Main content
1. Inleiding
Dit document helpt beleidsmedewerkers binnen de overheid en private Koppelnetwerkaanbieders om te bepalen of een voorziening of toepassing gebruik kan maken van Diginetwerk en wat de voordelen zijn. Tevens specificeert dit document eisen waaraan deelnemers in het stelsel moeten voldoen en geeft hiermee richting aan ontwerpers en architecten die werkzaam zijn bij de deelnemers.
De deelnemers aan het stelstel zijn de Koppelnetwerkaanbieders, de KPS-aanbieder en de Aangesloten Organisaties.
Scope
Dit document beperkt zich tot de beschrijving van de architectuur van het Diginetwerk, de technische afspraken en rollen. Het document beschrijft geen aansluit- en beheerprocessen, aansluitvoorwaarden en SLA’s. Deze worden in andere onderdelen van de documentatieset Diginetwerk beschreven, zoals de Dienstbeschrijving, DAP en Aansluitvoorwaarden.
Status
Het voorliggend architectuurdocument is voorgelegd aan de Koppelnetwerkaanbieders, vastgesteld door Logius en gepubliceerd op de Logius-website. Deze versie geldt als norm voor het gehele Afsprakenstelsel Diginetwerk. De Koppelnetwerkaanbieders, Aangesloten Organisatie en de KPS-aanbieder dienen hun aansluiting en/of koppelvlak met Diginetwerk volgens deze norm in te richten.
Samenhang met NORA
De Nederlandse Overheid Referentie Architectuur (NORA) is gerelateerd aan dit document. In NORA [1] zijn de beveiligingsniveaus en de aanpalende maatregelen beschreven die het Afsprakenstelsel Diginetwerk gebruikt als uitgangsprincipes. Dit is verwoord in het hoofdstuk Generieke Principes.
2. Introductie Diginetwerk
Dit hoofdstuk geeft een globaal overzicht van Diginetwerk en beschrijft de terminologie die in het document wordt gebruikt.
Begrippen Afsprakenstelsel Diginetwerk
- Koppelnet Publieke Sector (KPS): De centrale netwerkvoorziening van het Afsprakenstelsel Diginetwerk waarop alle Koppelnetwerken zijn aangesloten.
- Koppelnetwerk: Een besloten netwerk dat onderdeel is van het Afsprakenstelsel Diginetwerk.
- Koppelnetwerkaanbieder: De (semi) overheids- of private organisatie die middels een samenwerkingsovereenkomst met Logius aansluiting heeft verkregen op het Diginetwerk en haar infrastructurele diensten aanbiedt aan een Afnemer. De Koppelnetwerkaanbieder is eindverantwoordelijke voor het aanbieden van een Koppelnetwerk waarmee hij Diginetwerkdiensten aanbiedt.
- KPS-aanbieder: Leverancier en beheerder van het Koppelnet Publieke Sector (KPS).
- Afnemer: Een (semi)publiekrechtelijke- of privaatrechtelijke organisatie met een publieke taak die, voor de uitoefening van die publieke taak, digitaal verkeer met andere organisaties wenselijk acht en dit verkeer uit oogpunt van informatiebeveiliging via een besloten digitaal communicatienetwerk wil laten plaatsvinden. Een Afnemer neemt een Diginetwerkaansluiting bij een Koppelnetwerkaanbieder af. Een Afnemer kan een derde inschakelen voor het uitvoeren van haar taak, zie Aansluitvoorwaarden Diginetwerk.
- Aangesloten Organisatie: Zie definitie Afnemer
- Diginetwerkaansluiting: Een Diginetwerkaansluiting is een IP-gerouteerd netwerkkoppelvlak, dat uitsluitend geleverd kan worden door elke Koppelnetwerkaanbieder die een samenwerkingsovereenkomst heeft met Logius. Kenmerk van de Diginetwerkaansluiting is dat zij wordt geleverd via de besloten infrastructuur van de Koppelnetwerkaanbieder waardoor het transport is gescheiden van internet. Een Diginetwerkaansluiting wordt niet via internet geleverd.
- Beveiligd Koppelvlak: Het geheel van gemeenschappelijke beveiligingsafspraken en ICT-voorzieningen die het uitwisselen van elektronische informatie tussen aangesloten ketenpartners mogelijk maakt. Deze uitwisseling is zo veel mogelijk onafhankelijk van, en pleegt geen inbreuk op, de eigen bedrijfsprocessen, bescherming van (persoons)gegevens, applicaties en infrastructuur van de betreffende ketenpartners.
- Stelselregisseur: Logius voert in opdracht van het Ministerie BZK de regie op het Afsprakenstelsel Diginetwerk.
Definitie van Diginetwerk
Diginetwerk is een afsprakenstelsel voor het koppelen van besloten netwerken voor de overheid, zodat overheidsorganisaties en organisaties en hun leveranciers met een publieke taak via deze gekoppelde netwerken onderling op veilige en betrouwbare wijze gegevens kunnen uitwisselen.
Het afsprakenstelsel realiseert één veilig besloten logisch netwerkdomein voor communicatie tussen overheidsorganisaties. Voor dit domein wordt de term Diginetwerk gebruikt. Dit naar analogie met Internet, dat technisch een logisch netwerk is, maar ook te beschouwen is als afsprakenstelsel van netwerken van verschillende aanbieders.
Diginetwerk is daarmee echter géén eenduidige technische netwerkvoorziening, onder beheer van één uitvoeringsorganisatie. Iedere Koppelnetwerkaanbieder is zelf verantwoordelijk voor het beheer van zijn netwerk en de koppeling met de daarop aangesloten organisaties. Een organisatie neemt geen aansluiting op Diginetwerk, maar een Diginetwerkaansluiting op een (of meerdere) Koppelnetwerken die deel uitmaken van het Afsprakenstelsel Diginetwerk.
In dit document wordt gesproken over “Afsprakenstelsel Diginetwerk” wanneer het afsprakenstelsel wordt bedoeld en over “Diginetwerk” wanneer het logisch netwerkdomein wordt bedoeld.
Doel van Afsprakenstelsel Diginetwerk
Het doel van het Afsprakenstelsel Diginetwerk is een veilige, efficiënte en effectieve standaardoplossing te bieden voor elektronische gegevensuitwisseling tussen overheidsorganisaties en organisaties die een taak vervullen in de publieke sector.
Diginetwerk biedt de connectiviteit waarmee elke organisatie binnen het publieke domein elke andere organisatie daarbinnen kan bereiken, op eenvoudige en gestandaardiseerde wijze via geharmoniseerde en in samenhang gekoppelde netwerken en zonder afhankelijkheid van internet.
Diginetwerk biedt veilige en betrouwbare netwerkverbindingen via een besloten infrastructuur, in tegenstelling tot publieke verbindingen over internet. Hierdoor kunnen meer garanties ten aanzien van veiligheid en betrouwbaarheid geboden worden. Diginetwerk biedt met name voordelen met betrekking tot de end-to-end beschikbaarheid van informatie-uitwisseling tussen aangesloten organisaties.
Netwerk van netwerken
Het Diginetwerk is ontstaan door het koppelen van een aantal besloten netwerken van de Overheid, waardoor het niet meer noodzakelijk was om voor iedere onderlinge koppeling een separate netwerkverbinding aan te leggen. Hierdoor konden kosten worden bespaard. In de loop der jaren zijn meerdere overheidsnetwerken aan Diginetwerk toegevoegd en is het gebruik sterk toegenomen. Anno 2021 is Diginetwerk het grootste netwerk voor communicatie tussen de verschillende overheidsorganisaties en organisaties met een publieke taak.
De aan het Afsprakenstelsel Diginetwerk deelnemende en autonoom beheerde netwerken worden Koppelnetwerken genoemd. Een organisatie die een aansluiting op een van de Koppelnetwerken heeft, heet een Aangesloten Organisatie. Het knooppunt waar alle Koppelnetwerken onderling verbonden zijn heet het Koppelnet Publieke Sector (KPS). Het geheel aan Koppelnetwerken en het KPS vormt het Diginetwerk.
Door gemeenschappelijk afspraken te maken op het gebied van connectiviteit, beschikbaarheid, beveiliging en het gebruik van standaarden kan iedere Aangesloten Organisatie via Diginetwerk communiceren met andere organisaties, met slechts één aansluiting op een van de Koppelnetwerken. Het Afsprakenstelsel Diginetwerk is gebaseerd op gemeenschappelijk aansluitvoorwaarden, beheerafspraken, de dienstbeschrijving en dit architectuurdocument.
Het concept van Afsprakenstelsel Diginetwerk wordt in figuur 1 weergegeven:
Figuur 1: Concept Afsprakenstelsel Diginetwerk
Voordelen Koppelnetwerk
Voor de Koppelnetwerkaanbieder heeft Afsprakenstelsel Diginetwerk de volgende voordelen:
- Eén groot overheidsnetwerkdomein waar in potentie alle meer dan 1600 Nederlandse overheidsorganisaties en hun leveranciers een aansluiting op hebben.
- Overheidsorganisaties en hun leveranciers hebben keuzevrijheid bij welke Koppelnetwerkaanbieder zij een Diginetwerkaansluiting afnemen.
- De Koppelnetwerken zijn via het centrale Koppelnet Publieke Sector (KPS) met elkaar verbonden. Een Koppelnetwerkaanbieder maakt op eenvoudige wijze een redundante aansluiting op het KPS om daarmee verbonden te zijn met de gehele overheid.
- Het afsprakenstelsel heeft eenduidige architectuur- en serviceafspraken waarmee interoperabiliteit tussen de verschillende Koppelnetwerken wordt mogelijk gemaakt.
Voordelen voor de Aangesloten Organisatie
Voor de Aangesloten Organisatie heeft Afsprakenstelsel Diginetwerk de volgende voordelen:
- Het besloten karakter van het Diginetwerk zorgt voor een veiliger alternatief dan het internet voor het uitwisselen van gegevens tussen overheidsorganisaties. Diginetwerk biedt met name voordelen met betrekking tot de end-to-end beschikbaarheid van informatie-uitwisseling tussen aangesloten organisaties.
- Met één netwerkaansluiting kan efficiënt en betrouwbaar gecommuniceerd worden met alle aangesloten overheidsorganisaties en hun leveranciers
- Beschikbaarheid van de connectiviteit wordt geborgd door een Service Level Agreement (SLA) over de gehele keten
- Keuzevrijheid voor publieke of private Koppelnetwerkaanbieders
- Keuzevrijheid voor een aansluiting op een of meerdere Koppelnetwerken
- Op een eenduidige wijze diensten aanbieden en/of afnemen via Diginetwerk met andere aangesloten organisaties. Zo bereiken organisaties een betere kwaliteit tegen lagere kosten
Rollen binnen het Afsprakenstelsel Diginetwerk en Governance
- De Koppelnetwerkaanbieder biedt een besloten aansluitnetwerk voor organisaties in de publieke sector. [2] Dit zijn aanbieders van Overheidsnetwerken en marktpartijen die commercieel een Koppelnetwerk exploiteren voor de overheid. De Koppelnetwerkaanbieders bieden Aangesloten Organisaties een Diginetwerkaansluiting aan. Daarnaast kunnen zij toegevoegde-waardediensten leveren zoals DNS, Email-relayservice, Cloudkoppeling, een beveiligd koppelvlak, etc. De Koppelnetwerkaanbieder heeft een aansluiting van zijn besloten netwerk op het KPS, zodat Aangesloten Organisaties van alle Koppelnetwerken met elkaar kunnen communiceren. Elk Koppelnetwerk voldoet aan de Aansluitvoorwaarden Koppelnet Publieke Sector. [2]
- De Aangesloten Organisatie is een overheidsorganisatie, een organisatie met een publieke taak, of een leverancier van deze, die gebruik maakt van Diginetwerk voor het aanbieden of afnemen van diensten en het uitwisselen van gegevens. De Aangesloten Organisatie vraagt een aansluiting aan bij een (of meerdere) Koppelnetwerkaanbieder(s). Elke Aangesloten Organisatie voldoet aan de gemeenschappelijke Aansluitvoorwaarden Diginetwerk [3] en is daar zelf voor verantwoordelijk. De Aangesloten Organisatie is ook verantwoordelijk voor het realiseren van een beveiligd koppelvlak in haar domein, en het routeren en gebruiken van toegewezen IP-adressen op het koppelvlak Diginetwerkaansluiting met Diginetwerk.
- De KPS-aanbieder zorgt dat de verschillende Koppelnetwerken onderling verbonden worden en het verkeer daartussen gerouteerd kan worden.
- De Stelselregisseur (Logius) voert de regie over het Afsprakenstelsel Diginetwerk namens de deelnemers. Zij stelt aansluitvoorwaarden op, onderhoudt contact met de Koppelnetwerkaanbieders en de KPS-aanbieder en deelt IP-adressen en domeinnamen uit. Logius regisseert de communicatie, dat wil zeggen het informeren van Koppelnetwerkaanbieders die op hun beurt hun klanten (Aangesloten Organisaties) informeren. Logius stelt informatie beschikbaar en vormt ook het ingangskanaal voor vragen over Afsprakenstelsel Diginetwerk.
De Governance van het Afsprakenstelsel Diginetwerk is beschreven in het Dossier Afspraken en Procedures Diginetwerk. [5]
Figuur 2: Rollen binnen Afsprakenstelsel Diginetwerk
Betrokken Koppelnetwerken
Bij het publiceren van deze versie zijn de volgende koppelnetwerken en aanbieders onderdeel van het Afsprakenstelsel Diginetwerk:
- Suwinet: Opdrachtgever BKWI
- eGem: Opdrachtgever eGem
- Equinix: Opdrachtgever Equinix
- KPN AoD: Opdrachtgever KPN
- Haagse Ring (*): Opdrachtgever Logius
- Rinisnet: Opdrachtgever RINIS
- Rijkswaterstaat: Opdrachtgever Rijkswaterstaat
- GGI-Netwerk: Opdrachtgever VNG Realisatie
- BT-Wolk: Opdrachtgever Logius
* Betreft VPN OSB
Logius is de opdrachtgever voor het KPS en bij het publiceren van deze versie is de gecontracteerde KPS-aanbieder Equinix.
Organisaties die een besloten datanetwerk exploiteren en willen toetreden tot het Afsprakenstelsel Diginetwerk als Koppelnetwerkaanbieder, kunnen contact opnemen met Logius voor informatie over de toetredingseisen en het toetredingsproces.
3. Principes, uitgangspunten en ontwerpbeslissingen
Kader
De essentie van het gebruikte concept voor Diginetwerk is:
- Afsprakenstelsel van besloten netwerken
- Onafhankelijk van internet voor datatransport (besloten netwerk)
- Zoveel mogelijk hergebruik van bestaande besloten overheidsnetwerken
- Interoperabiliteit door toepassen van bewezen internetstandaarden
Het uitgangspunt voor Diginetwerk is het hergebruik van bestaande en bewezen internetstandaarden om besloten interoperabiliteit te realiseren in een afspraken stelsel. Het voorbeeld is internet, dit is immers al een bewezen afsprakenstelsel van gekoppelde netwerken met interoperabiliteit op wereldschaal.
Generieke Principes
NORA [1] is gebruikt als kader voor de generieke principes van Afsprakenstelsel Diginetwerk. De volgende afgeleide principes van NORA [1] zijn als uitgangspunten voor Afsprakenstelsel Diginetwerk van toepassing:
| AP01 | Diensten zijn herbruikbaar. Diginetwerk bestaat uit herbruikbare diensten (koppelnetwerken, Rijks-DNS, etc.). Aangeboden diensten binnen Diginetwerk zijn zodanig opgezet dat andere organisaties deze kunnen hergebruiken. |
|---|---|
| AP05 | De dienst is nauwkeurig beschreven. |
| AP06 | De dienst maakt gebruik van standaard oplossingen. |
| AP07 | De dienst gebruikt open standaarden volgens de pas-toe-of-leg-uit lijst. |
| AP021 | De dienst wordt gebundeld met verwante diensten. |
| AP025 | Transparante dienstverlening. |
| AP028 | Afspraken zijn vastgelegd. |
*De nummering van NORA is overgenomen
Ontwerpprincipes
Aanvullend op de generieke principes gelden de volgende ontwerpprincipes voor Afsprakenstelsel Diginetwerk opgesteld:
| OP1 | Het netwerk kent een gesloten karakter. Er is geen directe (d.w.z. zonder beveiligd koppelvlak) koppeling met openbare netwerken zoals internet mogelijk, of aanwezig. |
|---|---|
| OP2 | Het gebruik van VPN’s op basis van (encrypted) tunnels over Internet is, voor het leveren van een Diginetwerkaansluiting is niet toegestaan. |
| OP3 | Er wordt gebruik gemaakt van een uniek publiek IP-nummerplan voor Diginetwerk [6]. Voor zowel IPv4 als IPv6 worden publieke IP-adresblokken gebruikt, die niet op internet gerouteerd worden. |
| OP4 | Tussen het KPS en de Koppelnetwerken wordt dynamische routering op basis van het BGP-4 protocol gebruikt. Er wordt gebruik gemaakt van publieke BGP AS-nummers die uitgegeven zijn door het RIPE NCC. Indien dit voor aanbieders niet mogelijk is, kan gebruikt gemaakt van een reeks private AS-nummers die door Logius worden uitgegeven en geregistreerd. |
| OP5 | Asymmetrische routering tussen het KPS en de Koppelnetwerken is toegestaan. |
| OP6 | Koppelnetwerken mogen onderling alleen via KPS communiceren. Directe koppelingen tussen Koppelnetwerken zijn niet toegestaan. |
| OP7 | De Aangesloten Organisaties resolven diginetwerk.net, diginetwerk.nl en overheid-i.nl via een conditional forward naar de Rijks-DNS. Naast deze domeinen kan ook int-gemnet.nl nog gebruikt worden met een conditional forward. Dit domein is een historische uitzondering. |
4. Vereisten
In dit hoofdstuk worden de eisen beschreven die gesteld worden aan Afsprakenstelsel Diginetwerk. Deze eisen zijn afgeleid van de algemene en ontwerpprincipes en gelden voor de Koppelnetwerken, KPS en de Aangesloten Organisaties die gezamenlijk het Afsprakenstelsel Diginetwerk vormen.
Functioneel
Diginetwerk is een schaalbaar, breedbandig en hoog beschikbaar transportnetwerk dat ondersteunend is aan de primaire taken van de overheid. Onder meer worden hieronder de volgende functies en diensten onderkend:
- Raadplegen van (basis)registers.
- Uitwisselen van gestructureerde gegevens zoals elektronische (berichten)diensten.
- Uitwisselen van ongestructureerde gegevens zoals email.
- Ontsluiten van intranet-websites.
- Gemeenschappelijk gebruik van authenticatie-diensten, sites en bestanden.
- Koppeling naar Cloud-providers.
- Datacenter-replicatie.
- Datacenter-synchronisatie.
| Eis 1 | Diginetwerk is ondersteunend aan de primaire taken van de overheid. |
|---|
De belangrijkste functionele eis voor het Afsprakenstel Diginetwerk is dat de gezamenlijke besloten Koppelnetwerken één besloten logisch netwerk voor de overheid moet vormen. Er mogen geen directe koppelingen van Koppelnetwerken van Diginetwerk met openbare netwerken gemaakt worden. Datatransport via Diginetwerk moet onafhankelijk van internet kunnen werken. Voor het tot stand komen van datatransport wordt vaak gebruik gemaakt van PKI-certificaten, en eventueel andere voorzieningen die wel afhankelijk zijn van Internet. Voor dit doel is het toegestaan om een beveiligde koppeling met internet te gebruiken.
| Eis 2 |
Datatransport via Diginetwerk is onafhankelijk van het internet. |
|---|
IP-adressen
Diginetwerk maakt gebruik van een uniek IP-nummerplan met “public” IPv4- en IPv6-adressen die niet op internet worden gerouteerd (ontwerpprincipe OP3). De overkoepelende IP-reeksen die voor dit nummerplan zijn vastgesteld worden gepubliceerd op de Samenwerkruimte Diginetwerk. [6]
IPv4 is bij publicatie van deze versie van het Architectuurdocument het standaard protocol voor IP-adressen op Diginetwerk. De hoeveelheid vrije publieke IP-adressen in de Diginetwerk-pool is echter beperkt en kan door de wereldwijde schaarste aan publieke IPv4-adresssen moeilijk aangevuld worden. Om deze reden is het noodzakelijk ook IPv6 voor Diginetwerk mogelijk te maken en is het KPS daar in 2020 geschikt voor gemaakt. Afnemers kunnen gebruik maken van IPv6 via Koppelnetwerkaanbieders die dit aanbieden.
Er is een verschil in de wijze van toekennen van IP-adressen aan Koppelnetwerken en Aangesloten Organisaties tussen IPv4 en IPv6. De reden hiervoor is dat voor IPv4 een historische afspraak geldt dat alleen publieke IP-adressen uit door Logius beheerde IP-reeksen worden toegekend, terwijl bij IPv6 de afspraken uit het Overheidsbreed IPv6-nummerplankader gelden, waarbij een organisatie een serie IPv6-reeksen krijgt voor gebruik op Internet, Diginetwerk en andere besloten Overheidsnetwerken. [4]
IPv4
Voor IPv4 is het uitgangspunt dat een Aangesloten Organisatie een IP-reeks voor Diginetwerk ontvangt van zijn Koppelnetwerkaanbieder. Een IPv4-adres op Diginetwerk is daarmee standaard Koppelnetwerkafhankelijk (vergelijkbaar met Provider-aggregatable address space (PA) op internet).
Logius beheert een aantal grote blokken publieke IPv4-adressen. Logius geeft hieruit grote IP-reeksen uit aan de Koppelnetwerkaanbieders, die ze verder verdelen onder de Aangesloten Organisaties.
Voor Koppelnetwerk KPN AoD geldt een historische uitzondering dat zij zelf een aantal blokken publieke IPv4-adressen uit haar eigen voorraad op Diginetwerk gebruiken. Deze reeksen zijn opgenomen in het Diginetwerk IP-nummerplan.
Voor Aangesloten Organisaties die “multihomed” aansluiten op meerdere Koppelnetwerken zijn IP-adressen uitgegeven door een Koppelnetwerk onwerkbaar. Voor dit specifieke doel is een reeks Koppelnetwerkonafhankelijke IPv4-adressen opgenomen in het Diginetwerk-nummerplan. Deze IPv4-adressen worden direct door Logius uitgedeeld.
| Eis 3 | Voor IPv4 krijgen Aangesloten Organisaties een reeks IPv4-adressen van de Koppelnetwerkaanbieder. Voor Aangesloten Organisaties met een redundante koppeling met twee Koppelnetwerken wordt een Koppelnetwerkonafhankelijke reeks door Logius toegekend. |
|---|
IPv6
Voor IPv6 is het uitgangspunt dat een Aangesloten Organisatie zijn IP-reeks aanvraagt bij Logius. Een IPv6-adres op Diginetwerk is daarmee standaard Koppelnetwerkonafhankelijk (vergelijkbaar met provider-independent address space (PI) op internet).
Deze IPv6-reeks voor Diginetwerk is onderdeel van een serie IPv6-reeksen die een organisatie krijgt toegewezen voor gebruik op netwerken met verschillende vertrouwensniveaus conform NORA. De toegekende reeksen kunnen vervolgens worden gebruikt op Internet, Diginetwerk en andere besloten Overheidsnetwerken.
Het verschil tussen de verschillende IPv6-reeksen blijkt uit het 9e hexadecimale getal in het IPv6-adres. Voor Diginetwerk is dit getal altijd 2. De drie daaropvolgende hex-getallen zijn specifiek voor de organisatie die er gebruik van maakt en die op deze wijze herleidbaar is aan het IPv6-adres. Uitzondering hierop zijn een paar grote uitvoeringsorganisaties van het Rijk, die een grotere IPv6-reeks hebben ontvangen en herkenbaar zijn aan het 8e hexadecimale getal in het adres.
Voorbeeld gemeente Juinen:
| Toekenning prefix Juinen | Netwerkcategorie |
|---|---|
| 2A07:3500:1FF0::/46 | Onvertrouwd (gebruik o.a. op Internet) |
| 2A07:3500:2FF0::/46 | Semi-vertrouwd (Diginetwerk) |
| 2A07:3500:3FF0::/46 | Semi-vertrouwd |
| 2A07:3500:5FF0::/46 | Vertrouwd |
Juinen vraagt IPv6-adressen aan bij Logius en krijgt vier IPv6-reeksen toegekend. Juinen is herkenbaar aan de hexadecimale getallen FF0. Voor Diginetwerk gebruikt Juinen alleen de reeks 2A07:3500:2FF0::/46
Aangesloten Organisaties (overheden en leveranciers) vragen hun IPv6-adressen direct aan bij Logius conform de richtlijnen uit het Overheidsbreed IPv6-nummerplankader []. Koppelnetwerkaanbieders krijgen van Logius een eigen IPv6-reeks voor Koppelnetwerk-specifieke koppelingen en diensten. Deze IPv6-adressen mogen niet gebruikt worden voor Aangesloten Organisaties, of diensten die ook vanuit andere Koppelnetwerken bereikbaar moeten zijn.
| Eis 4 | Voor IPv6 krijgt de Aangesloten Organisatie een reeks IPv6-adressen van Logius conform het Overheidsbreed IPv6-nummerplankader. Koppelnetwerken krijgen een IPv6-reeks voor Koppelnetwerkspecifieke doeleinden. |
|---|
Beschikbaarheid, schaalbaarheid en performance
De Koppelnetwerken van Diginetwerk en het KPS dienen 7 x 24 uur beschikbaar te zijn. Verstoringen dienen ook gedurende deze periode gemeld en verholpen te worden, conform de oplostijden zoals beschreven in het DAP [5]. De beschikbaarheid van Diginetwerk dient dermate hoog te zijn, dat afnemers ervaren dat diensten binnen het stelsel altijd beschikbaar zijn. Wijzigingen die het gehele stelsel raken worden conform de procedures in het DAP vooraf aan alle deelnemers gemeld.
| Eis 5 | De Koppelnetwerken van Diginetwerk en het KPS zijn 7 x 24 uur beschikbaar. |
|---|
Om de continue beschikbaarheid te borgen dienen Koppelnetwerken redundant en met automatische fail-over op het KPS te worden aangesloten.
| Eis 6 | De Koppelnetwerken dienen redundant en met automatische fail-over op het KPS aangesloten te worden. |
|---|
De schaalbaarheid van Diginetwerk dient zodanig te zijn dat de vraag in groei aan capaciteit ingevuld kan worden. In beginsel zijn Diginetwerkaansluitingen van 100 Mbps en 1 Gbps leverbaar, maar dit moet kunnen doorgroeien naar 10 Gbps en hoger indien de vraag van Aangesloten Organisaties dit vereist.
| Eis 7 | Diginetwerkaansluitingen worden geleverd met een capaciteit van 100 Mbps, 1 Gbps, of hoger. Een Koppelnetwerk dient schaalbaar te zijn, zodat in de toekomst ook 10 Gbps of hoger geleverd kan worden. |
|---|
Eisen aan de maximale vertraging in het netwerk:
- Maximale Round trip delay (RTD) in een Koppelnetwerk van aansluiting Aangesloten Organisatie tot KPS: 10 ms
- Maximale Round trip delay (RTD) binnen het KPS: 1 ms
Gemeten met een pakket van 100 Bytes bij een belasting van minder dan 80% van de maximale capaciteit van resp. aansluiting Aangesloten Organisatie en aansluiting op KPS.
| Eis 8 | De vertraging in Diginetwerk is maximaal 21 ms RTD van Diginetwerkaansluiting tot Diginetwerkaansluiting. |
|---|
Quality of Service
Quality of Service (QoS) is een belangrijke functie om netwerken zoals Diginetwerk geschikt te maken voor verschillende verkeersstromen zoals data, spraak en video. QoS zorgt ervoor dat verschillende verkeerstypen de juiste behandeling in het netwerk krijgen. Zo is spraakverkeer veel gevoeliger voor vertraging dan video of dataverkeer. Ook heeft bulk-dataverkeer (bestandsoverdracht, replicaties, back-ups) andere behoefte dan dat interactief dataverkeer zoals bijvoorbeeld Citrix of VDI.
Bij publicatie van deze versie is Quality of Service nog niet geactiveerd door de Koppelnetwerkaanbieders en de KPS-aanbieder van Diginetwerk. QOS kan geactiveerd worden op basis van een klantvraag.
Voor een juiste werking van QoS tussen verschillende organisaties zal de inrichting afgestemd moeten worden. Deze paragraaf beschrijft de inrichting van QoS voor Diginetwerk, deze is gebaseerd op IETF-standaard RFC-4594; “Figure 3, DSCP to Service Class Mapping” en wordt veel toegepast. De QoS-inrichting voor Diginetwerk is gelijk aan die van het Rijks OverheidsNetwerk (RON), zodat QoS ook goed kan functioneren tussen op Diginetwerk en RON aangesloten organisatie.
Deze QoS-instellingen kunnen ook binnen aangesloten organisaties gebruikt worden, maar noodzakelijk is dat niet. Indien een organisatie andere instellingen gebruik zal er op het koppelvlak met Diginetwerk, de Diginetwerkaansluiting, mogelijk een vertaalslag gemaakt moeten worden.
| Eis 9 | Voor Diginetwerk wordt QoS uitsluitend afgestemd voor verkeersstromen tussen de Diginetwerkaansluitingen van Aangesloten Organisaties. De Diginetwerk QoS-standaard kan ook binnen een Aangesloten Organisatie gebruikt worden, maar dat is niet verplicht. |
|---|
De implementatie van QoS bestaat uit het classificeren en markeren van verkeer en het toepassen van QoS-bewerkingen op tussenliggende netwerkapparatuur, gebaseerd op deze QoS-markering. Classificeren en QoS-markering worden over het algemeen bij voorkeur zo dicht mogelijk bij de bron uitgevoerd, bijvoorbeeld op de aangesloten apparatuur (PABX, videoconferentiesets), of door de gebruikte applicaties. Dit maakt verkeer direct herkenbaar, zodat een verkeersstroom end-to-end voordeel kan hebben van QoS.
Het classificeren en markeren van verkeer is een verantwoordelijkheid van de aangesloten organisatie. Diginetwerk speelt daar geen rol in. Koppelnetwerken kunnen QoS-classificatie en -markering als dienst aanbieden voor Aangesloten organisaties.
| Eis 10 | Aangesloten organisaties zijn verantwoordelijk voor de correcte QoS-classificatie en markering van hun verkeersstromen op de Diginetwerkaansluiting. Koppelnetwerken kunnen QoS-classificatie en -markering als dienst aanbieden op de Diginetwerkaansluiting. |
|---|
Indien een Koppelnetwerk de QoS-bewerkingen zoals in deze paragraaf beschreven (nog) niet ondersteunt zal dit Koppelnetwerk aangeboden QoS-markeringen transparant en zonder aanpassingen transporteren. Dit zorgt ervoor dat de QoS-markering van het verkeer herkenbaar blijft en in andere Koppelnetwerken gebruikt kan worden.
| Eis 11 | De Koppelnetwerken zullen QoS-bewerkingen conform deze specificatie toepassen en als het Koppelnetwerk QoS (nog) niet ondersteunt zal het Koppelnetwerk de QoS-markeringen transparant transporteren. |
|---|
Het Diginetwerk QoS-model is gebaseerd op Diffserv en volgt RFC4594. In deze RFC wordt een aanbeveling voor mapping van applicaties, service-klassen en DiffServ Code Points oftewel DSCP's beschreven. Deze DiffServ Code Points vormen de markering waarmee de QoS-klasse van een verkeersstroom aangegeven wordt.
Voor Diginetwerk wordt het aantal serviceklassen beperkt tot vier klassen voor gebruikersverkeer en één Network Control-klasse voor beheer/management van het netwerk. Dit is een veel gebruikt model, enerzijds omdat apparatuur regelmatig niet meer klassen ondersteunt, anderzijds om het beheer eenvoudig te houden. De volgende vijf serviceklassen die voor Diginetwerk gebruikt zullen worden zijn:
- Network Control
- Spraak
- Video
- Bulk
- Standaard
Andere serviceklassen/verkeersstromen zullen in eerste instantie ingedeeld worden in Spraak, Video, Bulk of Standaard-klasse. Het opnemen van een extra serviceklasse kan als doorontwikkelingsverzoek worden aangemeld bij Logius.
| Service Class Name | DSCP Name | Application Examples | Diginetwerk-naam |
|---|---|---|---|
| Network Control | CS6 | Network routing | Network Control |
| Telephony | EF | IP Telephony bearer | Spraak |
| Signaling | CS5 | IP Telephony Signaling | - |
| Multimedia Conferencing | AF41, AF42,AF43 | H.323/V2 video conferencing (adaptive) | Video |
| Real-Time Interactive | CS4 | Video conferencing and Interactive gaming | - |
| Multimedia Streaming | AF31, AF32,AF33 | Streaming video and audio on demand | - |
| Broadcast Video | CS3 | Broadcast TV& live events | - |
| Low-Latency Data | AF21, AF22,AF23 | Client-server transactions Web-based ordering | - |
| OAM | CS2 | OAM&P | - |
| High-Throughput Data | AF11, AF12,AF13 | Store and forward applications | Bulk |
| Standard | DF (CS0) | Undifferentiated applications | Standaard |
| Low-Priority Data | CS1 | Any flow that has no BW assurance | - |
Tabel 1: QOS-indeling RFC4594 - DSCP to Service Class Mapping, met vetgedrukt de voor Diginetwerk gereserveerde klassen met de Diginetwerk-naamgeving.
| Eis 12 | Diginetwerk maakt naast de standaard Network Control-klasse gebruik van de vier QoS-klassen: Spraak, Video, Bulk en Standaard. De Videoklasse wordt tevens gebruikt voor Citrix en VDI-verkeer. De verkeersklassen zijn herkenbaar aan de DSCP-codering zoals in Tabel 1 beschreven. |
|---|
De Koppelnetwerken zorgen er met hun QoS-bewerkingen voor dat verkeer in een bepaalde verkeersklasse behandeld wordt zodat dit resulteert in acceptabele bandbreedte, delay, jitter en packetloss voor de betreffende verkeersstroom. Om QoS end-to-end te laten functioneren zullen Aangesloten organisaties er ook in hun netwerk voor moeten zorgen dat elke verkeersstroom een behandeling krijgt die resulteert in acceptabele bandbreedte, delay, jitter en packetloss.
Op het Diginetwerkkoppelvlak met de Aangesloten organisatie geldt dat per klasse een minimale bandbreedte gereserveerd kan worden. In tabel 2 is hiervan een voorbeeld gegeven. Hierbij geldt steeds dat als de gereserveerde bandbreedte binnen een klasse niet volledig gebruikt wordt, deze bandbreedte ter beschikking komt van de andere klassen. Dus als er bijvoorbeeld geen verkeer in de overige klassen gebruikt wordt, dan kan de Bulk-klasse zelfs volledige bandbreedte van de verbinding gebruiken. Als alle klassen volledig gebruikt worden blijft nog 5% van de bandbreedte over voor Bulk-verkeer.
| Klasse | QoS-markering (DSCP Code) | Bandbreedte koppelvlak (voorbeeld) |
|---|---|---|
| Spraak | EF | 5% |
| Video (incl. VDI, Citrix) | AF41/AF42/AF43 | 20% |
| Standaard | Overige DSCP waarden | 70% |
| Bulk | AF11/AF12/AF13 | 5% |
| Totaal | 100% |
Tabel 2: Voorbeeld verkeersklasse en QoS markering op basis van DSCP-code
| Eis 13 | Op het Diginetwerkkoppelvlak met de Aangesloten organisatie is het mogelijk aan elke klasse een minimale hoeveelheid bandbreedte toe te delen. Als deze bandbreedte niet benut wordt, kan deze door verkeer in de ander klassen gebruikt worden. |
|---|
Koppelvlak Aangesloten Organisatie - Koppelnetwerk
De specificaties van de aansluitingen van Aangesloten Organisaties (type stekker/connector, glas, koper, bandbreedte) kunnen variëren bij de verschillende Koppelnetwerken. Koppelnetwerken dienen zowel enkelvoudige als redundante aansluitingen op het Koppelnetwerk te kunnen leveren. Organisaties mogen ook een redundante aansluiting realiseren door op twee Koppelnetwerken te koppelen, indien dit door de betrokken Koppelnetwerken ondersteund wordt.
| Eis 14 | De klantaansluitingen en koppelvlakken zijn gebaseerd op gebruikelijke glas- en koperinterfaces. De aansluitingen hebben een capaciteit van minimaal 100 Mbps, of hoger. Op OSI-model laag 1 worden interfaces op koper en glas aangeboden, op laag 2 Ethernet en op laag 3 IP. |
|---|
Koppelnetwerken dienen zowel enkelvoudige (optie 1) als redundante Diginetwerkaansluitingen (optie 2) op het Koppelnetwerk te kunnen leveren. Organisaties mogen ook een redundante aansluiting realiseren door op twee verschillende Koppelnetwerken te koppelen (optie 3), indien dit door de betrokken Koppelnetwerken ondersteund worden. De drie opties voor Diginetwerkaansluitingen zijn in onderstaande tekening weergegeven:
Figuur 3: Aansluitopties voor Aangesloten Organisaties op Koppelnetwerken
| Eis 15 | Koppelnetwerken dienen zowel enkelvoudige als redundante Diginetwerkaansluitingen op het Koppelnetwerk te kunnen leveren. Organisaties mogen ook een redundante aansluiting realiseren door op twee verschillende Koppelnetwerken te koppelen, indien dit door de betrokken Koppelnetwerken ondersteund wordt. |
|---|
De Stelselregisseur stelt de aansluitvoorwaarden voor het Afsprakenstelsel Diginetwerk op. Door het ondertekenen van aansluitvoorwaarden en de overeenkomsten worden alle aangesloten organisaties en de koppelnetwerkaanbieders gehouden aan de gestelde eisen om de goede en veilige werking van Diginetwerk te waarborgen.
De aangesloten organisaties en de koppelnetwerken zijn zelf verantwoordelijk voor het naleven van de afspraken en de verantwoording hierover.
| Eis 16 | Elke aangesloten Organisatie voldoet aan de aansluitvoorwaarden Diginetwerk [2]. |
|---|
Koppelvlak Koppelnetwerk-KPS
In deze paragraaf staan de technische specificaties benoemd waaraan het koppelvlak tussen Koppelnetwerk en het KPS minimaal moet voldoen.
Het koppelvlak tussen een Koppelnetwerk en het KPS is gebaseerd op de gebruikelijke netwerkstandaarden en snelheden. Op laag 1 worden interfaces op standaard op single-mode glas aangeboden en optioneel op multi-mode en koper. Op laag 2 op Ethernet en op laag 3 op IP. Koppelnetwerkaanbieders en de KPS-leverancier mogen additionele standaarden overeenkomen. Logius kan de set minimaal te ondersteunen standaarden aanpassen als er vraag naar is (bijvoorbeeld hogere bandbreedte).
In onderstaande tabel zijn de interface-opties van KPS weergegeven.
| Aansluiting KPS | Interface-opties |
|---|---|
| 1 Gbps | - Single Mode (1G-LX) - Multi-mode (1G-SX) - Koper (1G-T) |
| 10 Gbps | - Single Mode (10G-LR) - Multi-mode (10G-SR) |
| 40/100 Gbps | - Single Mode (40/100G-LR4) - Multi-mode (40/10G-SR4) |
Opmerkingen bij de tabel: Single-mode: standaard, Multi-mode: op speciaal verzoek, Koper/100Mbps: op speciaal verzoek, geleverd op 1GE Koper; legacy, alleen t.b.v. backward-compatibiliteit.
Tabel 1: Interface-opties KPS
| Eis 17 | Het koppelvlak tussen een Koppelnetwerk en een KPS is gebaseerd op de gebruikelijke netwerkstandaarden en snelheden. Op OSI-laag 1 worden interfaces standaard op single-mode glas aangeboden en optioneel op multi-mode en koper. Op OSI-laag 2 op Ethernet en op OSI-laag 3 op IP. In alle gevallen wordt gebruik gemaakt van auto-negotiate en full duplex. |
|---|
De Koppelnetwerken dienen Ethernet-frames met een MTU van minimaal 1500 bytes kunnen transporteren, bij voorkeur wordt een MTU van 9000 bytes ondersteund. KPS ondersteunt standaard een MTU van 9000 bytes.
| Eis 18 | Koppelnetwerken ondersteunen minimaal een Ethernet MTU van 1500 bytes en bij voorkeur een Ethernet MTU van 9000 bytes. KPS ondersteunt standaard een Ethernet MTU van 9000 bytes. |
|---|
Routering op het koppelvlak tussen een Koppelnetwerk en KPS is dynamisch en gebaseerd op BGP-4. Hierbij wordt gebruik gemaakt van publieke AS-nummers die uitgegeven zijn door het RIPE NCC. Indien dit voor een Koppelnetwerkaanbieder niet mogelijk is, kan gebruikt gemaakt worden van private AS-nummers die door Logius worden uitgegeven en geregistreerd. Een Koppelnetwerk en het KPS dienen zowel het gebruik van 16-bit als 32-bit AS-nummers te ondersteunen.
| Eis 19 | Routering op het koppelvlak tussen een Koppelnetwerk en het KPS is gebaseerd op BGP-4 en gebruikt door RIPE of Logius geregistreerde AS-nummers. Zowel 16-bit als 32-bit AS-nummers dienen ondersteund te worden. |
|---|
De Koppelnetwerkaanbieder is verantwoordelijk voor de verbinding van het Koppelnetwerk naar het KPS. De Koppelnetwerkaanbieder plaatst zijn router, onder begeleiding van de KPS-leverancier in de kasten van het KPS, welke voorzien zijn van 2 onafhankelijke spanningsgroepen. De apparatuur dient te passen binnen de daarvoor toegewezen ruimte van max. 4 hoogte-eenheden en moet verbonden worden met een vrije positie op het patchpaneel (koper of glas). De KPS-leverancier kan daarna de koppeling met het KPS realiseren op afstand, of door het aanbrengen van een patchverbinding. Andere aansluitopties kunnen in overleg met de KPS-aanbieder en Logius worden besproken.
| Eis 20 | Koppelnetwerkaanbieders plaatsen hun netwerkapparatuur, waaronder ten minste een IP-router, in de kasten van het KPS. De beschikbare ruimte is max. 4 hoogte-eenheden. Andere aansluitopties kunnen in overleg met de KPS-aanbieder en Logius worden besproken. |
|---|
De Koppelnetwerkaanbieder dient op elke KPS-locatie een IP-router te plaatsen en te verbinden met het OSI-laag 2 KPS-netwerk. De IP-adressen voor de koppeling wordt door de KPS-leverancier uit naam van Logius toegewezen. Op elke KPS-aansluitpoort wordt maximaal één MAC-adres toegelaten.
| Eis 21 | Koppelnetwerkaanbieders plaatsen op iedere KPS-locatie een IP-router voor de koppeling met KPS. Het IP-adres wordt toegewezen door de KPS-leverancier. Er wordt per aansluitpoort maximaal één MAC-adres toegelaten. |
|---|
De Stelselregisseur stelt de aansluitvoorwaarden voor het Koppelnet Publieke Sector op. Met de ondertekening van de aansluitvoorwaarden en de overeenkomsten worden alle koppelnetwerkaanbieders gehouden aan de gestelde eisen om de goede en veilige werking van Diginetwerk te waarborgen.
De koppelnetwerken zijn zelf verantwoordelijk voor het naleven van de afspraken en de verantwoording hierover.
| Eis 22 | Elke Koppelnetwerk voldoet aan de aansluitvoorwaarden Koppelnet Publieke Sector. [3] |
|---|
Beveiliging
Het basisbeveiligingsniveau van het Afsprakenstel Diginetwerk is een semi-vertrouwde zone conform de definitie in de NORA.
| Eis 23 | Binnen Diginetwerk is het basisbeveiligingsniveau semi-vertrouwd. |
|---|
De Aangesloten Organisatie die op een of meer Koppelnetwerken een Diginetwerkaansluiting afneemt, dient de aansluiting(en) via een beveiligd koppelvlak zelf te termineren, ongeacht of het bedrijfsnetwerk van de AO een gelijk, hoger of lager beveiligingsniveau heeft.
| Eis 24 | Een Aangesloten Organisatie die een Diginetwerkaansluiting afneemt, dient de aansluiting op een beveiligd koppelvlak te termineren. |
|---|
De Aangesloten Organisatie beveiligt zijn netwerk en aansluiting op een Koppelnetwerk conform de informatiebeveiliging- standaarden zoals beschreven in de BIO, of NEN-ISO/IEC 27001 en NEN-ISO/IEC 27002 indien het geen Overheidsorganisatie betreft.
| Eis 25 | Aangesloten Organisaties die op een van de koppelnetwerken van Diginetwerk aansluiten dienen hun netwerk en aansluiting op het Koppelnetwerk te beveiligen conform de BIO of NEN-ISO/IEC 27001/NEN-ISO/IEC 27002 standaarden. |
|---|
Om het besloten karakter van Diginetwerk te garanderen mag op Diginetwerk alleen IP-verkeer gerouteerd worden afkomstig van IP-adressen die door Logius voor Diginetwerk zijn vastgesteld en geregistreerd. Het nummerplan Diginetwerk met de vastgestelde IP-adressen is gepubliceerd op de Samenwerkruimte Diginetwerk.
Indien een Koppelnetwerkaanbieder verkeer met van dit nummerplan afwijkende IP-adressen aantreft, dient dit onmiddellijk gerapporteerd te worden aan Logius.
| Eis 26 | Binnen Diginetwerk mag alleen IP-verkeer gerouteerd worden afkomstig van IP-adressen die door Logius voor Diginetwerk zijn vastgesteld en geregistreerd. Indien onbekend en/of onvertrouwd verkeer in Diginetwerk aangetroffen wordt door een Koppelnetwerkaanbieder, dient dit onmiddellijk aan Logius gerapporteerd te worden. |
|---|
Diginetwerk is verder transparant voor IP-verkeer met adressen in de voor Diginetwerk vastgestelde IP-reeksen. Dit wil zeggen dat het KPS en Koppelnetwerken IP-verkeer transparant moeten doorgeven en geen protocollen of IP-adressen binnen de vastgestelde IP-reeksen mogen blokkeren of uitfilteren. Verkeer dat buiten vastgestelde Diginetwerk IP-reeksen valt, moet wel geblokkeerd worden.
Alleen de Aangesloten Organisaties mogen onderscheid aanbrengen welke andere organisaties hun diensten mogen afnemen. De aanbiedende Organisatie mag hiervoor maatregelen toepassen zoals IP- of poortfiltering, authenticatie en autorisatiefiltering.
| Eis 27 |
KPS en de Koppelnetwerken van Diginetwerk zijn transparant voor IP-verkeer met adressen in de voor Diginetwerk vastgestelde IP-reeksen [6]. Adressen buiten deze reeksen worden geblokkeerd. |
|---|
Een belangrijke functie van Diginetwerk is het transparant overbrengen van IP-pakketten tussen Diginetwerkaansluitingen. Hierom mogen er tussen de Koppelnetwerken en KPS en op de Diginetwerkaansluiting van het Koppelnetwerk naar de Aangesloten Organisatie geen blokkerende firewalls of IP-filters aanwezig zijn voor de afgesproken Diginetwerk IP-reeksen [6]. Transport van IP-pakketten met vastgestelde IP-adressen wordt transparant doorgelaten.
| Eis 28 | Tussen de Koppelnetwerken en KPS en op de Diginetwerkaansluiting van het Koppelnetwerk naar de Aangesloten Organisatie mogen geen blokkerende firewalls of IP-filters aanwezig zijn voor de afgesproken Diginetwerk IP-reeksen. Transport van IP-pakketten met vastgestelde IP-adressen wordt transparant doorgelaten. |
|---|
Eis 29 heeft tot gevolg dat Koppelnetwerkaanbieders verplicht zijn om uitgaand verkeer naar het KPS te controleren op source IP-adressen en pakketten met een source IP-adres dat niet tot het vastgestelde IP-nummerplan Diginetwerk behoort. Indien er afwijkende IP-adressen zijn aangetroffen dient het verkeer met die adressen verwijderd te worden, zogenaamde anti-spoofing protectie. De KPS-aanbieder zorgt ervoor dat geen IP-routes/prefixes geïnjecteerd en gerouteerd worden die buiten de vastgestelde IP-reeksen vallen.
| Eis 29 | Koppelnetwerkaanbieders zijn verplicht anti-spoofing protectie toe passen op hun koppelvlak met het KPS. |
|---|
| Eis 30 | De KPS-aanbieder zorgt ervoor dat er geen IP routes/prefixes in BGP geïnjecteerd of verspreid worden die niet behoren tot de vastgestelde IP-adressen van Diginetwerk. |
|---|
Beheer
Vanwege het stelselkarakter van Diginetwerk zijn heldere afspraken over het beheer noodzakelijk. Er zijn vaak meerdere partijen bij een wijziging of incident betrokken. In het Dossier Afspraken en Procedures Diginetwerk [5] zijn de processen beschreven. In deze paragraaf worden enkele beheervereisten vanuit de architectuur beschreven.
Omdat in het Afsprakenstelsel Diginetwerk meerdere partijen bij beheer betrokken zijn, is het essentieel dat de verschillende partijen gezamenlijk een goed inzicht en overzicht hebben van de status van netwerken, diensten en componenten die samen de Diginetwerkinfrastructuur vormen. Logius heeft hiertoe centrale beheertooling ingericht, welke door de Aangesloten Organisaties, Koppelnetwerkenaanbieders en de KPS-aanbieder gebruikt kunnen worden. Essentieel voor het goed functioneren van deze tooling is het kunnen vergaren van informatie van diverse componenten in de Diginetwerk-keten.
Hiervoor wordt door Logius met de KPS-leverancier en Koppelnetwerkaanbieders een aantal routers of testsystemen bepaald die middels probes gepolled worden met netwerkprotocollen, waaronder ping, TCP-connect, SNMP en HTTP-queries. Aangesloten Organisaties kunnen op verzoek ook in overleg met Logius systemen aan de beheertooling toe laten voegen.
| Eis 31 | Koppelnetwerkaanbieders en de KPS-leverancier verplichten zich de centrale beheertooling van Logius van adequate informatie te voorzien. Hiervoor worden in overleg met Logius routers en testsystemen bepaald die vanuit probes gepolled worden netwerkprotocollen, waaronder ping, TCP-connect, SNMP en HTTP-queries. |
|---|
Informatie over de routering en beschikbare prefixes is essentieel bij het oplossen van incidenten. Hiertoe zullen Koppelnetwerkaanbieders en de KPS-aanbieder een “BGP looking glass”-dienst leveren. Deze looking glass-tool geeft inzicht in de BGP-routering, ping- en traceroute-gegevens binnen Diginetwerk, gezien vanuit het Koppelnetwerk of KPS.
| Eis 32 | Koppelnetwerkaanbieders en de KPS-leverancier geven inzicht in de Diginetwerk-BGP-routering, ping- en traceroute gegevens, door middel van BGP looking glass-tools die toegankelijk zijn voor alle deelnemers in het stelsel. |
|---|
In de Koppelnetwerken en in het KPS zijn test-websites beschikbaar, waar een http-sessie naar toe gemaakt kan worden. Deze site geeft het IP-adres terug van de initiator.
| Eis 33 | Koppelnetwerkaanbieders en de KPS-leverancier stellen in hun netwerkdeel van de Diginetwerkinfrastructuur een testwebsite beschikbaar waar een http-sessie naar toe gemaakt kan worden en het IP adres van de initiator teruggeeft. |
|---|
Voor beheer is het belangrijk dat alle deelnemers aan het Afsprakenstelsel Diginetwerk (Koppelnetwerken en Aangesloten Organisaties) het pad waarover gerouteerd wordt (met traceroute) en de maximale MTU (met Path MTU Discovery, PMTUD) kunnen bepalen. Deelnemers aan het stelsel dienen de hiervoor benodigde protocollen te ondersteunen en toe te laten tot aan het systeem wat direct aan Diginetwerk is aangesloten.
| Eis 34 | Koppelnetwerken en Aangesloten Organisaties dienen maatregelen te nemen waarmee traceroute en PMTUD volledig ondersteund worden tot aan het systeem wat direct aan Diginetwerk is aangesloten. |
|---|
5. Referenties
- [1] Nederlandse Overheid Referentie Architectuur. NORA is gepubliceerd op de website: https://www.noraonline.nl/wiki/NORA_online
- [2] Aansluitvoorwaarden Diginetwerk
- [3] Aansluitvoorwaarden Koppelnet Publieke Sector
- [4] Overheidsbreed IPv6-nummerplankader.
De documenten 2-4 zijn gepubliceerd op de Logius-website: https://www.logius.nl/diensten/diginetwerk/documentatie
- [5] Dossier Afspraken en Procedures Diginetwerk
- [6] IP-nummerplan Diginetwerk voor IPv4 en IPv6
De documenten 5-6 zijn gepubliceerd op de besloten samenwerkruimte Diginetwerk
6. Afkortingen
Terminologie die in dit document zijn gebruikt.
| Term | Uitleg |
|---|---|
| AO | Aangesloten Organisatie |
| AoD | Aansluiting op Diginetwerk |
| AS-nummer | Autonomous System-nummer |
| BGP | Border Gateway Protocol |
| BIO | Baseline Informatiebeveiliging Overheid. Een gemeenschappelijk normenkader, gebaseerd op de internationale norm ISO 27001/2 voor de beveiliging van de informatie(systemen) van de overheid; |
| DNS | Domain Name System |
| DNSSEC | Domain Name System Security Extensions |
| FQDN | Fully Qualified Domain Name |
| ICMP | Internet Control Message Protocol |
| IP | Internet Protocol |
| ISO/IEC | International Organization for Standardization / International Engineering Consortium |
| KPS | Koppelnet Publieke Sector |
| NORA | Nederlandse Overheid Referentie Architectuur |
| ODC | OverheidsDataCenter |
| OSB | OverheidsServiceBus |
| PKI | Public Key Infrastructure |
| QoS | Quality of Service |
| RINIS | Routeringsinstituut (inter)nationale informatiestromen |
| RIPE | Réseaux IP Européens |
| RON | Rijksoverheidsnetwerk |
| SLA | Service Level Agreement |
| SNMP | Simple Network Management Protocol |
| SNO | Service Niveau Overeenkomst |
| Testa | Trans European Services for Telematics between Administrations |
| TLS | Transport Layer Security |
| UDP | User Datagram Protocol |
| URL | Uniform Resource Locator |
| VPN | Virtual Private Network |
| ZBO | Zelfstandig bestuursorgaan |