CW: Die letzten IPv4-Blöcke werden demnächst zugeteilt. Bemerken Sie eine gestiegene Nachfrage nach IPv6-Schulungen?
Foto: Fastlane
JANSEN: Interessanterweise nicht wirklich. Wir haben bei Fastlane seit Jahren eine recht konstante Nachfrage seitens der Unternehmen. Viele Entscheider sehen IPv6 leider immer noch nicht als Basis ihres zukünftigen Netzes beziehungsweise setzen andere Schulungsprioritäten. Wir gehen davon aus, dass sich diese Zurückhaltung innerhalb der nächsten 18 Monate in ihr Gegenteil wandeln wird. Der Nachholbedarf an IPv6-Wissen ist riesig.
CW: Wo sehen Sie bei deutschen Anwendern die größten IPv6-Wissenslücken?
JANSEN: Es bestehen zunächst einmal grundsätzliche Schwierigkeiten in der Einschätzung der Bedeutung von IPv6 - zum einen, was das Netzwerk der Zukunft anbetrift, zum anderen mit Bezug auf die Sinnhaftigkeit und die Rechtfertigung des neuen Internet Protocol.
Ferner existiert relativ viel Halbwissen, genährt durch so manche euphorische Heilsversprechungen aus den 90er Jahren, die irgendwann bei den meisten zu einer Art Abstumpfung gegenüber dem Protokoll geführt haben. Das drückt sich dann entweder durch eine innere Ablehnung gegenüber IPv6 aus ("Kommt nie, braucht keiner!") oder aber in einem Verharren bei längst veraltetem Wissen ("Sind halt mehr Adressen, aber die werden irgendwann auch nicht mehr reichen").
CW: Wie ist Ihr Eindruck: Haben deutsche Unternehmen schon konkrete Migrationspläne, oder warten sie noch ab?
JANSEN: Die Unternehmen, die ihre Mitarbeiter zu uns schicken beziehungsweise mit denen wir in IPv6-Projekten zusammenarbeiten, haben IPv6 entweder bereits in der Planung, befinden sich in einer Migration oder nutzen IPv6 produktiv. Aber wie gesagt, diese Gruppe ist eben - noch - in der Minderheit. Des Weiteren sind alle Service-Provider und interessanterweise auch die Behörden längst in Planung, Migration und Umsetzung aktiv. Die Unternehmen hinken eindeutig hinterher.
Wie Unternehmen migrieren
CW: Es ist immer wieder zu hören, dass Unternehmen für die Migration 15 bis18 Monate einplanen sollten. Ist das realistisch?
JANSEN: Dieser Zeitraum ist für große Unternehmen durchaus realistisch. Eine IPv6-Migration erfordert ja klar zu definierende Schritte: Planung, Aufbau von Know-how, Hard- und Software-Updates, eventuelle Neuanschaffungen, ein Security-Konzept, Service-Provider-Strategie etc. All dies gilt es wohlüberlegt und meistens parallel zur laufenden Produktion durchzuführen. Selten wird hierfür eigens Personal abgestellt, was natürlich auf Kosten der zeitnahen Umsetzung geht.
CW: Und das Protokoll selbst bereitet keine Probleme?
JANSEN: Doch, bei IPv6 steckt der Teufel im Detail. Es gibt durchaus noch einige nur unbefriedigend gelöste technische Schwierigkeiten. Ad hoc fallen mir der DNSBereich, die IPv4/IPv6-Übergänge oder die unterschiedlichen IPv6-Implementierungen auf diversen Betriebssystemen ein. Diese Feinheiten haben so manchen Planungszeitraum "plötzlich" in die Länge gezogen.
Große Aufmerksamkeit sollte den jeweils für ihren Einsatz im neuen IPv6-Netz geplanten Applikationen gewidmet werden. Obwohl es grundsätzlich klar vorgezeichnete Wege gibt, wie eine Anwendung für IPv6 umgeschrieben werden müsste, sollte sie doch in jedem Fall einzeln gewissenhaft auf ihre reibungslose Funktion hin geprüft werden; gerade auch im Hinblick auf ihre Netzwerktauglichkeit im IPv6-Umfeld.
CW: Können Unternehmen noch abwarten, oder sollten sie jetzt unmittelbar Migrationsstrategien entwickeln?
JANSEN: Wer in und mit seinem Netz in naher und absehbarer Zukunft eigentlich nur das weiterbetreiben will, was er damit bereits heute macht - also größtenteils Client-Server-orientierten Verkehr durchschleusen -, der wird auch so bald aus funktionaler Sicht keinen Grund haben, auf IPv6 umzuschwenken. Die mangelnde Verfügbarkeit von neuen IPv4-Adressen wird, Ausnahmen bestätigen die Regel, diese Unternehmen normalerweise nicht vor Probleme stellen, da sie durch diverse Mechanismen des Load Balancings, NAT, Clustering etc. mehr als kompensiert werden können. Das ist ja bereits seit 15 Jahren Usus. Die Killeranwendung schlechthin, die den Einsatz von IPv6 erzwingt, gibt es schlicht - noch? - nicht.
Wer allerdings sein Anwendungsspektrum auf Peer-to-Peer-Kommunikation in großem Stil erweitern will, der ist gut beraten, bereits jetzt mit dem Aufbau entsprechender Infrastruktur und, gerne übersehen, IPv6-Praxiserfahrung zu beginnen.
CW: Für wen besteht nun konkret Leidensdruck?
JANSEN: Was den Leidensdruck betrifft, der kann ja bekanntlich von vorn und vonhinten gespürt werden. Man kann leiden, weil man nicht hat, was man will, oder weil man nicht hat, was man haben sollte. Viele Unternehmen, vor allem aber die Behörden, befassen sich nicht mit IPv6, weil sie es herbeisehnen und neue Chancen darin erkennen. Sie drängt oder zwingt vielmehr ein zunehmender Compliance-Druck dazu. Was aber auch sein Gutes hat.
Benchmark für Unternehmen
CW: Gibt es eine Checkliste oder einenBenchmark, um festzustellen, ob ein Anwender schnell migrieren sollte?
JANSEN: Wer zwei der folgenden drei Kriterien innerhalb der nächsten drei Jahre für sein Unternehmen(-snetz) nicht sicher ausschließen kann, sollte sich bald mit der Migration zu IPv6 durch eine entsprechende Planungsinitiative auseinandersetzen: 1. weltweite Vernetzung mit Business-Partnern und eigenen Standorten insbesondere im asiatischen Raum, 2. höherer Stellenwert von Peer-to-Peer-Anwendungen, 3. Compliance-Zwänge.
CW: Wo hat ein Anwender am ehesten mit Problemen zu rechnen, wenn er nicht migriert?
JANSEN: Wie bereits dargelegt, werden die Anwender ohne IPv6 nur dann Probleme bekommen, wenn ihr Business sich in Richtung Peer-to-Peer-Anwendungen öffnet, sie aber nicht mit einer IPv6-Infrastruktur und all dem entsprechenden Know-how dabei sind. Das kann dann recht schnell zu einem Wettbewerbsnachteil werden. Lassen Sie mich das an zwei Beispielen verdeutlichen: Im Energiesektor planen einzelne Versorger bereits, massiv die Verbrauchsdaten und -zwecke durch ihre Kunden in den Haushalten permanent (und nicht nur durch eine einmalige Jahresablesung) zu monitoren. Sie versprechen sich dadurch exakte Verbrauchsprofile sowohl zeitlicher als auch individueller Natur, was sie dann in Form einer optimierten Energiebereitstellung und eines besseren Serviceangebots zu nutzen gedenken. Grundvoraussetzung hierfür ist, alle Stromzähler und später auch Verbrauchsgeräte individuell remote erreichen zu können. Dazu benötigt man eine Menge IP-Adressen. Und im Automobilsektor gibt es bereits Projekte, die Bordcomputer moderner Autos per IPv6 remote und mobil zu adressieren. Das Auto wäre dann, zunächst nur in der Werkstatt, später auch unterwegs, permanent online.
Servicetechniker könnten dadurch schnell, bequem und sogar während der Fahrt diverse Checks ausführen, um einen Reparaturbedarf frühzeitig zu erkennen, Vorschläge und Orte sowie Termine für die Reparatur vorbereiten und so die Reparaturdauer verkürzen. Wenn nur alle Autos auf der Welt eine IP-Adresse bekämen, wären das schon jetzt etwa viermal so viele Adressen, wie sie der gesamte, nahezu aufgebrauchte IPv4-Adressraum überhaupt zur Verfügung stellen könnte.
Ähnliche Projekte gibt es in militärischen Bereichen sowie in der mobilen Telekommunikation. Und überall dort stehen wir derzeit an der Schwelle eines Booms. Hier lediglich als Nachahmer aufzuspringen wäre aus Wettbewerbsüberlegungen nur die zweitbeste Wahl.
Aus Supportsicht werden sowohl Hard- als auch Software der neuen Betriebssysteme noch lange dual und damit rückwärtskompatibel zu IPv4 sein. Auch werden die Service-Provider noch lange IPv4 und IPv6 parallel unterstützen, ebenso wie die Kommunikation zwischen IPv4-only- und IPv6-only-Sites. Hier sehen wir eher weniger Probleme
CW: Wo sehen Sie die größten Herausforderungen bei einer IPv6-Migration?
JANSEN: Die liegen zum einen in der reibungslosen Implementierung der Applikationssoftware, was allerdings durch gewissenhafte Tests im Vorfeld sicher zu bewältigen ist. Zum anderen sollten sich Anwender der Tatsache bewusst sein, dass die Transitionstechniken beziehungsweise -konzepte, so beliebt sie primär aus Kostengründen sind, alle auch ihre Nachteile gegenüber einer reinen IPv6-Infrastruktur haben.
Wer über Tunneltechnologien IPv6-Konnektivität billig ermöglicht, nimmt alle bereits seit langem bekannten Nachteile von Tunneln billigend in Kauf: mangelnde Transparenz beim Troubleshooting, mangelnde Sicherheit, erhöhte Komplexität, Full- oder Partial-Mesh-Problematik, um nur einige zu nennen. Und wer einmal mit den Tunneln angefangen hat, kann sich meist nur unter Schmerzen wieder davon lösen.
Eine andere Gefahr birgt der beliebte "Dual-Stack"-Ansatz. Damit wird auf bereits bestehende Netzwerk- und Host-Geräte die doppelte Last gelegt. Anfangs mag dies eher selten eine Rolle spielen, später wird dann jedoch sowohl IPv6 als auch, was viel wichtiger ist, die aktuelle IPv4-Struktur negativ beeinträchtigt. Hier spielen zudem Sicherheitsüberlegungen eine große Rolle. Wer beim Dual Stack eine IPv6-Sicherheitslücke zulässt, wird die Folgen auch im IPv4-Alltag auf einmal und vielleicht völlig unvorbereitet zu spüren bekommen.
Übergang von IPv4
CW: Was empfehlen Sie Anwendern, die migrieren wollen, aber noch alte IPv4-Legacy-Geräte wie Drucker etc. im Einsatz haben?
JANSEN: Sie sollten für eine Übergangszeit, die sie selbst aus betriebswirtschaftlichen Gründen für angemessen halten, diese alten IPv4-only-Geräte mittels bekannter Technologien weiterbetreiben. Es bieten sich hier, je nach Fall, verschiedene Optionen an: NAT-PT, Dual Stack, ISATAP und Ähnliches.
CW: Welche Migrationsstrategie ist aus Ihrer Schulungserfahrung ratsam: Big Bang, einzelne Subnetze umstellen oder zuerst nur die Gateways?
JANSEN: Ebenso wie das IPv4-Netz nicht über Nacht aufgebaut wurde, wird auch eine Migration auf IPv6 in den allermeisten Fällen nicht ad hoc, sondern sukzessive und nach einem klaren Implementierungskonzept erfolgen. Hierbei muss zunächst die Strategie geklärt werden: "Dual Stack where you can and tunnel where you must!"
In bestimmten Fällen ist auch eine ISATAP-Lösung sinnvoll. Etwa wenn der Wunsch besteht, dass in einer Windows-Domäne zunächst nur einzelne Hosts mit dedizierten Servern IPv6-Anwendungen betreiben sollen. Trotz der viel zitierten Autoconfiguration seitens IPv6 sollte im Vorfeld ein besonderes Augenmerk auf die DHCPv6-Lösung gelegt werden, insbesondere auch im Zusammenspiel mit dynamischem DNS und DNSSec.
Danach sollte entschieden werden, ob man zunächst das Core IPv6-fähig macht, typischerweise dual stacked, oder andersherum zunächst an den Edges beginnt, um dann per Tunnel erste IPv6-Konnektivität zu schaffen.
Im nächsten Schritt sollte Anwendung für Anwendung portiert und getestet werden. Außerdem gilt es, ein schlüssiges Security-Konzept durchzusetzen. Das fängt bei der Frage nach dem Umgang mit den Privacy-Extensions von Windows im Host-Bereich an, betrifft sämtliche Firewall-Regeln, insbesondere auch für ICMPv6 und getunnelten Verkehr, und reicht bis zur Klärung der Frage des Umgangs mit der Fähigkeit der Peers, selbständig IPsec-Verbindungen einzugehen.
CW: Die Deutsche Telekom und Kabel Deutschland wollen 2011 auch Consumer-Anschlüsse auf IPv6 umstellen. Wenn Sie in die Glaskugel schauen, wann wird IPv6 das dominierende Protokoll sein?
JANSEN: Wir haben es hier mit einem klassischen "Henne-Ei"-Problem zu tun. Die Service-Provider sehen eine noch zu geringe IPv6-Nachfrage bei ihren potenziellen Kunden, was zu einer geringeren Priorität teurer IPv6-Strukturen führt. Ein Vergleich verdeutlicht dies: Derzeit gibt es im Internet etwa 340.000 IPv4-Routen und 4.000 IPv6-Routen, also lediglich etwas mehr als ein Prozent.
Und für dieses eine Prozent gibt es derzeit auch nur IPv6-Konnektivität ohne Service-Level-Agreements. Mittelfristig erwarten wir jedoch einen massiven Schwenk - auf beiden Seiten - hin zu IPv6. Gründe hier für sind die Adressknappheit, gepaart mit neuen Massenanwendungen sowie Compliance-Bestimmungen.
Wann diese Mischung aus Eigenantrieb und Notwendigkeit zu einer Dominanz von IPv6 gegenüber IPv4 führen wird, lässt sich schwer sagen. Bisher haben ja alle Vorhersagen das Ende von IPv4 zu schnell prophezeit. Meine Glaskugel from Outer Space Inc. sagt mir aber, dass es ab 2012 keine neuen IPv4-Adressen mehr gibt und mit einer zehnjährigen Umstellungsphase zu rechnen ist.