Es ist nur eine Frage der Zeit, wann das bisher partiell eingeführte Internet Protocol der Version 6 (IPv6) den großen Durchbruch schafft. Unternehmen kommen deshalb nicht umhin, sich mit der neuen Routing-Technik auseinanderzusetzen, denn gerade das Business-Umfeld ist zunehmend auf eine unbegrenzte Zahl von IP-Adressen angewiesen. Was bei der IPv6-Einführung im eigenen Netz zu berücksichtigen ist und wie sich die Umstellung auf die IT-Infrastruktur auswirkt, beleuchtet unser Beitrag.
Strategische und unternehmenspolitische Überlegungen
Im Zuge der Umstellung auf IPv6 ist es zunächst erforderlich, ein Konzept zu erarbeiten, das die Zahl der neu anzuschaffenden Komponenten festlegt und die Investitionen in Software-Upgrades für bereits vorhandene Geräte kalkuliert. Ferner sollte das benötigte Budget durchgängig transparent sein. Hierzu gehören Punkte wie neue Funktionen, integrierte Sicherheit mit IPsec und umfangreiche Quality of Service. Das ursprünglich wohl schlagendste Argument, die immer größere Knappheit an IPv4-Adressen, ist hierzulande etwas in den Hintergrund geraten. Nicht zu unterschätzen ist allerdings eine Art Gruppenzwang: Nutzen immer mehr Anwender und Provider im Umfeld eines Unternehmens IPv6, so erhöht sich dadurch der Druck. Vor allem Geschäftsbeziehungen und Niederlassungen im asiatischen Raum setzen bereits heute IPv6 für eine durchgehende Kommunikation voraus.
Neben den erwähnten allgemeinen Aspekten sind für eine logische Argumentation zugunsten einer eigenen IPv6-Infrastruktur natürlich auch Wissen um die technischen Inhalte, Migrationswege und Auswirkungen auf die Hard- und Software relevant.
Technischer Ansatz und Migrationsstrategien
Damit ein barrierefreies Netz auf Basis von IPv6 entsteht, müssen alle Komponenten - vom PC über die Switches und Router bis hin zu Firewalls und der Server-Infrastruktur - dieses Protokoll unterstützen. Geräte, die den Verkehr nur auf einer unteren Ebene weiterleiten (Layer-2-Switches), erhalten oftmals zunächst nur IPv6-Management und MLD-Snooping-Funktionen (für Multicast über IPv6) und werden nach und nach aufgerüstet.
Für die Planung ist außerdem wichtig, ob der eigene Internet-Service-Provider (ISP) IPv6 unterstützt oder ob dessen Backbone noch ausschließlich auf IPv4 basiert. Hierbei muss immer die Ende-zu-Ende-Kommunikation berücksichtigt werden, das heißt, welches Internet Protocol der Kommunikationspartner auf der anderen Seite unterstützt. Erst danach fällt die Entscheidung für eine der folgenden Techniken.
Dual-Stack-Technik
Dual Stack bezeichnet die Fähigkeit von Komponenten, IPv4 und IPv6 parallel zu unterstützen. So können beide Protokolle zur gleichen Zeit im Netz existieren. Voraussetzung für eine Migration sind der Einsatz von Routern sowie Switches mit Dual Stack. Diese ermöglichen es den Kommunikationspartnern zum einen, Daten über IPv4 auszutauschen, während sie mit entsprechend ausgerüsteten Clients bereits via IPv6 sprechen. Die Ende-zu-Ende-Kommunikation läuft dabei durchgängig über ein und dasselbe Protokoll (IPv6 <-> IPv6 und IPv4 <-> IPv4).
Zum Thema Sicherheit: Betriebssysteme wie Windows Vista und Windows 7 unterstützen standardmäßig IPv6 und aktivieren dieses Protokoll. Folglich können Systeme, die auf IPv4 gut geschützt sind, auf dem IPv6-Protokoll frei zugänglich sein. Auch wenn also aus Sicht eines Systemadministrators noch kein IPv6 im Netz aktiv ist, sind doch einzelne Rechner über dieses Protokoll angreifbar.
Tunneltechniken
Kommunizieren die Netze in den Niederlassungen und der Zentrale eines Unternehmens im Vergleich zum zwischengeschalteten Backbone-Provider über unterschiedliche Protokolle, empfehlen sich Tunneltechniken. Dabei wird ein Protokoll in ein anderes "eingepackt" (IPv6 in IPv4 oder umgekehrt). Auf diese Weise können bestehende IPv4-Infrastrukturen über ein Backbone geführt werden, das bereits IPv6 unterstützt. Hierzu stehen unterschiedliche Tunneltechniken zur Verfügung:
6to4
Bei dieser Tunneltechnik werden IPv6-Header in IPv4 (Protokolltypenbezeichnung 41) eingepackt und als Punkt-zu-Punkt-Verbindungen über ein bestehendes Backbone geführt. Bedingung ist, dass 6to4-Router mindestens eine offizielle IPv4-Adresse besitzen. Eine fixe Tunnelkonfiguration ist nicht notwendig.
Gravierender Nachteil von 6to4: Die Technik kann nicht von den Vorteilen des schnelleren Routens via IPv6 profitieren. Verbindungen in die bereits existierende IPv6-Welt sind aber möglich und werden über so genannte Relay Router realisiert.
Teredo
Teredo kommt bei der Verwendung von NAT (Network Address Translation) zum Einsatz. IPv6-Clients, die sich hinter einem NAT-Router befinden, können mittels dieser Technik die Verbindung über ein IPv4-Backbone/Internet in ein IPv6-Netz aufnehmen.
Generell sollte NAT im Umfeld von IPv6 jedoch nur noch in Ausnahmefällen - wenn Alternativen fehlen - angewendet werden, da es dem Aufbau einer modernen Ende-zu-Ende-Kommunikation entgegensteht.
ISATAP
Das Intra-Site Automatic Tunnel Addressing Protocol (ISATAP) ermöglicht die Kommunikation von IPv6-Clients in einem Netz, das ausschließlich über eine IPv4- Infrastruktur verfügt. Hierbei wird IPv4 als Sicherungsschicht des OSI-Referenzmodells betrachtet. Erst wenn eine Verbindung zu einer entfernten IPv6-Netzstruktur aufgebaut werden soll, ist ein IPv6-fähiger Router notwendig.
Translation-Technik
Die Translation-Technik wird auch als NAT-PT (Protocol Translation) bezeichnet, weil sie das Protokoll IPv4 in IPv6 und umgekehrt übersetzt. In der Regel nimmt ein NAT-PT-Router eine solche Umsetzung vor und besitzt deshalb Interfaces mit beiden Arten von Protokollen.
Diese Technik eignet sich besonders, wenn es darum geht, lokale IPv4-Netze an einen IPv6-Backbone anzuschließen - und zwar ohne die IPv4-Adressen zu ändern oder zu tunneln.
Bei der Anwendung sollte ein besonderes Augenmerk auf die Fragmentierung gelegt werden: In IPv6- und IPv4-Netzen ist mitunter die maximale Größe, die ein Datenpaket haben sollte (Maximum Transmission Unit), unterschiedlich. IPv6 schreibt zum Beispiel die Größe mittels dynamischer Erkennung (Path MTU Discovery) vor, während IPv4-Netze eine Wahl je nach individuellem Bedarf zulassen. Ferner sollten im Zusammenhang mit der Translation-Technik ICMP-Nachrichten nicht außer Acht gelassen werden, von denen einige nicht in IPv6 existieren und darum verworfen, andere wiederum modifiziert werden.
Adressvergabe und Autokonfiguration
Eine wichtige IPv6-Neuerung liegt in der Möglichkeit, IP-Adressen automatisch zu konfigurieren (Stateless Address Autoconfiguration). Es sind also nicht mehr zwingend DHCP-Server im Netz notwendig, um Clients mit Adressen zu versorgen. Darüber hinaus finden sich Clients, die mit Autokonfiguration arbeiten, selbständig im Netz zurecht - die aufwendige manuelle Konfiguration entfällt. Natürlich ist die Verteilung von IP-Adressen auch weiterhin über einen Server möglich (Stateful Address Autoconfiguration). Ebenso lassen sich gemischte Szenarien realisieren. Ein wichtiger Punkt: DHCP für IPv6 ist nicht kompatibel mit DHCP für IPv4. Allerdings reichen Relays die Client-Anfragen weiter und machen einzelne Server für jedes Segment überflüssig.
Fazit
Die Umstellung auf IPv6 kann schrittweise in verschiedenen Teilen des Netzes erfolgen - Core beziehungsweise Backbone oder Edge-Bereich. Die einfachere erste Migrationsstufe stellt die Umstellung des Backbones über Dual Stack dar. Die bisherige Infrastruktur läuft dabei in gewohnter Form weiter und erlaubt gleichzeitig die ersten Gehversuche mit dem neuen Protokoll. Soll zuerst der Edge-Bereich - und gleichzeitig alle dortigen Applikationen, Rechner und Betriebssysteme - umgestellt werden, müssen Unternehmen mit Komplikationen und Anpassungsschwierigkeiten rechnen.
Generell gilt: Je kurzfristiger eine Umstellung, desto kostspieliger und anfälliger für Fehler ist sie. Das A und O im Umgang mit IPv6 ist eine ausführliche Planung und ein durchdachtes Konzept, inklusive einer ebenso ausführlichen wie frühzeitigen Vorbereitung auf das Thema.