KPN Lokale Overheid IPv6
Whitepaper
Datum Auteur Versie Status
: 26 juni 2013 : Jan Lammerts; Architect KPN LO : 1.5 : Draft
KPN LO Maanplein 110 2516 CK Den Haag T 070 - 343 69 00 E
[email protected] I www.kpnlokaleoverheid.nl
Inhoudsopgave 1
2 3
4
Inleiding
3
1.1
oelgroep van dit document
3
1.2
Doel van het document
3
1.3
Leeswijzer
3
1.4
Management samenvatting
4
Achtergronden en uitgangspunten
5
Wat zijn de gevolgen van de migratie naar IPv6?
7
3.1
Wat is IPv6?
7
3.2
Wie houdt zich bezig met IPv6 adressen?
8
3.3
Wanneer kan een organisatie met IPv6 geconfronteerd worden?
8
3.4
Hoe worden IPv4 naar IPv6 adressen gemigreerd?
10
3.5
Wat kan een organisatie doen tijdens fase 0: voorbereiding?
10
3.6
Wat kan uw organisatie doen tijdens fase 3: Leveranciers?
12
3.7
Wat kan uw organisatie doen tijdens fase 1: Internet?
13
3.8
Wat kan uw organisatie doen tijdens fase 2: Gemnet?
13
3.9
Wat kan uw organisatie doen tijdens fase 4: Intern?
14
3.10
Hoe lang gaat de migratie periode duren?
15
3.11
Wat kan uw organisatie doen tijdens fase 5: afronding?
15
3.12
Welke IPv6 adressen kan uw organisatie intern implementeren?
16
3.13
Wanneer kunt u Gemnet IPv6 adressen in uw interne netwerk gebruiken?
17
3.14
Wat zijn de voorwaarden voor een PI IPv6 adres blok?
18
3.15
Hoe komt uw organisatie aan unieke IPv6 adressen?
19
3.16
Hoe kunt controleren op, welke wie de eigenaar is IP adressen?
19
3.17
Hoe maakt u een IPv6 adres plan?
19
3.18
Pas-toe of Leg-uit?
20
3.19
Waarom gebruikt KPN LO PA adressen voor het Gemnet netwerk?
20
Diversen
23
4.1
Contact
23
4.2
Geef een mening
23
Afkortingen en Begrippen
Whitepaper IPv6 versie 1-5 26-06-2013
24
2 van 24
1
Inleiding
ICT ontwikkelingen binnen de overheid volgen elkaar in een hoog tempo op. Onder de noemer van ‘e-overheid’ is de overheid al enige jaren bezig de ICT dienstverlening naar burgers en bedrijven te optimaliseren en te verbeteren. Diverse organisaties als Logius, KING en ICTU geven via verschillende referenties als NORA en GEMMA en via diverse programma’s als ‘de overheid geeft antwoord’ invulling aan deze uitdagende taak. KPN Lokale Overheid (LO) vertegenwoordigt via het Gemnet netwerk in totaal 408 gemeenten (2013) en in totaal 550 aangesloten overheids- en maatschappelijke organisaties. Om te borgen dat al deze partijen ook in de toekomst met elkaar kunnen samenwerken is een aantal uitgangspunten vastgesteld. De genoemde ontwikkelingen binnen de gemeenten, overheids- en maatschappelijke organisaties op het gebied van ICT hebben ook invloed op de wijze waarop aangesloten organisaties kunnen en willen communiceren. KPN LO overlegt continue met de vertegenwoordigers binnen de overheid en volgt deze ontwikkelingen. Dit om de noodzakelijke functionaliteit en mogelijkheden van het Gemnet netwerk aan te laten sluiten bij de behoefte van deze partijen. Een van deze ontwikkelingen is de intrede van IPv6. De Internet operators kunnen geen nieuwe IPv4 blokken verkrijgen voor nieuwe aansluitingen. Hierdoor zal iedereen vroeg of laat worden geconfronteerd met de nieuwe IPv6 voorschriften, procedures en technieken. In dit document wordt een beschrijving gegeven van de algemene ontwikkelingen op het gebied van IPv6 en wordt de visie en het beleid van KPN LO op dit onderwerp weergegeven.
1.1
Doelgroep van dit document
De doelgroep van dit document zijn de functioneel verantwoordelijke personen zoals I&A coördinatoren, ICT beheerders, Architecten en Adviseurs die binnen en namens overheden acteren.
1.2 Doel van het document Dit document heeft als doel de genoemde doelgroep te informeren over de uitgangspunten, mogelijkheden en ontwikkelingen op het gebied van het IPv6 vraagstuk in het algemeen en in relatie tot de KPN LO dienstverlening.
1.3 Leeswijzer • • • •
Hoofdstuk 2: Achtergronden en uitgangspunten Hoofdstuk 3: Wat zijn de gevolgen van de migratie naar IPv6? Hoofdstuk 4: Contact- en andere relevante informatie Bijlage: Afkortingen en Begrippen
Whitepaper IPv6 versie 1-5 26-06-2013
3 van 24
1.4 Management samenvatting Samenwerken via netwerken vereist vanuit het oogpunt van eenvoud, beheerbaarheid en veiligheid en continuïteit, dat er richtlijnen zijn waarmee aangesloten organisaties elkaar moeiteloos kunnen vinden. In dit document worden ontwikkelingen, uitgangspunten, achtergronden en de KPN LO vertaling op de IPv6 ontwikkelingen gegeven. Deze informatie kan uw organisatie gebruiken om de lokale ICT infrastructuur in stand te houden en aan te passen aan de toekomstige veranderingen vanuit het Internet en Gemnet netwerk. In deze IPv6 Whitepaper wordt een toelichting gegeven hoe KPN LO invulling geeft aan een transparante, overheidsbrede infrastructuur, die gebaseerd is op IPv6 standaarden. Op die manier ondersteunt KPN LO de continuïteit van de informatie uitwisseling tussen overheidspartijen. In deze IPv6 Whitepaper wordt getracht uw organisatie meer inzicht te geven in de mogelijkheden om te migreren naar IPv6. In dit document wordt antwoord gegeven op de volgende vragen: • Wat is IPv6? • Wie houdt zich bezig met IPv6? • Wanneer kan een organisatie met IPv6 geconfronteerd worden? • Hoe worden IPv4 naar IPv6 adressen gemigreerd? • Hoe kan u organisatie in verschillende fasen omgaan met IPv6? • Hoe kan uw organisatie IPv6 adressen verkrijgen? KPN LO ondersteunt ten behoeve van haar eigen ICT dienstverlening een gefaseerde aanpak op basis van ‘Dual Stack’, zodat aangesloten organisaties in hun eigen tempo kunnen migreren van IPv4 naar IPv6.
Whitepaper IPv6 versie 1-5 26-06-2013
4 van 24
2
Achtergronden en uitgangspunten
De uitgifte van de huidige IPv4-adressen door Internet providers voor onderlinge datacommunicatie tussen op Internet aangesloten computersystemen, bereikt zijn einde door de continue groei van het Internet. In de nabije toekomst zullen er daarom wereldwijd geen nieuwe publieke IPv4 adressen meer beschikbaar zijn. De huidige IPv4 adresruimte (0.0.0.0 t/m 255.255.255.255) is gebaseerd op 32 bits adressen, die in vier groepen1 van 0 t/m 255 genoteerd worden met een punt als scheidingsteken. Het publieke IPv4 uitgifte proces waardoor iedereen in de wereld een uniek IP adres krijgt, wordt door IANA en de Regional Internet Registry (RIR) uitgevoerd. RIPE NCC is de Europese RIR en is verantwoordelijk voor het uitgifte proces aan de Europese LIR’s (Local Internet Registry). Alle Internet Operators in Europa en de meeste ISP’s zijn LIR (Lid van RIPE om de RIPE organisatie in stand te houden) en alleen LIR’s zijn bevoegd om IP adressen bij RIPE aan te vragen. De vraag naar IPv4 adressen is groter dan er adressen beschikbaar zijn en op een gegeven moment zullen de laatste IPv4 zijn uitgegeven (zie http://www.ipv6-taskforce.nl). Doordat de behoefte aan nieuwe IP adressen nog steeds toeneemt (doordat het aantal aangesloten gebruikers op Internet nog steeds groeit) heeft de Internet Engineering Task Force (www.ietf.org) een nieuwe IPstandaard (IPv6) gedefinieerd op basis van IPv6 adressen. Met deze nieuwe IPv6 adressen standaard kan aan de groei van het gebruik van publieke IP adressen invulling worden gegeven. De invoering van IPv6 naast of in plaats van IPv4 kan op verschillende manieren. De IPv6 standaard is al in 1995 gedefinieerd door de Internet Engineering Task Force met de RFC1883. Dit protocol is al meer 10 jaar in gebruik in landen als Japan en China, waar dit IPv6 protocol direct is gebruikt bij de uitrol van het Internet in die landen. Op basis van deze ervaringen is het IPv6 protocol aangepast tot een robuust mechanisme welke in de RFC 2460, RFC 5095 en RFC 5722 beschreven staat. De invoering van IPv6 adressen en de uitfasering van IPv4 adressen vraagt om tijdelijk ondersteuning van beide standaarden. Omdat het Internet IPv4 en IPv6 tijdens de migratie voor een lange periode moet ondersteunen2 heeft de Engineering Task Force de volgende drie methodieken ontwikkeld: • Gateway (een functie of apparaat, dat IPv4 en IPv6 vertaling uitvoert). • Tunneling (IPv6 verkeer wordt over een IPv4 netwerk getransporteerd en/of andersom) • Dual Stack (Een aansluiting die op basis van IPv4 en IPv6 functioneert) Deze methodieken worden gebruikt om alle ICT infrastructuren over de gehele wereld geleidelijk van IPv4 naar IPv6 te migreren. Deze technieken zijn al uitgebreid op het Internet uitgetest door verschillende gebruikers groepen, die hun bevinden ook op het Internet gepubliceerd hebben, zoals de Europese IPv6 task force. De Europese Internet Operators (ISP’s) worden als eerste geconfronteerd met het gebrek aan IPv4 adressen. Zij zullen op enig moment geen voorraad IPv4 adressen meer hebben en nieuwe aansluitingen alleen op basis van IPv6 kunnen realiseren. De verwachting is dat de Internet Operators hun dienstverlening op basis van ‘Dual Stack’ aan hun klanten aanbieden. Op 3 februari 2011 is door IANA de laatste IPv4 adres reeks aan RIPE toegewezen en de uitgifte van de laatste IPv4 adressen aan LIR’s is begonnen. In september 2012 heeft RIPE haar laatste regulieren 1 2
Vier groepen van 8 bits is dus 28 = 256 combinaties, dus van 0 t/m 255 in het decimale stelsel. Iedereen op het Internet moet met elkaar kunnen communiceren
Whitepaper IPv6 versie 1-5 26-06-2013
5 van 24
IPv4 block aan LIR uitgedeeld voor nieuwe Internet aansluitingen. De meeste operators zijn nu bezig om Dual stack internet aansluitingen in hun portfolio beschikbaar te maken.
Whitepaper IPv6 versie 1-5 26-06-2013
6 van 24
Wat zijn de gevolgen van de migratie naar IPv6?
3
De introductie van IPv6 heeft ingrijpende gevolgen voor de ICT infrastructuur van uw organisatie. Deze gevolgen worden in dit hoofdstuk behandeld aan de hand van de beantwoording van enkele vragen.
3.1
Wat is IPv6?
Het IPv6 adres is een 128 bits adres, dat in acht groepen van 16 bits genoteerd wordt in hexadecimale3 notatie met een dubbele punt als scheidingsteken. Notatie kan dus als volgt zijn: • 2a02:2b50:a000:37:ab15:8fc:b:ffff Uniek IPv6 adres • 2a02:2b50:a000::ffff “ • 2a02:2b50:a000::/48 IPv6 reeks De opzet van IPv6 op basis van bovenstaand voorbeeld geeft de beschikking over een enorm aantal IP adressen, namelijk 2 tot de 128ste macht, of 340.282.366.920.938.463.463.374.607.431.768.211.456 om precies te zijn. Voorbeeld is: 2a02:2b50:a000::ffff waarbij tussen de twee keer een dubbele punt met nullen moet worden opgevuld tot een 128 bits IPv6 adres. Op basis van de genoemde hoeveelheid adressen kan ieder device een uniek IPv6 adres krijgen. Het gevolg hiervan ten opzichte van de huidige IPv4 adressering is ondermeer dat het gebruik van private en publieke adressen, zoals in de RFC 1918 beschreven zijn, niet meer noodzakelijk is en dat maatregelen als NAT (Network Adres Translation) tussen twee IPv6 adressen hierdoor niet meer nodig is. Omdat IPv6 tevens een nieuw netwerk protocol is met verbeteringen ten opzichte van het IPv4 protocol, is door de Internet Engineering Task Force een groot aantal protocollen aangepast zoals, ICMP, DNS, DHCP, IPSec, etc. Deze aanpassingen zijn er op gericht, dat de gebruikte mechanismen4 op het Internet op basis van IPv4 adressen en IPv6 kunnen blijven functioneren.
3 4
Hexadecimale notatie is een symbool reeks voor 16 combinatie te noteren. Symbolen zijn 0 t/m 9 plus A t/m F waarbij A= 10 en F=15. Technieken die in de verschillende communicatie protocollen verwerkt zijn.
Whitepaper IPv6 versie 1-5 26-06-2013
7 van 24
3.2
Wie houdt zich bezig met IPv6 adressen?
Diverse werkgroepen houden zich bezig met de verschillende aspecten van de IPv6 migratie: • Internet Engineering Task Force (www.ietf.org) • Internet Assigned Numbers Authority (www.iana.org) • RIPE NCC (http://www.ripe.net/rs/ipv6/index.html en http://www.ripe.net/info/faq/IPv6deployment.html#4) • Ministerie van Economische Zaken Op 27 april 2005 is, in opdracht van het ministerie van Economische Zaken, de “Nederlandse Task Force IPv6” opgericht. (http://www.ipv6-taskforce.nl) • Forum Standaardisatie (Logius: Min BZ): Expertadvies IPv6: http://www.open-standaarden.nl/fileadmin/os/documenten/Expertadvies_IPv6.pdf https://wiki.noiv.nl/xwiki/bin/view/OpenStandaarden/IPv4+IPv6 • Internationaal IPv6 Forum http://www.ipv6forum.com/ • Europese Unie heeft de “Europese IPv6 Task Force” opgericht (www.ipv6tf.org). • NIST heeft een goede IPv6 Deployment Guide ontwikkeld (http://csrc.nist.gov/publications/PubsSPs.html) Document SP800-119 • Handleiding om een IPv6 nummerplan te maken http://www.surfnet.nl/Documents/handleiding_IPv6_nummerplan_v10.pdf • IPv6 ready Logo program (https://www.ipv6ready.org/)
3.3 •
• • • •
Wanneer kan een organisatie met IPv6 geconfronteerd worden? De Internet Operators gaan nieuwe (Internet) aansluitingen op basis van Dual Stack (op IPv4 en IPv6) leveren en in een later stadium alleen op basis van IPv6. Tevens kan uw organisatie benaderd worden door uw Internet operator om uw Internet aansluiting Dual Stack te maken. Uw organisatie kan dit natuurlijk ook zelf aanvragen. De leveranciers van ICT dienstverlening gaan hun diensten op basis van Dual Stack leveren en in een later stadium5 alleen op basis van IPv6 leveren. Als een communicatie partner initiatief neemt om op basis van IPv6 te gaan communiceren. Op basis van richtlijnen van de overheid (Min van EZ, Europese Unie, etc.). Als aanbieder van diensten op het Internet.
Uiteindelijk zal iedereen op basis van nieuwe IPv6 adressen gaan communiceren en gebruik gaan maken van de IPv6 standaard en de bijbehorende protocollen. In eerste instantie zal naast de IPv4 gebruikers, een groep gebruikers op het Internet met Dual Stack ontstaan. Na verloop van tijd zal een derde gebruikersgroep ontstaan die alleen IPv6 kan communiceren. Het moment dat deze derde gebruikersgroep ontstaat, is afhankelijk van de IPv4 voorraad bij Internet Operators.(zie Figuur 1).
5
Met de term later stadium wordt bedoeld een tijdstip in de toekomst, waar niemand nog inzicht in heeft, maar wel gaat gebeuren.
Whitepaper IPv6 versie 1-5 26-06-2013
8 van 24
Figuur 1, Ontwikkelingen in de tijd
De volgende diensten van KPN Internet worden Dual Stack gemaakt in de volgende periode: • Corporate Internet van KPN International is nu beschikbaar. • Corporate Internet van KPN nationaal is begin 2014 beschikbaar voor nieuwe aansluitingen en in 2014 voor bestaande aansluitingen op aanvraag. De volgende Toegevoegde Waarde Diensten van KPN LO worden Dual Stack gemaakt in de volgende periode: • DNS voor domein registratie, beschikbaar in Q1-Q2 2014. • BNB (Firewall op locatie), is nu geschikt voor Dual Stack. • DNS dienst, beschikbaar in Q1-Q2 2014 • Veilige Web Ingang (Reverse Proxy dienst), beschikbaar in Q1-Q2 2014 • Toegang op afstand (voorheen SSL/Telewerkendienst), beschikbaar in Q1-Q2 2014 • Extra Beveiligde Internet toegang, beschikbaar in Q1-Q2 2014 • Gemnet netwerk, beschikbaar eind 2014 • Beveiligde Internet toegang, beschikbaar begin 2015 • Toegevoegde Waarde diensten op het Gemnet netwerk worden vanaf begin 2015 Dualstack gemaakt Van KPN LO diensten op het Internet, die nog niet benoemd zijn, wordt in een later stadium aangegeven wanneer deze diensten Duals Stack worden gemaakt.
Whitepaper IPv6 versie 1-5 26-06-2013
9 van 24
3.4
Hoe worden IPv4 naar IPv6 adressen gemigreerd?
De introductie van IPv6 vindt geleidelijk en in eerste instantie op het internet plaats. De verwachting is dat daarna besloten netwerken (bijvoorbeeld het Gemnet netwerk) hun aansluitingen gaan migreren van IPv4 naar IPv6. KPN LO adviseert haar klanten om een gefaseerde aanpak te hanteren op basis van Dual Stack, met de volgende voordelen: • Werkzaamheden en kosten kunnen gespreid worden. • Uw organisatie kan anticiperen op wijzigende situaties. • Uw organisatie kan zich gedegen voorbereiden. • Risico’s m.b.t. continuïteit tijdens wijzigingen in de ICT infrastructuur blijven beperkt. Onder een gefaseerde aanpak op basis van Dual Stack wordt het volgende verstaan: • Geleidelijk wordt de ICT infrastructuur die met externe partijen communiceert omgebouwd, zodat externe partijen op basis van IPv4 en IPv6 kunnen communiceren en iedere organisatie kan blijven communiceren met de buitenwereld. • Nadat de communicatie met de buitenwereld geborgd is, kan iedere organisatie zijn interne ICT infrastructuur van IPv4 naar IPv6 migreren. Een organisatie bepaalt zelf wanneer ze haar interne ICT infrastructuur migreert. Met het begrip ICT infrastructuur worden elementen bedoeld zoals, Routers, Firewall, DNS, DHCP, mailservers, proxy’s, Operating Systemen, applicaties, Servers, werkplekken, printers, etc., kortom alle componenten die de informatie huishouding van uw organisatie verzorgen. KPN LO adviseert u om bij de migratie van IPv4 naar IPv6 de volgende fasering te onderkennen: • Fase 0: Voorbereiding • Fase 1: Internet • Fase 2: Gemnet netwerk • Fase 3: Leveranciers, netwerken van derden • Fase 4: Intern • Fase 5: Afronding
3.5
Wat kan een organisatie doen tijdens fase 0: voorbereiding?
KPN LO adviseert de volgende zaken te regelen in uw organisatie: 1. Stel een beleidsplan, een nieuw ontwerp van uw ICT architectuur en implementatieplan op voor de introductie van IPv6, waarbij continuïteit, beveiliging en bereikbaarheid als uitgangspunt dienen. Het beleidsplan en implementatieplan dienen te voldoen aan de volgende uitgangspunten: o
Alle nieuwe hardware en software producten, die uw organisatie aanschaft dienen volledig IPv4 en IPv6 te ondersteunen.
Whitepaper IPv6 versie 1-5 26-06-2013
10 van 24
o
o o o o o o
o
Training van het ICT personeel op IPv6, zodat zij de juiste IPv6 kennis hebben voor het begeleiden, wijzigen en in stand houden van ICT infrastructuur van uw organisatie tijdens de migratie van IPv4 naar IPv6. Inventariseer of de huidige hardware en software IPv6 volledig ondersteunt. Voor componenten die geen IPv6 ondersteunen, dient onderzocht te worden hoe deze geschikt kunnen worden gemaakt voor IPv6. De juiste keuze van toe te passen IPv6 adressen in uw ICT infrastructuur. Reparaties kunnen grote gevolgen hebben (zie paragraaf 3.9). Reserveer financiële middelen en mensen voor het uitvoeren van de noodzakelijke voorbereidingen en de migratiewerkzaamheden over de periode van een aantal jaren. Informeer bij al uw leveranciers en partners wat hun plannen zijn m.b.t. de IPv6 ondersteuning en ga na of deze aansluiten bij de plannen van uw eigen organisatie. Maak een ontwerp voor uw ICT infrastructuur, die Dual Stack ondersteunt op de Internet ontsluiting. In een later stadium dient ook Dual Stack op de Gemnet aansluiting ondersteund te worden en indien van toepassing alle andere netwerk aansluitingen met externe partijen. Zorg dat alle netwerk beveiligingsaspecten goed ingevuld zijn in uw ontwerp, (zie Guidelines for the Secure Deployment of IPv6 van NIST). Voorbeelden uit deze IPv6 Deployment guide zijn: Misconfiguratie van RA en RS parameters in het Neighbour Discovery (ND) protocol in verschillende nodes van een IPv6 netwerk, compromitteren de beveiliging van het netwerk en kunnen leiden tot DoS. In IPv6 routers, Firewall en eindpunten van IPsec tunnels dienen multicast scope boundaries gedefinieerd te zijn, zodat MLD pakketen niet routeerbaar zijn. Aanvallers maken gebruik van bekende multicast adressen om verborgen resource te vinden in routers of specifieke servers. Type of Service en Flow service zijn niet beschermd in IPv6 Header, zodat diefstal van service mogelijk is in QoS
2. Zorg dat uw organisatie op de hoogte blijft van de ontwikkelingen op het gebied van IPv6. Bij het maken van een nieuw architectuur ontwerp en voor uw ICT infrastructuur kunt u het beste rekening houden met de volgende zaken: o NAT en PAT is mogelijk tussen twee IPv4 adressen. o NAPT en NAT-PT is mogelijk tussen IPv4 en IPv6 adressen. o IP vertaling tussen twee IPv6 adressen is niet mogelijk zoals bedoeld met NAT, PAT, NAPT en NAT-PT technieken. Tussen een Unique Local Unicast adres en een Global Unicast (PI of PA) kan één op één vertaling plaats vinden (niet ieder apparaat ondersteunt één op één vertaling). Voorbeeld: fc0e:38:ff:257c:3f:ae7:287:7 2a02:2b50:a000:257c:3f:ae7:287:7 • Local Unicast: fc0e:38:ff:: • Gemnet reeks: 2a02:2b50:a000:: • Subnet: 257c: • Device: 3f:ae7:287:7 o KPN LO adviseert ook geen één op één vertaling te gebruiken tussen Unique Local Unicast adres en Global Unicast adressen, omdat er steeds meer protocollen komen die niet om kunnen gaan met vertalingen van IP adressen. o DNS diensten moeten AAAA records ondersteunen (DNSv6) en DHCP moet IPv6 ondersteunen, alvorens IPv6 verkeer ondersteund kan worden. o Waar wordt statische routering gebruikt, waar wordt DHCPv6 of/en Neighbour Discovery gebruikt.
Whitepaper IPv6 versie 1-5 26-06-2013
11 van 24
o
Bepaal het scheidingvlak in uw totale ICT infrastructuur tussen de domeinen die in de verschillende fases een rol spelen, zodat u in fase 1, fase 2 en fase 4 per domein Dual Stack kunt implementeren (zie Figuur 2).
Figuur 2 Fasering
o
o
o
o
3.6
De ICT infrastructuur voor fase 1 (Internet domein), is dat deel van uw ICT infrastructuur waar IP sessies vanuit het Internet worden getermineerd of waaruit IP sessies naar het Internet worden opgezet. In dit deel van de infrastructuur kunt u alleen IP adressen implementeren, die vanaf het Internet naar u toe worden gerouteerd en met u afgesproken is (PA of PI). De ICT infrastructuur voor fase 2 (Gemnet domein), is dat deel van de infrastructuur waar IP sessies vanuit het Gemnet netwerk worden gedetermineerd of waaruit IP sessies naar het Gemnet netwerk worden opgezet. In dit deel van de infrastructuur kunt u alleen IP adressen implementeren, die vanaf het Gemnet netwerk naar u toe worden gerouteerd en door KPN LO aan uw organisatie toegewezen is (Gemnet PA adressen). De ICT infrastructuur voor fase 4 (Intern domein), is dat deel van de infrastructuur waar IP sessies alleen binnen uw ICT infrastructuur blijven. In dit deel van de infrastructuur heeft u een keuze (zie paragraaf 3.12). Naast routers kan routering ook in een server (host), firewalls, mail relay servers, proxy etc. aangebracht worden. Door deze devices van meerdere ethernet poorten te voorzien, welke aan verschillende LAN segmenten (Internet domein, Gemnet domein en Intern domein) zijn gekoppeld, kunnen de IP spelregels van verschillende aangesloten externe netwerken gerespecteerd worden. Hiermee wordt tevens een andere vorm van IP vertaling tussen twee netwerken ondersteund.
Wat kan uw organisatie doen tijdens fase 3: Leveranciers?
Tijdens de voorbereidingsfase heeft u een inventarisatie van alle ICT leveranciers gemaakt en plaatst u iedere Leverancier in een prioriteitscategorie afhankelijk van de Dual Stack uitrol in uw planning (zie Figuur 2). Doordat u in uw totale ICT infrastructuur scheidingsvlakken hebt gedefinieerd tussen de Internet infrastructuur, de Gemnet infrastructuur en interne infrastructuur, kunt u de prioriteit bepalen tegenover al uw leveranciers. Neem op tijd contact op met uw leverancier om hun plannen voor ondersteuning van Dual Stack door te nemen, zodat uw organisatie mee kan komen in de gefaseerde migratie. Hierbij hebt u een
Whitepaper IPv6 versie 1-5 26-06-2013
12 van 24
eigen verantwoordelijkheid voor het halen en brengen van informatie met al uw ICT leveranciers en partners. Naast het Gemnet netwerk kan het zo zijn, dat u gebruikt maakt van andere besloten netwerken. Ook met deze netwerk operators moet u afspraken maken.
3.7
Wat kan uw organisatie doen tijdens fase 1: Internet?
In 2011 beginnen Internet Operators alle nieuwe aansluitingen naar het Internet te voorzien van IPv6 en IPv4 (Dual Stack). U kunt ook uw bestaande Internet aansluiting Dual Stack laten maken door uw Internet leverancier. Indicatie is dat Dual Stack voor nieuwe verbindingen begin 2014 wordt geleverd.
Advies:
Ter voorkoming dat uw organisatie toepassingen (proxy voor surfverkeer, e-mail, DNS, etc.) op het Internet niet kan bereiken of andere partijen uw website niet kunnen bereiken, adviseert KPN LO uw Internet infrastructuur geschikt te maken voor Dual Stack (IPv4 en IPv6).
Uw interne en Gemnet infrastructuur kunnen dan nog op IPv4 blijven functioneren, zodat u zich niet op een IPv4 “eiland” plaatst tegenover Internet. Immers de meeste partijen functioneren nog op basis van IPv4, maar er ontstaat een verschuiving van IPv4 verkeer naar IPv6 verkeer.
3.8
Wat kan uw organisatie doen tijdens fase 2: Gemnet netwerk?
KPN LO maakt haar Gemnet netwerk en ICT dienstverlening geschikt voor een Dual Stack benadering. Zo kunnen op het Gemnet netwerk ook een Dual Stack benadering gebruiken om een migratie van IPv4 naar IPv6 te ondersteunen. Het Gemnet netwerk en de dienstverlening zal enkele jaren Dual Stack ondersteunen, zodat alle partijen op het Gemnet netwerk geleidelijk hun diensten kunnen migreren van IPv4 naar IPv6. KPN LO kondigt ruim van te voren aan wanneer het Gemnet netwerk Dual Stack gereed zal zijn. Immers niet alle partijen op het Gemnet netwerk kunnen hun diensten gelijktijdig geschikt maken voor IPv4 en IPv6. KPN LO is LIR en heeft een groot blok IPv6 adressen bij RIPE aangevraagd. Zo wordt iedere KPN LO klant voorzien van een groot blok IPv6 adressen. IPv6 is zo ontworpen dat deze adresruimte voor de afzienbare toekomst zeer ruim voldoende is. Advies:
Ter voorkoming dat systemen van uw organisatie, die via het Gemnet netwerk met andere overheidspartijen communiceren, in de toekomst niet bereikbaar zijn, adviseert
Whitepaper IPv6 versie 1-5 26-06-2013
13 van 24
KPN LO al uw diensten en ICT infrastructuur naar het Gemnet netwerk geschikt te maken voor Dual Stack. KPN LO zal in haar netwerk een geleidelijke migratie van IPv4 naar IPv6 ondersteunen. Leidende ketenpartners in de overheid kunnen dan ook invulling gaan geven aan hun IPv6 migraties voor hun dienstverlening. Uw interne netwerk blijft dan nog op IPv4 functioneren, zodat u zich niet op een IPv6 of IPv4 eiland plaatst. Immers de meeste partijen functioneren nog op basis van IPv4, maar er ontstaat een verschuiving van IPv4 naar IPv6 verkeer. Nadat het Gemnet netwerk geschikt gemaakt is voor Dual Stack, maakt KPN LO al haar andere diensten op het Gemnet netwerk geleidelijk geschikt voor IPv6 naast IPv4. Zo kunnen partijen die aangesloten zijn op het Gemnet netwerk geleidelijk en in hun eigen tempo migreren van IPv4 naar IPv6.
3.9
Wat kan uw organisatie doen tijdens fase 4: Intern?
KPN LO zal iedere aansluiting voorzien van een IPv6 blok. Hiermee kan aan de communicatie tussen overheden op basis van IPv6 invulling worden gegeven. Dit blok bevat ook voldoende IP adressen6 om binnen de gemeentelijke ICT infrastructuur te gebruiken. Daarnaast is er zelfs voldoende ruimte om alle systemen binnen het gemeentelijke domein te voorzien van een IPadres. Hierbij kunt u denken aan de volgende entiteiten: • Ieder telefoontoestel van uw organisatie. • Alle elektrische stopcontacten, schakelaars en energiesystemen in gebouwen van uw organisatie. • Alle brand detectoren in gebouwen van uw organisatie. • Alle verwarmingskranen in gebouwen van uw organisatie. • Iedere lantaarnpaal in de gemeente. • Ieder stoplicht of ander apparaat in verkeerssystemen en systemen voor toezicht in de gemeente. • Iedere vuilniscontainer van de gemeente • Ieder elektrisch apparaat in sluizen, bruggen of kunstwerken van de gemeente • Etc, etc. (wat uw organisatie tegenkomt aan toekomstige toepassingen) Het is de intentie van de Internet gemeenschap om aangesloten partijen zoveel unieke IPv6 adressen te geven, dat alle bovenstaande ontwikkelingen kunnen worden ingevuld, zonder tekort aan IPv6 adressen. Is het noodzakelijk om het interne netwerk van IPv6 te voorzien? Omdat eerst de infrastructuur met alle externe koppelingen (Internet, Gemnet, netwerken van derden) wordt gezekerd met Dual Stack, kunt u het moment dat u uw interne netwerk ombouwt van IPv4 naar IPv6 zelf bepalen.
6
Zie ook beantwoording op de vraag: Welke IPv6 adressen kan uw organisatie implementeren op uw interne netwerk?
Whitepaper IPv6 versie 1-5 26-06-2013
14 van 24
Er komt een moment, dat leveranciers van hardware en software diensten, hun toepassingen alleen op basis van IPv6 technologie gaan leveren. Wanneer dit moment komt is onbekend, omdat fabrikanten zich op dit moment op Dual Stack richten. Het moment dat u de Interne infrastructuur migreert van IPv4 naar IPv6 kan door de volgende parameters worden gedreven: • •
Doordat Leveranciers IPv4 niet meer ondersteunen. Doordat meer dan 50% van het IP verkeer op basis van IPv6 plaats vindt en dit steeds blijft groeien.
Advies:
3.10
Wanneer meer dan 50% van IP verkeer op de Gemnet aansluitingen op basis van IPv6 functioneert en op het Internet meer dan 50% van het IP verkeer van de aansluitingen ook op IPv6 functioneren, dan kan uw organisatie ook de interne infrastructuur ombouwen van IPv4 naar IPv6.
Hoe lang gaat de migratie periode duren?
Hoe lang de migratie periode duurt (waarbij Dual stack ondersteund moet worden) is nu niet te voorspellen. De migratie periode is afhankelijk van de volgende factoren: • • • • •
De planning van hardware en software leveranciers om hun producten geschikt te maken om gelijktijdig IPv4 en IPv6 te ondersteunen (Dual Stack). De planning van beheerders van netwerken om de ICT infrastructuur geschikt te maken om Dual Stack te ondersteunen. De planning van beheerders van netwerken om in hun interne netwerken en besloten netwerken IPv4 uit te faseren, om zo de eigen beheerlasten te reduceren. De planning van leveranciers van hardware en software om ondersteuning van IPv4 in producten en diensten uit te faseren. Dit wordt door leveranciers wellicht besloten om de kostprijs van producten te reduceren. Alle systemen op het internet en in besloten netwerken, die Dual Stack moeten worden gemaakt (routers, firewall, switches, operating systemen, applicaties met IP afhankelijkheid, etc.)
Organisaties die lang wachten met het voorbereiden van een beheersbare migratie van IPv4 naar IPv6, kunnen niet adequaat anticiperen op wijzigende situaties en ondervinden continuïteitsproblemen met extra beheerslasten, mogelijk bedrijfseconomische schade en imago schade.
3.11
Wat kan uw organisatie doen tijdens fase 5: afronding? Advies: • Wanneer u vaststelt dat al het Internet verkeer via uw Internet aansluiting op basis van IPv6 wordt afgehandeld, dan pas kunt u de IPv4 stack in uw Internet infrastructuur verwijderen.
Whitepaper IPv6 versie 1-5 26-06-2013
15 van 24
•
Wanneer KPN LO vaststelt dat al het IP verkeer in het Gemnet netwerk op basis van IPv6 wordt afgehandeld, dan wordt u door KPN LO geïnformeerd en kunt u de IPv4 stack in uw Gemnet infrastructuur verwijderen.
KPN LO zal daarna alle IPv4 infrastructuur op het Gemnet netwerk opheffen.
3.12 Welke IPv6 adressen kan uw organisatie intern implementeren? •
Op iedere Gemnet aansluiting wordt een /48 IPv6 reeks uitgereikt (PA adressen). Hiermee kan uw organisatie 65.536 keer een subnet (LAN) realiseren met een /64 IPv6 reeks (RIPE advies). Een subnet kan dus 18.446.744.073.709.600.000 IPv6 adressen ondersteunen.
•
Iedere Internet Operator (uw Internet leverancier) kan ook een /48 IPv6 reeks (PA adressen) bij de Internet aansluiting leveren.
•
U kunt ook via KPN LO of een andere organisatie die LIR is, een Provider Independent IPv6 adres blok (PI) aanvragen. Om een PI IPv6 blok te verkrijgen via een LIR bij RIPE moet men aan door RIPE opgelegde regels voldoen zie paragraaf 3.14.
•
Unique Local Unicast adres is een IPv6 adres blok, dat in het interne netwerk toegepast kan worden. Echter deze Unique Local Unicast adressen (FC00::/7) zijn niet routeerbaar op het Internet. Deze adressen kunnen met een klein aantal netwerk koppelingen worden toegepast, omdat het gebaseerd is op een random gegenereerd IPv6 blok. Bij het koppelen tussen twee netwerken is de kans klein dat twee organisaties dezelfde /48 Unique Local Unicast hebben.
Op basis van de bovenstaande mogelijkheden, kan uw organisatie het interne netwerk van IPv6 adressen voorzien. Onderstaande tabel kunt u gebruiken om bij het afwegen de juiste keuze te maken tussen de vier bovenstaande mogelijkheden: Mogelijkheden
Kans dat u moet gaan omnummeren
Kosten om IP blok te verkrijgen
Gemnet PA adressen van de
Wat is de kans dat u de Gemnet aansluiting
Geen extra kosten, IPv6 blok is
Gemnet aansluiting
opzegt of vervangt met een aansluiting van
onderdeel van de aansluiting.
een andere operator? PA adressen van de uw
Wat is de kans dat u Internet aansluiting
Geen extra kosten, IPv6 blok is meestal
Internet operator
opzegt of vervangt met een Internet
onderdeel van de Internet aansluiting.
aansluiting van een andere operator?
Provider Independent IPv6
U hoeft niet om te nummeren als u blijft
De additionele jaarlijkse kosten zijn
adres via een LIR
voldoen aan de RIPE voorwaarde.
gedefinieerd in paragraaf 3.14.
Als u Langdurig niet meer aan de RIPE voorwaarde voldoet, bent u PI IPv6 blok zeker kwijt. RIPE voorwaarden zij gedefinieerd in paragraaf 3.14. Unique Local Unicast adres
Wat is de kans dat uw intern netwerk
Whitepaper IPv6 versie 1-5 26-06-2013
Geen extra kosten IPv6 blok, omdat het
16 van 24
gekoppeld wordt met andere netwerken.
onafhankelijk is van iedere operator.
Daarnaast adviseert RIPE om per subnet (LAN) een /64 reeks toe te wijzen. Advies:
Ga niet direct het interne netwerk van uw organisatie van IPv6 adressen voorzien, met het eerste het beste IPv6 blok dat uw organisatie toegewezen krijgt. KPN LO adviseert uw organisatie om weloverwogen te bepalen welk IPv6 blok te implementeren in uw interne netwerk en goed de pro’s en contra’s te evalueren van bovenstaande mogelijkheden, voordat er een besluit wordt genomen. Het is niet direct noodzakelijk om uw interne netwerk van IPv6 adressen te voorzien, zolang uw organisatie de externe netwerk aansluitingen van Dual Stack voorziet.
Waarom dit advies? Indien uw organisatie een aansluiting opzegt bij een netwerk Operator moet uw organisatie de toegewezen Provider Aggregatable IPv6 adressen (PA) inleveren. Ook wanneer u uw RIPE abonnement voor Provider Independent IPv6 Adressen opzegt of niet meer voldoet aan de RIPE voorwaarde, bent u uw IPv6 blok kwijt. In alle drie de gevallen wordt het IPv6 blok na verloop van tijd aan een andere organisatie toegewezen. Uw organisatie wordt dan gedwongen tot omnummeren7 en dit kan een zeer kostbare zaak worden.
3.13
Wanneer kunt u Gemnet IPv6 adressen in uw interne netwerk gebruiken?
U kunt het beste Gemnet IPv6 PA adressen implementeren op uw interne netwerk, wanneer u tot de conclusie komt op dat de antwoorden op de volgende vragen op uw organisatie van toepassing is:
7 8
Mogelijkheden
Antwoord op vragen uit paragraaf 3.12
Gemnet PA adressen van de
De kans dat u de Gemnet aansluiting8 opzegt of vervangt met een andere
Gemnet aansluiting
aansluiting is Nihil.
PA adressen van de uw Internet
De kans dat u Internet aansluiting opzegt of vervangt met een Internet aansluiting
operator
van een andere operator is groot.
Provider Independent IPv6
De kans is zeer groot dat u niet blijvend aan de RIPE voorwaarde kunt voldoen uit
adres via een LIR
paragraaf 3.14.
Unique Local Unicast adres
De kans dat uw intern netwerk gekoppeld wordt met andere netwerken.
Omnummeren: zie afkortingen en Begrippen. Een Gemnet aansluiting achter een gemeenschappelijke aansluiting van een gezamenlijk rekencentrum is ook een Gemnet aansluiting met een eigen IPv6 adres reeks.
Whitepaper IPv6 versie 1-5 26-06-2013
17 van 24
3.14
Wat zijn de voorwaarden voor een PI IPv6 adres blok?
Voor het verkrijgen van een PI IPv6 block, zijn specifieke spelregels door RIPE opgesteld, waaraan alle LIR’s moeten voldoen: • Om een Provider Independent IPv6 adres blok (PI) te verkrijgen, kunt u dit alleen via een LIR verkrijgen, dat is een administratief proces waar jaarlijkse kosten aan verbonden zijn. Om van een Provider Independent IPv6 adres blok (PI) te verkrijgen, dient u in uw motivatie aan te geven waarom uw organisatie in aanmerking komt voor een PI blok. • Een motivatie naar RIPE voor de aanvraag van PI IPv6 adressen op basis van alleen omnummeren, wordt zeker door RIPE afgewezen. Uitsluitend dit motief gebruiken, wordt als een administratieve reden beschouwd, omdat men er vanuit gaat dat een organisatie vrijwillig van Internet operator wisselt. • Randvoorwaarde waaronder een LIR succesvol voor u een PI kan aanvragen, staat in de eerste zin uit paragraaf 7.1 van http://www.ripe.net/ripe/docs/ripe-545. Dit houdt in dat de LIR van u een duidelijke motivatie moet krijgen, waarom u een unieke routeringseis heeft voor een PI toewijzing. Indien de unieke routeringseis vervalt, is de LIR verplicht de PI reeks in te trekken • Een motivatie voor PI IPv6 adressen om een Dual Home bij twee verschillende Internet Operators t.b.v. de continuïteit wordt zeker goedgekeurd door RIPE. Bij de motivatie moet u aangeven bij welke twee Internet Operators u een Internet aansluiting afneemt om Dual Home te realiseren. Wat moet u doen om een Dual Home Internet aansluiting te realiseren? De kosten om PI adressen te verkrijgen en te behouden: • Om via een LIR een PI IPv6 adres blok aan te vragen bij RIPE, worden eenmalige kosten gerekend. • Een abonnement met uw LIR aangaan om de jaarlijkse kosten voor het PI blok en het AS nummer. Deze moeten aan RIPE voldaan worden. • Een primaire Internet aansluiting realiseren op basis van een PI IPv6 blok bij de eerste Internet Operator. • Een tweede Internet aansluiting realiseren op basis van een PI IPv6 blok bij de tweede Internet Operator. • Een eigen Internet router(s) inrichten, welke aangesloten wordt op beide Internet aansluitingen en waarmee u uw PI IPv6 blok op het Internet adverteert met behulp van het AS nummer. RIPE voorwaarde voor PI IPv6 blok (zie http://www.ripe.net/ripe/docs/ripe-545 http://www.ripe.net/ripe/docs/ripe-452): • PI IPv6 adres blok mag uitsluitend gebruikt worden voor de eigen organisatie en delen van het PI IPv6 blok mag niet aan andere organisatie verder uitgedeeld worden. De eigenaar van het PI IPv6 blok mag niet als Internet Operator functioneren. Internet Operators moeten een LIR lidmaatschap aangaan en kunnen via hun LIR lidmaatschap een eigen PA IPv6 adres blok verkrijgen. • Een Internet aansluiting bij twee verschillende Internet Operators hebben. • Jaarlijks abonnement afdragen bij RIPE voor het PI IPv6 blok en het AS nummer.
Whitepaper IPv6 versie 1-5 26-06-2013
18 van 24
RIPE controleert achteraf of u voldoet aan de RIPE voorwaarde, door te meten of het AS nummer op de opgegeven Internet Operators actief is. Indien u niet aan de voorwaarde voldoet zult rechtstreeks door RIPE of via uw LIR benaderd worden om als nog te voldoen aan de RIPE voorwaarde (het kan zijn dat u van Internet Operator wisselt). Indien u langdurig niet aan de RIPE voorwaarde voldoet, trekt RIPE uw PI blok in, waardoor u na verloop van tijd geen IP verkeer met het Internet kunt uitwisselen. Internet Operators gaan er vanuit dat u het PI blok gebruikt op uw Internet aansluiting. Zie tweede zin in paragraaf 7.1 van http://www.ripe.net/ripe/docs/ripe-545
3.15
Hoe komt uw organisatie aan unieke IPv6 adressen?
KPN LO heeft als LIR IPv6 adressen aangevraagd om in te zetten op het Gemnet netwerk en iedere Gemnet aansluiting krijgt een zeer grote IPv6 adres reeks (/48 reeks), zodat uw organisatie deze adressen kan gebruiken in de eigen infrastructuur. Uw organisatie krijgt dus vanzelf IPv6 adressen van KPN LO toegewezen, als de tijd daar is. Uw Internet provider voorziet u standaard bij Dual stack aansluiting van een IPv6 reeks. Indien uw organisatie Provider Independent IPv6 adressen nodig heeft voor de Internet aansluiting, kunt u altijd contact opnemen met KPN LO.
3.16
Hoe kunt controleren op, welke wie de eigenaar is IP adressen?
Om te controleren op wiens naam IP adressen zijn geregistreerd, kun u dit het beste doen op de RIPE database, welke op volgende URL bereikbaar is www.ripe.net.
3.17
Hoe maakt u een IPv6 adres plan?
Bij het opzetten van een nieuw IPv6 plan, adviseert RIPE om eerst alle lessen uit het verleden te evalueren en daar rekening mee te houden. Aangezien een compleet nieuw netwerk opgezet wordt. Om een stabiel netwerk te ontwerpen en te implementeren, heeft u een degelijke IP administratie nodig. Daarom kunt u voor ieder vreemd netwerk, dat op uw netwerk aangesloten wordt, de volgende zaken registreren in uw IP plan: • Alle IP adressen van het vreemde netwerk (interne en Internet IP adres reeksen). • De IPv6 adres reeks van uw systemen waarmee uw netwerk gekoppeld is aan het vreemde netwerk. • De IPv6 adres reeks die u moet routeren naar het vreemde netwerk, dus de IPv6 adressen van de systemen op het vreemde netwerk. Beide partijen dienen afspraken te maken, welke IPv6 reeksen op de koppeling tussen beide netwerken worden gerouteerd en wat via het Internet dient te lopen en beide partijen dienen zich hieraan te houden. Duidelijkheid en continuïteit zijn voor alle partijen van belang. • Hoe rekening met de nieuwe NAT mogelijk die beschreven staan in paragraaf 3.5.
Whitepaper IPv6 versie 1-5 26-06-2013
19 van 24
• •
De Gemnet IPv6 adres reeks die aan uw organisatie toegewezen is. En de IPv6 adres reeks, die naar Gemnet netwerk moet worden gerouteerd. De IPv6 adres reeks, waarmee u afspraken heeft met de Internet Operator(s): toegewezen PA of PI IPv6 adressen. Routering naar het Internet is immers Default.
Voor het indelen van IPv6 reeksen in uw netwerk, dient u rekening te houden met alle afspraken met externe partijen. De IPv6Taskforce in Nederland heeft een goede handleiding gemaakt hoe u het beste IPv6 adres reeksen kunt uitdelen in uw netwerk (http://www.surfnet.nl/Documents/handleiding_IPv6_nummerplan_v10.pdf).
3.18
Pas-toe of Leg-uit?
Sinds 25 november 2010 staat IPv6 in combinatie met IPv4 op de ‘pas toe of leg uit’-lijst van het College Standaardisatie (https://lijsten.forumstandaardisatie.nl/open-standaard/ipv6-en-ipv4). Dit betekent dat (semi-)publieke organisaties bij aanschaf van een nieuwe (of vernieuwd) ICT dienst of product moeten vragen om beide versies van de standaard. Alleen als dat tot onoverkomelijke problemen leidt, mag een organisatie een afwijkende keuze maken. Daar staat echter tegenover dat in het jaarverslag verantwoordt moet worden waarom deze keuze is gemaakt. Voor de Rijksoverheid is dit bepaald in de Rijksinstructie. Voor andere overheidsorganisaties is dit vastgelegd in bestuursakkoorden en convenanten. (zie: http://www.forumstandaardisatie.nl/openstandaarden/over-open-standaarden/het-pas-toe-of-leg-uit-principe/). IPv4 is op dit moment alom gebruikt. IPv6 is niet backwards compatible met IPv4. De komende periode zullen IPv4 en IPv6 gelijktijdig gebruikt worden. Om interoperabiliteit met zowel de nieuwe IPv6-praktijk als de bestaande IPv4-praktijk te borgen, heeft het College Standaardisatie beide versies van de standaard op de ‘pas toe of leg uit’-lijst opgenomen. In 2006 richtte het kabinet met een instellingsbesluit het College en Forum Standaardisatie op. In het College zitten topbestuurders van verschillende overheden. Het College maakt afspraken voor de overheid over te gebruiken standaarden en bevordert interoperabiliteit tussen overheden onderling en tussen overheid, bedrijven en burgers. Het Forum bestaat uit experts uit het bedrijfsleven, de wetenschap en de overheid. Het Forum adviseert het College (https://zoek.officielebekendmakingen.nl/stcrt-2010-4499.html).
3.19
Waarom gebruikt KPN LO PA adressen voor het Gemnet netwerk?
KPN LO stelt aan IP adressen die voor het Gemnet netwerk gebruikt worden de volgende eisen en uitgangspunten: 1. De beslotenheid van het Gemnet netwerk moet gewaarborgd blijven; onbevoegden mogen geen toegang krijgen tot (systemen op) het Gemnet netwerk. 2. De identiteit van de aansluiting van de gebruikers organisatie mag niet ter discussie staan binnen het Gemnet netwerk. 3. De beschikbaarheid van het Gemnet netwerk moet gegarandeerd blijven.
Whitepaper IPv6 versie 1-5 26-06-2013
20 van 24
4. Aangeboden IP verkeer op het Gemnet netwerk moet controleerbaar zijn voor wat betreft herkomst en bestemming. 5. Zowel KPN LO als LIR moet zich houden aan de spelregels van RIPE. 6. Iedere aangesloten partij op het Gemnet netwerk moet aanpassingen kunnen maken in haar infrastructuur zonder hinder voor de andere aangesloten partijen te veroorzaken. Iedere aangesloten partij kan maar één keer een default routering in zijn infrastructuur aanbrengen.
In theorie kunnen de volgende soorten IP adressen gebruikt worden: • Provider Independent IPv6 adressen (PI) PI adressen mogen alleen gebruikt worden in de eigen infrastructuur van de partij op wiens naam de PI adressen staan. PI Adressen mogen niet gebruikt worden in een commerciële dienst (eis 5). PI adressen kunnen daarom niet in KPN LO diensten worden toegepast. •
Unique Local Unicast adressen Unique Local Unicast adressen zijn IPv6 adressen die met een random generator aangemaakt moeten worden. Ze zijn bedoeld voor gebruik binnen één locatie. De kans dat twee partijen twee dezelfde Unique Local Unicast adres reeksen hebben is klein. Echter het wordt organisatorisch zeer moeilijk om te zorgen dat iedere aangesloten partij op het Gemnet netwerk weet welke partijen welke Unique Local Unicast adresreeksen in gebruik hebben. Toepassing van Unique Local Unicast adressen op Gemnet netwerk lijdt voor iedere aangesloten partij tot een complexe routering met betrekking tot bestemmingen die intern moeten blijven en wat naar het Gemnet netwerk gerouteerd moet worden. Iedere aangesloten partij die gebruik wil maken van Unique Local Unicast adressen, moet de vrijheid hebben welke Unique Local Unicast adres reeks zij intern gebruiken.
Whitepaper IPv6 versie 1-5 26-06-2013
21 van 24
•
Provider Aggregatable IPv6 adressen (PA) Een door KPN LO aangevraagd PA adres blok, dat niet routeerbaar is op het Internet, waarvan iedere aangesloten partij een /48 krijgt voor de Gemnet aansluiting, heeft de volgende voordelen t.o.v. een Unique Local Unicast adressen: Voor bovenstaande eisen 2, 3, 4 en 6 kan KPN LO veel beter de regie houden met PA adressen, dan met Unique Local Unicast adressen. Daarmee kan KPN LO een betere garantie geven aan al de aangesloten partijen over de identiteit van de aansluiting van de gebruikers organisatie, beschikbaarheid van het Gemnet netwerk en traceerbaarheid.
Whitepaper IPv6 versie 1-5 26-06-2013
22 van 24
4
Diversen
4.1
Contact
KPN LO hoopt dat deze IPv6 Whitepaper u inzicht geeft in de toekomstige ontwikkelingen m.b.t. IPv6. Deze whitepaper kan als leidraad dienen voor de te nemen stappen bij de migratie van IPv4 naar IPv6.
4.2
Geef een mening
KPN LO stelt het bijzonder op prijs, als de lezer van dit document zijn/haar mening geeft over de inhoud, zodat KPN LO de kwaliteit van deze Whitepaper kan verbeteren. U kunt uw mening, opmerkingen of vragen mailen naar
[email protected]. Daarnaast is KPN LO geïnteresseerd in oplossingen die bij klantorganisaties werken, best practices die mede gebaseerd zijn op de uitgangspunten van dit document, zodat KPN LO met andere klanten de oplossing kan delen en daarmee de ICT infrastructuur van de decentrale overheid verder kan helpen verbeteren. U kunt uw oplossing mailen naar
[email protected].
Whitepaper IPv6 versie 1-5 26-06-2013
23 van 24
Afkortingen en Begrippen Afkorting/Begrippen
Omschrijving
Dual Home
Internet toegang op basis van twee Internet operators waardoor het Internet verkeer over beide aansluitingen wordt afgehandeld.
Gemnet domein of Gemnet
Een verzameling componenten uit uw ICT infrastructuur die de communicatie
infrastructuur
verzorgen met het Gemnet netwerk.
Gemnet aansluiting
Een glas of koper verbinding naar het Gemnet netwerk met de Gemnet router en switch.
IANA
The Internet Assigned Numbers Authority (IANA) is verantwoordelijk voor de globale coördinatie van de DNS Root, IP adressering, en andere Internet protocol middelen.
Intern domein of Interne
Dat deel uit uw ICT infrastructuur, dat uitsluitend communicatie verzorgt binnen
infrastructuur
uw eigen uw ICT infrastructuur.
Internet domein of Internet
Een verzameling componenten uit uw ICT infrastructuur, die de communicatie
infrastructuur
verzorgen met het Internet.
Internet aansluiting
De glas- of koperverbinding naar het Internet met de Internet router
IPv4
Internet Protocol versie 4, zie RFC 791
IPv6
Internet Protocol versie 6, zie RFC 2460
ISP
Internet Service Provider
LIR
Local Internet Registry.
NAT
Network address translation zoals bedoeld in RFC1918 en RFC 2663
NAPT-PT
Network Address Port Translation + Protocol Translation zie RFC 4966
NAT-PT
Network Address Translation/Protocol Translation zie RFC 2766
Omnummeren.
In de komst van IPv6 zijn er twee mechanismes beschikbaar om IP apparatuur automatisch te laten voorzien van een IP (SLAAC en DHCPv6) om snel en efficiënt om te nummeren. Het toepassen van deze technieken voor IP apparatuur, welke een hoge beveiliging graad nodig hebben, zoals paspoort aanvraagstations, pin automaten, de GBA en andere registers, is uit beveiligingsreden niet raadzaam.
PA
Provider Aggregatable IP adressen: Dit zijn IP adressen op naam van een operator en routering vindt altijd plaats via de betreffende netwerk operator
PAT
Port address translation
PI
Provider Independent IP adressen: Dit zijn IP adressen op naam van de gebruikers organisatie en routering wordt bepaald door de gebruikersorganisatie (via welke Internet Operator).
RIPE
Réseaux IP Européens
RIPE NCC
RIPE Network Coordination Centre
Scheidingsvlak
Een verzameling punten in uw ICT infrastructuur, die u als scheiding kunt gebruiken tussen de externe en intern componenten. U kunt Dual Stack implementeren in de externe componenten, zonder aanpassingen in de interne componenten.
SLAAC
IPv6 Stateless Address Autoconfiguration (zie RFC 4862). Een IPv6 hosts kan zelf automatisch laten configureren, wanneer de host is aangesloten op een IPv6 netwerk m.b.v. ICMPv6 router discovery messages.
TWD
Toegevoegde Waarde Dienst
Whitepaper IPv6 versie 1-5 26-06-2013
24 van 24