Trotz proklamiertem sanften IPv6-Upgrade – der Migrationsdruck wächst

Boarding-Time im neuen Adressraum

30.03.2011 | Autor / Redakteur: Andreas Beuthner / Andreas Donner

Dual Stack-Übergangstechniken halten auch bei einem echten IPv6-Netz die Tore offen; Grafik: Lynet
Dual Stack-Übergangstechniken halten auch bei einem echten IPv6-Netz die Tore offen; Grafik: Lynet

Firmware bereitet Router auf den Dual Stack vor

Router, Switches oder Modems sind die wichtigsten Kandidaten für die ersten Schritte einer IPv6-Migration. Beruhigend ist, dass alle aktuellen PC-Betriebssysteme Dual-Stack-Konfigurationen unterstützen. Auch bei den meisten Linux-Distributionen ist ein IPv6-fähiger Kernel vorhanden. Cisco hat seine Internetwork Operating System Software (IOS) ab den Versionen 12.3 und 12.4 für den IPv6-Betrieb freigegeben und Gerätehersteller wie AVM, Lancom oder Netgear haben Firmware mit Konfigurationsoptionen für den Dual-Stack-Betrieb in ihrer Schublade. Das Lancom Betriebssystem LCOS wird voraussichtlich ab dem vierten Quartal 2011 IPv6 unterstützen.

Allerdings sind Kollisionen bei IPv4-Paketen im IPv6-Netz nicht einfach auszuschließen. Beispielsweise enthält der IPv6-Protokoll-Header eine umfangreiche Liste an Absender- und Zielangaben, die im IPv4-Header nicht enthalten sind. Das beschleunigt für IPv6-Pakete den Datenverkehr, unterwirft aber die LAN-Firewall einem Stresstest. Die muss eine ganze Reihe von zusätzlichen Paketeinträgen durchforsten, um grünes Licht für die Weiterleitung zu geben. Wer die Firewall-Einträge nicht anpasst, bekommt ein Security-Problem. Ähnliches gilt für das Border Gateway Protocol (BGP), das die Weiterleitung in verschiedene öffentliche Netze regelt.

Gewöhnungsbedürftige Notation

Konfigurationsaufwand entsteht sicherlich beim Anpassen von Anwendungen auf die 128-Bit langen IPv6-Adressen. Die neue Notation der Adressenziffern mit Doppelpunkt ist gewöhnungsbedürftig. Der Adressaufbau mit Routingpräfix, einer Subnetkennung sowie der Schnittstellen-ID weicht ebenfalls vom der herkömlichen IPv4-Notation ab.

Da IPv6 End-to-End-Verbindungen aufbaut und hierfür das Multicast-Adressformat benutzt, kommt den Interface-Nummern eine wesentliche Rolle zu. Einige Implementierungen von IPv6 ermöglichen nur dann die Kommunikation mit dem vorgesehenen Kommunikationsendpunkt, wenn die zu verwendende Interface-Nummer im IP-Header im Feld „scope_id“ eingetragen ist. Das führt dazu, dass mitunter die alleinige Angabe der IP-Adresse zum Aufbau einer Verbindung nicht mehr ausreicht, was sich beispielsweise bei der Inanspruchnahme von DNS-Diensten als fatal erweist, weil sich in der DNS-Konfiguration lediglich die IP-Nummer platzieren lässt.

Das Umrüsten der alten IPv4-Infrastruktur ist am einfachsten, wenn sich IPv4 Hosts und Router einzeln und unabhängig voneinander in die IPv6-Welt überführen lassen. Reicht beim Router mitunter die richtige Firmware aus, ist die Vorbedingung für das Host-Upgrading ein IPv6-fähiger DNS-Server. Soll der Parallelbetrieb via Tunneling stattfinden ist Vorsicht angesagt, vor allem wenn IPv4-Daten einen reinen IPv6-Server oder Dienst erreichen sollen. Den Tunnel-Mechanismus via 6to4 oder Teredo gibt es zwar seit einiger Zeit, aber die Erfahrungen mit 6to4 sind nicht allzu vielversprechend. Immer wieder sind in Foren Klagen über die schlechte Performance sowie Schwierigkeiten mit dem fehlenden Reverse-DNS zu hören. Stabile Verbindungen versprechen Tunnelbroker wie Gogo6 oder Sixxs.

Das Performance-Problem bei Tunneling-Techniken liegt vor allem im Overhead, der notgedrungen dadurch entsteht, dass die Netzwerk-Pakete zusätzlich in ein Tunnelprotokoll eingepackt werden und längere Wege im Netz zurücklegen müssen, als die IPv4-Pakete. Allerdings lassen sich bei richtiger Konfiguration IPv6-Datenpakete ohne weiteres über herkömmliche IPv4-Adressierung und IPv4-basierte Routingverfahren übertragen und umgekehrt.

Fehlerquelle Paketfilter

Bei Servern und Routern, die im Dual Stack Modus senden und empfangen, geraten die Paketfilter unter Umständen zu einer Fehlerquelle. Da jetzt ein Gerät mit zwei verschiedenen Protokollen zurechtkommen muss, steigt auch der Verwaltungsaufwand. Das Filteiring muss für zwei Protokolle gepflegt und die entsprechenden Routen festgelegt werden. Dazu kommen die Bugs im IPv6-Routing.

Wer Router und Switches aus den aktuellen Produktreihen der großen Hersteller im Einsatz hat, braucht sich kaum Sorgen machen. D-Link beispielsweise hat sich schon Ende 2009 für die Xstack-Switch-Reihen DGS-3400, DES-3200, DES-3528/52 sowie DES-7200 das goldene IPv6 Ready-Logo gesichert. Fortinet, ein Anbieter von Network Security Appliances und einer der führenden Anbieter von Lösungen für das Unified Threat Management (UTM) befasst sich seit 2007 mit dem Schutz für IPv6. Die aktuellen FortiGate Security-Plattformen sind für den Dual Stack Modus ausgelegt und bringen daher auch alte IPv4-Geräte ins IPv6-Netz. Das Betriebssystem FortiOS ist mit dem IPv6 Ready Logo Program des IPv6 Forums ausgezeichnet.

Der im Application Delivery Networking aktive Anbieter F5 Networks stellt eine Methode zum gleichzeitigen Betrieb von IPv4- und IPv6-Diensten bereit, sodass nicht das gesamte IPv4-Netzwerk ersetzt werden muss. NAT64 und DNS64 werden hierbei integriert und Large Scale NAT (LSN) über IPv4 verwaltet. Im Bereich der Netzwerkrouter sieht man bei F5 dennoch einige Herausforderungen für die Konfiguration.

So gibt es beim IPv6-Routing nur noch direkte Verbindungen zwischen Absender und Empfänger ohne die Möglichkeit der Paketfragmentierung bei umfangreicheren Sendungen. Der Absender muss die Pakete anpassen und den richtigen Routingpfad nehmen, um am Ziel überhaupt vollständig anzukommen.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2050614 / IPv6)