IPv6 de drie opties

kennislevel 1 kennislevel 2 kennislevel 2 Technisch niveau Waddinxveen, 17 augustus 2021 Waddinxveen, 17 augustus 2021 Networking Networking

IPv6, is het echt noodzakelijk?
Hierover lopen de meningen sterk uiteen. Veel bedrijven zijn nog terughoudend om IPv6 in te voeren, met als voornaamste argument dat er geen behoefte naar is. Dat is ondertussen al lang niet meer zo, want heel veel eindgebruikers hebben thuis al IPv6. Alle redelijk moderne systemen prefereren zelfs IPv6 verkeer boven IPv4. Grote tech bedrijven als Facebook en Google hebben intern alles op IPv6 only draaien, en alleen aan de publieke kant is nog IPv4 te vinden naast IPv6.

Onlangs kondigde China aan om volledig op IPv6 over te stappen. Heeft u een bedrijf wat zakelijke banden heeft met China, dan is het wellicht noodzakelijk om in ieder geval de externe toegang op IPv6 beschikbaar te maken.

Maar ook de Nederlandse overheid heeft zich ten doel gesteld om eind 2021 alle overheidswebsites en mailservers via IPv6 bereikbaar te zijn.
zie: https://www.forumstandaardisatie.nl/nieuws/overheid-eind-2021-bereikbaar-ipv6

Je wilt IPv6 gaan gebruiken, hoe pak je dat aan?

De eerste stap is contact opnemen met je internetprovider. Informeer naar de mogelijkheden om IPv6 naast de bestaande IPv4 aansluiting te krijgen. Hou er rekening mee dat de internetprovider mogelijk nieuwe apparatuur moet plaatsen om dit voor elkaar te krijgen. Het is wel van belang dat er een /48 subnet aangeboden wordt.

Voor de kleinere organisatie is wellicht een /56 subnet ook wel voldoende. Als de internetprovider alleen /64 subnet beschikbaar stelt, dan is dat niet acceptabel, want voor Stateless address auto configuration zijn /64 een vereiste (zie https://datatracker.ietf.org/doc/html/rfc4291)

Ondertussen moet je gaan nadenken over de manier waarop je IPv6 wilt gaan toepassen binnen je bedrijf. In grote lijnen zijn daarvoor drie mogelijkheden:

  • IPv6 alleen implementeren aan de buitenste rand van je netwerk. Dus eigenlijk de netwerken waar je nu ook publieke IP-adressen gebruikt.
  • Alle netwerken volledig naar dual-stack omzetten. Dat betekent dat alle servers, werkstations, printers etc. allemaal zowel een IPv4 als IPv6 krijgen.
  • IPv6 wordt de nieuwe standaard, en IPv4 wordt alleen nog gebruikt aan de internet kant van het netwerk.
Optie 1 is de eenvoudigste om mee te beginnen. De hoeveelheid systemen die aangepast moeten worden om over IPv6 te kunnen communiceren zijn relatief beperkt. Meestal alleen de firewalls en publiek benaderbare (mail/web) servers. Over het algemeen zijn deze hosts voorzien van moderne operating systems, en kunnen waarschijnlijk zonder problemen IPv6 draaien. Speciale aandacht gaat daarbij natuurlijk vooral naar de firewall. Deze zal namelijk ook translaties moeten kunnen doen van IPv6 naar IPv4 en andersom.

Optie 2 omvat al veel meer planning en testen. De kans dat er systemen in het netwerk zijn die geen IPv6 kunnen draaien, is best groot. Ook hier zal de firewall verantwoordelijk zijn voor vertalingen van IPv6 naar IPv4 en andersom. Wanneer een dual-stack systeem zowel via IPv4 als via IPv6 kan praten met een andere host (intern of over internet), dan zal waarschijnlijk IPv6 de voorkeur krijgen. Een beetje afhankelijk van de firewall, zullen policy rules dubbel aangemaakt moeten worden. Hier zal ik in een ander artikel verder op doorgaan.

Optie 3 is eigenlijk de mooiste oplossing, maar ook eentje met de meeste impact. Hierbij wordt er van uit gegaan dat alle apparatuur die op het netwerk is aangesloten, volledig IPv6 kunnen draaien. Windows, Linux, en mobile telefoons vinden dat normaal gesproken geen probleem. De grootste problemen zitten hem vaak in de business software die wordt gebruikt. Lang niet alle software is geschikt om alleen IPv6 verkeer te gebruiken. Dat is ook waarom deze optie eigenlijk alleen gebruikt wordt door grote bedrijven die wereldwijd opereren, en eigenlijk alle business software via een web interface gebruiken.

Het correct implementeren van IPv6 binnen de eigen organisatie is niet eenvoudig. Er zijn veel factoren waar rekening mee moet worden gehouden, zoals de mogelijkheden van de firewalls en de interne routers en switches. Security is in sommige opzichten net even anders dan in IPv4 wereld, en de apparatuur moet hier wel goed mee om kunnen gaan.

Start met het inventariseren van de interne apparatuur, en markeer de systemen die IPv6 helemaal niet ondersteunen. Kijk of deze systemen kunnen worden voorzien van nieuwe software, of in uiterste geval, vervang de apparatuur.

Meer weten?
Uiteraard kan SolidBE u assisteren bij het inventariseren, netwerk design of het implementeren van uw IPv6 netwerk.


Auteur Jan Paul is Security en Networking Specialist bij SolidBE.
Binnenkort schrijft hij nog meer artikelen die verder ingaan op de eerdergenoemde drie opties. Houdt de website of linkedin dus goed in de gaten.

Wilt u meer tips van een expert?

Contact

SolidBE B.V.
Maarten Schoutenstraat 19
2741 SV Waddinxveen

KVK 51248794
NL 82 3170 846 B01
NL07 RABO 0157 5353 98