Daarom is het voor elke organisatie belangrijk om zich voor te bereiden op IPv6. Daarmee kunnen een hoop kosten, beveiligingsrisico’s, operationele problemen en stress voorkomen worden. Voor de meeste organisaties is internet een cruciaal deel van de bedrijfsvoering geworden, en dat moeten we toekomstbestendig inrichten.

Stipv6 brengt helderheid op het gebied van IPv6

De Stichting IPv6 Nederland, kortweg Stipv6, is in 2010 opgericht door een groep ICT-ondernemers. Zij zien naast de noodzaak van de invoering van IPv6 een grote behoefte aan concrete en bruikbare kennis over IPv6. Doel van Stipv6 is dan ook om helderheid te brengen op het gebied van IPv6-kenmerken van hardware, software, diensten en organisaties. Stipv6 brengt die helderheid door middel van publicaties, trainingen, adviezen en on-demand testing.

In het eerste jaar van haar bestaan heeft de stichting al een aantal belangrijke wapenfeiten op haar naam gezet. Meest in het oog springend zijn daaronder de vermelding van IPv6 geschiktheid op Ben Woldring’s Internetten.nl, het zichtbaar maken van de IPv6 geschiktheid van de Top 100 websites op www.IPv6Ready.nl en het onderzoeken van de IP-versie afhankelijkheid van applicatiesoftware in samenwerking met de Software Improvement Group (SIG). Uit dat onderzoek kwam bijvoorbeeld naar voren dat 1 op de 12 applicaties problemen zou gaan ondervinden bij combinatie met IPv6.

Voor informatie over de stichting en het downloaden van whitepapers: www.stipv6.nl

Categorie:   
Auteur(s)
afbeelding van steffann
Sander Steffann
SJM Steffann

Sander Steffann is een ICT specialist, afgestudeerd in de Technische Informatica aan de Universiteit Twente. Sinds 1995 heeft hij zich verdiept in alle aan het Internet gerelateerde technologie. Door de jaren heen is hij onder andere verantwoordelijk geweest voor het opzetten van een Internet Service Provider netwerk, het automatiseren van bedrijfsprocessen, serverbeheer en netwerkbeveiliging. Van mei 2008 tot en met februari 2010 is hij werkzaam geweest als Senior Internet Engineer bij Max.nl waar hij zich bezig hield met het ontwerpen en ontwikkelen van internetapplicaties.

Sinds maart 2010 is hij zelfstandig ondernemer en richt hij zich op het adviseren van organisaties over netwerkarchitectuur en de invoering van IPv6. Hiernaast is hij sinds mei 2007 vice-voorzitter van de RIPE Address Policy werkgroep. Deze werkgroep is verantwoordelijk voor het vaststellen van het beleid omtrent de uitgifte van IP adressen in Europa, het Midden-Oosten en de voormalige Sovjet Unie.

Nieuwe reactie inzenden

De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.
Indien het niet lukt om een reactie te plaatsen, stuur dan uw reactie naar redactie@xr-magazine.nl.
Alle inzendingen dienen correct, professioneel en beschaafd te zijn. IP-adressen worden gelogd, maar niet gepubliceerd. De redactie van XR Magazine behoudt zich het recht voor om anonieme reacties (niet op naam) of zonder geldig e-mailadres, te verwijderen zonder kennisgeving. Ook reacties waarin commerciële uitingen worden gedaan en/of commerciële producten en diensten worden aangeboden worden door de redactie verwijderd of ontdaan van commerciële uitingen zonder kennisgeving.