'Slicing the elephant' bij implementatie IPv6

04-01-2013 14:43 | Door Bart van den Berg | Lees meer artikelen over: DHCP, DNS, IPv6, IPv4 | Er zijn 8 reacties op dit artikel | Dit artikel heeft nog geen cijfer (te weinig beoordelingen) | Permalink
Computable Expert
Bart van den Berg
Bart van den Berg

Netwerkspecialist

Expert van Computable voor de topics: Netwerken en Datacenters

Meer

De overstap naar IPv6 wordt beschouwd als een mega-operatie. Dit zorgt er vaak voor dat een IPv6 project wordt uitgesteld. Dat is jammer omdat er juist nu nog tijd is voor een rustige en gefaseerde implementatie van IPv6. De kunst is eigenlijk om een dergelijk omvangrijk project in kleine behapbare stukjes te hakken.

Het invoeren van IPv6 is als het vervangen van de gemeentelijke riolering; het is een enorme klus en we weten dat het een keer moet gebeuren maar het liefst stellen we het nog zo lang mogelijk uit. Een van redenen waarom men hier zo tegenaan hikt, is het gegeven dat een IPv6 implementatie je gehele infrastructuur raakt. Op zich is dat waar. Echter in de hoofden van degene die erover moeten beslissen wordt een dergelijk project heel groot gemaakt. Het is op zich niet verkeerd om de impact van IPv6 niet te licht in te schatten maar door IPv6 als één groot blok te beschouwen, krijgt het een verlammende werking. Een extra vertragende factor daarbij is nog dat het moeilijk is uit te leggen aan de hogere 'baasjes' waarom we nu al moeten voorsorteren op IPv6; de business-case is moeilijk rond te krijgen.

De kunst is om die grote olifant, die in zijn geheel niet te behappen valt, in plakjes te snijden ('slicing the elephant') om zo gefaseerd IPv6 in te voeren. Heel veel werk kan je al doen nog voordat je een eerste it-systeem hoeft aan te raken. Te denken valt aan een inventarisatie of alle hardware en besturingssystemen IPv6 compliant zijn. Verder kan je al beginnen met een aantal medewerkers op cursus te sturen om zo kennisniveau, bewustwording en enthousiasme te verhogen.

Ip-plan

Het eerste grote deelproject is het maken van het IPv6-nummerplan. Dit majeure onderdeel kan helaas niet verder in kleinere stukjes worden opgedeeld omdat een ip-plan als geheel moet worden ontworpen. Verder moet het belang van een ip-plan niet worden onderschat. De keuzes die hierin worden gemaakt zullen de komende tien à twintig jaar hun invloed doen gelden. De kans dat je een nieuw ip-plan kan opstellen is uniek en komt maar een paar keer in een loopbaan langs. Nu is het de tijd bij uitstek om iets te doen met de lessen die kunnen worden geleerd van fouten en inconsistenties in het huidige IPv4-nummerplan. Je kan weer met een schone lei beginnen (en nog steeds hebben we geen enkel stuk hardware aangeraakt..).

Dual stack

Als we dan uiteindelijk toe zijn aan de implementatie, dan is er eigenlijk maar één realistische strategie: de dual-stack strategie. Dit houdt in dat je in de huidige IP(v4)-structuur een IPv6-nummering erbij configureert. Op een host (server of werkstation) kan eenvoudig IPv6 worden geactiveerd (op dezelfde netwerkkaart) en ook in de configuratie van Layer3-interfaces van netwerkcomponenten kan een IPv6-adres naast/onder een IPv4-adres worden 'ingeklopt'. Dit heeft verder nauwelijks impact op de huidige IPv4-connectiviteit; kan ongestraft naast elkaar bestaan.

Als eerste komt de DNS aan de beurt om IPv6 'enabled' te maken in een dual-stack configuratie; het is immers een centrale- en essentiële dienst voor je gehele netwerk. In veel gevallen is DNS opgenomen in een totaalpakket van IPAM (ip-adres registratie), DNS en DHCP, dus zodra het IPv6-nummerplan gereed is moet het gelijk worden ingevoerd in de IPAM-module. Meteen ook een unieke kans om eindelijk eens af te komen van die eeuwige Excel-lijsten.

Deelsegmenten

Deel de gehele netwerkinfrastructuur vervolgens op in wijzigbare en bij elkaar horende segmenten, zoals: koppelvlak met serviceprovider, core/backbone segment, koppelvlak core-datacentrum, server-segment en eindgebruikerssegment, dmz (demilitarized zone) en firewalls. Maak van de IPv6-implementatie in deze segmenten kleine deelprojecten en voer ze stap voor stap uit. Je trekt vanaf het punt waar IPv6 je netwerk binnenkomt, aan de service-provider zijde, langzaam maar zeker IPv6 steeds verder je netwerk in. Rond elk deelproject netjes af en evalueer voordat je het volgende stuk oppakt. Langzaam maar zeker ontstaat er overal end-to-end IPv6-connectiviteit en de kennis, durf en ervaring onder de ict-medewerkers neemt snel toe. Het zal voorkomen dat je stuit op servers en/of segmenten die niet overweg kunnen met IPv6. Dit worden dan logischerwijs ook deelprojecten. Er zijn voor dit soort situaties echter al beproefde (tussen)oplossingen (NAT64/DNS64, Reverse Proxy, et cetera).

Natuurlijk is het zaak om IPv6 configuraties eerst te proberen in een testomgeving, maar uiteindelijk kan je gewoon een begin maken met het aanpakken van de produktiesegmenten. Wel moet goed worden gelet op de performance van routers en firewalls zodra IPv6 op die componenten is geactiveerd.

Met betrekking tot het uiteindelijke 'live"\' gaan van IPv6 zullen diensten aan de Internet-zijde, de voorkant, de hoogste prioriteit krijgen. De reden is dat vanaf internet de eerste urgente aanvragen voor IPv6-connectiviteit zullen komen, van bijvoorbeeld 'IPv6-only clients' uit Azië.

Aandachtspunten

Speciaal vermeld moet worden is het wireless segment in combinatie met byod: dit segment zal in de komende jaren een enorme groei doormaken en zal ook een grote variatie van mobiele 'clients' kennen. De vele verschillende (versies van) besturingssystemen zullen ieder op hun eigen manier omgaan met IPv6 en al dan niet een ingebakken voorkeur hebben voor IPv6 of IPv4. Een ander aandachtspunt is de voorgeprogrammeerde voorkeur van bijvoorbeeld Windows Vista of Windows 7 om te communiceren via IPv6. Zolang het gebruikerssegment nog niet klaar is voor IPv6 zal het wellicht nodig zijn om dit ongecontroleerde en onvoorspelbare IPv6-verkeer op de 'access-laag' te filteren.

Al schrijvende over IPv6 begin ik onderhand wel trek te krijgen in een broodje olifant: 'Slager...kunt u het in dunne plakjes snijden? Het mag gerust een onsje meer zijn...'.
Deel dit artikel via LinkedIn
Deel dit artikel via Facebook
Deel dit artikel via Twitter

16 vacatures
ICT-beheerder

ANBO , Woerden

Datacenter Engineer

Vosko Networking B.V. , Gouda

Software Engineer

FOM-instituut AMOLF , Amsterdam

System Engineer SCCM

Vancis B.V. , Amsterdam

Senior System Engineer Windows

Vancis B.V. , Amsterdam

Top 10 Reagerende bezoekers
   Aantal
reacties
Gemiddelde
waardering
Klik voor meer info1 1820 6,9
Klik voor meer info2 1404 6,5
Klik voor meer info3 1349 6,4
Klik voor meer info4 1141 6,3
Klik voor meer info5 1079 6,3
Klik voor meer info6 1029 5,8
Klik voor meer info7 814 6,6
Klik voor meer info8 605 5,8
Klik voor meer info9 495 6,3
Klik voor meer info10 427 5,8