Hoofdinhoud
Het Nationaal Beraad heeft in 2015 overheidsbeleid vastgesteld om gebruik te maken van overheidseigen IPv6-adressen. De uitwerking van dit beleid is beschreven in dit Overheidsbreed IPv6-nummerplankader.
Alle overheidsorganisaties binnen Nederland kunnen via Logius IPv6-adresreeksen aanvragen uit door RIPE NCC toegewezen IPv6-reeksen voor de Nederlandse Overheid. De IPv6-reeksen worden op een gestandaardiseerde manier ingezet voor internetgebruik en het gebruik van de besloten netwerken van de overheid zoals Diginetwerk. Door deze afspraak is het mogelijk om IP-pakketten eenvoudig te identificeren als komende van een overheidsorganisatie en een globale inschatting van het gewenste beveiligingsniveau te maken.
Dit IPv6-nummerplankader is zo opgezet dat het voldoende toekomstvast is om 20 tot 30 jaar gebruikt te kunnen worden. Binnen dit nummerplankader wordt de helft van de nu beschikbare IPv6-adressen ingedeeld. De andere helft blijft gereserveerd om ook voor toekomstige ontwikkelingen voldoende IPv6-adressen beschikbaar te houden.
Achtergrond
Waarom een overheidsbreed IPv6-nummerplankader
IPv6 is in 1998 door de IETF gestandaardiseerd om het tekort aan publieke IPv4-adressen op het internet op te vangen. Grote reeksen IPv4-adressen kunnen sinds enkele jaren niet meer bij RIPE NCC of de andere RIR’s aangevraagd worden.
De introductie van IPv6 bood de mogelijkheid om het gebruik van IPv6-adressen overheidsbreed te standaardiseren voorafgaand aan brede implementatie. Bij IPv4 was dat door bestaande implementatie en versnippering niet meer mogelijk. Met de overheidsbrede afspraak kunnen alle overheidsorganisaties beschikken over leveranciersonafhankelijke IPv6 adresblokken, zonder dat het nodig is om per organisatie kosten te maken om LIR te worden bij RIPE NCC. De directe kosten van het LIR-lidmaatschap zijn relatief beperkt, maar de inwerktijd om bekend te worden met de door het RIPE NCC gehanteerde procedures, en de investering benodigd voor het in stand houden van die kennis is aanzienlijk.
De grootte van de IPv6-adresruimte die RIPE toewijst maakt het mogelijk om de adressen die toegewezen worden aan iedere overheidsorganisatie volgens een vast stramien onder te verdelen in verschillende netwerkcategorieën. De combinatie van een overheidsbrede reeks IPv6-adressen en een gestandaardiseerde codering van netwerkcategorieën (NC) in die adressen, maakt het technisch onderscheiden van communicatie tot de systemen in de verschillende categorieën aanzienlijk makkelijker, en vooral ook minder foutgevoelig.
Ontwikkeling IPv6-nummerplankader
Onderzoek TNO en vaststelling IPv6-nummerplankader
In opdracht van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) heeft TNO in 2015 onderzocht in hoeverre een overheidsbreed IPv6-nummerplankader kan bijdragen tot leveranciersonafhankelijkheid, informatieveiligheid en financieel voordeel.
De belangrijkste conclusies uit het TNO-rapport zijn:
Leveranciersonafhankelijk kan worden vergroot door eigen overheidsadressen te gebruiken omdat;
Informatieveiligheid kan met name worden vergroot door eigen overheidsadressen:
Een nummerplankader kan slechts in beperkte mate bijdragen aan kostenvoordelen:
|
Het Nationaal Beraad Digitale Overheid heeft op 8 september 2015 formeel de Beleidskaders voor IPv6-nummerplannen vastgesteld. De aanbevelingen uit het TNO-rapport zijn overgenomen, met als doel om ook overheidsorganisaties buiten de Rijksoverheid gebruik te laten maken van overheidseigen IPv6-adressen. De Rijksoverheid had al beleid om overheidseigen IPv6-adressen te gebruiken. Het ministerie van Binnenlandse Zaken en Koninkrijksrelaties heeft de regie op de overheidsbrede afspraak bij Logius belegd. Logius is daardoor verantwoordelijk voor het actualiseren en publiceren van het Overheidsbreed IPv6-nummerplankader, en voor het beheer en uitgifte van de IPv6-adressen die door RIPE-NCC aan de Nederlandse overheid zijn toegekend.
De eerste versie van het Overheidsbreed IPv6-nummerplankader is in oktober 2016 vastgesteld.
Huidige situatie
RIPE-NCC heeft twee grote IPv6-reeksen voor de Nederlandse overheid toegewezen. Logius verdeelt hieruit de IPv6-reeksen over de verschillende overheidsorganisaties. De overkoepelende IPv6-reeksen voor de Nederlandse overheid zijn:
2a04:9a00::/29
2a07:3500::/29
In 2023 hebben bijna 500 Nederlandse Overheidsorganisaties IPv6-adressen uit het overheidsnummerplan toegewezen gekregen. Deze adressen worden primair op internet gebruik en organisaties bereiden zich voor op implementatie van IPv6 in het interne netwerk. Op Diginetwerk zijn de benodigde eerste stappen gezet om IPv6-routering mogelijk te maken.
Kader
Het overheidsbrede IPv6-nummerplankader stelt kaders voor het gebruik van IPv6-adressen door de Nederlandse overheid en richt zich op twee aspecten:
- Verkrijgen: Iedere overheidsorganisatie kan IPv6-adresruimte verkrijgen uit de twee overkoepelende overheids-IPv6-blokken, die voor dit doel bij RIPE zijn geregistreerd.
- Implementeren: Verkregen overheids-IPv6-adresen dienen te worden gebruikt in afgesproken blokken adressen per afgesproken netwerkcategorie.
Logius verdeelt de adresreeksen uit de overheids-IPv6-adresruimte aan overheidsorganisaties in blokken per organisatie en geeft de te hanteren categorie-indeling per uitgegeven blok aan.
Het is de eigen verantwoordelijkheid van iedere overheidsorganisatie om zelf een organisatiespecifiek IPv6-adresplan op te stellen, rekening houdend met de bovengenoemde kaders, en de implementatie daarvan. Ter ondersteuning van het maken van een IPv6-adresplan is het document “Een IPv6-nummerplan opstellen” van SURFnet beschikbaar.
IPv6 voor intern en extern gebruik
Het overheidsbreed IPv6-nummerplankader voorziet zowel in adressen voor gebruik over het publieke internet, als ook voor het gebruik tussen overheidsorganisaties onderling en ook voorpuur intern gebruik. Er wordt in alle gevallen geadviseerd om gebruik te maken van “global unicast” (publieke) adressen, om (toekomstige) IP-adresconflicten te voorkomen.
Overheidsorganisaties kunnen zelf kiezen via welke leveranciers of internetproviders zij hun Overheids-IPv6-adressen bereikbaar maken.
Netwerkcategorie
Netwerkcategorieën (NC) binnen de Overheids-IPv6-adressen maken het technisch onderscheiden van communicatie tot de systemen in de verschillende categorieën aanzienlijk makkelijker en ook minder foutgevoelig.
Een netwerkcategorie zelf is geen beveiligingsmaatregel. Het is een middel om een indicatie te geven van het vertrouwensniveau van de binnen de categorie verstuurde data. Het is de verantwoordelijkheid van de verzendende en ontvangende organisaties om de bij dit vertrouwensniveau benodigde beveiligingsmaatregelen te bepalen.
Om in de communicatie tussen verschillende overheidsorganisaties effectief en efficiënt te kunnen filteren op basis van netwerkcategorieën is het van belang dat deze categorieën op een gecoördineerde wijze worden toegepast. Het gebruik van de netwerkcategorieën is verplicht op de gemeenschappelijke koppelvlakken van de overheid, dus waar overheidsorganisaties samenwerken. Voor twee netwerken wordt een categorie dwingend voorgeschreven; dat zijn Internet (uitsluitend categorie 1 “Onvertrouwd”) en Diginetwerk (uitsluitend categorie 2 “Semivertrouwd (Diginetwerk)”). Dit kan in de toekomst worden uitgebreid met andere besloten (Rijks)overheidsnetwerken, of koppelingen naar de (publieke) clouddiensten.
Binnen het interne domein van een organisatie is die organisatie vrij om zelf een invulling te geven aan de implementatie van IPv6-netwerkcategorieën. Aanbevolen wordt om niet af te wijken van de vastgestelde categorieën en geen gebruik te maken van de gereserveerde categorieën. De gereserveerde categorieën kunnen dan in de toekomst voor een nog af te spreken doel worden ingezet, zonder dat er sprake is van IP-adresconflicten.
Er worden binnen het IPv6-adres 3 bits voor de netwerkcategorie gebruikt. Dit zijn de bits 33, 34 en 35 die samen met bit 32 het 9e hex-getal uit het IPv6-adres vormen. De categorieën zijn sinds versie 1.3 van dit kader ingedeeld conform de beschrijving van NORA-vertrouwensniveaus. Categorie 2 en 3 vallen na de update binnen “semi-vertrouwd”. Categorie 2 wordt exclusief voor gebruik op Diginetwerk gereserveerd.
De NORA-beschrijving is letterlijk overgenomen als uitleg voor de categoriebenamingen. Hoewel de beschrijving niet 100% past op het gebruik van de categorieën, is deze overgenomen omdat deze tekst al overheidsbreed bekend en afgestemd is. Het is de verantwoordelijkheid van de op het netwerk aangesloten organisatie om te bepalen aan welk vertrouwensniveau het dataverkeer voldoet. Deze bepaling ligt buiten de scope van dit nummerplankader.
De vastgestelde netwerkcategorieën zijn:
Hex | Benaming | NORA beschrijving |
---|---|---|
0 | Gereserveerd |
Toekomstig gebruik
|
1 | Onvertrouwd |
Deze zone, ook bekend als de externe zone, bevat systemen, die niet onder het beveiligingsregime en de (beheer) verantwoordelijkheid vallen van de organisatie. Het internet is een voorbeeld van een niet vertrouwde zone, waarin klanten of partners vanuit hun eigen omgeving communiceren met de organisatie.
|
2 |
Semi-vertrouwd (Diginetwerk)
|
Bevat systemen die onder het beveiligingsregime en verantwoordelijkheid van de organisatie staan, maar waar geen productiedata mag worden bewerkt en opgeslagen. Een DMZ (Demilitarized zone) is een voorbeeld van een semi-vertrouwde zone. Semi-vertrouwd houdt in dat opgeslagen data beperkt is tot publieke informatie.
|
3 |
Semi-vertrouwd (Overig) |
|
4 | Gereserveerd |
Toekomstig gebruik
|
5 | Vertrouwd |
Deze zone bevat alle informatieverwerkende systemen voor de primaire bedrijfsvoering en staat onder het beheer en controle van de organisatie. Bij grotere organisaties wordt deze zone soms onderverdeeld in de (sub)zones: Frontoffice, Midoffice en Backoffice. Deze onderverdeling sluit tevens goed aan bij het ontwerp van Multi-tier oplossingen. De vertrouwde zone omvat in volume het overgrote deel van de bedrijfsinformatie.
|
6 | Gereserveerd |
Toekomstig gebruik
|
7 | Gereserveerd | Toekomstig gebruik |
Indeling overheidsbrede IPv6-adressen
Indeling IPv6-prefix
In onderstaande tabel is de algemene indeling van de IPv6-adressen uitgewerkt, met de koppeling tussen hex-getallen en functie. De functies worden hieronder kort uitgelegd en in de navolgende paragrafen gedetailleerd beschreven.
Bits: Positie bits in IPv6 hexadecimaal adres
Adres: Hexadecimaal getal (1 hex-getal = 4 bits)
Functie:
- Pf: Zie hoofdstuk Prefix
- Hi: Zie hoofdstuk Hoofdindeling
- Nc: Zie hoofdstuk Netwerkcategorie
- Org: Zie hoofdstuk Organisatie, hex-getallen waaraan de gebruikende organisatie herkenbaar is (alleen voor het blok Overheid overig 2A07:3500::/29)
- Org-i: Zie hoofdstuk Organisatie-intern, bits voor organisatiespecifieke nummering t.b.v. het uiteindelijk nummeren van de /64-netwerken (alleen Overheid overig 2A07:3500::/29)
Hex: Mogelijke opties voor hexadecimaal getal (0-f). Voor de prefix staat dit altijd vast.
Prefix
Dit is de prefix zoals door RIPE aan Logius toegekend voor de Nederlandse overheid. De prefix is te herkennen aan de eerste 7 hex-getallen van het IPv6-adres, ofwel bits 0-27.
De overheid heeft twee prefixen ter beschikking:
- 2A04:9A00::/29 voor Rijksoverheid
- 2A07:3500::/29 voor overige Overheid
Hoofdindeling
De hoofdindeling van de IPv6-adressen geeft aan welke ministerie of type organisatie van het adres gebruik maakt, en is te herkennen aan het 8e hex-getal van het IPv6-adres, ofwel bits 28-31.
Omdat de overheid twee /29-reeksen toegekend heeft gekregen, wordt bit 28 niet gebruikt en zijn alleen de hex-getallen 0-7 beschikbaar voor de overheid. Van beide reeksen zullen 8-F door RIPE aan andere niet-overheidsorganisaties worden toegekend.
De hoofdindeling binnen het overheidsbrede IPv6-nummerplankader is als volgt:
Prefix | Doel |
---|---|
2a04:9a00::/29 | Rijksoverheid |
2a04:9a00::/32 | Overige organisaties Rijk |
2a04:9a01::/32 | Uitvoeringsorganisatie 1 |
2a04:9a02::/32 | Uitvoeringsorganisatie 2 |
2a04:9a03::/32 | Uitvoeringsorganisatie 3 |
2a04:9a04::/32 | Uitvoeringsorganisatie 4 |
2a04:9a05::/32 | Gereserveerd |
2a04:9a06::/32 | Gereserveerd |
2a04:9a07::/32 | Gereserveerd |
2a07:3500::/29 | Overheid overig |
2a07:3500::/32 | Gemeenten |
2a07:3501::/32 | Provincies / Waterschappen |
2a07:3502::/32 | Overige organisaties Niet-Rijk |
2a07:3503::/32 | Leveranciers |
2a07:3504::/32 | Gereserveerd |
2a07:3505::/32 | Provincies (oud, worden niet meer uitgegeven) |
2a07:3506::/32 | Gereserveerd |
2a07:3507::/32 | Gereserveerd |
Netwerkcategorie
De netwerkcategorie-indeling van de IPv6-adressen geeft aan welk vertrouwensniveau de verzendende organisatie aan de datapakketten heeft toegekend. De netwerkcategorie is te herkennen aan het 9e hex-getal van het IPv6-adres, ofwel bits 32-35.
De gebruikte categoriebits zijn bit 33-35 uit het IPv6-adres. Hiermee kan een hex-getal van 0-7 worden ingesteld. Bit 32 is gereserveerd voor toekomstig gebruik, waardoor de hex-getallen 8-f nog niet in gebruik zijn voor het huidige IPv6-nummerplan.
De 3 bits geven 8 mogelijkheden (hex-getal 0-7), waarvan er nu 4 gedefinieerd zijn en 4 gereserveerd voor toekomstige indeling. Bit 32 is nu geheel gereserveerd voor toekomstig gebruik. Wanneer deze bit ook wordt ingezet voor netwerkcategorieën ontstaan in totaal 16 mogelijkheden voor de categorie-indeling (hex-getal 0-f).
De vastgestelde categorieën zijn:
1 - Onvertrouwd
2 – Semi-vertrouwd (uitsluitend Diginetwerk)
3 – Semi-vertrouwd overig
5 - Vertrouwd
Zie verder hoofdstuk Netwerkcategorie.
Organisatie
Voor het “Overheid overige”-blok 2a07:3500::/29 en “Rijksoverheid overige”-blok 2a04:9a00::/32 geldt het volgende:
De overheidsorganisatie die een IPv6-adres gebruikt is te herkennen aan het 10e, 11e en 12e hex-getal van het IPv6-adres, ofwel bits 36-47.
Aangezien de toekenning van IPv6-reeksen voor het Overheid-overige-blok standaard per /46 geschiedt, zijn voor het 12e hex-getal in principe alleen de bits 44 en 45 van toepassing. Deze geven de opties 0, 4, 8 en c.
Een /46-reeks geeft een organisatie 4 keer een /48-reeks. De organisatie mag zelf de bits 46 en 47 gebruiken voor indeling in zijn organisatie-intern IPv6-plan. Hiermee kunnen de 4 hex-getallen voor de /48-reeksen worden ingesteld.
Toekenning door Logius | Gebruik door organisatie |
---|---|
xxxx:xxxx:xxx0::/46
|
xxxx:xxxx:xxx0::/48 xxxx:xxxx:xxx1::/48 xxxx:xxxx:xxx2::/48 xxxx:xxxx:xxx3::/48
|
xxxx:xxxx:xxx4::/46
|
xxxx:xxxx:xxx4::/48 xxxx:xxxx:xxx5::/48 xxxx:xxxx:xxx6::/48 xxxx:xxxx:xxx7::/48
|
xxxx:xxxx:xxx8::/46
|
xxxx:xxxx:xxx8::/48 xxxx:xxxx:xxx9::/48 xxxx:xxxx:xxxa::/48 xxxx:xxxx:xxxb::/48
|
xxxx:xxxx:xxxc::/46
|
xxxx:xxxx:xxxc::/48 xxxx:xxxx:xxxd::/48 xxxx:xxxx:xxxe::/48 xxxx:xxxx:xxxf::/48
|
Organisatie Intern
Voor het “Overheid overige”-blok 2a07:3500::/29 en “Rijksoverheid overige”-blok 2a04:9a00::/32 geldt het volgende:
De overheidsorganisatie die verantwoordelijk is voor een blok overheids-IPv6-adressen, maakt naar eigen inzicht een organisatiespecifiek nummerplan. Hiervoor zijn het 13e, 14e, 15e en 16e hex-getal van het IPv6-adres beschikbaar, ofwel bits 48-63. Bij de standaard toekenning van een /46-reeks kan de organisatie ook de bits 46 en 47 voor het 12e hex-getal voor het eigen organisatiespecifieke nummerplan inzetten.
Intern nummerplan Rijksuitvoeringsorganisaties met een /32 prefix
De grote Rijks-uitvoeringsorganisaties die een /32 reeks uit het IPv6-nummerplan hebben toegewezen gekregen bepalen vanaf bit 36 (10e hex-getal) zelf hoe het interne nummerplan is opgezet. Paragraaf 5.1.5 en 5.1.6 zijn voor deze uitvoeringsorganisaties niet van toepassing.
Onderstaande tabel geeft weer welke prefixen vanuit de hoofdindeling in gebruik zijn:
Prefix | Doel | Status |
---|---|---|
2a04:9a00:0000::/33 | Overige organisaties Rijk | In gebruik |
2a04:9a00:8000::/33 | Overige organisaties Rijk | Niet in gebruik |
2a04:9a01:0000::/33 | Uitvoeringsorganisatie 1 | In gebruik |
2a04:9a01:8000::/33 | Uitvoeringsorganisatie 1 | Niet in gebruik |
2a04:9a02:0000::/33 | Uitvoeringsorganisatie 2 | In gebruik |
2a04:9a02:8000::/33 | Uitvoeringsorganisatie 2 | Niet in gebruik |
2a04:9a03:0000::/33 | Uitvoeringsorganisatie 3 | In gebruik |
2a04:9a03:8000::/33 | Uitvoeringsorganisatie 3 | Niet in gebruik |
2a04:9a04:0000::/33 | Uitvoeringsorganisatie 4 | In gebruik |
2a04:9a04:8000::/33 | Uitvoeringsorganisatie 4 | Niet in gebruik |
2a04:9a05:0000::/33 | Gereserveerd | Niet in gebruik |
2a04:9a05:8000::/33 | Gereserveerd | Niet in gebruik |
2a04:9a06:0000::/33 | Gereserveerd | Niet in gebruik |
2a04:9a06:8000::/33 | Gereserveerd | Niet in gebruik |
2a04:9a07:0000::/33 | Gereserveerd | Niet in gebruik |
2a04:9a07:8000::/33 | Gereserveerd | Niet in gebruik |
2a07:3500:0000::/33 | Gemeenten | In gebruik |
2a07:3500:8000::/33 | Gemeenten | Niet in gebruik |
2a07:3501:0000::/33 | Provincies / Waterschappen | In gebruik |
2a07:3501:8000::/33 | Provincies / Waterschappen | Niet in gebruik |
2a07:3502:0000::/33 | Overige organisaties Niet-Rijk | In gebruik |
2a07:3502:8000::/33 | Overige organisaties Niet-Rijk | Niet in gebruik |
2a07:3503:0000::/33 | Leveranciers | In gebruik |
2a07:3503:8000::/33 | Leveranciers | Niet in gebruik |
2a07:3504:0000::/33 | Gereserveerd | Niet in gebruik |
2a07:3504:8000::/33 | Gereserveerd | Niet in gebruik |
2a07:3505:0000::/33 | Provincies (oud) | In gebruik |
2a07:3505:8000::/33 | Gereserveerd | Niet in gebruik |
2a07:3506:0000::/33 | Gereserveerd | Niet in gebruik |
2a07:3506:8000::/33 | Gereserveerd | Niet in gebruik |
2a07:3507:0000::/33 | Gereserveerd | Niet in gebruik |
2a07:3507:8000::/33 | Gereserveerd | Niet in gebruik |
Het detailoverzicht van de aan organisaties toegekende prefixen wordt door Logius gepubliceerd op de besloten informatie-sites.
Toekomstvastheid
Omdat maar de helft van de beschikbare IPv6-adressen uit het nummerplan initieel gebruikt worden, heeft dit nummerplan veel flexibiliteit en schaalbaarheid naar de toekomst. Nieuwe ontwikkelingen of inzichten in het gebruik van IPv6-adressen kunnen ingevuld worden met aanvullende afspraken over de ruime hoeveelheid nog gereserveerde adressen.
Deelnemende overheidsorganisaties
Dit IPv6-nummerplankader geldt voor alle Nederlandse overheidsorganisaties.
Op standaarden.overheid.nl is het volgende overzicht van overheidsorganisaties te vinden:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Een beter leesbaar alternatief is de informatie die gepubliceerd wordt op het Register van Overheidsorganisaties.
Als een overheidsorganisatie niet op één van deze lijsten voorkomt dan is het mogelijk overheids-IPv6-adressen aan te vragen met verwijzing naar een instellingsbesluit gepubliceerd op Officiële Bekendmakingen, of met een uittreksel Kamer van Koophandel waarop de rechtsvorm één van de volgende is:
- Ministerie − de staat
- Baten en lastendienst − de staat
- Provincie
- Gemeente
- Waterschap
- Lichaam met bevoegdheid krachtens de Grondwet
- Zelfstandig bestuursorgaan (ZBO)
- Openbaar lichaam op basis van gemeenschappelijke regeling
De aantallen op standaarden.overheid.nl zijn mogelijk niet volledig actueel; na fusies wordt de nieuwe organisatie aan de lijst toegevoegd, maar oude organisaties blijven staan. Het is altijd mogelijk dat er nieuwe overheidsorganisaties worden geïnitieerd die ook adresruimte nodig hebben, of dat er na fusies nieuwe adressen nodig zijn en de adressen van de oude deelorganisaties pas later geretourneerd worden.
Het ministerie van Defensie had al voor het opstellen van het IPv6-nummerplankader een eigen IPv6-reeks en nummerplan en is tevens zelf LIR bij RIPE. Defensie conformeert zich niet aan het Overheidsbreed IPv6-nummerplankader.
Niet-overheidsorganisaties
Een overheidsorganisatie kan bij het uitbesteden van een functie een adresreeks delegeren aan de dienstverlener voor het uitvoeren van deze functie. Dit heeft als voordelen dat de betreffende functie aan de gebruikte adressen herkenbaar blijft als overheidsfunctie en ook dat bij het overgaan op een andere dienstverlener de adressen kunnen overgaan op de nieuwe dienstverlener zonder dat hernummeren noodzakelijk is (portabiliteit).
Als een dienstverlener optreedt voor meerdere overheidsorganisaties dan kan de betreffende dienstverlener een eigen adresblok krijgen binnen het overheidsbrede IPv6-nummerplankader, specifiek voor de dienstverlening namens of aan overheidsorganisaties. Dit is van toepassing als het onnodig is dat de uitgevoerde dienstverlening aan het IPv6-adres herkenbaar is als behorende bij een specifieke overheidsorganisatie, maar dat het wel wenselijk is dat de gebruikte adressen herkenbaar zijn als overheidsadressen en/of er over een besloten overheidsnetwerk gecommuniceerd moet worden. Voor dit doel is een specifieke reeks adressen binnen het nummerplan gereserveerd. De dienstverlener mag adressen uit het overheidsbrede IPv6-nummerplankader alleen gebruiken voor de verlening van de betreffende overheidsdiensten en niet voor overige eigen bedrijfsdoeleinden of ten behoeve van andere klanten. De adressen dienen aan Logius geretourneerd te worden na het beëindigen van de overheidsdienstverlening (zie “Voorwaarden toekenning overheids-IPv6-adressen aan derden”, opvraagbaar bij Logius).
Aanvraag- en uitgifteprocedures
Logius vervult de rol van LIR voor de Nederlandse Overheid voor IPv6-adressen. Voor dit doel heeft RIPE-NCC de prefixen 2a04:9a00::/29 en 2a07:3500::/29 toegekend aan de Nederlandse Overheid. Logius verdeelt de toegekende adressen uit deze IPv6-reeksen, op aanvraag, verder onder de Nederlandse overheidsorganisaties.
De aanvraag- en uitgifteprocedures voor Overheids-IPv6-IP-adressen wordt in de volgende paragrafen beschreven.
“Iedere organisatie vraagt zelf adressen aan”
Een belangrijke reden voor het gebruik van Overheids-IPv6-adressen is leveranciersonafhankelijkheid en herkenbaarheid voor iedere overheidsorganisatie. Om dit mogelijk te maken geldt het volgende uitgangspunt bij de uitgifte van IPv6-adressen:
“Iedere overheidsorganisatie die zelfstandig ICT-diensten aanbiedt krijgt een eigen IPv6-reeks toegewezen door Logius” |
---|
Uitzonderingen op dit uitgangspunt zijn:
- Overheidsorganisaties die gebruik maken van een generieke dienst of platform van een leverancier (bv. hosting), waarbij de leverancier al een overheids-IPv6-adres heeft toegekend aan de onderliggende infrastructuur.
- Overheidsorganisaties die om beveiligingsredenen bewust onherkenbaar moeten zijn, kunnen gebruik maken van een Overheids-IPv6-adres van een leverancier, of eventueel een IPv6-reeks die geheel buiten de overheids-IPv6-reeksen valt.
- Andere uitzonderingen kunnen in overleg met Logius worden afgestemd.
Overheidsorganisaties die niet zelfstandig ICT-diensten aanbieden, maar deze taak bijvoorbeeld hebben uitbesteed aan een overheids-ICT-uitvoeringsorganisatie, maken gebruik van overheids-IPv6-adressen die aan die uitvoeringsorganisatie zijn toegekend. Overheidsorganisaties die zelfstandig diensten aanbieden, maar daarvoor gebruik maken van een generiek datacenter, zoals een OverheidsDatacenter (ODC) vragen een eigen IPv6-overheidsreeks bij Logius. De beheerder van het ODC-netwerk zal deze IPv6-reeks op hun verzoek routeren, maar geeft in dit geval zelf geen IPv6-adressen uit.
Aanvraagprocedure per organisatie
Overheidsorganisaties en hun leveranciers kunnen op de Logius-website via het “aanvraagformulier IP-adressen en RPKI ROA” IPv6-adresreeksen aanvragen. Logius beoordeelt de aanvraag en zal de benodigde IPv6-reeksen reserveren en in overleg met de aanvrager registreren in de RIPE NCC database. Het gebruik van RPKI is sinds 2019 verplicht voor Overheidsorganisaties en maakt deel uit van de verplichte 'Pas toe leg uit' standaarden.
Toekenning prefix
Overheidsorganisaties die via Logius IPv6-blokken aanvragen krijgen in aanvang standaard vier keer een /46 prefix toegekend, één voor elke van de vier netwerkcategorieën. De organisatiebits zijn voor alle toegekende /46-prefixen gelijk, waardoor de gebruikende organisatie herkenbaar blijft.
Voor de grote ministeriële uitvoeringsorganisaties is in aanvang een /32 prefix toegekend, die conform de afspraken van het Overheidsbreed IPv6-nummerplankader toegepast dient te worden.
Gebruik op internet
Bij de toekenning van IPv6-prefixes hanteert Logius de “Best Current Operational Practice for operators (BCOP)” zoals vastgesteld door RIPE NCC. Organisaties die een prefix toegewezen hebben gekregen dienen ook de BCOP in acht te nemen.
Om het mogelijk te maken dat bij gebruik op internet iedere overheidsorganisatie met een eigen IPv6-adresblok zelf via één of meerdere Internet Service Providers (ISP’s) naar keuze met het publieke internet verbonden kan worden, is de maximale prefixlengte (minimale grootte van het adresblok) een /48. Dit is de minimale grootte van een adresblok dat ISP’s algemeen accepteren om via het internet te routeren.
Bij toekenning door Logius van IPv6-prefixes voor gebruik op Internet wordt, conform de BCOP, uit de toegekende /46 alleen de eerste /48 daadwerkelijk bij RIPE geregistreerd (“assigned”) voor gebruik op internet. De /48 geeft de organisatie 256 x een /56 prefix of 65536 x een /64 prefix voor gebruik op internet.
De overige drie /48 prefixen binnen de internet-categorie worden wel in de RIPE-database geregistreerd op naam van de gebruikende organisatie als “allocated”. Een “allocated” /48 wordt pas omgezet in “assigned’ als de vorige “assigned” /48 daadwerkelijk in gebruik is en nieuwe adressen voor de organisatie nodig zijn.
Voor de overige netwerkcategorieën kan de toegekende /46 wel direct in zijn geheel worden ingezet
RIPE-registratie voor gebruik op internet
Uitgegeven IPv6-adresblokken die op internet worden gebruikt (netwerkcategorie 1) worden door Logius in de RIPE whois-database geregistreerd, waarbij een administratief en technisch contact opgenomen wordt. Het administratief contact is de “eigenaar” van de adressen, het technisch contact zal benaderd worden bij technische problemen.
Let op dat de RIPE-database publiekelijk te raadplegen is; het gebruik van een rol-contact in plaats van een persoonscontact wordt daarom sterk aanbevolen.
Voorbeeldtoekenning prefixen
Voorbeeld 1: Rijksorganisatie “Agentschap Nederlandse Maanlanding” (fictief)
Agentschap Maanlanding valt onder een ministerie, maar biedt zelfstandig voorzieningen aan vanuit het ODC Rijswijk. Omdat agentschap Maanlanding in eigen beheer voorzieningen aanbiedt en daarvoor geen gebruik maakt van het generieke hostingplatform van ODC-Rijswijk, vragen zij direct bij Logius IPv6-adressen aan. Met deze adressen maken de beheerders van agentschap Maanlanding zelf een IPv6-nummerplan en configureren de adressen op hun systemen.
Agentschap Maanlanding krijgt van Logius uit het Rijksoverheid-IPv6-blok de reeks 2a04:9a00:<x>aa0::/46. Maanlanding is daarmee altijd herkenbaar aan de combinatie van prefix 2a04:9a00: en de organisatiebits 36-47: aa0, aa1, aa2 en aa3.
Toekenning prefix Maanlanding | Netwerkcategorie |
---|---|
2a04:9a00:1aa0::/48 | 1 - Onvertrouwd “Assigned” |
2a04:9a00:1aa1::/48 | 1 - Onvertrouwd “Allocated” |
2a04:9a00:1aa2::/48 | 1 - Onvertrouwd “Allocated” |
2a04:9a00:1aa3::/48 | 1 - Onvertrouwd “Allocated” |
2a04:9a00:2aa0::/46 | 2 - Semi-vertrouwd Diginetwerk |
2a04:9a00:3aa0::/46 | 3 - Semi-vertrouwd |
2a04:9a00:5aa0::/46 | 5 - Vertrouwd |
- Agentschap Maanlanding gebruikt adressen uit de reeks 2a04:9a00:1aa0::/48 voor systemen die met internet communiceren. Deze prefix wordt door Logius in de RIPE-database ingesteld op “assigned” zodat die op internet gerouteerd kan worden. In overleg met Logius kunnen ook de andere drie 1aa<x>::/48 reeksen de “assigned”-status krijgen.
- Maanlanding gebruikt adressen uit de reeks 2a04:9a00:2aa0::/46 voor systemen die direct aan Diginetwerk zijn gekoppeld.
- Maanlanding bepaalt zelf welke deelreeks en netwerkcategorie geschikt zijn voor IPv6-adressen van zijn interne systemen. Bijvoorbeeld adressen uit 2a04:9a00:5aa0://46 voor het uitwisselen van vertrouwelijke informatie met het moederministerie, of adressen uit 2a04:9a00:3aa0://46 voor de werkplekken.
Voorbeeld 2: De gemeente “Juinen” (fictief)
De gemeente Juinen vraagt direct bij Logius IPv6-adressen aan. Met deze adressen maken de beheerders van Juinen zelf een IPv6-nummerplan en configureren de adressen op hun systemen.
Juinen krijgt van Logius uit het Gemeente-IPv6-blok de reeks 2a07:3500:<x>ff0::/46. Juinen is daarmee altijd herkenbaar aan de combinatie van prefix 2a07:3500: en de organisatiebits 36-47: ff0, ff1, ff2 en ff3.
Toekenning prefix Juinen | Netwerkcategorie |
---|---|
2a07:3500:1ff0::/48 | 1 - Onvertrouwd “Assigned” |
2a07:3500:1ff1::/48 | 1 - Onvertrouwd “Allocated” |
2a07:3500:1ff2::/48 | 1 - Onvertrouwd “Allocated” |
2a07:3500:1ff3::/48 | 1 - Onvertrouwd “Allocated” |
2a07:3500:2ff0::/46 | 2 - Semi-vertrouwd Diginetwerk |
2a07:3500:3ff0::/46 | 3 - Semi-vertrouwd |
2a07:3500:5ff0::/46 | 5 - Vertrouwd |
- Juinen gebruikt adressen uit de reeks 2a07:3500:1ff0::/48 voor systemen die met internet communiceren. Deze prefix wordt door Logius in de RIPE-database ingesteld op “assigned” zodat die op internet gerouteerd kan worden. In overleg met Logius kunnen ook de andere drie 1ff<x>::/48 reeksen de “assigned”-status krijgen.
- Juinen gebruikt adressen uit de reeks 2a07:3500:2ff0::/46 voor systemen die direct aan Diginetwerk zijn gekoppeld.
- Juinen bepaalt zelf welke deelreeks en netwerkcategorie geschikt zijn voor IPv6-adressen van zijn interne systemen.
Reverse DNS
Voor systemen die in de DNS een IPv6-adres hebben is het zeer wenselijk dat er ook een reverse mapping van het betreffende IPv6-adres naar de naam in de DNS is. Om dit mogelijk te maken dient de reverse DNS gedelegeerd te worden aan de houder van de IPv6-adressen. Hiermee is de houder van de adressen verantwoordelijk voor de invulling van de reverse DNS.
Nadat IPv6-adressen toegewezen zijn en DNS-servers ingesteld zijn om reverse mapping voor deze adressen uit te voeren kan delegatie van de reverse DNS aangevraagd worden bij Logius.
Voor organisaties die zelf beheer uitvoeren in de RIPE-database is het ook mogelijk om het maintainer-object van die organisatie te autoriseren om domain-objecten voor de reverse DNS mapping aan te maken. Neem hiervoor contact op met Logius.
RPKI
RPKI staat sinds 2019 als verplichte standaard op de pas-toe-of-leg-uit-lijst voor de Overheid. Een overheidsorganisatie is in principe zelf verantwoordelijk voor het (laten) aanmaken van ROA’s voor de IP-reeksen die aan haar zijn toegekend.
Voor de overheids-IPv6-reeksen 2a04:9a00::/29 en 2a07:3500::/29 is Logius LIR en daarmee administrator voor de ROA’s. Een organisatie die een ROA wil activeren voor een overheids-IPv6-reeks, dient hiervoor een verzoek bij Logius in te dienen.
Het OBDO heeft in maart 2023 een streefbeeldafspraak aangenomen dat op alle IPv4 en IPv6-adressen die in gebruik zijn voor overheidswebsites en -emaildomeinen eind 2024 RPKI is toegepast.
Contactgegevens Logius
Logius is bereikbaar via het contactformulier op de website: https://www.logius.nl/contact
Apendix A: Begrippenlijst
BCOP | Best Current Operational Practice. Beschrijft de gebruikelijke werkwijzen voor een bepaald onderwerp. In deze context de BCOP voor het toewijzen van IP-adressen door providers van RIPE-NCC (RIPE-690) |
BGP | Border Gateway Protocol, het systeem waarmee de routers van ISPs en sommige eindgebruikers doorgeven waar welke IP-adressen gebruikt worden |
Diginetwerk | Een afsprakenstelsel voor het koppelen van besloten netwerken van de Nederlandse overheid |
DNS | Domain Name System. Het systeem en netwerkprotocol dat op het internet gebruikt wordt om domeinnamen naar IP-adressen te vertalen. Reverse DNS is de variant waarbij de omgekeerde vertaling plaatsvindt van IP-adres naar domeinnaam. |
GUA | Global Unicast Adres, een adres waarmee wereldwijde één-op-één-communicatie mogelijk is; ofwel een “gewoon” (publiek) adres. |
Hexadecimaal | Een talstelsel waarbij niet met decimale (tien) cijfers wordt gewerkt, maar met hexadecimale (zestien) cijfers. De cijfers 0 t/m 9 worden hier uitgebreid met ‘a’ (=10) t/m ‘f’ (=15). Één hexadecimaal getal wordt gevormd uit 4 bits, die samen de 16 getalopties kunnen geven. |
IP | Internet Protocol, de technologie die de basis vormt voor het internet |
IP-adres | Een IPv4-adres of een IPv6-adres; een IP-adres is nodig voor communicatie over een IP netwerk. Voorbeelden zijn het internet maar ook Diginetwerk. |
IPv4 | Internet Protocol versie 4 |
IPv4-adres | Een adres voor gebruik op IPv4 netwerken, 32 bits lang |
IPv6 | Internet Protocol versie 6 |
IPv6-adres | Een adres voor gebruik op IPv6 netwerken, 128 bits lang |
LIR | Local Internet Registry, een organisatie, meestal een ISP, die “lid” is van het RIPE NCC of een andere RIR en op basis daarvan IP-adressen aan kan vragen en verder kan distribueren |
Multihoming | Tegelijkertijd verbinden met twee of meer internet service providers |
NAT | Network Address Translation, een techniek waarbij meerdere systemen één (publiek) IP adres kunnen delen. |
PA | LIRs krijgen van het RIPE NCC één of meer zogenaamde Provider Aggregatable prefixen toegewezen voor eigen gebruik en verdere distributie aan hun klanten |
PI | Een zogenaamde Provider Independent prefix maakt het mogelijk van ISP te wisselen zonder te hoeven hernummeren; dit is een porteerbaar adresblok |
Prefix | Een reeks IP-adressen, geïdentificeerd aan de hand van het deel dat alle adressen in de reeks gemeenschappelijk hebben en hoe groot dat gemeenschappelijke deel is |
Prefixlengte | de grootte van een reeks IP-adressen. Hoe lager het getal, hoe groter de reeks |
RIPE | Réseaux IP Européens, een organisatie die zichzelf beschrijft als “a forum open to all parties with an interest in the technical development of the Internet” |
RIPE NCC | RIPE Network Coordination Centre, de RIR die IP-adressen uitgeeft in Europa, het Midden-Oosten en de voormalige Sovjet-Unie |
RIR | Regional Internet Registry. De vijf RIRs (AFRINIC, APNIC, ARIN, LACNIC en RIPE NCC) geven IP-adressen uit in verschillende delen van de wereld |
RPKI | Resource Public Key Infrastructure, een open standaard met als doel om “route hijacks” te voorkomen |
ROA | Route Origin Authorisation, een cryptografisch attest voor RPKI, waarmee een IP-prefix in BGP voor een Autonomous System geautoriseerd kan worden |
RON | Rijksoverheidnetwerk. Een besloten virtueel netwerk, samengesteld uit hoofdnetwerken van de Rijksoverheid. |
Unique Local Address (ULA) | een adres dat primair voor interne communicatie gebruikt kan worden; onderdeel van de eigen (unieke) reeks interne adressen van de organisatie |
Appendix B: achtergrond IPv6
Alle communicatie over het internet vindt plaats in de vorm van pakketten die ingedeeld zijn volgens het Internet Protocol (IP). Het eerste deel van ieder pakket bevat besturingsinformatie volgens een vaste indeling. Het belangrijkste deel van die besturingsinformatie wordt gevormd door het adres van het systeem dat het pakket verstuurd heeft (het afzendadres of source address) en het adres van het systeem waarvoor het pakket bedoeld is (het bestemmingsadres of destination address).
IPv4 en IPv6
Volgens de oorspronkelijke specificatie van het Internet Protocol zijn deze adressen 32 bits lang, waarmee maximaal circa 4 miljard (232) adressen uitgegeven kunnen worden. Op dit moment zijn nagenoeg al deze adressen uitgegeven en is het zeer moeilijk tot onmogelijk om nog aan nieuwe IP-adressen te komen.
Om toekomstige groei van het internet mogelijk te maken is een nieuwe versie van IP gedefinieerd die adressen van 128 bits gebruikt. Hiermee zijn 340.282.366.920.938.463.463.374.607.431.768.211.456 adressen mogelijk.
De oorspronkelijke versie van IP staat bekend als Internet Protocol versie 4 (IPv4) en de nieuwere versie als Internet Protocol versie 6 (IPv6). Om via IPv4 te communiceren dienen zowel de zender als de ontvanger over een IPv4-adres te beschikken en alle tussenliggende routers en firewalls moeten IPv4 ondersteunen. Om via IPv6 te communiceren dienen zowel de zender als de ontvanger over een IPv6-adres te beschikken en moeten alle tussenliggende routers en firewalls IPv6 te ondersteunen.
Er zijn op dit moment nog veel systemen die alleen over IPv4 beschikken. Systemen die over IPv6 beschikken hebben over het algemeen ook nog de beschikking over IPv4 waardoor ze zowel over IPv4 als IPv6 kunnen communiceren. Dit staat ook wel bekend als "dual stack".
In de toekomst zullen steeds meer systemen alleen over IPv6 beschikken omdat er geen IPv4 adressen uitgegeven kunnen worden. Een IPv6-only systeem kan dan alleen met IPv4 systemen communiceren via een gateway of proxy die vertaalt tussen IPv4 en IPv6.
Uitgifte van IP-adressen
In Europa is het RIPE NCC (Réseaux IP Européens Network Coordination Centre, gevestigd in Amsterdam) verantwoordelijk voor de uitgifte van IPv4- en IPv6-adressen. Het RIPE NCC is één van de vijf Regional Internet Registries (RIRs). Het RIPE NCC geeft adressen uit aan Local Internet Registries (LIRs). In principe kan iedere organisatie LIR worden, maar de meeste LIRs zijn internetproviders die op hun beurt adressen uitgeven aan hun klanten.
IP-adressen worden uitgegeven in de vorm van een prefix. Een prefix is een reeks bits die de linkerkant van een IP-adresreeks identificeert. Bijvoorbeeld, bij het prefix 172.16.0.0/16 of 172.16/16 zijn de linker 16 bits gegeven. De overige 16 bits maken 216 = 65.536 adressen mogelijk, ofwel de adresreeks 172.16.0.0 tot en met 172.16.255.255.
De notatie van IPv6-adressen is iets anders dan IPv4-adressen. Bij IPv4 worden de 32 bits gesplitst in vier groepen van acht bits en iedere groep van acht bits wordt als een normaal decimaal getal tussen 0 en 255 opgeschreven, met punten tussen de vier getallen.
Bij IPv6 worden de 128 bits gesplitst in acht groepen van 16 bits en wordt iedere groep opgeschreven als een hexadecimaal getal van 0 tot en met FFFF. Iedere hexadecimale cijfer/letter staat voor vier bits ofwel een getal tussen de 0 en 15:
Hexadecimaal | Decimaal | Bits (binair) |
---|---|---|
0 | 0 | 0000 |
1 | 1 | 0001 |
2 | 2 | 0010 |
3 | 3 | 0011 |
4 | 4 | 0100 |
5 | 5 | 0101 |
6 | 6 | 0110 |
7 | 7 | 0111 |
8 | 8 | 1000 |
9 | 9 | 1001 |
a | 10 | 1010 |
b | 11 | 1011 |
c | 12 | 1100 |
d | 13 | 1101 |
e | 14 | 1110 |
f | 15 | 1111 |
Tussen de acht hexadecimale getallen staan dubbele punten. Verder is het mogelijk om één reeks nullen weg te laten, bijvoorbeeld 2001:4f8:0:2:0:0:0:69 wordt 2001:4f8:0:2::69 en 2a04:9a00:0:0:0:0:0:0 wordt 2a04:9a00::. Maar 2001:4f8:0:2:0:0:0:69 of zelfs 2001:04f8:0000:0002:0000:0000:0000:0069 zijn ook acceptabele variaties. Er wordt geen verschil gemaakt tussen hoofd- en kleine letters (case insensitive), maar een notatie met kleine letters is om diverse redenen aan te bevelen, zie RFC5952.
Bij IPv6 is het gebruikelijk om aan ieder subnet (zoals een Ethernet, een Wi-Fi-netwerk of een verbinding tussen twee routers) een /64 toe te kennen. Over het algemeen blijft de grootte van een subnet beperkt tot één gebouw of een deel van een gebouw en er worden ook meerdere subnetten per locatie gebruikt om verkeersstromen te scheiden om beveiligingsredenen.
LIRs krijgen normaliter een /32 prefix van het RIPE NCC (terwijl een onderliggende /29 gereserveerd blijft), tenzij ze aannemelijk kunnen maken dat ze meer nodig hebben. ISPs kunnen in hoge mate zelf bepalen hoeveel adressen ze uitgeven aan hun klanten, over het algemeen varieert dit van een /64 - /56 voor consumenten of mobiele gebruikers tot een /48 voor zakelijke gebruikers en organisaties. Bij een /64 heeft de eindgebruiker voldoende adressen voor één subnet. Bij een /56 zijn 256 subnetten (264-56 = 28) en bij een /48 zijn er 16 bits (48 - 64) beschikbaar om subnetten te nummeren en zijn er 65.536 subnetten mogelijk. Uit een /29 kan een LIR 34 miljard /64s uitgeven, 134 miljoen /56s, een half miljoen /48s of een combinatie.
Het is ook mogelijk om bij het RIPE NCC zogenaamde "provider independent" (PI) adresruimte aan te vragen. Dit wordt veel gedaan door organisaties die onafhankelijk van hun ISP willen zijn en zo met behoud van hun IP-adressen van ISP kunnen wisselen en/of via meerdere ISPs tegelijk met het internet verbonden willen zijn (multihoming). PI-prefixen zijn /48 of korter (lager getal achter de schuine streep, groter adresblok). /48 is het langste prefix (kleinste blok) wat over het algemeen onafhankelijk over het internet gerouteerd kan worden. Voor multihoming is dus minimaal een /48 vereist. Er is echter geen garantie dat een onafhankelijke /48 vanaf het hele internet bereikbaar zal zijn.
De volgende tabel laat de structuur van een IPv6-adres zien bij een LIR die een /29 prefix van het RIPE NCC heeft en /48s aan klanten uitdeelt.
Bits | Doel |
---|---|
/0 - /3 (3) | Bits die global unicast adressen identificeren |
/3 - /29 (26) | Bits die de LIR identificeren |
/29 - /48 (19) | Bits die de klant van LIR/ISP identificeren |
/48 - /64 (16) | Bits die het subnet identificeren |
/64 - /128 (64) | Bits die het individueel systeem identificeren |