Main content
De IPv6-reeksen worden op een gestandaardiseerde manier ingezet. Dit maakt het mogelijk om IP-pakketten eenvoudig te identificeren als komende van een overheidsorganisatie en een globale inschatting van het gewenste beveiligingsniveau te maken.
Het doel is dat dit IPv6-nummerplankader voldoende toekomstvast is om 20 tot 30 jaar gebruikt te kunnen worden. Binnen dit nummerplankader wordt de helft van de nu beschikbare IPv6-adressen ingedeeld. De andere helft blijft gereserveerd om ook voor toekomstige ontwikkelingen voldoende IPv6-adressen beschikbaar te houden.
Achtergrond
Bestaande situatie IPv4
Sinds de invoering van IPv4 in 1983 hebben verschillende overheidsorganisaties zich gericht op organisatienummerplannen, maar was er geen gelegenheid om een overheidsbreed nummerplan of nummerplankader te introduceren. Als gevolg hiervan worden bij de verschillende overheidsorganisaties IPv4-adresblokken van verschillende ISP’s en dienstverleners gebruikt en/of zijn zij LIR (lid van het RIPE NCC) en krijgen daarmee rechtstreeks IPv4-blokken toegewezen door het RIPE NCC. RIPE NCC is de organisatie die in Europa IP-adressen uitdeelt.
Het gebruik van adressen van ISP’s en dienstverleners is over het algemeen initieel simpel en kosteneffectief, maar brengt extra werk en kosten met zich mee bij het overstappen naar een andere leverancier; dan moeten systemen adressen van de nieuwe leverancier krijgen (omnummeren). Om die reden is het gebruik van nietleveranciersgebonden (leveranciersonafhankelijke / porteerbare / provider independent) adressen wenselijk. Vóór het opraken van de IPv4-adressen was het lid worden van RIPE NCC de aangewezen manier om aan grotere aantallen leveranciersonafhankelijke IPv4-adressen te komen. Dit ging in de vorm van één of meer eigen provider aggregatable (PA)-adresblokken (het soort adresblokken dat uitgegeven wordt aan ISP’s om verder te delegeren naar hun klanten). Voor die tijd was het ook mogelijk om provider independent (PI) adresblokken aan te vragen en tot en met de vroege jaren 1990 waren alle IPv4-adressen die uitgegeven werden de facto provider independent.
Nieuwe situatie IPv6
IPv6 is primair geïntroduceerd om het tekort aan publieke IPv4-adressen op te vangen. De introductie van IPv6 biedt daarbij de mogelijkheid om het gebruik van IPv6-adressen overheidsbreed te standaardiseren.
Alle overheidsorganisaties beschikken zo over leveranciersonafhankelijke (PI) adresblokken, zonder dat het nodig is om per organisatie kosten te maken om LIR te worden. De directe kosten van het LIR-schap zijn relatief beperkt, maar de inwerktijd om bekend te worden met de door het RIPE NCC gehanteerde procedures, en de tijd benodigd voor het in stand houden van die kennis is aanzienlijk.
De grootte van de IPv6-adresruimte maakt het mogelijk om de adressen die toegewezen worden aan iedere overheidsorganisatie volgens een vast stramien onder te verdelen in verschillende netwerkcategorieën. De combinatie van een overheidsbrede reeks IPv6-adressen en een gestandaardiseerde codering van netwerkcategorieën (NC) in die adressen, maakt het technisch onderscheiden van communicatie tot de systemen in de verschillende categorieën aanzienlijk makkelijker, en vooral ook minder foutgevoelig.
Ontwikkeling IPv6-nummerplankader
Onderzoek TNO en vaststelling IPv6-nummerplankader
In opdracht van het ministerie van BZK heeft TNO in 2015 onderzocht in hoeverre een overheidsbreed IPv6-nummerplankader kan bijdragen tot leveranciersonafhankelijkheid, informatieveiligheid en financieel voordeel.
Het Nationaal Beraad Digitale Overheid heeft op 8 september 2015 formeel de Beleidskaders voor IPv6-nummerplannen vastgesteld. De aanbevelingen uit het TNO-rapport zijn overgenomen, met als doel om overheidsorganisaties buiten de Rijksoverheid zoveel mogelijk gebruik te laten maken van overheidseigen IPv6-adressen. De Rijksoverheid had reeds beleid om overheidseigen adressen te gebruiken.
Ontwikkeling nummerplankader
Bij het ontwikkelen van het Nederlandse overheidsbrede IPv6-nummerplankader in 2016 is gekeken naar het Duitse IPv6-nummerplan dat destijds in gebruik was.
De Duitse federale overheid is LIR en beschikt over een groot IPv6-blok (/26 prefix), waaruit kleinere blokken (/32 prefix) gedelegeerd worden aan o.a. de 16 deelstaten en Defensie. De deelstaten geven als sub-LIR op hun beurt IPv6-adressen uit aan overheidsorganisaties binnen hun grondgebied.
De Duitse indeling in sub-LIRs kan in Nederland in enigszins gewijzigde vorm ook toegepast worden. Maar in plaats van deelstaten (die Nederland niet heeft) zouden dan de ministeries sub-LIR worden, in overeenstemming met de positie van ministeries in het Nederlandse staatsbestel. In Nederland zijn de provincies een laag tussen het landelijke en lokale/regionale niveau. Maar gezien het feit dat Nederland geen federale structuur kent en de provincies geen ICT-gerelateerde taken uitvoeren ten behoeve van lagere overheden op hun grondgebied, ligt het niet voor de hand om de provincies sub-LIR te maken. Hierbij komt nog het feit dat veel waterschappen provincie-overschrijdend zijn. In plaats van het Duitse hiërarchische model worden daarom aparte blokken gereserveerd voor lokale/regionale overheidsorganisaties (gemeenten, provincies, waterschappen, enzovoort).
Aanvangssituatie
Bij aanvang van het opstellen van de eerste versie van het overheidsbrede IPv6-nummerplankader bestond de volgende situatie:
- Defensie is LIR en beschikt over het blok 2a04:8f80::/29
- Logius is LIR en beschikt over het blok 2a04:9a00::/29 ten behoeve van de Rijksoverheid
Defensie blijft het haar toegekende blok gebruiken en conformeert zich niet aan het overheidsbrede IPv6-nummerplankader. Het IPv6-nummerplan van Defensie is daarmee buiten scope voor het overheidsbrede IPv6-nummerplankader.
Huidige situatie
Onder de geldende regels van het RIPE NCC was het niet mogelijk om de prefix 2a04:9a00::/29 van Logius uit te breiden naar 2a04:9a00::/28, om het eerder genoemde model voor de Nederlandse situatie te kunnen realiseren. Als alternatief hiervoor is een extra /29 prefix aangevraagd op naam van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties; de prefix 2a07:3500::/29 is toegewezen.
Voor het overheidsbrede IPv6-nummerplankader zijn hiermee de volgende prefixen beschikbaar:
- 2a04:9a00::/29
- 2a07:3500::/29
Kader
Kaders
Het overheidsbrede IPv6-nummerplankader stelt een kader voor het gebruik van IPv6-adressen binnen de Nederlandse overheid. Dit kader heeft twee aspecten:
- Iedere overheidsorganisatie binnen Nederland krijgt IPv6-adresruimte uit één van de twee overkoepelende blokken IPv6-adressen die door Logius voor de Overheid zijn aangevraagd.
- Iedere overheidsorganisatie binnen Nederland krijgt op aanvraag vier blokken IPv6-adressen, waarbij ieder blok bestemd is voor doeleinden binnen een voorgeschreven netwerkcategorie.
Het overheidsbreed IPv6-nummerplankader beperkt zich tot het clusteren van de IPv6-adresblokken die verschillende overheidsorganisaties gebruiken onder één (of een zeer beperkt aantal) overkoepelend IPv6-adresblok of –blokken, en het gecoördineerd op een vaste plek binnen elk IPv6-adres opnemen van een netwerkcategoriseringsniveau. Vanaf versie 1.3 van dit nummerplankader is de categorisering gebaseerd op vertrouwensniveaus conform NORA.
Binnen dit kader is het de eigen verantwoordelijkheid van iedere deelnemende organisatie om autonoom een organisatiespecifiek IPv6-adresplan op te stellen en te implementeren. Ter ondersteuning hiervan zijn de documenten SURFnet “Whitepaper IPv6-nummerplan opstellen” van SURFnet, en de “Handleiding opstellen IPv6-nummerplan” opgesteld door VNG Realisatie beschikbaar.
IPv6 voor intern en extern gebruik
Het overheidsbreed IPv6-nummerplankader voorziet zowel in adressen voor gebruik over het publieke internet, voor het gebruik tussen overheidsorganisaties onderling, als ook voor puur intern gebruik. Er wordt in alle gevallen gebruik gemaakt van “global unicast” (publieke) adressen.
Overheidsorganisaties kunnen zelf kiezen via welke leveranciers of internetproviders zij hun IPv6-adressen bereikbaar maken. Het gebruik van een tweetal overkoepelende IPv6-adresblokken stelt geen eisen aan een inkoopstrategie van internet-connectiviteit.
Netwerkcategorie
Netwerkcategorieën (NC) binnen de Overheids-IPv6-adressen maken het technisch onderscheiden van communicatie tot de systemen in de verschillende categorieën aanzienlijk makkelijker ook minder foutgevoelig.
Een netwerkcategorie zelf is geen beveiligingsmaatregel. Het is een middel om een indicatie te geven van het vertrouwensniveau van de binnen de categorie verstuurde data. Het is echter de verantwoordelijkheid van de verzendende en ontvangende organisaties om zelf de bij dit vertrouwensniveau benodigde beveiligingsmaatregelen te nemen.
Om in de communicatie tussen verschillende overheidsorganisaties effectief en efficiënt te kunnen filteren op basis van netwerkcategorieën is het van belang dat deze categorieën op een gecoördineerde wijze toegepast worden. Het gebruik van de netwerkcategorieën is verplicht op de gemeenschappelijke koppelvlakken van de overheid, dus waar overheidsorganisaties samenwerken, bijvoorbeeld op Diginetwerk (netwerkcategorie 2). Binnen het interne domein van een organisatie is die organisatie vrij zelf om een invulling aan implementatie van de IPv6-netwerkcategorieen te geven.
Er worden binnen het IPv6-adres 3 bits voor de netwerkcategorie gebruikt. Dit zijn de bits 33, 34 en 35 die samen met bit 32 het 9e hex-getal uit het IPv6-adres vormen. De 3 bits geven 8 mogelijkheden (hex-getal 0-7), waarvan er nu 4 gedefinieerd zijn en 4 gereserveerd voor toekomstige indeling. Bit 32 is nu geheel gereserveerd voor toekomstig gebruik. Wanneer deze bit ook wordt ingezet voor netwerkcategorieën ontstaan in totaal 16 mogelijkheden voor de categorie-indeling (hex-getal 0-F).
De categorieën zijn sinds versie 1.3 van dit kader ingedeeld conform NORA-vertrouwensniveaus. Categorie 2 en 3 vallen na de update binnen “semi-vertrouwd”. Categorie 2 wordt exclusief voor gebruik op Diginetwerk gereserveerd.
De NORA-beschrijving is letterlijk overgenomen in de categoriebenamingen. De beschrijving past mogelijk niet 100% op het gebruik van de categorieën. De reden dat de beschrijving uit NORA is overgenomen is dat deze tekst al overheidsbreed is afgestemd. Het is de verantwoordelijkheid van de op het netwerk aangesloten organisatie om te bepalen aan welk vertrouwensniveau het dataverkeer voldoet. Deze bepaling ligt buiten de scope van dit nummerplankader.
De vastgestelde netwerkcategorieën zijn:
Hex | Benaming | NORA beschrijving |
---|---|---|
0 | Gereserveerd | Toekomstig gebruik |
1 | Onvertrouwd | Deze zone, ook bekend als de externe zone, bevat systemen, die niet onder het beveiligingsregime en de (beheer) verantwoordelijkheid vallen van de organisatie. Het internet is een voorbeeld van een niet vertrouwde zone, waarin klanten of partners vanuit hun eigen omgeving communiceren met de organisatie. |
2 en 3 | Semi-vertrouwd | Bevat systemen die onder het beveiligingsregime en verantwoordelijkheid van de organisatie staan, maar waar geen productiedata mag worden bewerkt en opgeslagen. Een DMZ (Demilitarized zone) is een voorbeeld van een semi-vertrouwde zone. Semi-vertrouwd houdt in dat opgeslagen data beperkt is tot publieke informatie. |
4 | Gereserveerd | Toekomstig gebruik |
5 | Vertrouwd | Deze zone bevat alle informatieverwerkende systemen voor de primaire bedrijfsvoering en staat onder het beheer en controle van de organisatie. Bij grotere organisaties wordt deze zone soms onderverdeeld in de (sub)zones: Frontoffice, Midoffice en Backoffice. Deze onderverdeling sluit tevens goed aan bij het ontwerp van Multi-tier oplossingen. De vertrouwde zone omvat in volume het overgrote deel van de bedrijfsinformatie. |
6 | Gereserveerd | Toekomstig gebruik |
7 | Gereserveerd | Toekomstig gebruik |
Deelnemende overheden
Dit nummerplankader geldt voor alle Nederlandse overheidsorganisaties, met uitzondering van het Ministerie van Defensie.
Overzicht overheidsorganisaties
Op standaarden.overheid.nl is het volgende overzicht van overheidsorganisaties te vinden:
- Adviescollege
- Deelgemeente
- Dienst
- Gemeente
- Hoog College Van Staat
- Koepelorganisatie
- Koninklijk Huis
- Ministerie
- Openbaar Lichaam
- Politiekorps
- Provincie
- Rechterlijke Macht
- Regionaal Samenwerkingsorgaan (GGD, Milieudienst, Plusregio, Recreatieschap, SocialeDienst, Veiligheidsregio)
- Rijksinspectie
- Staten-Generaal
- Tuchtrechtelijke Instantie
- Waterschap
- Zelfstandig Bestuursorgaan (ZBO)
Een beter leesbaar alternatief is de informatie die gepubliceerd wordt op almanak.overheid.nl. Als een overheidsorganisatie niet op één van deze lijsten voorkomt dan is het mogelijk overheids-IPv6-adressen aan te vragen met verwijzing naar een instellingsbesluit gepubliceerd op Officiële Bekendmakingen, of met een uittreksel Kamer van Koophandel waarop de rechtsvorm één van de volgende is:
- ministerie − de staat
- baten en lastendienst − de staat
- provincie
- gemeente
- waterschap
- lichaam met bevoegdheid krachtens de Grondwet
- zelfstandig bestuursorgaan (ZBO)
- openbaar lichaam op basis van gemeenschappelijke regeling
De aantallen op standaarden.overheid.nl zijn mogelijk niet volledig actueel; na fusies wordt de nieuwe organisatie aan de lijst toegevoegd, maar oude organisaties blijven staan.
Het is altijd mogelijk dat er nieuwe overheidsorganisaties worden geïnitieerd die ook adresruimte nodig hebben, of dat er na fusies nieuwe adressen nodig zijn en de adressen van de oude deelorganisaties pas later geretourneerd worden.
Niet-overheidsorganisaties
Een overheidsorganisatie kan bij het uitbesteden van een functie een adresreeks delegeren aan de dienstverlener voor het uitvoeren van deze functie. Dit heeft als voordelen dat de betreffende functie aan de gebruikte adressen herkenbaar blijft als overheidsfunctie en ook dat bij het overgaan op een andere dienstverlener de adressen kunnen overgaan op de nieuwe dienstverlener zonder dat hernummeren noodzakelijk is (portabiliteit).
Als een dienstverlener optreedt voor meerdere overheidsorganisaties dan kan de betreffende dienstverlener een eigen adresblok krijgen binnen het overheidsbrede IPv6-nummerplankader, specifiek voor de dienstverlening namens of aan overheidsorganisaties. Dit is van toepassing als het niet nodig is dat de uitgevoerde functie aan het adres herkenbaar is als behorende bij een specifieke overheidsorganisatie, maar dat het wel wenselijk is dat de gebruikte adressen herkenbaar zijn als overheidsadressen en/of er over een besloten overheidsnetwerk gecommuniceerd moet worden. Voor dit doel is een specifieke reeks adressen binnen het nummerplan gereserveerd. De dienstverlener mag adressen uit het overheidsbrede IPv6-nummerplankader alleen gebruiken voor de verlening van de betreffende overheidsdiensten en niet voor overige eigen bedrijfsdoeleinden of ten behoeve van andere klanten. De adressen dienen aan Logius geretourneerd te worden na het beëindigen van de overheidsdienstverlening. Zie “Voorwaarden toekenning overheids-IPv6-adressen aan derden”, opvraagbaar bij Logius.
Indeling overheidsbrede IPv6-adressen
Indeling IPv6-prefix
Uitwerking van een IPv6-prefix /64 van de overheid volgens het overheidsbrede IPv6-nummerplankader
Bits: Positie bits in IPv6 hexadecimaal adres
Adres: Hexadecimaal getal (1 hex-getal = 4 bits)
Functie:
- Pf: Zie hoofdstuk Prefix
- Hi: Zie hoofdstuk Hoofdindeling
- Nc: Zie hoofdstuk Netwerkcategorie
- Org: Zie hoofdstuk Organisatie, hex-getallen waaraan de gebruikende organisatie herkenbaar is (alleen voor het blok Overheid overig 2A07:3500::/29)
- Org-i: Zie hoofdstuk Organisatie-intern, bits voor organisatiespecifieke nummering t.b.v. het uiteindelijk nummeren van de /64-netwerken (alleen Overheid overig 2A07:3500::/29)
Hex: Mogelijke opties voor hexadecimaal getal. De prefix staat altijd vast.
Prefix
Dit is de prefix zoals door RIPE aan Logius toegekend voor de overheid. De prefix is te herkennen aan de eerste 7 hex-getallen van het IPv6-adres, ofwel bits 0-27.
De overheid heeft twee prefixen ter beschikking:
- 2A04:9A00::/29 voor Rijksoverheid
- 2A07:3500::/29 voor overige Overheid
Hoofdindeling
De hoofdindeling van de IPv6-adressen geeft aan welke ministerie of type organisatie van het adres gebruik maakt, en is te herkennen aan het 8e hex-getal van het IPv6-adres, ofwel bits 28-31.
Omdat de overheid twee /29-reeksen toegekend heeft gekregen, wordt bit 28 niet gebruikt en zijn alleen de hex-getallen 0-7 beschikbaar voor de overheid. Van beide reeksen zullen 8-F door RIPE aan andere niet-overheidsorganisaties worden toegekend.
De hoofdindeling binnen het overheidsbrede IPv6-nummerplankader is als volgt:
Prefix | Doel |
---|---|
2a04:9a00::/29 | Rijksoverheid |
2a04:9a00::/32 | Overige organisaties Rijk |
2a04:9a01::/32 | Belastingdienst |
2a04:9a02::/32 | Rijkswaterstaat |
2a04:9a03::/32 | SSC-ICT Haaglanden |
2a04:9a04::/32 | Ministerie Justitie en Veiligheid |
2a04:9a05::/32 | Gereserveerd |
2a04:9a06::/32 | Gereserveerd |
2a04:9a07::/32 | Gereserveerd |
2a07:3500::/29 | Overheid overig |
2a07:3500::/32 | Gemeenten |
2a07:3501::/32 | Provincies / Waterschappen |
2a07:3502::/32 | Overige organisaties Niet-Rijk |
2a07:3503::/32 | Leveranciers |
2a07:3504::/32 | Gereserveerd |
2a07:3505::/32 | Provincies (oud, worden niet meer uitgegeven) |
2a07:3506::/32 | Gereserveerd |
2a07:3507::/32 | Gereserveerd |
Netwerkcategorie
De netwerkcategorie-indeling van de IPv6-adressen geeft aan voor welke functioneel doel de adressen worden ingezet, en is te herkennen aan het 9e hex-getal van het IPv6-adres, ofwel bits 32-35.
De gebruikte categoriebits zijn bit 33-35 uit het IPv6-adres. Hiermee kan een hex-getal van 0-7 worden ingesteld. Bit 32 is nu gereserveerd voor toekomstig gebruik, waardoor de hex-getallen 8-F nu niet in gebruik zijn.
De vastgestelde categorieën zijn:
1 - Onvertrouwd
2 – Semi-vertrouwd (uitsluitend Diginetwerk)
3 – Semi-vertrouwd overig
5 - Vertrouwd
Zie verder hoofdstuk Netwerkcategorie.
Organisatie
Voor het “Overheid overige”-blok 2A07:3500::/29 en “Rijksoverheid overige”-blok 2a04:9a00::/32 geldt het volgende:
De overheidsorganisatie die een IPv6-adres gebruikt is te herkennen aan hex-getallen 10, 11 en 12 van het IPv6-adres, ofwel bits 36-47.
Aangezien de toekenning van IPv6-reeksen voor het Overheid-overige-blok standaard per /46 geschiedt, zijn voor hex-getal 12 in principe alleen de bits 44 en 45 van toepassing. Deze geven de opties 0, 4, 8 en C.
Een /46-reeks geeft een organisatie 4 keer een /48-reeks. De organisatie mag zelf de bits 46 en 47 gebruiken voor indeling in zijn organisatie-intern IPv6-plan. Hiermee kunnen de 4 hex-getallen voor de /48-reeksen worden ingesteld.
Toekenning door Logius:
xxxx:xxxx:xxx0::/46
Gebruik door organisatie:
xxxx:xxxx:xxx0::/48
xxxx:xxxx:xxx1::/48
xxxx:xxxx:xxx2::/48
xxxx:xxxx:xxx3::/48
Toekenning door Logius:
xxxx:xxxx:xxx8::/46
Gebruik door organisatie:
xxxx:xxxx:xxx8::/48
xxxx:xxxx:xxx9::/48
xxxx:xxxx:xxxA::/48
xxxx:xxxx:xxxB::/48
Toekenning door Logius:
xxxx:xxxx:xxx4::/46
Gebruik door organisatie:
xxxx:xxxx:xxx4::/48
xxxx:xxxx:xxx5::/48
xxxx:xxxx:xxx6::/48
xxxx:xxxx:xxx7::/48
Toekenning door Logius:
xxxx:xxxx:xxxC::/46
Gebruik door organisatie:
xxxx:xxxx:xxxC::/48
xxxx:xxxx:xxxD::/48
xxxx:xxxx:xxxE::/48
xxxx:xxxx:xxxF::/48
Organisatie Intern
Voor het “Overheid overige”-blok 2A07:3500::/29 en “Rijksoverheid overige”-blok 2a04:9a00::/32 geldt het volgende:
De overheidsorganisatie die verantwoordelijk is voor een blok overheids-IPv6-adressen, maakt naar eigen inzicht een organisatiespecifiek nummerplan. Hiervoor zijn de hex-getallen 13, 14, 15 en 16 van het IPv6-adres beschikbaar, ofwel bits 48-63. Bij de standaard toekenning van een /46-reeks kan de organisatie tevens de bits 46 en 47 voor het 12e hex-getal voor het eigen organisatiespecifieke nummerplan inzetten.
Gebruik per /32-prefix
Omdat bit 32 niet wordt gebruikt voor de categorieindeling zijn de opties voor het 9e hexadecimaal getal beperkt tot 0-7. Dit betekent ook dat van iedere /32-prefix alleen de eerste /33 in gebruik komt. De tweede /33-prefix uit iedere /32 wordt daarmee initieel niet ingezet en blijft gereserveerd voor toekomstige indeling.
Onderstaande tabel geeft weer welke prefixen vanuit de hoofdindeling in gebruik zijn:
Prefix | Doel | Status |
---|---|---|
2a04:9a00:0::/33 | Overige organisaties Rijk | In gebruik |
2a04:9a00:8::/33 | Overige organisaties Rijk | Niet in gebruik |
2a04:9a01:0::/33 | Belastingdienst | In gebruik |
2a04:9a01:8::/33 | Belastingdienst | Niet in gebruik |
2a04:9a02:0::/33 | Rijkswaterstaat | In gebruik |
2a04:9a02:8::/33 | Rijkswaterstaat | Niet in gebruik |
2a04:9a03:0::/33 | SSC-ICT Haaglanden | In gebruik |
2a04:9a03:8::/33 | SSC-ICT Haaglanden | Niet in gebruik |
2a04:9a04:0::/33 | Ministerie Justitie en Veiligheid | In gebruik |
2a04:9a04:8::/33 | Ministerie Justitie en Veiligheid | Niet in gebruik |
2a04:9a05:0::/33 | Gereserveerd | Niet in gebruik |
2a04:9a05:8::/33 | Gereserveerd | Niet in gebruik |
2a04:9a06:0::/33 | Gereserveerd | Niet in gebruik |
2a04:9a06:8::/33 | Gereserveerd | Niet in gebruik |
2a04:9a07:0::/33 | Gereserveerd | Niet in gebruik |
2a04:9a07:8::/33 | Gereserveerd | Niet in gebruik |
2a07:3500:0::/33 | Gemeenten | In gebruik |
2a07:3500:8::/33 | Gemeenten | Niet in gebruik |
2a07:3501:0::/33 | Provincies / Waterschappen | In gebruik |
2a07:3501:8::/33 | Provincies / Waterschappen | Niet in gebruik |
2a07:3502:0::/33 | Overige organisaties Niet-Rijk | In gebruik |
2a07:3502:8::/33 | Overige organisaties Niet-Rijk | Niet in gebruik |
2a07:3503:0::/33 | Leveranciers | In gebruik |
2a07:3503:8::/33 | Leveranciers | Niet in gebruik |
2a07:3504:0::/33 | Gereserveerd | Niet in gebruik |
2a07:3504:8::/33 | Gereserveerd | Niet in gebruik |
2a07:3505:0::/33 | Provincies (oud) | In gebruik |
2a07:3505:8::/33 | Gereserveerd | Niet in gebruik |
2a07:3506:0::/33 | Gereserveerd | Niet in gebruik |
2a07:3506:8::/33 | Gereserveerd | Niet in gebruik |
2a07:3507:0::/33 | Gereserveerd | Niet in gebruik |
2a07:3507:8::/33 | Gereserveerd | Niet in gebruik |
Toekomstvastheid
Het feit dat de helft van de beschikbare IPv6-adressen uit het nummerplan initieel niet gebruikt worden, geeft flexibiliteit en schaalbaarheid naar de toekomst. Nieuwe ontwikkelingen of inzichten in het gebruik van IPv6-adressen kunnen ingevuld worden met de ruime hoeveelheid nog beschikbare adressen.
Verschil indeling met versie 1.0 en 1.2 nummerplankader
Wijzigingen in versie 1.1/1.2
- Vanaf versie 1.1 worden organisaties binnen het rijk steeds in het blok 2a04:9a00::/29 geplaatst en organisaties buiten het rijk in het blok 2a07:3500::/29.
- De term “beveiligingscategorie” is vervangen door “netwerkcategorie” en “beveiligingsbits” door “categoriebits” met als reden dat de term “beveiliging” voor deze indelingscategorieën hier de suggestie wekt dat beveiliging van systemen binnen deze categorie mede afhankelijk is van het gebruikte IPv6-adres en daarmee een onnodig zware lading krijgt.
- Aangezien er maar vier netwerkcategorieën gebruikt worden, is het aantal bits dat hiervoor gebruikt wordt verminderd van vier naar drie. Hierdoor komt meer adresruimte vrij voor toekomstig gebruik.
- In versie 1.0 bevonden de categoriebits zich op een andere plaats in het IPv6-adres. Reden hiervoor was dat zo kleinere overheidsorganisaties één aansluitend IPv6-adresblok konden krijgen. Dit bemoeilijkte echter het filteren op deze bits. Zodoende is de plek van de categoriebits gelijkgetrokken, zodat met maximaal 32 filterregels alle adressen met dezelfde netwerkcategorie binnen het overheidsbrede IPv6-nummerplankader geïdentificeerd kunnen worden.
- Er is een adresblok toegevoegd voor leveranciers. Leveranciers van diensten namens overheden op het internet en leveranciers die aangesloten worden op besloten overheidsnetwerken kunnen specifiek voor die dienstverlening adresruimte krijgen binnen dit blok.
Wijzigingen in versie 1.3
- Categorie 7 “Lokaal” is komen te vervallen.
- De functionele beschrijving van netwerkcategorieën is vervangen door beschrijving van vertrouwensniveaus conform NORA.
- Het verplichtend gebruik van de netwerkcategorieën beperkt zich nu tot gebruik op de gemeenschappelijke koppelvlakken, dus waar overheidsorganisaties onderling gegevens uitwisselen.
- Categorie 2 “Semivertrouwd” wordt exclusief voor gebruik op Diginetwerk gereserveerd.
Aanvraag- en uitgifteprocedures
Algemeen
Logius delegeert naar de ministeries met grote ICT-uitvoeringsorganisaties een prefix ter grootte van /32, die een uitvoeringsorganisatie zelf verder onderverdeelt onder de organisaties die zij bedient. Gemeenten, waterschappen, provincies, andere overheidsorganisaties en leveranciers krijgen kleinere blokken toegekend.
Voor uitbestede diensten kan een overheidsorganisatie adresruimte van de organisatie aan een dienstverlener delegeren om te gebruiken voor het bereikbaar maken van de betreffende dienst. De dienstverlener zorgt er dan voor dat de gedelegeerde adressen over het internet gerouteerd worden. Mocht de dienst op een later moment bij een andere aanbieder ondergebracht worden dan kunnen de gedelegeerde IPv6-adressen meeverhuizen naar de nieuwe aanbieder.
Toekenning prefix
Met uitzondering van de grote ministeriële uitvoeringsorganisaties krijgen overheidsorganisaties die via Logius IPv6-blokken aanvragen standaard vier keer een /46 prefix toegekend, één voor alle vier de netwerkcategorieën. De organisatiebits zijn voor alle toegekende /46 prefixen gelijk, waardoor de gebruikende organisatie herkenbaar blijft.
Gebruik op internet
Bij de toekenning van IPv6-prefixes hanteert Logius de “Best Current Operational Practice for operators (BCOP)” zoals vastgesteld door RIPE NCC. Organisaties die een prefix toegewezen hebben gekregen dienen ook de BCOP in acht te nemen.
Om het mogelijk te maken dat bij gebruik op internet iedere overheidsorganisatie met een eigen IPv6-adresblok zelf via één of meerdere ISP’s naar keuze met het publieke internet verbonden kan worden, is de maximale prefixlengte (minimale grootte van het adresblok) een /48. Dit is de minimale grootte van een adresblok dat ISP’s algemeen accepteren om via het internet te routeren.
Bij toekenning door Logius van IPv6-prefixes aan voor gebruik op Internet, wordt conform de BCOP uit de toegekende /46 alleen de eerste /48 daadwerkelijk bij RIPE geregistreerd (“assigned”) voor gebruik op internet. De /48 geeft de organisatie 256 x een /56 prefix of 65536 x een /64 prefix voor gebruik op internet.
De overige drie /48 prefixen binnen de internet-categorie worden wel in de RIPE-database geregistreerd op naam van de gebruikende organisatie als “allocated”.
Voor de overige netwerkcategorieën kan de toegekende /46 wel direct in zijn geheel worden ingezet.
RIPE registratie voor gebruik op internet
Uitgegeven IPv6-adresblokken die op internet worden gebruikt (netwerkcategorie 1) worden door Logius in de RIPE whois-database geregistreerd, waarbij een administratief en technisch contact opgenomen wordt. Het administratief contact is de “eigenaar” van de adressen, het technisch contact zal benaderd worden bij technische problemen. Let op dat de RIPE database publiekelijk te raadplegen is; het gebruik van een rol-contact in plaats van een persoonscontact wordt daarom sterk aanbevolen.
Voorbeeldtoekenning prefixen
Als voorbeeld de fictieve gemeente Juinen, die de prefix 2A07:3500:<x>FF0::/46 krijgt. Dit betekent dat middels de organisatiebits 36-47 voor Juinen FF0, FF1, FF2 en FF3 uit het gemeenteblok 2A07:3500::/32 gereserveerd worden.
Toekenning prefix Juinen | Netwerkcategorie |
---|---|
2A07:3500:1FF0::/48 | Onvertrouwd “Assigned” |
2A07:3500:1FF1::/48 | Onvertrouwd “Allocated” |
2A07:3500:1FF2::/48 | Onvertrouwd “Allocated” |
2A07:3500:1FF3::/48 | Onvertrouwd “Allocated” |
2A07:3500:2FF0::/46 | Semi-vertrouwd Diginetwerk |
2A07:3500:3FF0::/46 | Semi-vertrouwd |
2A07:3500:5FF0::/46 | Vertrouwd |
Aanvraagprocedure per organisatie
Ministeries
Aan ministeries kan een /32 toegewezen worden voor gebruik door dat ministerie en organisaties die onder de verantwoordelijkheid van dat ministerie vallen. Eventueel wordt het beheer van de adressen ondergebracht bij een grote uitvoeringsorganisatie van een ministerie dat voor dit en andere ministeries ICT-beheer verzorgt.
Het verdient aanbeveling dat de beheerder van het adresblok van een ministerie een plan opstelt voor het toewijzen van adressen uit die /32 aan onderdelen en andere organisaties. Dit plan kan naar eigen inzicht vormgegeven worden, zolang de eerder beschreven indeling in netwerkcategorieën toegepast wordt.
Gezien het beperkte aantal ministeries is er geen aanvraagprocedure opgesteld; aanvragers kunnen contact opnemen met Logius.
Organisaties binnen het Rijk
Organisaties binnen het rijk vragen in eerste instantie IPv6-adressen aan via hun ICT-afdeling of overheids-interne ICT-dienstverlener. Als die nog niet over IPv6-adressen binnen het overheidsbrede IPv6-nummerplankader beschikken kunnen zij deze bij Logius aanvragen. Als de ICT-afdeling of dienstverlener niet in staat is IPv6-adressen uit te geven, dan kan een organisatie binnen het rijk contact opnemen met Logius.
Nationaal overig
Overheidsorganisaties met een nationaal karakter die niet onder de verantwoordelijkheid van een ministerie vallen kunnen IPv6-adresruimte aanvragen bij hun overheids-interne ICT-dienstverlener of bij Logius.
Gemeenten en hun samenwerkingsverbanden
Gemeenten en samenwerkingsverbanden van gemeenten vragen IPv6-adressen aan via VNG Realisatie. Het aanvraagformulier is beschikbaar op https://scgemeenten.topdesk.net. Informatie over IPv6 bij gemeenten staat op https://www.vngrealisatie.nl/producten/ipv6-bij-gemeenten.
Waterschappen en hun samenwerkingsverbanden
Waterschappen en samenwerkingsverbanden van waterschappen vragen IPv6-adressen aan via het Waterschapshuis.
Provincies en overige overheidsorganisaties
Provincies en overige organisaties vragen IPv6-adressen rechtstreeks aan bij Logius.
De betreffende adresblokken zullen in de RIPE-database geregistreerd worden.
Leveranciers/dienstverleners gemeenten
Voor leveranciers/dienstverleners aan gemeenten bepaalt VNG Realisatie in samenspraak met Logius of toewijzing van adresruimte binnen het overheidsbrede
IPv6-nummerplankader de beste oplossing is. Neem hiervoor contact op met VNG Realisatie.
Leveranciers/dienstverleners overig
Voor overige leveranciers/dienstverleners is Logius het eerste aanspreekpunt.
Reverse DNS
Voor systemen die in de DNS een IPv6-adres hebben is het zeer wenselijk dat er ook een reverse mapping van het betreffende IPv6-adres naar de naam in de DNS is. Om dit mogelijk te maken dient de reverse DNS gedelegeerd te worden aan de houder van de IPv6-adressen. Hiermee is de houder van de adressen verantwoordelijk voor de invulling van de reverse DNS.
Nadat IPv6-adressen toegewezen zijn en DNS-servers ingesteld zijn om reverse mapping voor deze adressen uit te voeren kan delegatie van de reverse DNS aangevraagd worden bij Logius.
Voor organisaties die zelf beheer uitvoeren in de RIPE database, met hun eigen maintainer-object, is het ook mogelijk om de betreffende maintainer te autoriseren domain-objecten voor de reverse DNS mapping aan te maken zodat de betreffende organisatie dit zelf kan doen. Neem hiervoor contact op met Logius.
RPKI
RPKI staat sinds 2019 als verplichte standaard op de pas-toe-of-leg-uit-lijst voor de Overheid. Een overheidsorganisatie is in principe zelf verantwoordelijk voor het (laten) aanmaken van ROA’s voor de IP-reeksen die aan haar zijn toegekend. Organisaties die “Local Internet Registrie (LIR)” zijn bij RIPE kunnen via het LIR-portal zelf ROA’s aanmaken en anders moeten zij hun internet-provider hiertoe opdracht geven.
Voor de overheids-IPv6-reeksen 2a04:9a00::/29 en 2a07:3500::/29 is Logius LIR en daarmee administrator voor de ROA’s. Een organisatie die een ROA wil activeren voor een overheids-IPv6-reeks, dient hiervoor een verzoek bij Logius in te dienen.
Contactgegevens Logius
Logius is bereikbaar via het contactformulier op de website: https://www.logius.nl/contact
Het formulier voor het aanvragen van IPv6-adresruimte bij Logius en voor het doorgeven van wijzigingen wordt op verzoek toegestuurd.
Apendix A: Begrippenlijst
BCOP | Best Current Operational Practice. Beschrijft de gebruikelijke werkwijzen voor een bepaald onderwerp. In deze context de BCOP voor het toewijzen van IP- adressen door providers van RIPE-NCC (RIPE-690) |
BGP | Border Gateway Protocol, het systeem waarmee de routers van ISPs en sommige eindgebruikers doorgeven waar welke IP-adressen gebruikt worden |
GUA | Global Unicast Adres, een adres waarmee wereldwijde één-op-één- communicatie mogelijk is; ofwel een “gewoon” (publiek) adres. |
Hexadecimaal | Een talstelsel waarbij niet met tien cijfers wordt gewerkt, maar met zestien cijfers. De cijfers 0 t/m 9 worden daarom uitgebreid met 'A' (=10) t/m 'F' (=15). Één hexadecimaal getal wordt gevormd uit 4 bits, die samen 15 opties kunnen geven. |
IP | Internet Protocol, de technologie die de basis vormt voor het internet |
IP-adres | een IPv4-adres of een IPv6-adres; een IP-adres is nodig voor communicatie over het internet |
IPv4 | Internet Protocol versie 4 (sinds 1981 in gebruik) |
IPv4-adres | een adres voor gebruik van IPv4, 32 bits lang |
IPv6 | Internet Protocol versie 6 (wordt nu ingevoerd) |
IPv6-adres | een adres voor gebruik van IPv6, 128 bits lang |
LIR | Local Internet Registry, een organisatie, meestal een ISP, die “lid” is van het RIPE NCC of een andere LIR en op basis daarvan IP-adressen aan kan vragen en verder kan distribueren |
Multihoming | tegelijkertijd verbinden met twee of meer internet service providers |
NAT | Network Address Translation, een techniek waarbij meerdere systemen één (publiek) adres kunnen delen. |
PA | LIRs krijgen van het RIPE NCC één of meer Provider Aggregatable prefixen toegewezen voor eigen gebruik en verdere distributie aan hun klanten |
PI | een Provider Independent prefix maakt het mogelijk van ISP te wisselen zonder te hoeven hernummeren; dit is een porteerbaar adresblok |
Prefix | een reeks IP-adressen, geïdentificeerd aan de hand van het deel dat alle adressen in de reeks gemeenschappelijk hebben en hoe groot dat gemeenschappelijke deel is |
Prefixlengte | de grootte van een reeks IP-adressen. Hoe lager het getal, hoe groter de reeks |
RIPE | Réseaux IP Européens, een organisatie die zichzelf beschrijft als “a forum open to all parties with an interest in the technical development of the Internet” |
RIPE NCC | RIPE Network Coordination Centre, de RIR die IP-adressen uitgeeft in Europa, het Midden-Oosten en de voormalige Sovjet-Unie |
RIR | Regional Internet Registry. De vijf RIRs (AFRINIC, APNIC, ARIN, LACNIC en RIPE NCC) geven IP-adressen uit in verschillende delen van de wereld |
RPKI | Resource Public Key Infrastructure, een standaard met als doel om “route hijacks” te voorkomen |
ROA | Route Origin Authorisation, een cryptografisch attest voor RPKI, waarmee een IP-prefix in BGP voor een Autonomous System geautoriseerd kan worden |
Site local adres | zie unique site local adres |
Unique site local adres (ULA) | een adres dat alleen voor interne communicatie gebruikt kan worden; onderdeel van de eigen (unieke) reeks interne adressen van de organisatie |
Appendix C: achtergrond IPv6
Alle communicatie over het internet vindt plaats in de vorm van pakketten die ingedeeld zijn volgens het Internet Protocol (IP). Het eerste deel van ieder pakket bevat besturingsinformatie volgens een vaste indeling. Het belangrijkste deel van die besturingsinformatie wordt gevormd door het adres van het systeem dat het pakket verstuurd heeft (het afzendadres of source address) en het adres van het systeem waarvoor het pakket bedoeld is (het bestemmingsadres of destination address).
IPv4 en IPv6
Volgens de oorspronkelijke specificatie van het Internet Protocol zijn deze adressen 32 bits lang, waarmee maximaal circa 4 miljard (232) adressen uitgegeven kunnen worden. Op dit moment zijn nagenoeg al deze adressen uitgegeven en is het zeer moeilijk tot onmogelijk om nog aan nieuwe IP-adressen te komen.
Om toekomstige groei van het internet mogelijk te maken is een nieuwe versie van IP gedefinieerd die adressen van 128 bits gebruikt. Hiermee zijn 2128 adressen mogelijk, ofwel 340.282.366.920.938.463.463.374.607.431.768.211.456.
De oorspronkelijke versie van IP staat bekend als Internet Protocol versie 4 (IPv4) en de nieuwe als Internet Protocol versie 6 (IPv6). Om via IPv4 te communiceren dienen zowel de zender als de ontvanger over een IPv4-adres te beschikken en alle tussenliggende routers en firewalls moeten IPv4 ondersteunen. Om via IPv6 te communiceren dienen zowel de zender als de ontvanger over een IPv6-adres te beschikken en moeten alle tussenliggende routers en firewalls IPv6 te ondersteunen.
Er zijn op dit moment nog veel systemen die alleen over IPv4 beschikken. Systemen die over IPv6 beschikken hebben over het algemeen ook nog de beschikking over IPv4 en zijn "dual stack" waardoor ze zowel over IPv4 als IPv6 kunnen communiceren. In de toekomst zullen steeds meer systemen alleen over IPv6 beschikken. Een IPv6-only systeem kan dan alleen met IPv4 systemen communiceren via een gateway of proxy die vertaalt tussen IPv4 en IPv6.
Uitgifte van IP-adressen
In Europa is het RIPE NCC (Réseaux IP Européens Network Coordination Centre) in Amsterdam verantwoordelijk voor de uitgifte van IPv4- en IPv6-adressen. Het RIPE NCC is één van de vijf Regional Internet Registries (RIRs). Het RIPE NCC geeft adressen uit aan Local Internet Registries (LIRs). In principe kan iedere organisatie LIR worden, maar de meeste LIRs zijn internetproviders die op hun beurt adressen uitgeven aan hun klanten.
IP-adressen worden uitgegeven in de vorm van een prefix. Een prefix is een reeks bits die de linkerkant van een IP-adresreeks identificeert. Bijvoorbeeld, bij de prefix 172.16.0.0/16 of 172.16/16 zijn de linker 16 bits gegeven. De overige 16 bits maken 216 = 65.536 adressen mogelijk, ofwel de adresreeks 172.16.0.0 tot en met 172.16.255.255.
De notatie van IPv6-adressen is iets anders dan IPv4-adressen. Bij IPv4 worden de 32 bits gesplitst in vier groepen van acht bits en iedere groep van acht bits wordt als een normaal decimaal getal tussen 0 en 255 opgeschreven, met punten tussen de vier getallen.
Bij IPv6 worden de 128 bits gesplitst in acht groepen van 16 bits en wordt iedere groep opgeschreven als een hexadecimaal getal van 0 tot en met FFFF. Iedere hexadecimale cijfer/letter staat voor vier bits ofwel een getal tussen de 0 en 15:
Hexadecimaal | Decimaal | Bits (binair) |
---|---|---|
0 | 0 | 0000 |
1 | 1 | 0001 |
2 | 2 | 0010 |
3 | 3 | 0011 |
4 | 4 | 0100 |
5 | 5 | 0101 |
6 | 6 | 0110 |
7 | 7 | 0111 |
8 | 8 | 1000 |
9 | 9 | 1001 |
A | 10 | 1010 |
B | 11 | 1011 |
C | 12 | 1100 |
D | 13 | 1101 |
E | 14 | 1110 |
F | 15 | 1111 |
Tussen de acht hexadecimale getallen staan dubbele punten. Verder is het mogelijk om één reeks nullen weg te laten, bijvoorbeeld 2001:4f8:0:2:0:0:0:69 wordt 2001:4f8:0:2::69 en 2a04:9a00:0:0:0:0:0:0 wordt 2a04:9a00::. Maar 2001:4f8:0:2:0:0:0:69 of zelfs 2001:04f8:0000:0002:0000:0000:0000:0069 zijn ook acceptabele variaties. Er wordt geen verschil gemaakt tussen hoofd- en kleine letters (case insensitive).
Bij IPv6 is het gebruikelijk om aan ieder subnet (zoals een Ethernet, een Wi-Fi-netwerk of een verbinding tussen twee routers) een /64 toe te kennen. Over het algemeen blijft de grootte van een subnet beperkt tot één gebouw of een deel van een gebouw en er worden ook meerdere subnetten per locatie gebruikt om verkeersstromen te scheiden om beveiligingsredenen.
LIRs krijgen normaliter een /29 prefix van het RIPE NCC, tenzij ze aannemelijk kunnen maken dat ze meer nodig hebben. ISPs kunnen in hoge mate zelf bepalen hoeveel adressen ze uitgeven aan hun klanten, over het algemeen varieert dit van een /64 - /56 voor consumenten of mobiele gebruikers tot een /48 voor zakelijke gebruikers en organisaties. Bij een /64 heeft de eindgebruiker voldoende adressen voor één subnet. Bij een /56 zijn 256 subnetten (264-56 = 28) en bij een /48 zijn er 16 bits (48 - 64) beschikbaar om subnetten te nummeren en zijn er 65.536 subnetten mogelijk. Uit een /29 kan een LIR 34 miljard /64s uitgeven, 134 miljoen /56s, een half miljoen /48s of een combinatie.
Het is ook mogelijk om bij het RIPE NCC zogenaamde "provider independent" (PI) adresruimte aan te vragen. Dit wordt veel gedaan door organisaties die onafhankelijk van hun ISP willen zijn en zo met behoud van hun IP-adressen van ISP kunnen wisselen en/of via meerdere ISPs tegelijk met het internet verbonden willen zijn (multihoming). PI-prefixen zijn /48 of korter (lager getal achter de schuine streep, groter adresblok). /48 is de langste prefix (kleinste blok) wat over het algemeen onafhankelijk over het internet gerouteerd kan worden. Voor multihoming is dus minimaal een /48 vereist. Er is echter geen garantie dat een onafhankelijke /48 vanaf het hele internet bereikbaar zal zijn.
De volgende tabel laat de structuur van een IPv6-adres zien bij een LIR die een /29 prefix van het RIPE NCC heeft en /48s aan klanten uitdeelt.
Bits | Doel |
---|---|
/0 - /3 (3) | Bits die global unicast adressen identificeren |
/3 - /29 (26) | Bits die de LIR identificeren |
/29 - /48 (19) | Bits die de klant van LIR/ISP identificeren |
/48 - /64 (16) | Bits die het subnet identificeren |
/64 - /128 (64) | Bits die het individueel systeem identificeren |