Es ist nur eine Frage der Zeit, wann das bisher partiell eingeführte Internet Protocol der Version 6 (IPv6) den großen Durchbruch schafft. Doch wie sollte sich ein Unternehmen auf die IPv6-Einführung vorbereiten?
Im Zuge der Umstellung auf IPv6 ist es zunächst erforderlich, ein Konzept zu erarbeiten, das die Zahl der neu anzuschaffenden Komponenten festlegt, die Investition in Software-Upgrades für bereits vorhandene Geräte kalkuliert und das benötig- te Budget durchgängig transparent macht. Hierzu gehören Punkte wie neue Funktio- nen, integrierte Sicherheit mit IPsec und umfangreiche Quality of Service. Das ursprünglich wohl schlagendste Argument, die zunehmende Knappheit an IPv4-Adressen, fällt mittlerweile tatsächlich auch hierzulande immer stärker ins Gewicht, vor allem im Service-Provider-Umfeld. Nicht zu unterschätzen ist auch eine Art Gruppenzwang: Nutzen immer mehr Anwender und Provider im Umfeld eines Unternehmens IPv6, so erhöht sich dadurch der Druck. Besonders Firmen und Niederlassungen im asiatischen Raum setzen bereits heute IPv6 für eine durchgehende Kommunikation vor-aus.
Neben diesen allgemeinen Aspekten sind für eine logische Argumentation zugunsten einer eigenen IPv6-Infrastruktur natürlich auch Wissen um die technischen Inhalte, Migrationswege und Auswirkungen auf die Hard- und Software relevant.
Migrationsstrategien
Um ein barrierefreies Netz auf Basis von IPv6 einzurichten, müssen alle Komponenten vom PC über die Switches und Router bis hin zu Firewalls und der Server-Infrastruktur dieses Protokoll unterstützen. Geräte, die den Verkehr nur auf einer unteren Ebene des OSI-Modells weiterleiten (Layer-2-Switches), erhalten oftmals zunächst nur IPv6-Management- und MLD-Snooping-Funktionen für Multicast über IPv6 und werden nach und nach aufgerüstet.
Für die Planung ist ferner wichtig, ob der eigene Internet-Service Provider (ISP) IPv6 unterstützt oder ob sein Backbone noch ausschließlich auf IPv4 basiert. Hierbei sollte immer die Ende-zu-Ende-Kommunikation berücksichtigt werden, das heißt, welches IP der Kommunikationspartner auf der anderen Seite unterstützt. Erst danach fällt die Entscheidung für eine der folgenden Techniken.
Dual-Stack-Technik
Das so genannte Dual Stack bezeichnet die Fähigkeit von Komponenten, sowohl IPv4 als auch IPv6 zu unterstützen. So können beide Protokolle zur gleichen Zeit im Netz existieren. Voraussetzung für eine Migration sind der Einsatz von Routern beziehungsweise Switches mit Dual Stack. Diese ermöglichen es den Kommunikationspartnern, Daten über IPv4 auszutauschen, während entsprechend ausgerüstete Clients bereits via IPv6 sprechen können. Die Ende-zu-Ende-Kommunikation läuft dabei durchgängig über ein und dasselbe Protokoll (IPv6 <-> IPv6 und IPv4 <-> IPv4). Zum Thema Sicherheit sei an dieser Stelle erwähnt, dass Betriebssysteme wie Windows Vista und Windows 7 standardmäßig IPv6 unterstützen und dieses Protokoll aktivieren. Folglich können Systeme, die auf IPv4-Ebene gut geschützt sind, auf IPv6 frei zugänglich sein. Wenn also aus Sicht eines Systemadministrators in seinem Netz generell noch kein IPv6 aktiv ist, können dennoch einzelne Rechner über dieses Protokoll angreifbar sein.
Tunneltechniken
Kommunizieren die Netze in den Niederlassungen und der Zentrale eines Unternehmens im Vergleich zum zwischengeschalteten Backbone-Provider über unterschiedliche Protokolle, empfiehlt sich der Einsatz von Tunneltechniken. Dabei wird ein Protokoll in ein anderes "eingepackt" (IPv6 in IPv4 oder umgekehrt). Auf diese Weise können bestehende IPv4-Infrastrukturen über einen Backbone geführt werden, der bereits IPv6 unterstützt, oder umgekehrt. Hierzu stehen unterschiedliche Tunneltechniken stehen zur Verfügung:
6to4
Bei dieser Tunneltechnik werden IPv6-Header in IPv4 (Protokolltypenbezeichnung 41) eingepackt und als Punkt-zu-Punkt-Verbindungen über einen bestehenden Backbone geführt. Die Bedingung ist, dass 6to4-Router mindestens eine offizielle IPv4-Adresse besitzen. Eine fixe Tunnelkonfiguration ist nicht notwendig. Ein gravierender Nachteil von 6to4 ist, dass die Technik nicht von den Vorteilen des schnelleren Routens via IPv6 profitiert. Verbindungen in die bereits existierende IPv6-Welt sind aber möglich und werden über so genannte Relay-Router realisiert.
Teredo
Teredo kommt bei der Verwendung von NAT (Network Address Translation) zum Einsatz. IPv6-Clients, die sich hinter einem NAT-Router befinden, können mittels dieser Technik die Verbindung über ein IPv4-Backbone/Internet in ein IPv6-Netz aufnehmen. Generell sollte NAT im IPv6-Umfeld jedoch nur noch in Ausnahmefällen - wenn Alternativen fehlen - angewandt werden, da es dem Aufbau einer modernen Ende-zu-Ende-Kommunikation entgegensteht.
ISATAP
Das Intra-Site Automatic Tunnel Addressing Protocol (ISATAP) ermöglicht die Kommunikation von IPv6-Clients in einem Netz, das ausschließlich über eine IPv4-Infrastruktur verfügt. Hierbei wird IPv4 als Sicherungsschicht des OSI-Referenzmodells betrachtet. Erst wenn eine Verbindung zu einer entfernten IPv6-Netzstruktur aufgebaut werden soll, ist ein IPv6-fähiger Router notwendig.
Translation-Technik
Die Translation-Technik wird auch als NATPT (Protocol Translation) bezeichnet, weil sie das Protokoll IPv4 in IPv6 und umgekehrt übersetzt. In der Regel nimmt ein NAT-PT-Router eine solche Umsetzung vor und besitzt deshalb Interfaces mit beiden Arten von Protokollen. Der Einsatz dieser Technik eignet sich besonders, wenn es dar- um geht, lokale IPv4-Netze an einen IPv6-Backbone anzuschließen - ohne die IPv4-Adressen zu ändern oder zu tunneln.
Bei der Verwendung sollte ein besonderes Augenmerk auf die Fragmentierung gelegt werden: In IPv6- und IPv4-Netzen ist mitunter die maximale Größe, die ein Datenpaket haben sollte (Maximum Transmission Unit), unterschiedlich. IPv6 schreibt zum Beispiel die Größe mittels dynamischer Erkennung (Path MTU Discovery) vor, während IPv4-Netze eine Wahl je nach individuellem Bedarf zulassen. Ferner sollten im Zusammenhang mit der Translation-Technik ICMP-Nachrichten nicht außer Acht gelassen werden, da einige nicht in IPv6 existieren.
Autoconfiguration
Eine wichtige IPv6-Neuerung liegt in der Möglichkeit, IP-Adressen automatisch zu konfigurieren (Stateless Address Autoconfiguration). DHCP-Server im Netz sind also nicht mehr zwingend notwendig, um die Clients mit Adressen zu versorgen. Darüber hinaus finden sich Clients, die mit Autoconfiguration arbeiten, selbständig im Netz zurecht - eine aufwendige manuelle Konfiguration entfällt.
Natürlich ist die Verteilung von IP-Adressen auch weiterhin über einen Server möglich (Stateful Address Autoconfiguration). Ebenso lassen sich gemischte Szenarien realisieren. Ein wichtiger Punkt ist dabei, dass DHCP für IPv6 nicht kompatibel mit DHCP für IPv4 ist. (hi)