CW: Amazon & Co. haben zum 6. Juni mit ihren IPv6-Netzen den operativen Betrieb aufgenommen. Müssen Unternehmen jetzt nachziehen?

WIETRYCHOWSKI: Firmen sollten sich 2012 mit dem Thema beschäftigen, um zumindest eine IPv6-Präsenz zu haben. Das bedeutet für mich, dass ein Unternehmen über IPv6 zu erreichen ist. Zudem tut sich eine Firma unter Image-Aspekten nicht unbedingt einen Gefallen, wenn sie nur IPv4 spricht.

TRABER: IPv6 wird in den kommenden Jahren den aktuellen Adressstandard IPv4 ergänzen. Dies ist notwendig, um weiterhin allen Unternehmen, Internet-Nutzern und IP-fähigen Endgeräten eine Online-Präsenz und den Zugang zum Web zu ermöglichen. Ein akuter Handlungsbedarf trifft aber nur den asiatischen Raum. Speziell in Europa müssen Firmen unmittelbar noch nichts unternehmen. Die Situation wird sich aber bald ändern.

CW: Gilt das für alle Unternehmen?

WIETRYCHOWSKI: Das ist unabhängig von der Unternehmensgröße. Grundsätzlich sollte der Entscheider überlegen, ob er IPv6 dringend zur Kommunikation braucht. Wir wissen, dass man etwa in Asien oder Südamerika in Sachen IPv6 aufgrund der IPv4-Adressknappheit sehr viel weiter ist als in Europa. Deshalb ist es für viele Unternehmen von elementarer Bedeutung, auch per IPv6 erreichbar zu sein, wenn sie in diesen Regionen Geschäftsbeziehungen unterhalten. Ein Kunde sah sich beispielsweise bereits mit der Anforderung eines asiatischen Zulieferers konfrontiert: Wir brauchen IPv6 zur Kommunikation. Hier stellt sich dann die Frage nach der Notwendigkeit einer Migration gar nicht mehr.

TRABER: Mit Sicherheit nicht. So wird die rein regional tätige Schreinerei in Deutschland zunächst noch auf IPv6 verzichten können. Ein international tätiges Unternehmen sollte sich dagegen jetzt schon auf eine teilweise Migration seiner Internet-Router vorbereiten. Komponenten, die nur im internen Netz genutzt werden, müssen jedoch überhaupt nicht ausgetauscht werden und können ohne Probleme bis zum Ende ihrer Lebensdauer mit IPv4 genutzt werden.

CW: Welche Gefahr droht, wenn ein Unternehmen nicht migriert?

WIETRYCHOWSKI: Ein Unternehmen sollte sich vor allem überlegen, wie wichtig IPv6 für sein Business ist. Bestehen Geschäftsbeziehungen zu Ländern, in denen IPv6 eine Rolle spielt? Laufe ich Gefahr, Aufträge zu verlieren, wenn ich kein IPv6 kann? Ein anderer Punkt sind die mobilen Endgeräte. Spätestens dann wird es inter-essant, wenn der Mobilfunk-Provider IPv6 einsetzt und das Endgerät des Mitarbeiters ebenfalls IPv6 verwendet und dann auf die unternehmenseigene IPv4-Infrastruktur zugreifen soll. Natürlich geht das auch mit Network Address Translation (NAT) und Super-NAT, aber diese Techniken stoßen auch an ihre Kapazitätsgrenzen. Das erhöht den Aufwand und damit die Betriebskosten. Irgendwann wird IPv4 einfach zu teuer.

TRABER: Zunächst gar keine. Das Internet wird nicht an einem "Tag X" auf IPv6 umgestellt und damit alle nur IPv4-fähigen Internet-Geräte wertlos. Der Umstellungsprozess wird viele Jahre dauern. Mittel- und langfristig werden jedoch Teile des Internets nur noch über IPv6 erreichbar sein. Im schlimmsten Fall wird der Endbenutzer neue Web-Angebote, die nur über IPv6 angebunden sind, nicht erreichen. Dann muss entweder der Internet-Provider als Vertragspartner des Unternehmens die "Übersetzung" und damit Anbindung an diesen Teil des Internets sicherstellen, oder das Unternehmen hat einen IPv6-fähigen Internet-Zugang und Router, um weiterhin das gesamte Internet zu erreichen.

CW: Warum nicht dennoch einfach länger IPv4 nutzen mit Techniken wie Tunneling, Translation oder Gateways?

WIETRYCHOWSKI: Das sind nur Behelfslösungen, die der IT-Abteilung das Leben schwer machen, wenn etwa eine Applikation in ein Unternehmensnetz hineingreifen soll und einfach nicht ge-NAT-et werden kann. Nehmen Sie als Beispiel eine Voice-Kommunikation. Wie soll ein IPv6-Node eine Verbindung mit einem IPv4-Knoten aufbauen? Das geht erst einmal nicht. Sicher können Sie Gateways verwenden. Das bedeutet aber zusätzlichen Betriebsaufwand. Sie müssen das Gateway pflegen, Sie müssen NAT von v4 nach v6 und umgekehrt machen, Sie müssen sicherstellen, dass ihre Applikation das auch versteht. Der Aufwand wird so groß, dass es effizienter ist, einen Schnitt zu machen und IPv6 aufzubauen. So kommt der Punkt, wo es finanziell günstiger ist, umzustellen.

CW: Warum nicht sofort IPv6 nutzen?

TRABER: Ein Leitspruch für Administratoren lautet "Never touch a running system". Solange ein Unternehmen alle Kunden und Partner ansprechen und von diesen auch erreicht werden kann, gibt es keinen zwingenden Grund, IPv6 zu nutzen. Im Gegenteil: So wie selbst jetzt noch nach Jahrzehnten der Entwicklung Fehler im IPv4 gefunden werden, wird es gerade am Anfang der IPv6-Einführung zu Schwierigkeiten kommen. Es empfiehlt sich, einen gewissen Reifeprozess für IPv6 abzuwarten, bevor eventuell unternehmenskritische Dienste über dieses Protokoll abgewickelt werden. Im internen Netzwerk eines Unternehmens überlagern die Risiken einer Migration deutlich die Vorteile. Hier gibt es keinen Grund, ein funktionierendes Netzwerk zu verändern.

CW: Wie stehen Sie zum Mischbetrieb mit IPv4 und IPv6?

WIETRYCHOWSKI: Es ist nicht realistisch, anzunehmen, dass ein Unternehmen von heute auf morgen von IPv4 auf IPv6 wechselt. Überall dort, wo es geht, sollte heute Dual Stack genutzt werden, zumal dies im Vergleich zu NAT eine saubere Kommunikation ist. Auf Netzseite lässt sich das über VLANs relativ einfach realisieren. Aber der Teufel steckt im Detail: Wie sieht es auf Anwendungsseite aus, welche Verkehrsmengen und -beziehungen existieren? Kann ich eine Applikation von 1998, auf die 30 Prozent der Mitarbeiter zugreifen, überhaupt IPv6-ready machen, oder muss ich sie weiterhin auf IPv4 lassen? Dann brauche ich in der Regel ein IP-Translation-Gateway, durch das alle meine IPv6-PCs müssen. Hier kann ein Nadelöhr entstehen. Sie sehen, es gibt viele Detailfragen, die eine Menge Implikationen für das Netzdesign haben können.

TRABER: Dieser Mischbetrieb wird über viele Jahre aus den schon angesprochenen Gründen eher die Regel als die Ausnahme sein. Wir offerieren eine Betriebssystem-Version für unsere Geräte, mit der der Mischbetrieb problemlos möglich ist.

CW: Welche Tipps haben Sie konkret in Sachen IP für den Unternehmensalltag?

WIETRYCHOWSKI: Als Erstes sollten sich Unternehmen mit dem Thema IPv6 beschäftigen. Hier bin ich mittlerweile ganz zuversichtlich. Wenn Sie auf entsprechenden Veranstaltungen darüber diskutieren, dann betreiben etwa zehn Prozent bereits ein IPv6-Netz, und 50 Prozent befassen sich mit dem Thema. Des Weiteren würde ich einen Fahrplan für die nächsten drei Jahre aufstellen. Hier sollten Punkte wie Applikationsanpassungen auch mit Blick auf Mobile berücksichtigt werden. Ein anderer Aspekt ist das Thema Sicherheit. Dort sollte man ganz genau hinsehen, was in Sachen IPv6 unterstützt wird. Ähnliches gilt hinsichtlich WireIess (Access Points) und Mobility. Hier sollte der Anwender im Detail untersuchen, was das Produkt in Sachen IPv6 beherrscht. Die geringsten Kopfschmerzen dürften den Anwendern die Router bereiten, denn im Business-Umfeld können sie schon lange IPv6. Analog sieht die Situation bei den Layer-3-Switches aus. Die spannende Frage dürfte auch hier wieder die Sicherheit betreffen. Inwieweit können Sicherheitsprotokolle und -mechanismen aus der IPv4-Welt auch in einer IPv6-Umgebung weiterverwendet werden?

Last, but not least gilt es beim Thema Dual Stack noch zu beachten, ob der Router genügend Speicher und Rechenkraft hat, um die doppelten Routing-Tabellen zu halten und zu verarbeiten. Und schließlich sollten die Service-Provider nicht vergessen werden: Wie haben sie IPv6 implementiert? Welche IPv6-Adressen will ich als Unternehmen - Provider-unabhänge oder Provider-assigned-Adressen? Beides hat seine Vor und Nachteile, weshalb bei der Wahl des Providers darauf geachtet werden sollte, was er anbietet und unterstützt.

TRABER: Vorsicht und Sorgfalt bei der Einführung von IPv6! Bei einer kleinen Fehlkonfiguration, beispielsweise der Firewall, könnten alle IPv6-fähigen Geräte im internen Netzwerk aus dem gesamten Internet direkt zu erreichen sein! Auch wenn die für IPv4 in der Regel erforderliche (und oft ungeliebte) NAT für IPv6 nicht mehr nötig wäre, stellt sie gerade in Firmennetzen einen nicht zu unterschätzenden Sicherheitsgewinn dar. (mb)

von Jürgen Hill, jhill@computerwoche.de