Trotz proklamiertem sanften IPv6-Upgrade – der Migrationsdruck wächst Boarding-Time im neuen Adressraum

Autor / Redakteur: Andreas Beuthner / Dipl.-Ing. (FH) Andreas Donner

Nachdem die Deutsche Telekom für dieses Jahr die Erweiterung ihrer DSL-Anschlüsse auf den IPv6-Betrieb in Aussicht gestellt hat, könnte das eine Migrationswelle in Richtung Internet Protocol Version 6 auslösen. Internet-User erwarten zwar zahlreiche Umstiegshürden, die aber keine aufschiebende Wirkung mehr haben: Der bisherige IPv4-Adressraum ist ausgebucht.

Dual Stack-Übergangstechniken halten auch bei einem echten IPv6-Netz die Tore offen; Grafik: Lynet
Dual Stack-Übergangstechniken halten auch bei einem echten IPv6-Netz die Tore offen; Grafik: Lynet
( Archiv: Vogel Business Media )

Für Unternehmen und End-User bestand bislang wenig Handlungsbedarf: Solange die Adresszuteilung im Internet zustande kommt, gelingt in der Regel die Rechneranbindung bei richtiger Netzinstallation und Router-Konfiguration. Selbst wenn es beim IP-Routing immer wieder zu Adresskollisionen zwischen den beteiligten NAT-Gateways (Network Adress Translation) kommt oder durch das Umschreiben der Protokoll-Header für den Transport die Verschlüsselungsverfahren auf Netzwerk- und Transportebene durcheinander geraten, haben Netzwerkadministratoren und netzwerkaffine End-User den Internetzutritt auf Basis der üblichen Internet Protocol Version 4 (IPv4) im Griff.

Seit Jahren ist bekannt, dass die Adressblöcke im bisher benutzten Internetprotokoll IPv4 zur Neige gehen. Netzwerker kennen zudem die Schwächen des NAT-Gateways. Der nationale IPv6-Rat hat im Mai 2009 bereits einen Aktionsplan für die Einführung des neuen Internet Protokolls mit größerem Adressraum ausgearbeitet. Ein halbes Jahr zuvor, auf dem 3. IT-Gipfel in Darmstadt, haben sich Politik, Wirtschaft und Wissenschaft auf konkrete Schritte und Projekte für den IPv6-Umstieg verständigt.

Bildergalerie

Widerstand zwecklos

Internetprovider, Carrier und Equipmenthersteller indes legten zunächst wenig Eile an den Tag, den Flaschenhals im Adressraum auszumerzen, schließlich gibt es genügend Techniken und Werkzeuge für den bisherigen IPv4-Standard, um Netzwerkprobleme auf Server-, Switch- und Routerebene auszuräumen. Gleichwohl steckt die Provider- und Backbone-Seite den Kopf nicht in den Sand. Ein Dual Stack soll bei den Provider-Netzen den Infrastrukturwechsel im Adressraum einleiten. Dieser akzeptiert IPv4-Adressen und ermöglicht per Übersetzungs-Gateway die Kommunikation mit IPv6-Servern und Geräten.

Das bedeutet für die User einerseits das Fortleben der IPv4-Infrastruktur – denn alle Netze, die das bisherige Internetprotokoll nutzen, erhalten Zugang und stehen damit nicht vor einem verschlossenen IPv6-Tor – andererseits sind die neuen Datenverkehrsregeln des IPv6-Standards in Kraft und das betrifft neben dem Breitbandanschluss auch die LAN-Nachrüstung hinter der Firewall.

Fortschritt lässt sich nicht deckeln

Ob ein Dual-Betrieb mit Übersetzungs-Gateway auf Dauer mit dem ständig anwachsenden Paketverkehr im Internet zurecht kommt, ist schon aus Performancegründen zu bezweifeln. Schwerwiegender indes sind die Anzeichen, dass die IPv6-Migration nicht mehr aufzuhalten ist. Anfang Februar diesen Jahres haben die Organisationen Number Resource Organization (NRO), Internet Corporation for Assigned Names and Numbers (ICANN), Internet Society (ISOC) und Internet Architecture Board (IAB) auf einer gemeinsamen Pressekonferenz in Miami den globalen Wechsel auf den IPv6-Standard bekanntgegeben. Die letzten IPv4-Netzanschlussadressen sind an die regionalen Registrierungsstellen vergeben und die meisten internationalen Konzerne haben die IPv6-Implementierung auf der Agenda.

Betroffen vom IPv6-Upgrade sind alle Internet-Teilnehmer. Allen voran die Internetorganisationen, die gemeinsame IPv6-Ressourcen und -Dienste managen und die IPv6-Adressen zuweisen und verwalten sowie die DNS-Server betreiben. Außerdem die Netzbetreiber, die ihren Anwendern IPv6-Konnektivität und IPv6-basierte Dienste anbieten müssen. Im Fokus stehen aber auch die Anbieter von Hardware und Betriebssystemen, die ihre Produkte IPv6-fähig machen müssen, besonders die Hersteller von Netzwerk-Equipment.

weiter mit: Firmware bereitet Router auf den Dual Stack vor

Firmware bereitet Router auf den Dual Stack vor

Router, Switches oder Modems sind die wichtigsten Kandidaten für die ersten Schritte einer IPv6-Migration. Beruhigend ist, dass alle aktuellen PC-Betriebssysteme Dual-Stack-Konfigurationen unterstützen. Auch bei den meisten Linux-Distributionen ist ein IPv6-fähiger Kernel vorhanden. Cisco hat seine Internetwork Operating System Software (IOS) ab den Versionen 12.3 und 12.4 für den IPv6-Betrieb freigegeben und Gerätehersteller wie AVM, Lancom oder Netgear haben Firmware mit Konfigurationsoptionen für den Dual-Stack-Betrieb in ihrer Schublade. Das Lancom Betriebssystem LCOS wird voraussichtlich ab dem vierten Quartal 2011 IPv6 unterstützen.

Allerdings sind Kollisionen bei IPv4-Paketen im IPv6-Netz nicht einfach auszuschließen. Beispielsweise enthält der IPv6-Protokoll-Header eine umfangreiche Liste an Absender- und Zielangaben, die im IPv4-Header nicht enthalten sind. Das beschleunigt für IPv6-Pakete den Datenverkehr, unterwirft aber die LAN-Firewall einem Stresstest. Die muss eine ganze Reihe von zusätzlichen Paketeinträgen durchforsten, um grünes Licht für die Weiterleitung zu geben. Wer die Firewall-Einträge nicht anpasst, bekommt ein Security-Problem. Ähnliches gilt für das Border GatewayProtocol (BGP), das die Weiterleitung in verschiedene öffentliche Netze regelt.

Gewöhnungsbedürftige Notation

Konfigurationsaufwand entsteht sicherlich beim Anpassen von Anwendungen auf die 128-Bit langen IPv6-Adressen. Die neue Notation der Adressenziffern mit Doppelpunkt ist gewöhnungsbedürftig. Der Adressaufbau mit Routingpräfix, einer Subnetkennung sowie der Schnittstellen-ID weicht ebenfalls vom der herkömlichen IPv4-Notation ab.

Da IPv6 End-to-End-Verbindungen aufbaut und hierfür das Multicast-Adressformat benutzt, kommt den Interface-Nummern eine wesentliche Rolle zu. Einige Implementierungen von IPv6 ermöglichen nur dann die Kommunikation mit dem vorgesehenen Kommunikationsendpunkt, wenn die zu verwendende Interface-Nummer im IP-Header im Feld „scope_id“ eingetragen ist. Das führt dazu, dass mitunter die alleinige Angabe der IP-Adresse zum Aufbau einer Verbindung nicht mehr ausreicht, was sich beispielsweise bei der Inanspruchnahme von DNS-Diensten als fatal erweist, weil sich in der DNS-Konfiguration lediglich die IP-Nummer platzieren lässt.

Das Umrüsten der alten IPv4-Infrastruktur ist am einfachsten, wenn sich IPv4 Hosts und Router einzeln und unabhängig voneinander in die IPv6-Welt überführen lassen. Reicht beim Router mitunter die richtige Firmware aus, ist die Vorbedingung für das Host-Upgrading ein IPv6-fähiger DNS-Server. Soll der Parallelbetrieb via Tunneling stattfinden ist Vorsicht angesagt, vor allem wenn IPv4-Daten einen reinen IPv6-Server oder Dienst erreichen sollen. Den Tunnel-Mechanismus via 6to4 oder Teredo gibt es zwar seit einiger Zeit, aber die Erfahrungen mit 6to4 sind nicht allzu vielversprechend. Immer wieder sind in Foren Klagen über die schlechte Performance sowie Schwierigkeiten mit dem fehlenden Reverse-DNS zu hören. Stabile Verbindungen versprechen Tunnelbroker wie Gogo6 oder Sixxs.

Das Performance-Problem bei Tunneling-Techniken liegt vor allem im Overhead, der notgedrungen dadurch entsteht, dass die Netzwerk-Pakete zusätzlich in ein Tunnelprotokoll eingepackt werden und längere Wege im Netz zurücklegen müssen, als die IPv4-Pakete. Allerdings lassen sich bei richtiger Konfiguration IPv6-Datenpakete ohne weiteres über herkömmliche IPv4-Adressierung und IPv4-basierte Routingverfahren übertragen und umgekehrt.

Fehlerquelle Paketfilter

Bei Servern und Routern, die im Dual Stack Modus senden und empfangen, geraten die Paketfilter unter Umständen zu einer Fehlerquelle. Da jetzt ein Gerät mit zwei verschiedenen Protokollen zurechtkommen muss, steigt auch der Verwaltungsaufwand. Das Filteiring muss für zwei Protokolle gepflegt und die entsprechenden Routen festgelegt werden. Dazu kommen die Bugs im IPv6-Routing.

Wer Router und Switches aus den aktuellen Produktreihen der großen Hersteller im Einsatz hat, braucht sich kaum Sorgen machen. D-Link beispielsweise hat sich schon Ende 2009 für die Xstack-Switch-Reihen DGS-3400, DES-3200, DES-3528/52 sowie DES-7200 das goldene IPv6 Ready-Logo gesichert. Fortinet, ein Anbieter von Network Security Appliances und einer der führenden Anbieter von Lösungen für das Unified Threat Management (UTM) befasst sich seit 2007 mit dem Schutz für IPv6. Die aktuellen FortiGate Security-Plattformen sind für den Dual Stack Modus ausgelegt und bringen daher auch alte IPv4-Geräte ins IPv6-Netz. Das Betriebssystem FortiOS ist mit dem IPv6 Ready Logo Program des IPv6 Forums ausgezeichnet.

Der im Application Delivery Networking aktive Anbieter F5 Networks stellt eine Methode zum gleichzeitigen Betrieb von IPv4- und IPv6-Diensten bereit, sodass nicht das gesamte IPv4-Netzwerk ersetzt werden muss. NAT64 und DNS64 werden hierbei integriert und Large Scale NAT (LSN) über IPv4 verwaltet. Im Bereich der Netzwerkrouter sieht man bei F5 dennoch einige Herausforderungen für die Konfiguration.

So gibt es beim IPv6-Routing nur noch direkte Verbindungen zwischen Absender und Empfänger ohne die Möglichkeit der Paketfragmentierung bei umfangreicheren Sendungen. Der Absender muss die Pakete anpassen und den richtigen Routingpfad nehmen, um am Ziel überhaupt vollständig anzukommen.

(ID:2050614)