Einführung von IPv6

Das Internet Protokoll in der Version 4 (IPv4) ist seit 1983 die Grundlage der Kommunikation im Internet. Bereits 1990 war jedoch absehbar, dass die mit IPv4 verfügbaren 4,3 Milliarden IP-Adressen in absehbarer Zeit erschöpft sein werden. Die Internet Engineering Task Force (IETF) begann deshalb mit der Entwicklung einer neuen Generation des Internet Protokolls (IPng), die mit der Standardisierung des Basisprotokolls als Internet Protokoll Version 6 (IPv6) 1996 einen wichtigen Schritt erreichte.

Folgende Anforderungen standen im Fokus der Entwicklung von IPv6

  • Erweiterter Adressraum durch längere Adressen
  • Effizienteres Routing und kleinere Routingtabellen durch einfacheres Zusammenfassen von Netzen (Route Summary, Supranetting)
  • Schnellere Paketweiterleitung durch weniger Daten im Standardheader
  • Zusätzliche Routingoptionen durch ein Flow Label im Header
  • Einfacheres Subnetting da unterschiedliche Subnetze kaum noch erforderlich sind und sogar vermieden werden sollten
  • Höhere Sicherheit durch Verzicht auf alte Hilfsprotokolle (u.a. ARP)

Seit Anfang 2011 ist der IPv4-Adresspool der IANA (Internet Assigned Numbers Authority, eine Abteilung der Internet Corporation for Assigned Names and Numbers, kurz ICANN), der für die Verwaltung des Internets zuständigen Organisation)  erschöpft, die regionalen Verwaltungseinheiten (IP-Registries, z.B. RIPE NCC in Europa) können keine IPv4-Netzwerkbereiche „nachbestellen“. Gleichzeitig wächst der Druck durch neue Gerätetypen (Internet of Things, SmartHome), die ebenfalls flächendeckend mit dem Internet verbunden und häufig auch von außen erreichbar sein sollen. Verschiedene Provider, insbesondere im Kabelnetz stellen ihren Endkunden deshalb nativ nur noch IPv6-Adressen zur Verfügung (DSLite). Die Verbindungen werden dann zentral beim Provider auf IPv4 übersetzt (Carrier Grade NAT, kurz CGN). Einfacher wäre es in vielen Fällen, wenn zu gewünschten Diensten eine native IPv6-Verbindung möglich wäre. Im Ausland, insbesondere in Asien mit besonderem Adressmangel, bekommen Kunden teilweise nur noch IPv6-Zugänge und gar kein IPv4 mehr.

Motivation zur Einführung von IPv6

Aus Unternehmenssicht forcieren viele Faktoren die Migration zu IPv6:

  • Neue Technologien, z.B. Microsoft Direct Access, eine proprietäre VPN-ähnliche Zugangslösung ähnlich einem Remote Access VPN, setzen bereits heute zwingend IPv6 voraus. Die Nutzung dieser Technologien bleibt ohne die Einführung von IPv6 verwehrt.
  • Einzelne Systeme, speziell Microsoft Windows Server, werden vom Hersteller nur vollständig unterstützt, wenn IPv6 zumindest aktiv ist. Die Präferenz von IPv6 bei der Verbindungswahl lässt sich mittels Registry Einstellungen nur unvollständig bzw. mit Fehlern umstellen. Die vollständige Abschaltung von IPv6 kann jedoch dazu führen, dass Systeme in dieser Form nicht mehr in einer unterstützten Konfiguration laufen.
  • Mobilfunknetze der vierten und fünften Generation (4G, LTE und 5G) kämpfen aufgrund der großen Nutzerzahlen mit der IPv4-Adressknappheit. Für Netze der 4. Generation und später ist deshalb IPv6 verpflichtend vorgeschrieben.
  • Mitarbeiter aber auch Nutzer im Ausland bekommen insbesondere in Asien bei der Nutzung des (mobilen) Internets unter Umständen nur noch einen IPv6-only-Netzzugang. Die direkte Nutzung von IPv4-only-Diensten ist damit nicht möglich.
  • Durch den Technologiewandel zu „Anything-over-IP“ gibt es einen Trend zur Nutzung des Internet Protokolls. Auch hier spricht die Vielzahl der zukünftig eingesetzten Systeme z.B. im Internet-of-Things dringend für eine IPv6-Nutzung.
  • Eine logische Ende-zu-Ende Erreichbarkeit verlangt von allen beteiligten Kommunikationspartnern eine öffentliche, im Internet eindeutige IP-Adresse. Dies kann mit IPv4 in Zukunft nicht immer gewährleitet werden. Tatsächlich gibt es im Zusammenspiel mit Internetzugängen über Kabelmodem und Carrier Grade NAT (CGN) bereits heute immer wieder Probleme und Ausfälle.
  • Übergangstechniken die IPv6-Pakete durch einen Tunnel über ein IPv4-Netz leiten können außerdem zu Sicherheitsdefiziten führen, wenn z.B. keine Firewallregeln für die IPv6-Kommunikation existiert. Tunnelprotokolle müssen deshalb in der Regel entweder komplett blockiert oder die zusätzlichen Risiken akzeptiert werden.

Einführung von IPv6

Ein D-Day, d.h. die Umstellung der Infrastruktur von IPv4 auf IPv6 zu einem festen Termin ist praktisch nicht durchführbar. Einerseits gibt es noch viele Dienste, Server und Clients die kein IPv6 unterstützen, andererseits ist die Einführung so komplex, dass zu einem Umstellungstermin gar nicht alles erfolgreich getestet werden kann. Jedes Unternehmen muss sich deshalb darauf einstellen, über einen längeren, mehrjährigen Zeitraum sowohl IPv4 als auch IPv6 im Parallelbetrieb zu nutzen.

Viele zentrale Dienste, z.B. DNS, Zeitsynchronisation, Active Directory, E-Mail, etc. müssen sowohl für IPv4-Clients als auch IPv6-Clients angeboten werden. Ein doppelter Aufbau der Infrastruktur ist jedoch wirtschaftlich nicht sinnvoll, deshalb werden kritische Systeme gleichzeitig IPv4 und IPv6 in einer Dual-Stack-Konfiguration anbieten müssen.

Core to Edge

Mit dem Begriff „Core to Edge“ wird eine Strategie bezeichnet, bei der ausgehend vom „Kern“, d.h. vom Backbone der Infrastruktur zuerst essentielle Dienste um IPv6 erweitert werden und anschließend von innen nach außen weitere Komponenten, Server und schließlich Clients umgestellt werden.

Das Ziel der Core-to-Edge-Strategie ist, im Hintergrund alle essentiell notwendigen Dienste wie Namensauflösung, Zeitsynchronisation, Mailserver, Webserver, Fileserver und natürlich alle Netzwerkkomponenten wie Router, Switches und Firewalls IPv6-fähig zu machen, bevor die ersten Clients umgestellt werden. Dadurch soll sichergestellt werden, dass alle bisher über IPv4 funktionierenden Dienste auch über IPv6 laufen und auf IPv6 umgestellte Clients nicht auf Probleme stoßen, wenn IPv6 vom Betriebssystem präferiert wird, aber einzelne Dienste mit IPv6 noch nicht funktionieren.

Die Core-to-Edge-Strategie hat außerdem den Vorteil, dass Firewall- und Netzwerkadministratoren bereits erste Erfahrungen mit IPv6 sammeln können, bevor IPv6 für eine größere Anzahl von Nutzern ausgerollt wird.

Edge to Core

Mit „Edge to Core“ wird eine Strategie bezeichnet, bei der die Umstellung der Infrastruktur von außen nach innen, d.h. beginnend bei den Clients erfolgt.

Eine Edge-to-Core-Strategie ist möglicherweise sinnvoll, wenn sowieso gerade ein Upgrade der Client-Systeme ansteht und diese zusätzlich zu IPv4 auch mit IPv6 konfiguriert werden können. Die Strategie birgt jedoch das Risiko, dass essentiell notwendige Dienste über IPv6 noch nicht oder noch nicht vollständig und richtig zur Verfügung stehen. Da die meisten Client-Betriebssysteme IPv6 präferieren, wenn IPv6 zur Verfügung steht, besteht die Gefahr, dass bisher funktionierende Dienste plötzlich nicht mehr laufen oder immer wieder mal ungewöhnliche Fehler auftreten.

Ein typisches Beispiel sind Spam-Filter auf Mailservern. Die meisten Mailserver verwenden heute verschiedene Mechanismen um den sendenden Mailserver zu authentifizieren und um Spam frühzeitig abweisen zu können. Dabei wird beispielsweise geprüft, ob der sendende Mailserver einen gültigen DNS-Namen für die Rückauflösung (reverse lookup) besitzt, ob der sendende Mailserver als autoritativ für die Domäne im SPF-Record eingetragen ist, etc. Wenn jetzt die Umstellung des Mailversands erfolgt, bevor essentielle Dienste wie DNS für IPv6 vorbereitet wurden, kann es passieren, dass bei Mailservern mit IPv6-Mailempfang die Zustellung von E-Mails nicht mehr funktioniert, da der Spamfilter die über IPv6 eingelieferten E-Mails abweist. Aus diesen und vergleichbaren Gründen hat sich die Einführung von IPv6 von außen nach innen nicht bewährt.

IPv6 Inseln

IPv6 Inseln entstehen, wenn einzelne Abteilungen, typischerweise um Anforderungen von Kunden zu erfüllen, bereits IPv6 einführen, obwohl die restliche Infrastruktur im Unternehmen darauf noch nicht vorbereitet ist.  Eine solche IPv6-Insel können Webdienste sein, die zusätzlich zu IPv4 auch über IPv6 angeboten werden müssen oder Videokonferenzsysteme, die z.B. auch aus Asien erreichbar sein müssen, wo teilweise nur noch IPv6-Adressen verfügbar sind.

Der große Nachteil von IPv6-Inseln ist, dass häufig keine durchgängige IPv6-Strategie entwickelt wird, sondern möglichst kurzfristig das geplante IPv6-Projekt umgesetzt werden muss. Dadurch werden oft Techniken entwickelt und eingesetzt, die für das Gesamtunternehmen nicht geeignet sind. Bei einer späteren unternehmensweiten IPv6-Einführung muss dann auch die IPv6-Insel erneut migriert werden. IPv6-Inseln können z.B. mit Hilfe von IPsec-Tunnel miteinander und mit dem IPv6-Internet verbunden werden, bis IPv6 überall zur Verfügung steht. Sofern möglich sollten IPv6-Inseln jedoch vermieden werden.

Unsere Leistung

Mit unserer langjährigen Erfahrung in der Nutzung von IPv6 auf allen gängigen Betriebssystemen, Routern und Switches können wir Ihnen ein maßgeschneidertes, detailliertes Konzept zur Einführung von IPv6 zusammenstellen. Zusätzlich bieten wir in Form von Seminaren und Workshops den notwendigen Wissenstransfer an, um Ihre Mitarbeiter fit für IPv6 zu machen.

Selbstverständlich helfen wir Ihnen auch gerne bei der konkreten Einführung von IPv6. Wir konfigurieren und testen Systeme und Anwendungen und analysieren Fehler und Probleme.