Interne Protocol Version 6

So sieht’s aus in Sachen IPv6

| Autor / Redakteur: Thomas Wittbecker / Andreas Donner

Adressräume mal anders – KFZ-Kennzeichen aus den USA.
Adressräume mal anders – KFZ-Kennzeichen aus den USA. (Bild: brians101 / Public Footprint)

Bereits seit längerer Zeit zeichnet sich ab, dass der Vorrat an IPv4-Adressen irgendwann zur Neige gehen wird. So wurden etwa im September 2015 in Nordamerika von der zuständigen regionalen Vergabestelle die allerletzten IPv4-Adressen ausgegeben. Unternehmen tun deshalb gut daran, möglichst zügig auf das neue Internetprotokoll IPv6 umzustellen.

Firmen, die eine IPv4-Adresse benötigen, können diese zwar weiterhin bei ihrer zuständigen Vergabestelle beantragen. Allerdings werden sie auf eine Warteliste gesetzt und erhalten neue IPv4-Adressen nur noch aus dem Pool zurückgegebener Adressen.

Um den akuten Mangel an IPv4-Adressen zu umgehen, ist es für IT-Unternehmen daher unabdingbar, neben IPv4 auch IPv6 anzubieten. Der neue Internetstandard nutzt 128 Bit zur Adressspeicherung. Das heißt, es lassen sich damit 2128 (circa 340 Sextillionen) Adressen darstellen. Diese Anzahl dürfte für die nächsten Jahrhunderte ausreichen.

Die Adresse wird mithilfe von acht Zeichenblöcken mit jeweils vier Stellen in Hexadezimaler Schreibweise dargestellt, die Zahlen und Buchstaben enthalten können. Da eine solche Zeichenkombination oft unübersichtlich aussieht, können die langen Zahlenketten mit verschiedenen Kürzungsregeln vereinfacht werden. Eine IPv6-Adresse besteht aus mehreren Teilen, dem Prefix, das von der Vergabestelle zugeteilt wird (in der Regel 32 Bit), und einem lokalen Teil. Dieser lokale Teil kann vom Service Provider für unterschiedlichste Zwecke weiter unterteilt werden, um auf verschiedene Anforderungen einzugehen. Da das Präfix einer IPv6-Adresse unterschiedlich lang sein kann, gibt man dessen Länge am Ende der Adresse durch einen Schrägstrich getrennt in Bits an. Eine Adresse die mit /48 Endet hätte demnach ein Präfix mit 48 Bit Länge. Die restlichen 80 Bit kennzeichnen dann das Netz bzw. Subnetz. Das Netz von ADACOR ist zum Beispiel erreichbar unter: 2a03:9480::/32. Darüber hinaus erfolgt bei ADACOR eine Trennung der Rechenzentren nach der Präfix-Systematik /40 pro Rechenzentrumsstandort, /48 pro Firewall Cluster und /56 pro Kunde. Das heißt, ADACOR gibt an seine Kunden Subnetze mit einer maximalen Größe von 72 Bit weiter.

Hardware kann eigene öffentlich erreichbare IP-Adresse erhalten

Mittlerweile gibt es mehr Netzwerkgeräte als IPv4-Adressen. Um die Adressknappheit kurzfristig aufzulösen, wird in IP-Routern, die lokale Netzwerke mit dem Internet verbinden, das so genannte NAT-Verfahren (NAT = Network Address Translation) eingesetzt. Da Webzugänge in der Regel nur über eine IPv4-Adresse verfügen, müssen sich alle anderen Stationen im LAN auf eine private Adresse beschränken. Private IP-Adressen dürfen zwar mehrfach genutzt werden, sie besitzen aber in öffentlichen Netzen keine Gültigkeit. Das bedeutet, dass Stationen mit einer privaten IP-Adresse nicht mit Stationen außerhalb des lokalen Netzwerks kommunizieren können.

Damit trotzdem alle Geräte mit privater Adresse einen Internetzugang erhalten können, muss der Zugangsrouter in allen ausgehenden Datenpaketen die IP-Adresse der lokalen Stationen durch seine eigene, öffentliche IP-Adresse ersetzen. Damit die eingehenden Datenpakete der richtigen Station zugeordnet werden, speichert der Router die aktuellen TCP-Verbindungen (TCP = Transmission Control Protocol). Der NAT-Router merkt sich, welche Datenpakete zu welcher TCP-Verbindung gehören und leitet eingehende Pakete entsprechend weiter.

Mit der Einführung von IPv6 wird NAT überflüssig, denn damit kann jedes Gerät mit einer eigenen öffentlich erreichbaren IP-Adresse ausgestattet werden. Allerdings gewinnt damit der Einsatz einer Firewall enorm an Bedeutung.

Übergangslösungen: von Dual Stack und Carrier-grade NAT

Auch Internet Service Provider wie die Telekom oder Vodafone haben bereits reagiert und vergeben in der Regel keine IPv4-Adressen mehr. Damit forcieren die Anbieter die Migration auf den neuen Standard. Bis aber flächendeckend nur noch per IPv6 kommuniziert wird, dürfte noch einige Zeit vergehen.

Für die Übergangszeit bieten sich verschiedene Möglichkeiten an. Eine davon ist der Parallelbetrieb von IPv6 und IPv4 (Dual Stack). In diesem Fall vergibt der Anbieter für beide Protokolle eine IP-Adresse. Kennzeichnend ist, dass der Anschluss eine öffentliche IPv4-Adresse besitzt. Das hat den Vorteil, dass alle Dienste weiterhin unter der bisherigen Adresse erreichbar sind und die Umstellung nach und nach erfolgen kann. Sollten die Provider nicht mehr über die nötige Zahl an IPv4-Adressen verfügen, wird statt des Dual-Stack-Betriebs auf Dual Stack Lite zurückgegriffen, wobei dem Kunden nur eine globale IPv6-Adresse für das Routing zugewiesen wird.

Ähnlich wie beim NAT-Verfahren kommen beim Dual Stack Lite (DS Lite) private IPv4-Adressen zum Einsatz. Das IPv4-Paket erhält jedoch nicht schon beim Kundenendgerät via NAT eine öffentliche IPv4-Adresse, sondern es wird über den Router erst in ein IPv6-Paket gekapselt. Anschließend wird das IPv6-Paket über die IPv6-Verbindung des Routers in das Anbieternetz transportiert. Dort wird es entpackt und das ursprüngliche IPv4-Paket (mit privater IP-Adresse) wiederhergestellt. Die private IPv4-Adresse wird per Carrier-grade NAT danach in eine öffentliche IPv4-Adresse umgeswitcht und das Paket ins Internet geroutet. Bei diesem Vorgehen reicht eine IPv4-Adresse für Tausende von Kunden. Allerdings können DS-Lite-Lösungen Probleme bereiten, wenn bspw. eine VPN-Verbindung auf IPv4-Basis von außen in ein Unternehmensnetz aufgebaut werden soll. Denn aufgrund der mehrfachen Verwendung der öffentlichen IPv4-Adresse des DS-Lite-Ansatzes ist eine eindeutige Zuordnung der Adresse zum gewünschten LAN nicht möglich.

Den Übergang von IPv4 zu IPv6 planen

Es empfiehlt sich, die Umstellung von IPv4 auf den neuen Standard ausführlich zu planen und die Systemvoraussetzungen dafür vorab zu überprüfen. Nicht jede aktuell eingesetzte Hardware oder Software ist IPv6-kompatibel. Bei einer Ad-hoc-Umstellung könnten entsprechende Geräte von heute auf morgen nicht mehr funktionieren, nicht kompatible Software könnte zu Fehlern und Ausfällen führen. Obwohl IPv6 schon älter als 20 Jahre ist, kommt es bei der Implementation immer mal wieder zu Problemen.

Auch bei ADACOR verzögerte sich die Gesamtumstellung auf IPv6. Liefen bereits einige Systeme reibungslos mit dem neuen Standard, waren bei einem System nach dem ersten Migrationsversuch plötzlich einige Dienste nicht mehr erreichbar. Bei der Fehlersuche wiesen die ausgewerteten Log Dateien auf einen herstellerseitigen Software Bug bei einem der Firewall-Systeme hin, die über mehrere Standorte verteilt sind. Bei der Umstellung auf IPv6 haben die Techniker mit dem größten Firewall-System angefangen, da dort der größte Impact zu erwarten war. Genau dieser wurde auch getroffen. Die anderen Firewalls, also die Systeme, die an einem anderen Standort stehen, wären ohne Probleme schon per IPv6 erreichbar gewesen. Es macht aber nur Sinn, die Migration komplett umzusetzen. Deshalb war es wichtig, die betroffene Software erst einmal auf den neusten Stand der Technik zu bringen.

Aus Angst vor solchen Ausfällen, aber auch weil sie den Bedarf nicht sehen, tun sich manche Firmen noch schwer, das neue Internetprotokoll konsequent umzusetzen. Zusätzlich verzögern Unternehmen die Umstellung auch deshalb, weil sie die damit verbundenen Investitionen wie die Anschaffung IPv6-tauglicher Geräte oder die Kosten für Mitarbeiterschulungen scheuen. IPv6 arbeitet vom Grundsatz her etwas anders als IPv4, weshalb einige Aspekte, die man für IPv4 kennt, für IPv6 neu gelernt werden müssen.

Fazit

Auch in nächster Zeit wird IPv4 nicht komplett abgelöst, denn zu viele Systemsteuerungsgeräte funktionieren nur mit diesem Standard. In naher Zukunft wird es deshalb verstärkt darum gehen, der Adressknappheit mit Alternativen zu begegnen. Momentan bieten Dual Stack und Carrier-grade NAT vorläufige Lösungen.

Langfristig wird aber erst die flächendeckende Migration auf IPv6 Entspannung bringen. Mit diesem Prozess ist außerdem ein kontinuierlicher Verbesserungsprozess verbunden, denn noch treten bei der IPv6-Implementierung immer mal wieder Software Bugs oder Funktionsausfälle auf. Diese müssen die Hersteller in den Griff bekommen.

Thomas Wittbecker.
Thomas Wittbecker. (Bild: ADACOR)

Das neue Internetprotokoll wird uns auch bei ADACOR in Zukunft beschäftigen: Auf den internen Systemen wird der neue Standard genauso an Relevanz gewinnen wie auf Kundenplattformen. Der erste Schritt ist getan, die wichtigsten Systeme laufen unter IPv6, das Backend ist mit IPv6 verbunden. Aktuell arbeiten unsere Experten daran, die verschiedenen Services wie das Domain Name System oder die Kundensysteme per IPv6 verfügbar zu machen.

Über den Autor

Thomas Wittbecker ist CEO von ADACOR.

Für weitere Informationen rund um das Thema IPv6 haben wir ganz aktuell auch ein eBook erstellt, dass registriertren Nutzern von IP-Insider kostenlos zur Verfügung steht.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44177514 / IPv6)