Ratgeber IPv6-Einführung

Wie Sie von IPv4 auf IPv6 migrieren

25.09.2012
Von Jasper Bongertz
IPv6 hält Einzug. Lesen Sie hier, worauf Sie bei Routern, Switches und Betriebssystemen unbedingt achten müssen.

Das Thema IPv6 hat seit der Vergabe der letzten offiziellen IPv4-Adressbereiche an Brisanz gewonnen. Langsam begreifen die meisten Firmen die Tragweite des Themas und beginnen, sich auf die Herausforderungen einzustellen, die diese Umstellung mit sich bringt. Einer der zentralen Punkte ist dabei nicht unbedingt die eigene Knappheit an IPv4-Adressen, sondern vielmehr die Sicherstellung der Erreichbarkeit über IPv6 gegenüber künftigen Kunden und Geschäftspartnern, die nur per IPv6 kommunizieren können.

Mehr zum Thema IPv6:

Nachfolgend werden Maßnahmen beschrieben, wie Router, Switches und Windows-Betriebssysteme an das neue Netzwerkprotokoll angepasst werden müssen.

Router: Was sich mit IPv6 ändert

In neueren IPv6-Implementierungen kann der Router sogar DNS-Server mitliefern. Alternativ kann man IPv6-Adressen wie gewohnt statisch vergeben.
In neueren IPv6-Implementierungen kann der Router sogar DNS-Server mitliefern. Alternativ kann man IPv6-Adressen wie gewohnt statisch vergeben.
Foto: Bongertz Jasper

Router sind seit jeher zentraler Bestandteil von Computernetzen, da ohne sie nur lokale Segmente betrieben werden könnten. Mit der Umstellung auf IPv6 werden sie noch an Bedeutung gewinnen, weil sie als Lieferanten für Subnetzinformationen dienen, mit deren Hilfe sich die Interfaces angeschlossener Endgeräte automatisch konfigurieren. Diese sogenannte Stateless Address Autoconfiguration (SLAAC) vereinfacht den Aufwand der Adresszuteilung ganz erheblich, indem die Router über entsprechende Router Advertisements mitteilen, welches Subnetzpräfix im lokalen Segment gilt. Stationen, die diese Advertisements empfangen, generieren sich dazu automatisch passende IP-Adressen und wissen zugleich auch, dass der absendende Router ihr Default Gateway ist. In neueren IPv6-Implementierungen kann der Router sogar DNS-Server mitliefern. Alternativ kann man IPv6-Adressen wie gewohnt statisch vergeben.

Auch der Einsatz des Dynamic Host Configuration Protocol (DHCP) ist möglich, allerdings etwas anders als bisher gewohnt, denn die Clients wählen es nicht selbständig aus. Bei IPv6 teilt der Router in seinem Router Advertisement mit, dass zusätzlich ein DHCPv6-Server angefragt werden soll, woraufhin der Client den DHCP-Server sucht. Dieser liefert dann je nach Konfiguration ebenfalls IP-Adressen oder auch nur zusätzliche Informationen etwa über DNS- und NTP-Server. Wer plant, IP-Helper beziehungsweise DHCP-Relay-Funktionen zu verwenden, sollte darauf achten, bei der Konfiguration der Router mit deren Link-Local-Adressen zu arbeiten, weil diese ansonsten oft die entsprechenden Parameter ignorieren.

Großzügige Adressplanung in IPv6-Netzen

Eine größere Umstellung ist auch beim Adresskonzept erforderlich, das vor dem Konfigurieren der Router erstellt und gründlich diskutiert werden sollte. IPv6 nutzt 128 Bit große Adressen, wovon 64 Bit fest für den Endgeräteanteil reserviert sind. Vielen Administratoren fällt es jedoch schwer, sich vom Konzept einer möglichst sparsamen Vergabe von IP-Adressen zu verabschieden. Ganz besonders gilt dies für Transfernetze, die früher gern mit Masken für nur zwei Adressen (und zwar die der beteiligten Router) konzipiert wurden. Solche Netze sind bei IPv6 nicht mehr vorgesehen, sondern haben auch hier 64 Bit Host-Adressraum. Grundsätzlich ist es ratsam, bei der Adressplanung in IPv6-Netzen großzügig vorzugehen und die alten Sparmaßnahmen ad acta zu legen.

Vorsicht bei der Fragmentierung

Als weiterer Stolperstein bei der Migration auf IPv6 gilt, dass eine Fragmentierung des nächsten Segments durch die Router bei zu kleiner Maximum Transmission Unit (MTU) nicht mehr vorgesehen ist. Diese Aufgabe muss nun immer durch den absendenden Knoten erledigt werden, also meist den Client beziehungsweise den Server. Wer sich also momentan bei MTU-Problemen mit dem beliebten Trick behilft, im Router oder der Firewall grundsätzlich das "Don’t Fragment"-Flag im IP-Header zu löschen, stößt bei der Umstellung auf IPv6 eventuell auf Probleme. Der Grund: Ein solches Flag existiert bei IPv6 nicht mehr - stattdessen ist es sozusagen stillschweigend immer gesetzt. Generell empfiehlt es sich, auf die entsprechenden Nachrichten des Internet Control Message Protocol (ICMP) (bei IPv6 mit dem Inhalt "Packet too big") zu achten, mit denen MTU-Probleme automatisch gemeldet werden. Bei Blackhole-Routern, die solche ICMP-Nachrichten nicht absetzen, hilft dann allerdings nur noch eine PathMTU Detection.

Adressauflösung: NDP löst ARP ab

In IPv6-Netzen hat das Address Resolution Protocol (ARP) als Bindeglied zwischen Ethernet-Adresse und IP-Adresse ausgedient, genauso wie sonstiger Broadcast-Verkehr. Stattdessen ist nun das Neighbor Discovery Protocol (NDP) für die Adressauflösung, die Erkennung doppelter IP-Adressen und weitere ehemaliger ARP-Aufgaben zuständig.

Neue Extension Header erschweren Filterregeln

Eine weitere Herausforderung stellen Access Control Lists (ACLs) beziehungsweise Firewalls dar, denn nicht alle Geräte sind bereits in der Lage, IPv6 vollständig zu filtern. Teilweise erschweren zum Beispiel die bei IPv6 neu hinzugekommenen Extension Header das Aufstellen korrekter Filterregeln. Darüber hinaus verfolgen einige Implementierungen den ziemlich ungewohnten Ansatz, Pakete mit unbekannten Strukturen vorsichtshalber einfach durchzulassen.