Providers kiezen voor /48 IPv6-prefix

Providers KPN, SURFnet, UNet, UPC, XS4all en Ziggo gaan nu echt aan de slag met IPv6. Dat blijkt uit het verslag van het onlangs gehouden IPv6-overleg met deze partijen. Als eindgebruiker krijg je straks heel veel IPv6-adressen, maar hoe zit het met de beveiliging?

Binnen het overleg is er gekeken naar de common practice bij zowel de grote Nederlandse ISP’s voor consumentenverbindingen, als bij isp’s voor zakelijke verbindingen. “Bij verbindingen voor consumenten wordt een /48 of een /56 prefix aan de gebruiker gedelegeerd,” staat er in het door de Taskforce IPv6 Nederland gepubliceerde verslag te lezen. “Klanten krijgen zelf geen keuzemogelijkheid, de internet service provider bepaalt de prefix omvang.”

De providers geven aan bij verbindingen naar zakelijke klanten over het algemeen een /48 aan de klant delegeren. “Daar waar gekozen was om een zakelijke klant standaard een /56 prefix te geven werd altijd de mogelijkheid geboden om, zonder verdere noodzaak tot verantwoording, te upgraden naar een /48. Tussen consumenten- en zakelijke verbindingen is dat dus een duidelijk verschil,” geeft het overleg aan.

De gekozen prefix lengte is volgens alle deelnemers aan het overleg “voldoende groot”, voor nu en in de toekomst. “Er is geconcludeerd dat een enkele prefix (/64) niet voldoende was. De gekozen prefix lengte sluit aan bij aanbevelingen uit standaardisatie organen. Vanwege de leesbaarheid is de prefix lengte een veelvoud van 4 (nibble boundary).”

“Zo lang het mogelijk is zullen de IPv4 verbindingen geleverd blijven worden zoals op dit moment gebruikelijk is,” staat er in het door de Taskforce IPv6 Nederland uitgebrachte verslag te lezen. “Mocht er een tekort aan IPv4 adressen ontstaan binnen de isp’s dan zal mogelijk gebruik gemaakt worden van Carrier-Grade-NAT (CGN) en/of DS-Lite. A+P is genoemd als manier om IPv4 te leveren aan klanten, maar er waren nog nergens concrete plannen om dit in te gaan zetten.”

IPv6 verbindingsmethoden
De providers geven aan voor IPv6 nu al in tests gebruik te maken van IPv6 over Ethernet (met mogelijk SLAAC en/of DHCPv6) en PPPoA/PPPoE (met IPv6CP, unnumbered PPP-verbinding en DHCPv6). Naast deze standaard verbindingsmethodes worden er nog twee andere methoden genoemd. Het gaat dan om een handmatig geconfigureerde 6in4 (Proto-41) tunnel en een automatisch geconfigureerde 6rd tunnel (IPv4 DHCP optie 212). Beide worden gezien als tijdelijk overgangsmaatregelen en worden alleen gebruikt op plaatsen waar de eerder genoemde methodes niet mogelijk zijn.

IPv6 Reverse DNS
Volgens het verslag is er ook kort gesproken over het bieden van reverse DNS voor de aan de klant gedelegeerde IPv6 adressen. “Over het algemeen werd het on-the-fly genereren van PTR records als de meest bruikbare methode gezien, mogelijk in combinatie met handmatig ingestelde PTR records voor bepaalde adressen. Alhoewel het delegeren van de reverse DNS naar nameservers van de klant zelf wel voorkomt blijkt hier niet veel vraag naar te zijn als de ISP al een basisvoorziening levert.”

Uit het overleg komt naar voren dat over de beveiliging nog verder gesproken moet worden. De afscherming die NAT bij IPv4 levert, zal voor IPv6 op een andere manier gerealiseerd moeten worden. Want bij IPv6 bestaat de behoefte om een vorm van beveiliging voor de eindgebruiker, maar dan komt de recent opgenomen netneutraliteit in de telecomwet om de hoek kijken. Hoe moeten providers volgens jullie hier mee omgaan en wat moeten ze doen?


Igor Ybema is werkzaam als teamleider engineering bij Aaldering ICT. Vanuit zijn ervaring en kennis trekt hij de IPv6-kar met als voornamelijk doel het native aanbieden van IPv6 aan de FttH klanten van Breedband Arnhem (een zusteronderneming van Aaldering ICT).