SURFINTERNET

Meer informatie over IP-adressen

Voorwaarden voor gebruik
SURFnet stelt IP-adresruimte volgens de RIPE NCC procedures beschikbaar aan de instellingen die op SURFnet zijn aangesloten. Uitgebreide informatie over de procedures van RIPE NCC zijn te vinden op http://www.ripe.net/ripe/docs/internetregistries.html#request .

Kort samengevat worden IP-adressen onder de volgende voorwaarden beschikbaar gesteld:
  • IP-adresruimte kan niet beschouwd worden als eigendom. SURFnet kent adresruimte op tijdelijke basis en in bruikleen toe aan de instelling. De mogelijkheid bestaat dat er in de toekomst situaties ontstaan waardoor SURFnet de instelling verplicht om de toegekende adresruimte weer te retourneren. In dat geval zal SURFnet de instelling tijdig op de hoogte stellen, waarna de instelling tenminste zes maanden de tijd heeft om de adresruimte te retourneren. De toegekende adresruimte dient in ieder geval geretourneerd te worden bij beëindiging van de met SURFnet afgesloten Gebruiksovereenkomst.
  • De instelling dient de toegekende adresruimte daadwerkelijk in gebruik te nemen, binnen zes maanden na de toekenning. De instelling is verplicht om mee te werken aan het inzichtelijk maken dat de toegekende adresruimte daadwerkelijk in gebruik is.
  • SURFnet zal ervoor zorgdragen dat de door haar toegekende adresruimte wereldwijd uniek is. Hiertoe zullen gegevens met betrekking tot de adresruimte worden opgenomen in een publiek toegankelijke database. De instelling dient eventuele mutaties in deze gegevens doorgeven aan SURFnet, zodat SURFnet de publieke database uptodate kan houden.
  • De instelling dient te zorgen voor een correct geconfigureerde DNS van de reverse zone behorend bij de toegekende adresruimte.

Achtergrondinformatie over IP-adressen
Vroeger waren IP-adressen onderverdeeld in klassen van verschillende grootte. Een A-klasse adres bestond uit 16.777.216 IP-nummers, een B-klasse adres uit 65.536 IP-adressen en een C-klasse adres uit 256 IP-nummers.

Indien een organisatie IP-nummers nodig had, werd naar gelang de behoefte een A-, B- of C-klasse adres toegekend. Indien een C-klasse adres te klein was, dan moest er een B-klasse adres worden toegekend. Door de groei van het internet bleek op een gegeven moment dat er op deze manier een tekort aan adressen zou gaan ontstaan. Dit was een van de redenen om het CIDR (Classless InterDomain Routing) model op het internet te introduceren. Met de invoering van CIDR kwam er een eind aan deze "harde" indeling in klassen. IP-adressen worden nu 'op maat' toegekend in ranges van machten van 2. Omdat je nu niet meer aan het soort adres kunt zien hoe groot het netwerk is, wordt deze
informatie via de 'slash notatie' aangegeven. De 'slash notatie' houdt in dat het aantal bits dat gebruikt wordt voor het netwerk adres wordt aangegeven. Een IP-range van 256 IP-nummers wordt op deze
manier genoteerd als 192.87.46.0/24 (er zijn dan 32-24=8 bits over om de hosts in het subnet te nummeren).

De invoering van CIDR betekende ook dat de beschikbare adresruimte op het internet zo veel mogelijk geaggregeerd werd in grote blokken, die volgens een hiërarchisch model gedistribueerd worden. Deze aggregatie werd noodzakelijk omdat anders door de snelle groei van het internet en de beperkte verwerkingscapaciteit van routers internationale routering niet meer mogelijk zou zijn. Het gevolg van deze aggregatie is wel dat instellingen die van provider wisselen, veelal moeten omnummeren naar IP-nummers van hun nieuwe provider. Het is van belang om op te merken dat IP-adresruimte niet in eigendom wordt uitgegeven, maar in bruikleen. De toewijzing van IP-adresruimte wordt in Europa gecoördineerd door het RIPE (Réseaux IP Européens) NCC. Het RIPE NCC (Network Coordination Center) alloceert IP-adresruimte voor providers die daarmee hun klanten kunnen bedienen en stelt de regels op waaraan instellingen moeten voldoen om in aanmerking te komen voor IP-adresruimte. Een gevolg van deze regels is dat een instelling die behoefte heeft aan een /24 adres (256 IP-nummers) of groter, een nummerplan zal moeten overleggen om de aanvraag toe te lichten.

Het gebruik van NAT (Network Address Translation) wordt door SURFnet sterk afgeraden. Niet alleen maakt het verschillende toepassingen zeer moeilijk of zelfs niet bruikbaar, maar het vormt ook een ernstige hindernis voor een deugdelijke authenticatie van het netwerkverkeer ("wie deed wat op welk moment"). In feite komt het erop neer dat al het verkeer van de instelling schijnbaar vanaf één enkel adres afkomstig is, wat bij problemen betekent dat uiteindelijk de gehele instelling van het internet kan worden afgekoppeld. Ook de vaak gehoorde redenering dat NAT veiliger zou zijn wordt door SURFnet niet onderschreven: juist vanwege de complexe extra stap tussen interne en externe adressen (de basis waarop NAT werkt) is het terugzoeken van de bron bij eventuele problemen alleen maar moeilijker.

Meer informatie over NAT is te te vinden in de NAT brochure.

IPv6
Vanwege de enorme groei van het het internet en het aantal apparaten dat daarop is aangesloten, voldoet het aantal IP-adressen dat volgens IP versie vier (IPv4) beschikbaar is in de toekomst niet meer. Om die reden heeft de Internet Engineering Task Force (IETF) een opvolger van IPv4 uitgebracht die bekend staat als IPng (IP Next Generation) of IP versie zes (IPv6). IPv6 biedt een oplossing voor de adresserings- en routeringsproblemen onder IPv4 en bevat tegelijkertijd een aantal nieuwe mogelijkheden die niet standaard in IPv4 zijn geïmplementeerd, onder andere op het gebied van beveiliging, routering, autoconfiguratie en Quality of Service (QoS). Gezien de verwachte groei van het internet in de komende 5 tot 10 jaar zal er, ondanks CIDR, vroeg of laat een tekort aan IP-adressen ontstaan. IPv6 lost dit in ieder geval voor de komende decennia op, door gebruik te maken van adressen die uit 128 bits bestaan, waarmee er 10^30 maal zoveel IPv6-adressen als IPv4-adressen zijn.

SURFnet kent vanaf april 2000 officiële IPv6-adresruimte toe aan haar instelling. Het betreft adressen uit een blok IPv6-adressen (2001:610::/32) dat aan SURFnet is toegewezen door RIPE (Réseaux IP Européens) NCC, de organisatie die de uifgifte van IP-adresruimte in Europa coördineert. De RIPE NCC procedures met betrekking tot de uitgifte van IPv6-adresruimte zijn beschikbaar op het volgende adres: http://www.ripe.net/ripe/docs/ipv6policy.html.
Een IPv6-adres bestaat uit 128 bits en wordt genoteerd in een hexadecimale notatie. Instellingen krijgen voor elke aangesloten site een /48 toegewezen. Daarmee kunnen 2^16 netwerken worden genummerd, waarbij op elk netwerk plaats is voor 2^64 systemen. Wanneer een instelling kan aantonen over meer adresruimte te moeten beschikken, kan extra adresruimte worden aangevraagd. Het is van belang om op te merken dat IPadresruimte niet in eigendom wordt uitgegeven, maar in bruikleen. Omdat er nog weinig ervaring is opgedaan met de uitgifte van IPv6-adressen, kan in dit stadium niet uitgesloten worden dat een instelling op den duur moet omnummeren. SURFnet zal dit minimaal zes maanden van tevoren aankondigen. Overigens is omnummeren bij IPv6 veel eenvoudiger is dan bij IPv4, omdat gebruik kan worden gemaakt van autoconfiguratie. Het huidige SURFnet6-netwerk ondersteunt IPv4 en IPv6 native, waardoor bij SURFnet aangesloten instellingen van beide protocollen gebruik kunnen maken.

Reverse Zone IPv4

Registratie INADDR.ARPA

Om efficiënt gebruik te kunnen maken van de toegewezen IP-adresruimte is het onder andere noodzakelijk dat op een server bij de instelling reversed nameserving wordt opgezet voor de betreffende adresrange. In de reversed nameserving wordt de vertaling van IP-nummer naar domeinnaam gedefiniëerd door de zogenaamde PTRrecords.

De reverse nameserving is, net als "gewone" nameserving gebaseerd op een hiërarchisch systeem. IP-adressen bestaan uit vier getallen, gescheiden door een punt, bijvoorbeeld 192.87.5.98. Deze getallen worden ook wel octetten genoemd omdat elk getal uit acht bits bestaat en dus een waarde kan hebben die varieert van 0 tot en met 255. Van links naar rechts gelezen worden deze octetten meer specifiek.

Dit in tegenstelling tot domeinnamen, die immers van links naar rechts gelezen steeds minder specifiek worden. Om bij een IP-adres een hostnaam op te kunnen zoeken is in het Domain Name System is een aparte hiëarchie opgezet voor de reversed nameserving. Deze hiërarchie begint bij het toplevel domein ".arpa" en het daaronder vallende subtoplevel-domein "inaddr.arpa". Hieronder volgen de vier octetten die een IPadres vormen in omgekeerde volgorde. Om bijvoorbeeld de naam te vinden bij het IP-adres 192.87.5.98, wordt een DNS query opgezet naar host "98" in het domein "5.87.192.inaddr.arpa". In dit domein is een zogenaamd PTR record gedefinieerd die "98" laat verwijzen naar "www.surfnet.nl".
Net zoals bij de registratie van een gewoon domein, wordt de registratie van een reverse domein door een verantwoordelijke autoriteit verzorgd, die deze verantwoordelijkheid op haar beurt weer van een hogere autoriteit gedelegeerd heeft gekregen. Zo is bijvoorbeeld de verantwoordelijkheid voor ".nl" door ICANN gedelegeerd aan de Stichting Internet Domeinregistratie Nederland SIDN. Op dezelfde manier is de verantwoordelijkheid voor 192.inaddr.arpa gedelegeerd aan RIPE, die op haar beurt weer de verantwoordelijk voor het daaronder vallende domein 87.192.inaddr.arpa aan SURFnet heeft gedelegeerd. SURFnet kan dus subdomeinen die hieronder vallen weer aan haar aangesloten
instellingen doordelegeren.

Nadat een aangesloten instelling reversed nameserving heeft opgezet, zal SURFnet het betreffende reverse domein delegeren naar de primary nameserver bij de klant. SURFnet vereist dat de aangesloten instelling voor de reverse zone tenminste één secondary nameserver van SURFnet configureert. De SURFnet secondary nameservers ns1.surfnet.nl en/of ns2.surfnet.nl zijn hiervoor beschikbaar.

Belangrijk om te realiseren is dat de reverse zone's nog steeds volgens de oude klasse indeling werkt. In dit klasse systeem bestonden enkel een /8 reeks of /16 reeks of /24 reeks. Hierdoor moet de reverse nog altijd de IP-range worden opknipt in deze reeksen. Bijvoorbeeld voor de IP-range 192.87.4.0/23 moeten twee /24 reverse zones worden aangemaakt. Dit zijn 4.87.192.inaddr.arpa en 5.87.192.inaddr.arpa.

Reverse Zone IPv6

Registratie IP6.ARPA
De IPv6 reverse werkt min of meer vergelijkbaar als de IPv4 reverse. Er zijn echter drie verschillen:

  • de zone eindigt op IP6.ARPA in plaats van INADDR.
    ARPA
  • de IPv6-reeks wordt per vier bits omgedraaid om er een reverse zone van te maken
  • er wordt niet gewerkt volgens een klasse indeling. Bijvoorbeeld van de IPv6-reeks 2001:610::/32 wordt de reverse zone 0.1.6.0.1.0.0.2.IP6.ARPA.
Email Print
SURFnet bv
Postbus 19035
3501 DA Utrecht
Telefoon: (030) 2 305 305
E-mail: admin@surfnet.nl