Woensdag 8 juni is het Wereld IPv6 Dag. Die dag zullen enkele belangrijke websites, zoals Google, Microsoft, Yahoo en ook de webapplicatie en online services van Akamai, via IPv6 bereikbaar zijn. Om dit te bewerkstelligen updaten de sites om 02:00 Nederlandse tijd de DNS van het internet met een AAAA-record, waarin zij voor hun hoofd-domein het IPv6-adres publiceren. Hoewel ze toch allemaal ook op basis van IPv4 bereikbaar blijven, betekent het bekend worden van het IPv6-adres dat servers en systemen die zelf ook al IPv6 geconfigureerd hebben, en die daarna contact maken met een van de genoemde sites, dat gaan doen op basis van IPv6.

Storingen bij misconfiguraties

Dat klinkt weinig indrukwekkend, maar heeft toch meer impact dan het zich zo laat aanhoren. Bedrijven die namelijk al wel IPv6 geconfigureerd hebben, of, soms zelfs onbewust, netwerkapparatuur in gebruik hebben genomen die het nieuwe protocol ondersteunt en standaard ingeschakeld heeft, zullen bij misconfiguraties storingen ervaren. Gebruikers zullen actief worden en de telefoon van netwerk- en serverbeheerders zal vaker rinkelen dan normaal. Na 24 uur schakelen de sites de IPv6-registratie weer uit en zal de rust weerkeren. Overigens is de verwachting dat minder dan één procent van de gebruikers problemen zal ervaren op Wereld IPv6 Dag.

Volgens Sander Steffann, IPv6-specialist, een van de oprichters van de Stichting IPv6 Nederland en als eigen baas werkzaam als netwerkconsultant, zullen bedrijven die merken dat er fouten in de implementatie zitten snel in actie moeten komen. “Dadelijk duurt het niet kunnen bereiken van Google maar één dag, maar later dit jaar zal het permanent zijn!”, aldus Steffann. Om niet alleen last, maar juist voordeel te halen uit de Wereld IPv6 Dag moeten beheerders er daarom ook echt een Testdrive van maken, een proefrit.

Geen reverse proxy

Bedrijven kunnen als voorbereiding op de IPv6-dag vanaf het eigen netwerk naar websites zoals http://www.ipv6test.nl en http://www.testipv6.com gaan en de beschikbare tests uitvoeren. De sites voeren een connectietest uit en geven daarna een duidelijk overzicht van gevonden problemen. Ook het oordeel of er op Wereld IPv6 Dag problemen te verwachten zijn worden helder gecommuniceerd. De test constateert verder of er bijvoorbeeld een proxy wordt gebruikt en test dan dus feitelijk de IPv6-readyness van die infrastructuur en niet die van de client. Voor het testresultaat is dat niet van belang, vaak is met de proxy ook het eerste struikelblok in de communicatie via het nieuwe protocol gevonden.

Gert-Jan de Boer is senior netwerk specialist bij aaZoo b.v. en lid van de IPv6 Taskforce. Hij heeft al veel hands-on IPv6-ervaring vanuit een aantal implementaties die hij heeft uitgevoerd. Volgens hem kunnen bedrijven ook een diepgaandere compatibiliteitstest of scan uitvoeren of laten uitvoeren. “De storingen die op IPv6-dag kunnen optreden zijn zeer verschillend. Op IPv6 Dag kunnen bedrijven controleren of ze echt compatibel zijn. Storingen kunnen bovendien herleid worden tot componenten in het netwerk of zelfs tot software. Vaak zie je dat IPv6-routering niet correct is geconfigureerd. Bij webapplicaties zie je bijvoorbeeld dat in een database te weinig ruimte is gereserveerd voor het opslaan van een IPv6-adres”, aldus Gert-Jan de Boer. “En wat ook veel voorkomt is dat websites een reverse proxy installeren om van IPv6 naar IPv4 te vertalen en zo dus snel klaar te zijn. Persoonlijk vind ik dat deze organisaties niet mee moeten doen aan de Wereld IPv6 Dag. Het plaatsen van een reverse proxy is een hack, een workaround en geeft geen goede indruk voor zowel de client als de servers in het eigen netwerk, of zij echt compatibel zijn.”

Op de dag zelf zullen bedrijven die problemen ondervinden de logs van routers, webservers en loadbalancers moeten verzamelen net als applicatie-specifieke logfiles. Hiermee kunnen ze end-to-end de sessies van de gebruikers volgen en een analyse maken van wat er fout is gegaan. Bij problemen kunnen beheerders bijvoorbeeld een IPv6 traceroute uitvoeren.

Impact op het dagelijks werk

De overstap naar IPv6 stelt de beheerder voor een uitdaging. De komst van IPv6 betekent dat er moet worden bijgeleerd, want, zo is de indruk van De Boer, veel beheerders lopen nog achter wat betreft kennis van IPv6 en hebben weinig ervaring met de nieuwe IP-adressering. De impact op hun werk lijkt misschien niet zo groot, maar is wel zeer essentieel en daardoor erg belangrijk.

Volgens Steffann zullen netwerkbeheerders naast hun bestaande IPv4-netwerk ook een IPv6-netwerk gaan beheren. “De bekabeling en switches blijven hetzelfde, maar er zullen twee communicatieprotcollen naast elkaar gebruik maken van die infrastructuur. Netwerkbeheerders die al langer in het vak zitten zal dit bekend voorkomen, ze zullen een flashback beleven naar de tijd dat protocollen als IPX, DECnet, SNA en NetBEUI naast IPv4 werkten. Nu wordt het IPv6 naast IPv4.

Volgens Steffann is ‘voor IPv6 een andere mindset nodig’. De schaarste van adressen onder IPv4 is een beperking die veel beheerders maar moeilijk los kunnen laten, stelt hij, evenals het verlies van het onderscheid tussen private en publieke adressen. Maar de beheerder zal ook verantwoordelijkheid moeten nemen, want met een ‘permit ip any any’ zet hij straks echt heel het netwerk open. De Boer is het met hem eens. “Geen rekening hoeven te houden met internet-routeerbare en niet-routeerbare IP-adressen scheelt een boel hoofdpijn en potentiële problemen. Tegelijk maakt het denken over welke adressen wel en welke niet bereikbaar mogen zijn hem angstig, de verantwoordelijkheid moet nu nadrukkelijker worden genomen”, zegt hij. Volgens Steffann zullen vooral de ervaren beheerders blij zijn van NAT verlost te zijn, op minder ervaren collega’s komt het echter al snel over alsof ze een belangrijk controlemiddel verliezen.

Systeem- en applicatiesbeheerders zullen vooral moeten wennen aan de enorme hoeveelheden adressen die beschikbaar zijn. Ook zullen ze hun applicaties moeten controleren op compatibiliteit met de grotere IP-adressen. “Soms werkt het gewoon, soms negeert de applicatie simpelweg IPv6 en in sommige gevallen crasht een pakket als er ineens een IPv6-adres opduikt”, Sander Steffann heeft het allemaal meegemaakt.

Ook op logging en monitoring is de overgang naar IPv6 van belang. Het systeem van een gebruiker kan zomaar meerdere adressen hebben. Daarmee kunnen ook de binnenkomende verbindingen van één gebruiker, meerdere source-adressen hebben. Als de adressen voor logging of toegangscontrole gebruikt worden, liggen problemen voor de hand en zal de registratie aangepast moeten worden.

Tools

De impact op de tooling is volgens Gert-Jan de Boer beperkt. De meeste tools die hij in zijn werkzaamheden gebruikt zijn inmiddels IPv6 compatibel. “Er is natuurlijk een IPv6-versie van Ping en ook van Traceroute. Bij troubleshooting verandert ook niet zoveel. Tools als Nagios en Cacti werken prima met IPv6, evenals iperf, een programma voor het meten van bandbreedte, en Rancid dat configuratiewijzigingen bewaakt.” Een tool die De Boer juist nog meer is gaan gebruiken is de IP-calculator. “Sipcalc is een IP-calculator die met zowel v6 als v4 adressen kan omgaan. Het programma is ideaal om IPv6-blokken op te delen”, aldus De Boer.

De meeste tools lijken te werken met IPv6 of zijn via een update compatibel te maken. Sander Steffann maakt zich vooral nog zorgen om de grotere managementpakketten. “Vooral die met een grafische user interface, daarvan zijn er veel nog niet compatibel of kennen nog problemen in de omgang met IPv6-adressen.” Als voorbeeld van een product dat niet meer werkt noemt Steffann ARPwatch, om er nonchalant aan toe te voegen dat IPv4 geen ARP meer kent maar NDP. “En daarvoor zijn tools als NDPmon beschikbaar.”

Testrit

Als een bedrijf op Wereld IPv6 Dag geen problemen ondervindt, betekent dat nog niet dat het bedrijf IPv6 heeft of goed heeft geconfigureerd. Juist bedrijven die IPv6 nog geheel negeren en ook geen compatibele hardware gebruiken of alle ondersteuning voor het nieuwe protocol uitschakelen, zullen die dag probleemloos op basis van IPv4 doorstaan. Geen problemen op Wereld IPv6 Dag betekent vooral dat het bedrijf geen problemen ondervindt als de rest van de wereld IPv6 invoert.

Bedrijven die wel met Wereld IPv6 Dag mee willen doen kunnen die dag serieus aan de slag met het testen van de compatibiliteit van hun infrastructuur. Men kan daarbij proactief te werk gaan en een inventarisatie uitvoeren, maar het lijkt een betere keuze om in de tussentijd de kennis van IPv6 bij te spijkeren en deze op 8 juni toepassen bij het oplossen van storingen. Daarmee wordt 8 juni niet alleen een testrit voor de infrastructuur.