“Het wereldwijde IP verkeer zal tussen 2012 en 2017 verdrievoudigen tot 1,4 zettabyte per jaar. Deze sterke groei van het dataverkeer is het gevolg van het 'Internet of Everything', dat tegen 2017 rond 19 miljard verbindingen zal tellen, bij gemiddeld 7,1 apparaten of verbindingen per huishouden. Vorig jaar was dat nog gemiddeld 4,7 apparaten/verbindingen per huishouden. Dit zijn enkele van de belangrijkste uitkomsten van de jaarlijkse Cisco Visual Networking Index (VNI) Forecast (2012 - 2017).”, Telecommagazine mei 2013.
Stage I
IANA’s pool van IPv4 Alle 5 RiR’s krijgen een adressen is uitgenut laatste /8 toegewezen Stage II
Bovenstaande ontwikkeling zorgt er voor dat er de komende jaren steeds meer IP adressen nodig zijn. Het invoeren van IPv6 is hieraan direct gekoppeld vanwege het opraken van IPv4 adressen.1 In tegenstelling tot bijvoorbeeld het millenniumprobleem of de invoering van de euro kan het moment van invoeren van IPv6 niet gekoppeld worden aan een harde datum. Voor iedere organisatie kan deze datum anders zijn. Invoering van IPv6 moet plaatsvinden voordat er daadwerkelijk bereikbaarheid verloren gaat of beveiligingsproblemen ontstaan. Onderstaande afbeelding laat zien hoe het opraken van IPv4adressen in Europa verloopt. De verwachting is dat fase IV in 2014 ingaat. Dan kan RIPE NCC (de organisatie die voor Europa de IP adressen uitdeelt) alleen nog maar IPv6-adressen uitdelen.
1
· IPv4 adressen ruim beschikbaar · RIPE NCC distribueert adressen volgens gedefinieerde policy’s
· RIPE NCC distribueert adressen volgens gedefinieerde policy’s
RIPE NCC begint aan laatste /8 (16 Miljoen adressen) Stage III (NOW)
· RIPE NCC policy wordt aangepast op basis van de laatste /8
RIPE NCC adressen zijn op (2013/2014) Stage IV
De tussenliggende versie IPv5 was een experimentele aanvulling op IPv4, maar deze werd nooit geïmplementeerd.
· RIPE NCC kan uitsluitend nog IPv6 adressen uitdelen.
De Taskforce IPv6 adviseert overheden bij aanschaf van nieuwe ICT middelen over te stappen op het nieuwe IPv6 protocol. In dit artikel willen wij u bewust maken van de noodzaak om over te schakelen op dit protocol dat, in tegenstelling tot veel mensen zullen denken, al bestaat sinds begin jaren ’90. Advies Innervate: voer IPv6 tijdig in Aan de slag gaan met IPv6 is uiteindelijk onvermijdelijk. Het is daarom aan te raden om op tijd en gecontroleerd te starten. IPv6 kost tijd en geld, maar het is goedkoper om op tijd en gestructureerd te starten, dan af te wachten tot het laatste moment. Een prima moment van starten is de aanschaf van een nieuw netwerk dat vaak noodzakelijk is omdat moderne toepassingen als IP telefonie en draadloos internet haar intrede doen. Het is belangrijk om er minimaal voor te zorgen dat webservices die door uw organisatie geboden worden, voor iedereen via IPv6 te benaderen zijn. IPv6 versus IPv4 Het belangrijkste kenmerk van IPv6 is de enorme toename in het aantal adressen vanwege het gebruik van 128 bits versus 32 bits in versie 4.
IPv6
IPv4 = 32 bits
IPv6 = 128 bits
IPv4 32 bits =~ 4,200,000,000 mogelijk adresseerbare nodes
IPv6 128 bits: 38 =~ 3,4 * 10 mogelijk adresseerbare nodes =~ 1030 addressen per persoon op de aarde
In plaats van 4 octets in IPv4 (192.168.4.0) in decimale notatie wordt een IPv6 genoteerd in 8 groepen van vier HEX karakters (HEXtets), gescheiden door dubbele punten (:). Standaard vormt de eerste helft het netwerk ID en de laatste helft het interface ID (zie figuur 3).
Global Unicast Identifier Example
Network Portion
Interface ID
gggg:gggg:gggg: ssss:xxxx:xxxx:xxxx:xxxx Global Routing Prefix n <= 48 bits
Subnet ID 64 – n bits
Host
2001:0000:0000: 00A1:0000:0000:0000:1E2A
2001:0:0: A1::1E2A Figuur 1 IPv6 Adres notatie
Full Format
Abbreviated Format
IPv6 netwerk aanvraag Een eerst stap in de migratie naar IPv6 is relatief eenvoudig van aard. Vraag uw Internet Provider (ISP) om een IPv6 blok voor uw organisatie. Zoals uit onderstaand overzicht blijkt ontvangt elke organisatie een /48 adres blok. Voor grote organisaties is het mogelijk een Provider Independent blok aan te vragen. Hiermee wordt het voor een organisatie mogelijk om haar toegekend blok mee te nemen wanneer het bedrijf ‘verhuist’ naar een andere Internet Provider of continent.
Provider Assigned
Provider Independent
2000::/3
/48
2000::/3
Registries
/12
/32
IANA
ISP
Enterprise Level Four
Figuur 2 Adres blokken worden in Europa uitgegeven door RIPE i.p.v. IANA
/12
Org
/48
NAT Een enorm voordeel van IPv6 is het feit dat er geen gebruik meer hoeft te worden gemaakt van Netwerk Adres Translatie (NAT). Door het grote tekort aan publieke IPv4 adressen, gebruiken organisaties al in lengte van jaren NAT om haar private space adressen die men intern gebruikt, te vertalen naar één publiek IP adres. Hierdoor kunnen organisaties met relatief weinig publieke IPv4 adressen uit de voeten. Een nadeel van NAT is echter gelegen in het feit dat elk intern IP adres wordt vertaald naar het zelfde publieke IP adres maar dan naar een uniek poortnummer, waardoor een aantal protocollen niet goed werken en dus de daaraan gelieerde applicaties niet goed kunnen functioneren. Met IPv6 behoort dat dus tot het verleden. NAT beperkt de end-to-end connectiviteit die centraal staat in de internetfilosofie. Door het afschermen van het lokale netwerk van het globale netwerk, hetgeen uiteraard ook als een voordeel kan worden beschouwd, is misbruik moeilijk te achterhalen. Immers wanneer een gebruiker in het lokale deel van het NAT-device (router/firewall) een aanval doet op een externe gebruiker zal het moeilijk te achterhalen zijn welke gebruiker dit is omdat het IP-adres verborgen wordt. Een ander nadeel van NAT is het verlies aan performance door het vertalen van elk individueel adres. NAT heeft de acceptatie en noodzaak van IPv6, dat een betere oplossing biedt voor de huidige problemen, vertraagd. Beveiliging IPv6 maakt het mogelijk om gegevens tijdens het transport te voorzien van beveiliging. Deze beveiliging kent twee vormen: · Versleuteling (encryptie) van gegevens: zender en ontvanger kunnen een sleutel afspreken waarmee het gegevenstransport beveiligd wordt. IPv4 kent deze mogelijkheid niet, waardoor veel beveiligingsvarianten boven de IP-laag ontwikkeld zijn, bijvoorbeeld VPN, HTTPS of SSH. De versleuteling van IPv6 maakt beveiliging op bovenliggende niveaus overbodig: ieder gegevenstransport op basis van IPv6 kan immers veilig gebeuren. · Authenticatie van gegevens: hierbij kan de zender ieder pakket voorzien van een elektronische waarborg. Andere partijen kunnen de gegevens niet ongemerkt wijzigen, noch zich als de oorspronkelijke afzender voordoen. Hierdoor heeft de ontvanger zekerheid over de herkomst van de ontvangen IP-pakketten.
Next header = 51 IPsec AH header
IPv6 basic header Next header = 50 IPsec ESP header
IPsec AH header
IPv6 basic header IPsec ESP header
IPsec AH header Next Header
Ext Hdr Length
IPsec ESP header
Reserved Various IPsec ESP data
Various IPsec AH data Next Header
Figuur 3 IPsec Authentication Header (AH)
Figuur 4 IPsec Encapsulating Security Payload (ESP)
IPv6 scopes Net zoals dat het geval is met IPv4 is het in IPv6 eveneens mogelijk te werken met een soortgelijke variant van IPv4 private space adressen. Welk type adressering kunnen we nu het best gebruiken in het interne netwerk? Onderstaande figuur geeft de IPv6 scopes aan welke worden onderscheiden.
Global
Figuur 5 IPv6 adres scopes
Unique Local
Link Local
Een Link-local adres is een IPv6 unicast adres dat automatisch kan worden geconfigureerd op een interface door gebruik te maken van de link-local prefix FE80::/10 (1111 1110 10) en het interface ID. Vaak wordt daarbij gebruik gemaakt van het MAC adres. Linklocal adressen kunnen worden gebruikt om naburige nodes op de zelfde link te bereiken zonder gebruik te maken van globaal unieke adressen. Routers zullen geen verkeer doorsturen dat gebruik maakt van link-local adressen.
Figuur 6 Link-local adres, zoals dit automatisch is gegenereerd in Windows 7
Unique Local adressen zijn vergelijkbaar met IPv4 private space adressen. Deze kunnen voor testdoeleinden worden gebruikt in Prove of Concepts (POC). Het wordt niet aangeraden om deze in een operationele omgeving te gebruiken omdat we dan weer gebruik moeten maken van NAT, met al haar nadelen zoals hiervoor beschreven. Global adressen zijn publieke adressen, welke worden aangevraagd bij de lokale ISP. Het advies is in elke organisatie enkel te werken met Global adressen.
Toekennen van IPv6 adressen Naast het toekennen van vaste adressen kunnen devices op twee manieren automatisch worden voorzien van een IPv6 adres. · StateLess Address AutoConfiguration (SLAAC) · Dynamic Host Configuration Protocol (DHCP)
Figuur 7 StateLess Address AutoConfiguration2
2
Het EUI-64 adres, opgebouwd door het invoegen van "FFFE" in het MAC adres.
StateLess Address AutoConfiguration (RFC4862) wordt gebruikt om een device automatisch ‘plug and play’ van een IP adres te voorzien. Zowel link-local adressen als global adressen kunnen via SLAAC worden gegenereerd. Een ‘Duplicate Address Detection’ procedure zorgt er voor dat er geen dubbele adressen worden uitgegeven. SLAAC is goed toepasbaar voor service providers van mobiele communicatie, omdat het een geringe beheerinspanning vergt. De meeste organisaties zullen net zoals men dat in IPv4 gewend is, gebruik willen maken van DHCP. DHCPv6 is standaard aanwezig in Windows Server 2008 en biedt alle voordelen van DHCPv4, zoals de mogelijkheid om zelf te kunnen bepalen welke reeks aan een bepaald netwerksegment (VLAN) wordt toegekend, het uitsluiten van adressen binnen de reeks, het maken van reserveringen etc. Implementatie opties Onderstaande figuur toont de drie implementatie opties, zoals deze er zijn: Dual Stack, Tunnel Services en Translatie Services.
Figuur 8 Implementatie opties
Onderstaand citaat van Shannon McFarland, Principal Engineer bij Cisco Systems, IPv6 goeroe en vaste spreker tijdens Cisco Live, geeft aan dat het advies is om alleen als het echt niet anders kan gebruik te maken van tunnel en translatie technieken en dus te kiezen voor een Dual Stack implementatie. “Dual Stack where you can –Tunnel where you must –Translate only when you have a gun to your head…” In de Dual Stack implementatie draaien we gelijktijdig IPv4 naast IPv6. Dit is vergelijkbaar met Novell Netware implementaties, waarbij werkstations naast de IP protocol stack ook beschikken over een Novell IPX protocol stack. Wanneer men in kort tijdsbestek (quick and dirty) twee IPv6 netwerken over een IPv4 provider wenst te koppelen biedt tunneling een oplossing, maar deze heeft altijd een tijdelijk karakter. IPv6 nummerplan Een goed doordacht IP nummerplan biedt enorm veel beheervoordelen. Innervate adviseert in de regel als IPv4 nummerplan de 10.0.0.0/8 (IPv4) private space adresreeks te gebruiken. Deze reeks biedt in vrijwel elke organisatie voldoende ruimte en flexibiliteit. Hierbij hanteren we als uitgangspunt dat het tweede octet de gebruikssoort (lees VPN/VLAN) weergeeft en het derde octet de locatie (of SER). Het beheervoordeel is dan optimaal. Het grote aantal bits in een IPv6-adres kan IPv6 subnetting zoals hierboven voor IPv4 beschreven, intimiderend maken. Subnetting met IPv6 is echter niet drastisch anders dan met IPv4 subnetting. Een IPv4 adres omvat 32 bits, een IPv6 adres 128 bits. Uitgangspunt van het IPv6 nummerplan is de door de ISP toegekende prefix. In onderstaand voorbeeld is de volgende prefix aan een organisatie toegekend: 3b13:afe:147::/48.
Global Unicast Identifier Example
Network Portion
Interface ID
gggg:gggg:gggg: ssss:xxxx:xxxx:xxxx:xxxx Global Routing Prefix n <= 48 bits
Subnet ID 64 – n bits
Host
3b13:0afe:0147: 00A1:0000:0000:0000:000A
3b13:afe:147:
A1::A
Full Format
Abbreviated Format
Figuur 9 Weergave IPv6 adres
Het lichtblauwe deel (het vierde HEXtet) in de figuur kan worden gebruikt om de overige subnetten aan de organisatie toe te wijzen. Het is gebruikelijk te werken met /64 subnets ( /127 voor Point-to-point links en /128 voor loopback adressen). Net zoals in IPv4 gaan we het vierde HEXtet opdelen in gebruikssoorten (G), locaties (L) en subnetten (S). Elke Hexadecimale notatie vertegenwoordigt 4 bits. Dit betekent dat we 24 = 16 waarden kunnen onderscheiden, weer te geven met de waarden 0,1,2,3,4,5,6,7,8,9,A,B,C,D,E,F. In het IPv4 adres vertegenwoordigt het tweede octet de gebruikssoort en het derde octet de locatie. In de regel hebben we ruim voldoende aan 16 gebruikssoorten (VPN’s) en 256 locaties (SER’s). Met 3b13:afe:147:GLLS::/64 kunnen we onderscheid maken in 16 Gebruikssoorten, 256 Locaties en per locatie nog eens 16 Subnetten. Uiteraard kan dit schema worden aangepast indien er specifieke wensen zijn.
Conclusies Het is belangrijk om er bewust van te zijn dat IPv6 op korte termijn op de IT-agenda zal komen. Een goede voorbereiding dan wel de eerste stappen te nemen door minimaal ervoor te zorgen dat webservices die door uw organisatie geboden worden, voor iedereen via IPv6 te benaderen zijn. Vraag in dat kader nu reeds een IPv6 adresblok aan bij uw ISP. Innervate adviseert elke organisatie die haar netwerk moet vernieuwen, bijvoorbeeld omdat moderne toepassingen als IP telefonie en draadloos internet haar intrede doen, dit ‘Dual Stack’ te laten draaien voor zowel de netwerkapparatuur als de eindapparatuur, dus IPv6 naast IPv4. Dit is de eerste stap in de migratie naar IPv6, met als doel dat het netwerk naderhand niet meer gewijzigd hoeft te worden. Een assessment op applicatieniveau is noodzakelijk voordat gestart kan worden met het invoeren van IPv6 op servers en eindapparatuur zoals werkstations en printers. Voor alle vendors dient onderzocht te worden of features in eerdere software releases ook aanwezig zijn in de software die IPv6 gereed is. Indien een organisatie gereed is om over te stappen naar IPv6, is het aan te raden om op elk eindpunt een publiek IPv6 adres te gebruiken. Dit wordt de zogenaamde Global-Only mode genoemd. Tenslotte wordt geadviseerd om gebruik te maken van een testomgeving waarin alle applicaties worden getest. Deze testomgeving dient alle aanwezige (netwerk) elementen te bevatten zoals routers, switches, firewall, werkstations, Operating System, DNS, DHCP, servers en applicaties. De consultants van Innervate willen u graag ondersteunen bij de stappen om te komen tot een succesvolle IPv6 invulling. Ook bieden wij regelmatig kennissessies aan omtrent interessante onderwerpen waaronder Ipv6. Voor aanmelden en/of meer informatie neem contact op met Marry van Winden via: mailto:
[email protected]