IPv6 implementatie & mogelijke config issues (was: Status IPV6 Scarlet)

[Koyan]

De enige Belgische ISP die ik ken die echt goed IPv6 ondersteunt is, big surprise, EDPNet. Je krijgt er een statische /56.
Bij Proximus krijg je een dynamische (!!) /56, wat compleet ingaat tegen de best practices. Bij Telenet krijg je blijkbaar maar een /60, die je dankzij hun verplichte routers niet eens echt kan gebruiken zoals je wil. Orange krijg je blijkbaar wel een /56, maar ik weet niet of die statisch of dynamisch is.

Kan iemand deze info verbeteren/aanvullen? IPv6 wordt steeds belangrijker en het is een duidelijke manier om te zien hoe professioneel een ISP bezig.

[Splitter]

ik heb bij fastic, sinds het begin een fixed ip (kost je 2,5 euro)
daar zit dan dus 1 fixed ipv4 adres in, maar dus ook 1 fixed /56 v6 reeks uit hun eigen /32 (2a07:/32)

[YordiDR]

Orange krijg je blijkbaar wel een /56, maar ik weet niet of die statisch of dynamisch is.

Orange IPv6 is nog niet operationeel. Je krijgt via DHCPv6-PD wel al een prefix maar deze routeert niet, je geraakt zelfs niet aan de opgegeven ipv6 dns servers van orange.

Sent from my BE2029 using Tapatalk

[ITnetadmin]

Zonder er een discussie over te beginnen, merk ik bij heel wat ITers een reflex om zoveel mogelijk IPv4 actief te houden.
Gaande van discussies over "controle over het netwerk", "security", tot "IPv6 is bloatware die alles wil doen maar vooral geschreven is door proffen die papers moesten produceren" en nog wel wat issues, zijn er wel enkelen die IPv6 niet de gouden oplossing voor alle problemen vinden.
Geen paniek dus moest het (nog) niet werken.
Ben je hobbyist die ermee aan de slag wilt, dan is het uiteraard een andere zaak.

De implementatie bij andere providers is ook niet veel beter, overigens.
Blijkbaar zijn er nog issues bij bv Orange, en bij TN krijgt *hun* router wel een /56, maar je eigen router erachter ontvangt maar een /60, en ze delen er blijkbaar maar eentje uit; de rest van dat subnet blijft dus onbenut.

[bogon]

De enige Belgische ISP die ik ken die echt goed IPv6 ondersteunt is, big surprise, EDPNet. Je krijgt er een statische /56.
Bij Proximus krijg je een dynamische (!!) /56, wat compleet ingaat tegen de best practices. Bij Telenet krijg je blijkbaar maar een /60, die je dankzij hun verplichte routers niet eens echt kan gebruiken zoals je wil. Orange krijg je blijkbaar wel een /56, maar ik weet niet of die statisch of dynamisch is.

Kan iemand deze info verbeteren/aanvullen? IPv6 wordt steeds belangrijker en het is een duidelijke manier om te zien hoe professioneel een ISP bezig.

Corporate abonnementen:
EDPnet: statische /48
Proximus: statische /56 waarvan het tweede/laatste /57 voor de klant bruikbaar...
Telenet: statische /48
Telkens met WAN/LAN setup, geen DHCPv6-PD. Nergens redundant indien je voor een 4G backup kiest, voor zover ik weet.

[devilkin]

In je eigen netwerk mag je er toch niet van uitgaan dat de prefix hetzelfde blijft? Gebruik dan een ULA... Doe ik voor m'n interne zaken.

Sent from my SM-S908B using Tapatalk

[Splitter]

ik ben zo een van die "bah, v6 intern" mensen en (ook al heb ik static v6) doe dus gewoon v6 extern naar v4 intern.
geeft me full v6 toegang tot het internet, en ik moet intern niets aanpassen.
(en in mijn firewall logs kan ik een ip nog steeds dadelijk linken aan een vlan/device zonder een kilometerslang adres - ook al kan je dat met een static range wel redelijk controleren door bv vlan::ip te doen achteraan)

[ITnetadmin]

In je eigen netwerk mag je er toch niet van uitgaan dat de prefix hetzelfde blijft? Gebruik dan een ULA... Doe ik voor m'n interne zaken.

Ik begrijp je punt, maar dat vind ik net het probleem: wat als je met static IPs werkt?

(en in mijn firewall logs kan ik een ip nog steeds dadelijk linken aan een vlan/device zonder een kilometerslang adres - ook al kan je dat met een static range wel redelijk controleren door bv vlan::ip te doen achteraan)

Dat is een van mijn grootste peeves van IPv6:
Ik wil dat je een suffix zelf manueel kan assignen (static of via DHCP) (bv: ::1000-1999 voor workstations, ::2000-2999 voor printers, etc), en dat hij dat suffix dan automatisch gaat toepassen op *alle* IPs van dat toestel; dus zowel global, als unique local, als link-local.
Zodat je elk toestel op het zicht kan herkennen in pakweg wireshark.
En dat kan momenteel, voor zover ik weet, nog altijd niet.

[devilkin]

Onder linux kan je voor ipv6 een token specificeren om dat te doen. Dit, samen met ula, maken al m'n interne ipv6 adressen statisch en voorspelbaar.

Sent from my SM-X800 using Tapatalk

[ITnetadmin]

Onder linux kan je voor ipv6 een token specificeren om dat te doen. Dit, samen met ula, maken al m'n interne ipv6 adressen statisch en voorspelbaar.

Sent from my SM-X800 using Tapatalk

Zelfs de fe80 link-local?
Klinkt interessant.
Ik heb nog niks gelezen, maar het is vaak ook een kwestie van de juiste search keywords op te geven of google is verloren.

[bogon]

"Standaard" worden IPv6-adressen gemaakt op basis van EUI-64, d.w.z. op basis van het MAC-adres en is dit dus perfect voorspelbaar. Omwille van privacy wordt hiervan afgeweken (RFC 7217). In Linux, zie addr_gen_mode in https://www.kernel.org/doc/Documentatio ... sysctl.txt voor welke opties beschikbaar zijn. Het mooie aan de privacy extensions is dat ze enkel gebruikt worden voor egress traffic, terwijl de voorspelbare adressen nog steeds beschikbaar zijn voor ingress.

Als je echt wilt bekomen wat je beschrijft, lijkt mij de beste optie om je MAC-adressen te spoofen of DHCPv6 te gebruiken en de LLA's statisch in te stellen.

Wat @devilkin beschrijft is de zogenaamde DUID. Valt waarschijnlijk in te stellen in je netwerksoftware, maar LLA's worden standaard door de kernel gegenereerd (kan afgezet worden volgens bovenstaande optie).

[ITnetadmin]

Ik verwacht in essentie:
DHCP of static stelt de global IP in op bv (prefix) 2000:db8:0:0 en (suffix) 0:0:0:1001 voor PC1, suffix 0:0:0:1002 voor PC2.
Dan neemt link local dat over, dus fe80::1001 voor PC1, etc.
Dan weet je in wireshark dat alle traffic van PC1 suffix 0:0:0:1001 gaat hebben, no matter the prefix.
Krijgt hij nog een unique local? Sure, zolang het ook maar eindigt op suffix 0:0:0:1001.
Een dual home oplossing thuis, met als tweede netwerk 20020:0 als prefix? Dan krijgt hij globals 2000:db8::1001 en 2002:1001 (geen idee waar de broken images vandaan komen in de tekst; ik heb gewoon een IPv6 ingetikt).

Heel dat "we autoconfiggen iets onleesbaars" is wat mij en vele anderen wat weerhoudt (er zijn nog andere zaken).
Intern kiest hij dan voor link local, extern voor global, en het spel zit op de wagen qua herkenbaarheid.
Om nog maar te zwijgen van heel dat static IP gedoe; als de provider de prefix wisselt breekt alles, tenzij je minstens NPT toepast.

[devilkin]

Ik bedoel dit: https://wiki.gentoo.org/wiki/IPv6_Stati ... ing_Tokens
https://manpages.ubuntu.com/manpages/bi ... ken.8.html

Misschien moeten we gans deze ipv6 configuratie afsplitsen in een apart topic

[ITnetadmin]

Misschien moeten we gans deze ipv6 configuratie afsplitsen in een apart topic

Akkoord, zeker doen.

[bogon]

DHCP of static stelt de global IP in [...]
Dan neemt link local dat over

Een LLA is een vereiste voor DHCPv6 en tout court om RA's te ontvangen, om NDP (~=ARP) te gebruiken en dus ook voor SLAAC.

Ik raad Rick Graziani's playlist aan ( ) voor een goede uitleg over hoe IPv6 ineen zit.

Heel dat "we autoconfiggen iets onleesbaars" is wat mij en vele anderen wat weerhoudt (er zijn nog andere zaken).
Intern kiest hij dan voor link local, extern voor global, en het spel zit op de wagen qua herkenbaarheid.
Om nog maar te zwijgen van heel dat static IP gedoe; als de provider de prefix wisselt breekt alles, tenzij je minstens NPT toepast.

Een IP is een technisch gegeven. Ik spreek niet af op Ploegstraat 14 (technisch gegeven voor de post) of op 50°40' noorderbreedte, 4°38' oosterlengte. Ik spreek af in café 't Hoekske, of gewoon "in 't café". (... ik ga eigenlijk niet op café)

Voor IPv6 moet je de klik maken om die volledig zelf vastgelegde IP-configuratie los te laten. Dat maakt het des te heerlijker. Wil je een apparaat aanspreken? DNS.

Hoe vaak zit je in WireShark je traffic te sniffen? Wanneer je dat doet zal dat ook wel lukken zonder die ::1001.

Als je provider IPv6 niet begrijpt en je een gebroken configuratie aanbiedt, moet je ofwel switchen van provider of je plan trekken natuurlijk... met bv. NPT en ULA's.

Ik bedoel dit: https://wiki.gentoo.org/wiki/IPv6_Stati ... ing_Tokens
https://manpages.ubuntu.com/manpages/bi ... ken.8.html

Interessant, kende ik nog niet.

[ITnetadmin]

Een LLA is een vereiste voor DHCPv6 en tout court om RA's te ontvangen, om NDP (~=ARP) te gebruiken en dus ook voor SLAAC.
Ik raad Rick Graziani's playlist aan voor een goede uitleg over hoe IPv6 ineen zit.

Ik weet niet waarom dat relevant is?
Eenmaal de configuratie gemaakt en de DHCP verkregen, wil ik dat de LLA suffix verandert in dezelfde als die van het uitgedeelde IP adres (bij DHCP, indien static moet het gewoon manueel configureerbaar zijn).
Ik weet trouwens redelijk hoe IPv6 werkt (hoewel ik het in de praktijk nog wat links laat liggen, dus ik ben wel wat roestig), maar aan het eind van de dag is de ITer de baas over zijn netwerk, en niet een of ander protocol dat via RAs werkt en dat "je vooral maar moet laten doen zonder je teveel te moeien".

Ik spreek niet af op Ploegstraat 14 (technisch gegeven voor de post) of op 50°40' noorderbreedte, 4°38' oosterlengte. Ik spreek af in café 't Hoekske, of gewoon "in 't café". (... ik ga eigenlijk niet op café)

Als consument niet.
Maar als je pakweg voor bpost werkt, dan is het wel het adres dat telt.
Als IT netwerk professional, werk ik met IP adressen; DNS, da's leuk voor de user, en de readability achteraf, maar eerst en vooral IP adressen.

Voor IPv6 moet je de klik maken om die volledig zelf vastgelegde IP-configuratie los te laten. Dat maakt het des te heerlijker. Wil je een apparaat aanspreken? DNS.
Hoe vaak zit je in WireShark je traffic te sniffen? Wanneer je dat doet zal dat ook wel lukken zonder die ::1001.

En daar ben ik, weer als netwerk professional, *niet* mee akkoord.
Dat maakt de situatie ook zo ambetant, want IPv6 is idd gemaakt om vooral alles te laten gebeuren.
Ik sniff mss vaker dan je zou denken, maar het gaat mij er ook om dat toestellen in het netwerk herkenbaar moeten zijn, *aan hun IP adres*.
DNS is layer 7, dat hoeft je daar niet bij te betrekken als het *echt* niet nodig is.
Ik geef alle toestellen in mijn netwerken herkenbare (leesbare) IP adressen in gegroepeerde ranges, en ben niet van plan om dat te laten varen voor IPv6.

Ik ben overigens niet de enige; toen een niet nader genoemde universiteit jaren geleden met de uitrol begon, zijn die om veiligheidsoverwegingen manieren beginnen zoeken om RAs uit te schakelen en dat allemaal toch te doen werken.
Banken willen vaak toch nog NAT omdat ze niet willen dat een IP adres ook maar iets van hun netwerkstructuur lekt (bv welke server heeft welke services draaien); security through obscurity is nog altijd een valabele security layer (zolang het niet de enige is).

IPv6 komt uit de jaren 90, maar intussen zijn netwerkbeheerders gewoon geworden dat zij, en enkel zij, beslissen over hoe het netwerk eruit ziet.
IPv6 gaat dat een beetje op zijn kop zetten, en intussen ingeburgerde practices overboord gooien, en dat geeft vonken.
Klein vb: Een toestel dat vroeger niet op internet mocht, dat gaf je gewoon geen default gateway mee (of een foute, als de software geen blanco toeliet).

[bogon]

Ik weet niet waarom dat relevant is?

Omdat het protocol zo werkt. Wat je wilt is mogelijk en staat je vrij om te doen, maar miljarden anderen gaan dat niet doen.

Als consument niet.
Maar als je pakweg voor bpost werkt, dan is het wel het adres dat telt.
Als IT netwerk professional, werk ik met IP adressen; DNS, da's leuk voor de user, en de readability achteraf, maar eerst en vooral IP adressen.

Ik ben eveneens professional, maar ook een mens. De bpost-bediende in deze vergelijking is dat niet. Als ik wil inloggen op router1 van Corp nv, dan voer ik ssh router1.corp.be uit, niet ssh 10.1.0.1 of ssh 2001:db8:1::1. Waarom zou ik me bezig houden met dat allemaal te onthouden?

Ik geef alle toestellen in mijn netwerken herkenbare (leesbare) IP adressen in gegroepeerde ranges, en ben niet van plan om dat te laten varen voor IPv6.

Als dat nodig is zou ik ze aparte VLAN's en prefixes geven. Als het niet nodig of gewenst is, zou ik me niet moeien met de technische internals van het protocol, net zoals ik dat met heel wat andere protocols niet doe.

Ik ben overigens niet de enige; toen een niet nader genoemde universiteit jaren geleden met de uitrol begon, zijn die om veiligheidsoverwegingen manieren beginnen zoeken om RAs uit te schakelen en dat allemaal toch te doen werken.

Welke veiligheidsoverwegingen? Indien RA's op zich onveilig zijn heeft het Internet een gigantisch probleem.

Banken willen vaak toch nog NAT omdat ze niet willen dat een IP adres ook maar iets van hun netwerkstructuur lekt (bv welke server heeft welke services draaien); security through obscurity is nog altijd een valabele security layer (zolang het niet de enige is).

NAT heeft dat toevallige voordeel, maar dat weegt niet op tegen de nadelen. Bovendien, al die grote corps die intern op IPv6-only werken zouden dan inherent minder secure zijn? Weeral een wereldwijd gigantisch probleem. En wordt er bij die banken geen MS365 gebruikt? En zijn banken het summum van security?

[ITnetadmin]

Ik SSH wel naar IPs; ik onthoud nummers dan ook vrij goed, incl IP adressen.
Aparte VLANs of prefixen lost nog altijd mijn issue niet op: ik wil leesbare en herkenbare IP adressen, alsook identieke suffixen voor een en hetzelfde toestel.

Dan kan je nog argumenteren "dat jij dat niet doet", maar dat is niet relevant; ik doe dat wel zo.
Daar kan je uren over ping-pongen, maar aan het einde van de dag werkt ieder op zijn manier.
En ik ben daar lang niet de enige in; dat merk ik ook online.

IPv6 verstoort te hard de methodologie en netwerkstructuren die netwerkspecialisten al jaren gebruiken, en dat zie je aan de adoptiecijfers die toch maar heel langzaam vorderen.
Dat zie je ook aan de pogingen om toch bepaalde bestaande protocols te implementeren op IPv6, oa NAT en dan toch een aantal pogingen om de IP adressen wel leesbaar (en vooral: controleerbaar) in te stellen.

Ik weet dat er minstens 2 partijen zijn in deze discussies, de "puristen" vs de "pragmatici", maar ik wil hier geen ideologische discussie voeren, wel een technische.

Inzake veiligheid: ik durf niet vanbuiten zeggen waarom ze geen RAs wensten, alleen dat ze die niet in hun netwerk wilden. Ik geloof dat ze het niet veilig vonden dat de router, toch wel de deur van het netwerk, niet alleen zichzelf zomaar aankondigde, maar ook de netwerkconfiguratie nodig om er deel van uit te maken.
Ik kon me wel in een aantal argumenten vinden toen, maar dat is ook al jaren geleden, dus vraag me geen details.

[bogon]

No problemo, iedereen kan aan z'n eigen noden en wensen voldoen op de manier dat hij/zij dat wilt. Ik probeer gewoon mijn eigen redeneringen te verwoorden.

Nog één - technische - opmerking op dat laatste: Indien geen routing gewenst is, werkt IPv6 by default en zonder configuratie; zoals APIPA, maar beter. Uiteraard kan het ook nog steeds statisch ingesteld worden.

[ITnetadmin]

Ik heb niks tegen een goeie discussie, ik probeer gewoon te vermijden dat we in een loopgravendiscussie terecht komen over voorkeuren en manieren van werken; en les gouts et les couleurs ne se disputent pas.
Ik begrijp je redenering zeker, ik hoor ze van vele andere ITers ook; daar is IPv6 ook voor gemaakt, voor een hands-off approach.
Alleen ben ik, met nog andere ITers, eerder hands-on, en proberen we dus IPv6 zoveel mogelijk te plooien naar onze wensen.

Ik ben zo een van die ITers die zijn toestellen nummert in groepjes; bv (fictief vb, ik gebruik geen 192.168/16 subnet professioneel) alle printers in de 192.168.0.20-29 range, switchen in 240-249, APs in 210-219, servers 200-209, etc etc, en zo van elk IP adres direct weet welk type het is, welk toestel het is, en waar het staat.

Klopt, IPv6 werkt zoals het link-local systeem van IPv4 (door windows APIPA genoemd); daar ben ik al geen fan van (ik prefereer dat het IP protocol niks doet tot het expliciet toelating krijgt), maar ik vrees dat die boot allang gezonken is, dus daar moeten we mee leven.
Ik heb al meer dan 1 cursus IPv6 gekregen, ik ken het protocol wel wat, maar ik vermijd het dus zoveel mogelijk, omdat ik vind dat het nog niet "volwassen" is, maw het kan nog niet wat IPv4 allemaal kon en deed (of niet kon/deed).

[Splitter]

Een IP is een technisch gegeven. Ik spreek niet af op Ploegstraat 14 (technisch gegeven voor de post) of op 50°40' noorderbreedte, 4°38' oosterlengte. Ik spreek af in café 't Hoekske, of gewoon "in 't café". (... ik ga eigenlijk niet op café)

Voor IPv6 moet je de klik maken om die volledig zelf vastgelegde IP-configuratie los te laten. Dat maakt het des te heerlijker. Wil je een apparaat aanspreken? DNS.

Ik ben het niet helemaal eens met die vergelijking.
tuurlijk spreek je "op cafe" af en niet op een adres als je op stap gaat.... maar dat is eerder "hier is het paswoord van de guest-wifi" imho.
de IP adressen in je netwerk vallen eerder onder "heb ik de voordeur én de keukendeur op slot gedaan alvorens ik naar cafe vertrek"

en afhankelijk zijn van dns om iets op je netwerk te kennen/vinden? no thanks (gebruik ik het intern? tuurlijk, is het handig? absoluut.... mag je ervan afhankelijk zijn? nee!)

Ik ben eveneens professional, maar ook een mens. De bpost-bediende in deze vergelijking is dat niet. Als ik wil inloggen op router1 van Corp nv, dan voer ik ssh router1.corp.be uit, niet ssh 10.1.0.1 of ssh 2001:db8:1::1. Waarom zou ik me bezig houden met dat allemaal te onthouden?
.....
Als dat nodig is zou ik ze aparte VLAN's en prefixes geven. Als het niet nodig of gewenst is, zou ik me niet moeien met de technische internals van het protocol, net zoals ik dat met heel wat andere protocols niet doe.

je router1.corp.be is dan mss handig voor jou, maar stel dat je daarinmoet (want dns is down, en dat ding doet toevallig dns)... dan ben jij gesjareld.
want je hebt geen flauw idee welk v6 adres dat ding heeft.... tenzij je in dns (waar je nu dus niet aankan) gaat kijken.
have fun while the building's burning down.

hier zit alles gesplitst op vlans, en ik weet over het algemeen effectief welk toestel welk ip heeft, en als ik de live logs van de firewall (op 10.0.5.1) bekijk,
dan weet ik ook exact wat soort device voorbijkomt in mijn rules (10.0.0.x 'limited range', 10.0.1.x voice, 10.0.2.x servers, 10.0.3.x trusted wifi, 10.0.4.x security, 10.0.5.x management, 10.0.6.x untrusted wifi)

ook het 1 ipv6 adresje dat ik ocharme heb ingesteld op de firewall is gekend: dat eindigt op 500:1 en is een NAT van/naar 10.0.5.100 (maar dan via diens v6 dat ik toeken: fdde::5:100)

je netwerk managen met fixed ip's zou ik trouwens totaal geen "technische internals" noemen... dat is zeggen dat je "water met gist" gaat drinken ipv "een pintje".

Ik ben zo een van die ITers die zijn toestellen nummert in groepjes; bv (fictief vb, ik gebruik geen 192.168/16 subnet professioneel) alle printers in de 192.168.0.20-29 range, switchen in 240-249, APs in 210-219, servers 200-209, etc etc, en zo van elk IP adres direct weet welk type het is, welk toestel het is, en waar het staat.

is hier gelijkaardig.
en voor toch IPv6 ondersteuning naar het big bad web te hebben, doe ik NAT tussen v4 en v6 op de firewall, met een voorspelbaar adres dat ik weet hoe/wie/wat,
maar in mijn logs en het interne netwerk nog steeds enkel moet kijken naar v4 (of dus v6 naar vlan:toestel, zonder lange strings)

Ik bedoel dit: https://wiki.gentoo.org/wiki/IPv6_Stati ... ing_Tokens

als ik het goed begrijp, moet je dan op elk toestel zelf aanpassingen doen?
lijkt me nog altijd niet bepaald praktisch (en niet al de toestellen zal je dat kunnen aanpassen wss)

hier gebruik ik dhcpv6 met een range (fdde::VLAN:x-fdde::VLAN:z) die ik aan de toestellen uitdeel,
en dan een NAT naar buiten toe, zodat de wan-zijde 1 ip naar buiten gebruikt (het wan-ip voor die vlan) en dan intern alles v6 fdde::VLAN::TOESTEL is)

dan zit je natuurlijk wel nog met een niet-even-eenvoudig FE80 adres (wat itnetadmin aanhaalde als een issue voor hem), maar ik denk dat je daar niet echt rondom kan?
(hoewel die token daar dus wel leuk voor zou zijn - als je dat ergens eenvoudig zou kunnen instellen voor al je apparaten in het netwerk)

[devilkin]

Inderdaad, het moet op host basis geconfigureerd worden. Gezien ik de merendeel van m'n hosts via ansible beheer maakt dat al bij al weinig uit hier. Er zijn weinig hosts waar ik echt het ipv6 moet van verankeren.

Zelf gebruik ik primair dns om naar hosts te connecteren, en ik merk dat ik enkel van de netwerk infrastructuur en management hosts de ip adressen nog van buiten ken - de rest wordt toegewezen.

Sent from my SM-S908B using Tapatalk

[bogon]

je router1.corp.be is dan mss handig voor jou, maar stel dat je daarinmoet (want dns is down, en dat ding doet toevallig dns)... dan ben jij gesjareld.
want je hebt geen flauw idee welk v6 adres dat ding heeft.... tenzij je in dns (waar je nu dus niet aankan) gaat kijken.
have fun while the building's burning down.

Als je elfendertig netwerken ondersteunt, wordt het moeilijk om in elk netwerk elk IP van elke router, switch, server, printer, camera, badgelezer, enz. van buiten te kennen. Uiteraard documenteer ik ook de netwerken die ik ondersteun, dus indien DNS down zou gaan (wat niet zou mogen) kan ik nog steeds mijn documentatie nagaan - of in dit geval bv. gewoon kijken wat het gateway-adres is.

Het argument "indien DNS down gaat" hoor ik vaak... Dat mag uiteraard gewoon niet gebeuren, net zoals zovele andere dingen niet mogen stoppen met werken. Daarvoor moet je redundante, goede opgebouwde netwerken maken.

Ik splits uiteraard ook alles op in VLAN's, subnets, prefixes. 2001:db8:cafe:5::f119:e876:1230 is duidelijk een camera, terwijl 2001:db8:cafe:3::8ef:8c06:32e4 duidelijk een printer is.