IPv6-Grundlagen und Best Practices
Strategien für die IPv6-Migration
Der Vorrat an öffentlichen IPv4-Adressräumen ist zur Neige gegangen, der Handel mit Bestandsadressen floriert. Gleichzeitig steigt der Anteil von IPv6 am Internetverkehr beständig. Unternehmen, für deren Geschäfte die eigene Website eine wichtige Rolle spielt, sollten eine IPv6-Migration planen und schrittweise umsetzen.
Den ersten offiziellen Entwurf für den IPv4-Nachfolger (Internet Protocol Version 4) hat die Internet Engineering Task Force (IETF) bereits 1998 vorgelegt. Ein wichtiger Grund für das neue Protokoll IPv6 war die Begrenztheit der Adressenanzahl bei IPv4. Dessen 32-Bit-Adressierungsschema umfasst maximal 4,3 Milliarden IP-Adressen, von denen 3,7 Milliarden nutzbar sind. IPv6 dagegen verwendet ein 128-Bit-Schema, das bis zu 340 Sextillionen (3,4 × 1038) Adressen bereitstellen kann.
Seitdem sind zwanzig Jahre ins Land gegangen und der Vorrat an öffentlichen IPv4-Adressräumen ist mittlerweile aufgebraucht. Deshalb hat sich ein reger Handel mit bestehenden IPv4-Adressen etabliert, die durch eine Umstellung auf IPv6 oder durch Unternehmenspleiten wieder frei geworden sind. Schätzungen gehen davon aus, dass die Preise für IPv4-Adressen in diesem Jahr ihren Höchststand erreichen und dann aufgrund der wachsenden Verbreitung von IPv6 wieder sinken werden.
Für Unternehmen, die öffentliche IP-Adressen benötigen, wird es unter Kostengesichtspunkten immer attraktiver, IPv6 einzusetzen. IPv6-Adressen stellt der Service-Provider in der Regel kostenfrei bereit, während man für IPv4-Adressen immer häufiger zahlen muss. Bei einem Umstieg auf IPv6 spart ein Unternehmen diese Kosten und kann nach der Migration die eigenen frei gewordenen IPv4-Adressen verkaufen.
Einsatzgebiete von IPv6
In den IT-Abteilungen von Unternehmen konnte sich IPv6 bislang noch nicht in größerem Umfang durchsetzen. Hauptgrund dafür ist die Network Address Translation (NAT), die den Bedarf an öffentlichen IPv4-Adressen für die unternehmensinterne Datenkommunikation drastisch reduziert hat. Dass eine Umstellung auf IPv6 die mit NAT zwangsläufig verbundene Komplexität deutlich verringern und damit die Betriebskosten senken kann, haben erst wenige Unternehmen erkannt. Ein weiterer Bremsfaktor sind IPv6-Inkompatibilitäten bei den von Unternehmen eingesetzten Anwendungen. Viele ältere Applikationen unterstützen IPv6 gar nicht. Zudem gibt es bislang kein offizielles Enddatum für die Unterstützung von IPv4, sodass für eine IPv6-Migration kein Zeitdruck besteht.
Ganz anders sieht es dagegen bei Service-Providern und den großen Mobilfunk-Netzbetreibern aus. Hier ist die IPv6-Adaption bereits deutlich weiter vorangeschritten. So läuft zum Beispiel bei T-Mobile in den USA bereits über 90 Prozent des Datenverkehrs über IPv6. Die anderen großen US-Carrier liegen zwischen 60 und 85 Prozent. Auch fast ein Drittel der weltweit größten Websites ist mittlerweile per IPv6 erreichbar. Laut einer Studie der IPv6 Market Group soll der Anteil von IPv6 am weltweiten Datenverkehr bereits 2019 die 50-Prozent-Marke überspringen.
IPv6 wird sich in den kommenden Jahren immer weiter verbreiten. Unternehmen mit starker Abhängigkeit von Internetanwendungen sollten deshalb möglichst bald zumindest ihre Internetkommunikation auf IPv6 umstellen. Mobile Endgeräte verwenden bereits heute großteils IPv6. Wenn das Internetangebot eines Unternehmens nur IPv4 unterstützt, ist es für viele Kunden nicht mehr erreichbar. Die Empfehlung lautet deshalb, bereits heute eine IPv6-Strategie zu entwickeln und zum Beispiel eine Dual-Stack-Konfiguration zu planen und zu implementieren, um für die Zukunft gerüstet zu sein.
Das in den kommenden Jahren stark wachsende Internet of Things (IoT) wird die Adressknappheit bei IPv4 zusätzlich verschärfen. Zwar gibt es auch IoT-Implementierungen, die andere Protokolle nutzen. Für die riesige Zahl an IoT-Endgeräten werden aber auch sehr viele neue öffentliche IP-Adressen benötigt. Deshalb arbeiten mehrere Industrieverbände an IPv6-Standards für IoT.
IPv6 im Überblick
Wie erwähnt verwendet IPv6 für die Adressierung ein 128-Bit-Schema. Eine IPv6-Adresse setzt sich aus acht Blöcken mit je vier hexadezimalen Zeichen (Zahlen oder Buchstaben) zusammen. Jeder Block steht für eine 16-Bit-Zahl und wird durch einen Doppelpunkt von seinem Nachbarn getrennt. Die erste Hälfte der Adresse bestimmt normalerweise das Netzwerksegment, die zweite Hälfte ist für den Node vorgesehen (Server, Endgerät, Netzkomponente etc.). Dieser Teil wird auch als Schnittstellen-ID oder als Internet Identifier (IID) bezeichnet. Ein Beispiel für eine IPv6-Adresse:
2001:0DB8:3FA9:0000:0000:0000:00D3:9C5A
Die am Anfang eines Blocks stehenden Nullen kann man weglassen. Dieselbe Adresse sieht verkürzt dann so aus:
2001:DB8:3FA9:0:0:0:D3:9C5A
Zudem dürfen aufeinanderfolgende Viererblöcke mit Nullen durch zwei Doppelpunkte ersetzt werden. Mit dieser Notation lautet die Adresse:
2001:DB8:3FA9::D3:9C5A
IPv6 verfügt über vier primäre Adresstypen:
2000::/3 - Global-Unicast-Adressen (GUA): öffentliche IP-Adressen für die direkte Kommunikation zwischen zwei Nodes,
FC00::/7 oder FD00::/8 - Unique-Local-Adressen (ULA): private, Routing-fähige Adressen, die nicht im Internet genutzt werden,
FE80::/10 - Link-Local-Adressen: private Adressen für die interne LAN-Kommunikation, die nicht geroutet werden, sowie
FF00::/8 - Multicast-Adressen: für die Übertragung von Datenpaketen von einem Sender an mehrere Empfänger.
Für die Internetkommunikation eines Unternehmens müssen also Global-Unicast-Adressen zum Einsatz kommen. Im internen Netzwerk können die Geräte auch über ULA- oder Link-Local-Adressen kommunizieren. IPv6 setzt anstelle der von IPv4 bekannten Broadcasts auf Multicast- oder Anycast-Übertragungen.
Unter Sicherheitsaspekten bietet IPv6 den Vorteil, dass aufgrund des enorm großen Adressraums kein NAT mehr erforderlich ist. Dies ermöglicht eine bessere Ende-zu-Ende-Sicherheit, da NAT die Implementierung von Security-Anwendungen erschwert. Das IPSec-Protokoll ist in IPv6 standardmäßig dabei. Der flache Adressraum von IPv6 vereinfacht die IP-Verwaltung, wenn er sinnvoll geplant wird und für die Präfixes Standardlängen Verwendung finden. Bei IPv4-Netzen hingegen erschweren die unterschiedlichen Subnetzmasken für die Netzpartitionierung das Management deutlich.
Internet-Service-Provider können mit IPv6 die Größe ihrer Routing-Tabellen verkleinern, weil sich das Adressierungsschema hierarchischer gestalten lässt. Hinsichtlich der Performance schneidet IPv6 meist besser ab als IPv4. Zwar bedeutet das für eine Übergangsphase häufig genutzte Tunneling oder die IPv4/IPv6-Übersetzung (Translation) einen gewissen Overhead. Da aber kein NAT mehr nötig ist, ergibt sich unter dem Strich in der Regel ein Leistungsgewinn.
IPv6-Migration
Die IETF schlägt für den Umstieg auf IPv6 drei Verfahren vor, die sich alternativ oder gemeinsam einsetzen lassen:
Dual-Stack IPv4 und IPv6: Dasselbe Gerät unterstützt beide Protokolle, was einen sanften Übergang zu IPv6 ermöglicht. Dual-Stack-Netze sind komplexer zu implementieren und zu betreiben, weil die IT-Organisation zwei Protokolle verwalten muss.
Tunneling IPv6/IPv4 und IPv4/IPv6: IPv6-Pakete werden in IPv4-Header eingepackt beziehungsweise IPv4-Pakete in IPv6-Header. Diese Technik verbindet die IPv4- und IPv6-Bereiche eines Unternehmensnetzes über das IPv4-Netzwerk miteinander. Der Protokoll-Overhead kostet etwas Performance.
Translation: NAT64 und NAT46 wandeln die IPv4- und IPv6-Header und -Adressen in das jeweils andere Protokollformat um.
Welches der Migrationsverfahren sich für ein Unternehmen am besten eignet, gilt es im Rahmen eines IPv6-Projekts zu ermitteln. In das Projekt sollte man alle technisch orientierten Abteilungen wie Netzwerk-, Server-, Security- und Anwendungsverantwortliche, Desktop- und Support-Teams sowie die Geschäftsführung einbeziehen.
Eine der ersten Aufgaben ist die Analyse, welche Geräte und Anwendungen IPv6 nicht unterstützen und ob diese sich aktualisieren lassen oder zu ersetzen sind. Beim Netzdesign spielt der IPv6-Adressierungsplan eine wichtige Rolle. Zum einen muss ein Unternehmen entscheiden, ob es eigene öffentliche Global-Unicast-IPv6-Adressen verwenden möchte, oder ob es die Adressen über seinen ISP bezieht. Setzt ein Unternehmen bereits Provider-unabhängige IPv4-Adressen ein, liegt es nahe, sich die IPv6-Adressen ebenfalls selbst bei der zuständigen RIR (Regional Internet Registry) zu besorgen. Auch bei einer Multi-Homed-Anbindung des Unternehmensnetzes an zwei oder mehr ISPs ist es sinnvoll, Provider-unabhängige IPv6-Adressen zu verwenden. Ein Einsatz von Unique-Local-Adressen im Zusammenspiel mit NAT ist prinzipiell möglich. Allerdings würden damit die Vorteile der einfacheren IPv6-Adressierung verloren gehen.
Bei der Definition des Adressraums ist die Größe des globalen Präfixes wichtig. Dieses legt fest, wie viele Subnetze möglich sind. Kleinere Unternehmen mit nur einer ISP-Anbindung werden in der Regel IPv6-Adressen aus dem Adressbereich des Providers erhalten. Firmen mit nur einem Standort wird der ISP meist ein /48-Präfix zuweisen, das 65.536 individuelle /64-Präfixe umfasst. Wenn sich ein Unternehmensnetz über mehrere Standorte erstreckt, muss ein kleineres Präfix gewählt werden: /44 unterstützt bis zu zwölf Standorte, /40 bis zu 192. Für die Planung des IPv6-Adressraums empfiehlt es sich, ein IP-Adressen-Management-Tool zu verwenden. Im Internet sind verschiedene Excel-Vorlagen zu finden, mit denen sich ein IPv6-Adressierungsschema erstellen lässt.
Das IETF schlägt als Einstiegspunkt für eine IPv6-Migration vor, mit der Umstellung an den Übergangspunkten zwischen dem Unternehmensnetz und dem Internet anzufangen. Die in diesem exponierten Perimeter-Netzsegment eingesetzten Systeme sind in der Regel relativ aktuell und verfügen über einen Softwarestand, der IPv6 unterstützt.
Bei dieser Vorgehensweise stellt das Projektteam als Erstes die per Internet zugänglichen Websites des Unternehmens auf IPv6 um. Wenn bei den öffentlich erreichbaren Web-, E-Mail- und DNS-Servern zunächst nur der externe Datenverkehr über IPv6 läuft, ist darauf zu achten, dass diese Systeme nicht automatisch IPv6 für ausgehende Transaktionen nutzen. Dies würde unter anderem zu längeren Laufzeiten bei der Namensauflösung führen.
Anschließend migriert man Schritt für Schritt die Systeme im internen Unternehmensnetz entsprechend dem erarbeiteten Deployment-Plan auf IPv6. Die internen Router und die Geräte in den damit verbundenen Netzen stellt das Team dabei nacheinander auf IPv6 um. Während der Migrationsphase kommt es zu erhöhter Latenz der Datenübertragungen, weil die Daten längere Wege nehmen müssen.
IPv6 wird von den meisten Routing-Protokollen unterstützt, darunter die Protokolle OSPFv3, Cisco EIGRP, IS-IS, BGP und RIP. Wenn für IPv6 dasselbe Routing-Protokoll zum Einsatz kommt wie für IPv4, kann man das in der Netzwerkabteilung vorhandene Know-how weiter nutzen.
Unternehmen, die viele mobile Endgeräte wie Smartphones oder Tablets einsetzen, sollten frühzeitig auf den Routern des Access-Netzes IPv6 aktivieren, weil diese Endgeräte IPv6 bereits unterstützen. Sobald ein Router im IPv6-Modus arbeitet, sendet er ICMPv6-Router-Advertisement-Nachrichten und benachrichtigt alle Geräte, dass sie ihre IPv6-Adresse aktivieren und diesen Router verwenden sollen. Für die automatische Zuweisung von IPv6-Adressen empfiehlt es sich, einen DHCP-Server für IPv6 zu konfigurieren. Auch auf den WLAN-Access-Points und -Controllern sollte IPv6 aktiviert sein. Eine Alternative zu DHCP ist SLAAC (Stateless Address Auto-Configuration). Damit können die Hosts ihre IID über ihre MAC-Adresse oder über die Modified-EUI-64-Methode selbst festlegen.
Vor dem Start einer IPv6-Migration sollte man die geplante Konfiguration in einer Testumgebung auf Praxistauglichkeit und eventuelle Schwachstellen überprüfen. Viele Unternehmen werden sich dafür entscheiden, für eine längere Übergangszeit eine Dual-Stack-Umgebung zu betreiben. Dies ist zwar mit einem höheren Verwaltungsaufwand verbunden, weil viele Konfigurationsarbeiten sowohl für IPv4 als auch für IPv6 durchzuführen sind. Eine Dual-Stack-Konfiguration hat aber den großen Vorteil, dass die IPv4- und die IPv6-Welt miteinander kommunizieren können. Wenn ein Unternehmen dann im letzten Migrationsschritt IPv4 abschaltet, können nur noch die IPv6-fähigen Systeme miteinander sprechen.
Lesen Sie mehr zum Thema
