Zuid-Koreaanse en Vietnamese telco's doen grote IPv6-only-implementaties

Grote Aziatische telecom operators zijn druk in de weer met de implementatie van IPv6. Noodgedwongen, want vaak moet men tientallen miljoenen klanten van een internetverbinding voorzien en heeft men niet de luxe van een grote (historische) pool aan IPv4-adressen. Bovendien vragen voice en data om twee verschillende IP-adressen per eindgebruiker. Mobiele providers zetten hun klanten daarom massaal op IPv6-only en gebruiken verschillende vormen van address translation om met IPv4-only-systemen en -diensten te verbinden.

SK Telecom, de grootste operator van Zuid-Korea, voorziet zijn 23 miljoen LTE-gebruikers standaard van een IPv6-only-verbinding. Zo vertelde Mobile IP netwerkbeheerder Hanwoong Lim eerder dit jaar op de APRICOT 2019 conferentie.

464XLAT

Voor het benaderen van diensten die alleen op IPv4 beschikbaar zijn maakt SK Telecom gebruik van 464XLAT zoals gespecificeerd in RFC 6877. Daarbij worden IPv4-adressen in het access-netwerk eerst vertaald naar de speciaal hiervoor gereserveerde IPv6-prefix ::ffff:0:0:0/96. Dat gebeurt door een DNS64 server (een caching resolver; zoals gespecificeerd in RFC 6147) die queries naar hosts waarvoor geen AAAA record beschikbaar is beantwoord met een mapping van het wel beschikbare IPv4-adres naar die ::ffff:0:0:0/96 adresruimte (een zogenaamd SIIT-adres).

Verderop in het netwerk staat een (stateful) NAT64 gateway (een PLAT: Provider-side Translator; zoals gespecificeerd in RFC 6146) die namens de IPv6-only client een verbinding naar de IPv4-only server tot stand brengt.

CLAT

Nadelen van deze aanpak zijn dat clients in het netwerk niet door IPv4-systemen van buiten benaderd kunnen worden (zoals dat ook bij CGNAT het geval is), en dat deze truc niet werkt voor hardgecodeerde IPv4-adressen (buiten de DNS om; de zogenaamde IPv4 literals). Om dat laatste probleem te omzeilen kun je op het apparaat van de eindgebruiker nog een (stateless) CLAT client (Customer-side Translator) configureren. Deze maakt lokaal een virtuele IPv4 stack beschikbaar en zorgt voor de vertaling van IPv4- naar SIIT-adressen als er geen IPv4-verbinding beschikbaar is. SK Telecom heeft de goede werking van deze opzet voor meer dan 1500 populaire (Android) apps in Google's Play Store gevalideerd. Apple heeft al 3 jaar geleden de ondersteuning van IPv6-only-netwerken verplicht gesteld voor alle applicaties in de App Store. Dat betekent dat deze software correct gedrag moet blijven vertonen in een dergelijke omgeving.

DNSSEC-validatie

Onoverkomelijk probleem is dat 464XLAT niet verenigbaar is met DNSSEC-validatie op de client van de eindgebruiker zelf. De DNS64 server kan het door hem gegenereerde SIIT-adres immers niet van een digitale handtekening voor de originele domeinnaam voorzien.

De DNSSEC-standaard staat het zetten van de AD-vlag voor niet-authentieke RRsets niet toe. Een validerende DNS64 server zou verzoeken voor niet-validerende A records dus alleen zelf kunnen blokkeren door hiervoor geen SIIT-adres terug te geven.

Zolang we 464XLAT nodig hebben om de transitie van IPv4 naar IPv6 te faciliteren, zullen we dus (tijdelijk) genoegen moeten nemen met het niet werken van DNSSEC-validatie op het endpoint voor IPv4-only-diensten.

Schaalbaarheid

Hoewel deze netwerkarchitectuur volgens Lim enorm schaalbaar is, zit er wel een bottleneck in de NAT64 gateways die moeten zorgen voor de vertaalslag en het beheer van alle IPv6-IPv4-verbindingen; deze sessies zijn immers stateful. Bovendien moeten deze gateways samenwerken met de Packet Gateway (PGW) apparatuur die de IPv6-verbindingen in het access-netwerk onderhoudt.

Daarnaast signaleert Lim een kwetsbaarheid in de tussenliggende systemen waar statische en policy-gedreven configuraties van routing en IP address pool nodig zijn. Een vergissing daar kan leiden tot de uitval van de dienst op nationaal niveau. Inmiddels werkt SK Telecom aan de automatisering hiervan.

Eigen ontwikkeling

Sowieso schrikt men bij deze telco niet terug van eigen ontwikkeling: voor deze transitie hebben ze 40 toepassingen voor IPv6 moeten aanpassen of ontwikkelen. Het gaat dan bijvoorbeeld om applicaties voor authenticatie, kostenbepaling, capaciteitsbeheer, adresbeheer, statistieken en rapportages. Het aanzetten van dual-stack in het interne netwerk was volgens Lim geen enkel probleem: dat wordt out-of-box ondersteund door alle grote netwerkleveranciers.

Op dit moment loopt ongeveer tweederde van het verkeer op het LTE-netwerk van SK Telecom over IPv6. Daarvoor zijn 16 nieuwe peering-contracten afgesloten met grote partijen als Google en Facebook.

APNIC-IPv6regionKR-usage
APNIC-IPv6regionKR-ASN

IPv6 in Vietnam: 40 procent

In Vietnam vond op 3 mei de elfde en laatste nationale IPv6 Day plaats. Over het afgelopen decennium werkten telco's, overheidsorganisaties en providers daar gezamenlijk aan de implementatie van IPv6. Uitgangspunt voor deze transitie was het Vietnam National IPv6 Action Plan, in 2009 opgesteld door het Ministerie van Informatie en Communicatie.

Over de afgelopen jaren is de adoptie van IPv6 in Vietnam sterk gestegen en staat inmiddels op meer dan 40 procent. Daarmee scoort IPv6 nergens in Zuid-Oost-Aziƫ zo hoog als in dat land. In totaal gaat het om meer dan 20 miljoen gebruikers. Nummer 2 in de regio is Maleisiƫ met 38 procent.

APNIC-IPv6statsVN
APNIC-IPv6mapVN

Onderdelen van het actieplan waren de uitbreiding van de nationale internet-exchange (VNIX) en infrastructuur, de adoptie door providers, en het organiseren van testfaciliteiten, training en voorlichting.

Toekomstvast

Eerder berichtten we al hoe in India en China honderden miljoenen mobiele gebruikers op IPv6-only-netwerken worden gezet, met een sterke groei van het IPv6-gebruik als gevolg. Voor grote spelers die hun infrastructuur gaan vernieuwen is IPv6-only in combinatie met 464XLAT in het algemeen de meest voor de hand liggende optie. Je zet daarmee een toekomstvaste infrastructuur op, waarbij je de transitie-systemen af kunt bouwen naarmate de adoptie van IPv6 groeit.

Reacties

  • vrijdag 26 april 2019

    SIDN Labs

    De privacy van het DNS verhogen met QNAME minimisation

    Thumb-personal-data

    De querynaam minimaliseren

    Lees meer
  • dinsdag 27 februari 2018

    .nl-domeinnaam

    De grootste worden of de grootste blijven?

    Thumb-flags-Canada-and-Holland

    De verschillen in marketing tussen .ca en .nl

    Lees meer
  • maandag 27 mei 2019

    Veilig internet

    Bits of Freedom brengt digitale rechten in de praktijk

    Thumb-shredded-paper

    De tool My Data Done Right helpt met het genereren van verzoeken met betrekking tot je persoonsgegevens

    Lees meer

Sorry

De versie van de browser die je gebruikt is verouderd en wordt niet ondersteund.
Upgrade je browser om de website optimaal te gebruiken.