3 planningspunten voor IPv6
Gepubliceerd: Dinsdag 5 juli 2011
Auteur: Michiel van Blommestein
Vroeg of laat ga je het doen: overstappen op IPv6. Moet je nog beginnen, dan zijn hier wat dingen die je wellicht in het achterhoofd wilt houden.
Normaal gesproken is een overgang naar IPv6 redelijk pijnloos. Natuurlijk moet je nieuwe hardware kopen en alles inplannen, maar dat moet met ieder project. Sterker, veel werk heb je wellicht al gedaan. "Er bestaat al een grote kans dat delen van je omgeving over IPv6 gaan", zegt Paul Schuur, outsourcing consultant bij Qwise. "Bij Windows Server 2008 staat het bijvoorbeeld al standaard aan. De kans is dus al heel erg groot dat het interne LAN over IPv6 draait. Daar merk je helemaal niks van."
Maar op het moment dat je webservices aan de wereld gaat aanbieden, of als je kantoor ergens anders staat dan waar je servers staan, kun je volgens Schuur uitdagingen krijgen. "Binnen je eigen netwerk staat alles namelijk open. Maar naar buiten toe kan dat anders zijn." Hij noemt drie dingen die wellicht een rol kunnen spelen.
Twee protocollen door elkaar
Waarschijnlijk had je al door dat je te maken zult krijgen met een overgangsperiode, waarbij IPv4 en IPv6 door elkaar worden gebruikt. Daar zul je je op moeten voorbereiden. Gelukkig zijn er manieren om die overgang te versoepelen, zo zegt Schuur, en het is handig om daar gebruik van te maken.
"Je hebt eigenlijk twee manieren om IPv6 te gebruiken: Native, of via IPv4-verbindingen met bijvoorbeeld 6to4. Wat er dan gebeurt is dat je een IPv4-tunnel opbouwt met een server, en over die tunnel ga je IPv6 praten", zegt Schuur. "Het is echt bedoeld als de overgangsmethode."
Hoe sneller je 'volledig' over kunt gaan, hoe beter. "Het hangt allemaal uiteraard af van de grootte van je omgeving en van je project. Je zult een plan moeten opstellen over hoe je omgaat met bijvoorbeeld het vervangen van oude hardware. Maar het ligt voor de hand om dat plan ook direct af te stemmen op een volledige overgang."
Geen standaardsecurity via NAT
Om het gebrek aan IP-adressen op te vangen, wordt nu al veel gewerkt met NAT (Network Address Translation). Het komt erop neer dat meerdere apparaten onder een enkel IPv4-adres komen te vallen. Daardoor krijg je ook dat er één enkel IP-toegangspunt is tot je netwerk.
"NAT is natuurlijk uitgevonden om een gebrek aan IP-adressen op te lossen", zegt Schuur. "Maar een bijkomend voordeeltje is dat je interne netwerkje direct min of meer beveiligd is van het grote boze internet. Je kunt van binnen naar buiten toe ge-NAT worden, maar het verkeer kan geen terugweg vinden."
Met IPv6 hoef je niet meer te NATten, omdat al je apparaten een uniek adres krijgen. Schuur: "Dat betekent dat elk apparaat direct toegankelijk is via het internet." Dat is op veel punten voordeling, maar brengt één uitdaginkje. "Je moet extra opletten op je router- en firewallconfiguratie. De standaarddrempel valt weg."
Legacy
Niet alleen de hardware moet om kunnen gaan met IPv6, maar ook de software. "In principe moet dat geen probleem zijn", zegt Schuur, "maar je kunt soms te maken hebben met legacy-software die de IPv6-adressen niet snappen."
Legacy is niet voor niets legacy, en dat het überhaupt nog in je omgeving draait betekent vaak dat de applicatie lastig is te vervangen. Omdat de ontwikkeling aan dit soort applicaties stil staat, zul je je in bochten moeten wringen en workarounds moeten verzinnen.
Een makkelijke oplossing voor dit probleem is Schuur nog niet tegengekomen. Toch verwacht hij dat die er wel komt. "Je hebt nu al 6to4, dus IPv6-adressen gecapsuleerd in IPv4-verkeer. Ik verwacht dat er uiteindelijk ook een manier komt om het andersom aan te pakken om dit probleem het hoofd mee te kunnen bieden."
