2018-01-09 08:07:34

I: Wie bereitet man sich auf eine IPv6-Migration vor?

Teil 1:

Mathias Hein

Mathias Hein

Der Beginn eines neuen Kalenderjahres ist immer die Zeit in der Spekulationen und Prognosen über die Entwicklungen der kommenden 12 Monate anstehen. Niemand kann konkreten Vorhersagen über die Vernetzung im Jahr 2018 abgeben, doch wird auch im kommenden Jahr das Thema "IPv6" wieder in den Mittelpunkt der Aufmerksamkeit stehen.

Mathias Hein

Alle verfügbaren IPv4-Adressblöcke wurden inzwischen zugewiesen. Es scheint jedoch, dass der in den Medien beschworene Mangel an IPv4-Adressen ein Märchen ist. Trotzdem werden deutliche Fortschritte in Richtung IPv6 erzielt und die Unternehmen müssen sich mit dem Thema IP Version 6 auseinandersetzen. Um Ihnen den Einstieg in die IPv6-Welt zu erleichtern, haben wir hier einige bewährte Praktiken zusammengetragen, die denn Unternehmen bei der Umsetzung einer IPv6-Migration helfen kann.

Änderungen zwischen dem IPv4- und dem IPv6-Protokoll

Die auffälligste Änderung ist der erweiterte Adressbereich. Eine IPv4-Adresse hat 32 (4 Bytes), eine IPv6-Adresse 128 Bits (16 Bytes). Dieser Adressraum ermöglicht einerseits, ein globales hierarchisches Adressierungssystem zu schaffen, um das Routing zu optimieren und die Routing-Tabellen zu entlasten. Andererseits stellt das Protokoll genügend Adressen zur Verfügung, um neue Dienste und Geräte, die in Zukunft eine IP-Adresse und permanente Verbindung benötigen, in die Netze zu integrieren.

Das IPv6-Protokoll bietet überdies Autokonfigurationsmöglichkeiten. In einem IPv4-basierenden Netz muss jeder Host manuell oder mittels DHCP (Dynamic Host Configuration Protocol) adressiert werden. Ein IPv6-Gerät kann beim Booten erkennen, in welchem Netz es sich befindet und sich aufgrund dessen selbst für eine oder mehrere eindeutige IPv6-Adressen konfigurieren. Selbstverständlich können nach wie vor DHCP-Server eingesetzt werden, wenn Autokonfiguration nicht erwünscht ist, oder um zusätzliche Optionen zu konfigurieren. Dank der Autokonfiguration wird in Zukunft auch das Umnummerieren von Netzwerken einfacher.

Im neuen IP wurde aller unnötige Ballast beseitigt: Der IPv6-Header hat eine fest definierte Länge von 40 Bytes (ein IPv4-Header kann je nach benützten Optionen eine unterschiedliche Länge aufweisen). 32 Bytes werden für die Quell- und Ziel-Adresse gebraucht. Das bedeutet, dass lediglich 8 Bytes für allgemeine Information übrigbleiben. IPv6- Pakete können so schneller und effizienter bearbeitet und weitergeleitet werden. Zwischen dem IPv6 Header und dem nachfolgenden Header werden falls notwendig Extension Header eingefügt, zum Beispiel für eine Fragmentierung. Fragmentiert wird, wenn ein Paket nicht weitergeleitet werden kann, weil es für den nächsten Netzwerk-Link zu groß ist. Es wird dann vom Source Host (IPv6) oder vom Router (IPv4) in kleinere Einzelpakete unterteilt und vom Empfänger wieder zusammengesetzt. Mit IPv6 wird ein Fragmentation Header nur eingefügt, wenn fragmentiert werden muss.

Auch für Verbesserungen in den Bereichen Authentifizierung, Privacy (Security) und Quality of Service (QoS) sind Extension Header definiert. Die beiden Protokolle unterscheiden sich wie folgt:

Funktion

IPv4

IPv6

IP-Adressen

Adressgröße

32 Bit

128 Bit

Adressnotation

Dottet Decimal Notation

10.0.0.1

Colon-Hex-Format

2001:6500::3231:0:1

Arten der Adressen

Unicast, Multicast, Broadcast

Unicast, Multicast, Anycast

Adresszuweisung

An Hosts

An Interfaces

Anzahl der IP-Adressen pro Rechner

1

mehrere

Erkennung doppelt vergebener IP-Adressen

-

Duplicate Address Detection (DAD)

Wirkungsbereich der Adresse

nur global

Scope (individuell festlegbare Bedeutung)

Adresshierarchien

Keine bzw. mehrstufig über CIDR

Mehrstufige Präfix-Notation: Routing-Teil (64 Bit), Interface-Teil (64 Bit)

Automatische Adressvergabe

DHCP

DHCP und Stateless-Adressvergabe

Multicasting

Multicasting_v4

Multicasting_v6

Zuordnung der Multicast-Gruppen

IGMP

Multicast Listener Discovery (MLD)

Multicast Routing

Distance Vector Multicast Routing Protocol (DVMRP) ; Multicast OSPF (MOSPF)

OSPFv6

Internet Protokoll

Header-Länge

Variabel durch Optionen, Standardwert: 20 Byte

Fester Wert, Standardwert: 40 Byte; Erweiterung durch Extension Header

Priorisierung

ToS, DiffServ

DiffServ (Traffic Clas)

Priorisierung von Datenströmen

-

Flow Label

Paketlängen

Internet Header Length

Payload Length

Header-Erweiterungen

-

Next Header und Optionen

Anzahl der Router im Pfad

TTL

Hop Limit

Behandlung überlanger Pakete

Fragmentierung durch Router

Signalisierung durch ICMP => Path MTU

Überprüfung

IP-Prüfsumme

-

Mobile IP

In Anlehnung an IPv6

Mobile IPv6 gemäß RFC 3775

Zusatzmechanismen

Adressauflösung

ARP

Neighbour Discovery (ND)

Namensdienste

DNS

DNS mit Ergänzungen

File Transfer

FTP

FTP mit Ergänzungen

Routing

RIP, RIPv2, OSPF, BGP

RIPv6, OSPFv6, BGPv6

Programmierschnittstelle

Socket-Interface für IPv4

Socket-Interface für IPv4

Tabelle: Vergleich der Unterschiedlichen IP-Header

Organisieren Sie Ihr IPv6-Team

Zur Bewältigung der Fragen der IPv6-Migration im Unternehmen sollte ein funktionsübergreifendes Team zusammengestellt werden. Dieses Team sollte die wesentlichen Interessensgruppen im Unternehmen repräsentieren und zeichnet für die Leitung der IPv6-Planung und -Bereitstellung verantwortlich. Da das Team aus Mitglieder der Bereiche Netzwerk, Sicherheit, Systeme, Anwendungen, Desktop- und Helpdesk sowie des Managements besteht, ist der Grundstein für eine erfolgreiche Integration in die Geschäftsprozesse bereits gelegt.

Verschaffen Sie sich einen Überblick über ihre Ressourcen

Die Entscheider im Unternehmen kaum darum herum, sich bereits jetzt mit den Untiefen von IPv6 zu befassen. Ein einfaches Abhaken der Produkte und Lösungen mit dem Vermerk "Unterstützt bereits IPv6" ist unzureichend. Eine echte Bestandaufnahme umfasst das gesamte IP-Inventar anhand von vorher in der Praxis geprüften Checklisten. Durch das Sammeln von Basisdaten und der genauen Analyse der im Unternehmen vorhandenen IT-Ressourcen, kann man erst beurteilen, ob die IT-Komponenten über ausreichende IPv6-Funktionen verfügen. Dies bedeutet für die meisten Unternehmen, dass sich das Abwarten irgendwie gelohnt hat. Inzwischen wurden fast alle Router, Switches, Firewalls, Betriebssysteme, Anwendungen und andere Systeme mit IPv6-Fähigkeiten bestückt.

Lernen Sie IPv6 kennen

Auf dem weltweiten IT-Markt sind kaum IPv6-Fachleute zu finden. In den meisten Unternehmen haben die IT-Mitarbeiter bisher nicht viel Zeit damit verbracht, sich mit IPv6 vertraut zu machen. Aus diesen Gründen klaffen bei Administratoren und selbst bei Entwicklern immer noch große Wissenslücken in Sachen IPv6. Aus diesem Grund ist es vordringlich vor Beginn eines IPv6 mit dem Aufbau des internen Fachwissens zu beginnen. Hierzu ist in den Unternehmen ein entsprechender Ausbildungsplan zu entwickeln.

IPv6 Planung und Design

IPv6 ist nicht dazu gedacht, IPv4 ad hoc aus dem Netzwerk zu vertreiben. IPv6 ist ein von IPv4 unabhängiges Protokoll und existiert im Layer 3 "neben" IPv4, und kann ganz unabhängig davon benutzt werden. Es beinhaltet aber teilweise IPv4-Adressierungsmechanismen, die die Migration zu IPv6 erleichtern. Es ist darauf ausgelegt, ohne einen so genannten "Flag Day" in das Unternehmensnetz integriert zu werden. Darüber hinaus wird durch den Einsatz von IPv6 der Betrieb von IPv4 nicht beeinträchtigt. Nach der umfassenden Schulung der IP-Teams können diese einen detaillierten technischen Plan für die Bereitstellung von IPv6 erstellen.

IPv6-Adressplan

Das IT-Team muss eine IPv6-Adressierungsplanung initiieren. Dieser Prozess beginnt damit, dass man die Größe des globalen IPv6-Präfixes bestimmt, die das eigene Unternehmen möglicherweise benötigt. Dieser Prozess kann durch ein freies IPv6-Adressplanungstool (im Internet gibt es hierzu mehrere Varianten) unterstützt werden. Die notwendigen weltweit eindeutigen IPv6-Adressen können bei den regionalen Internetregistern (RIR) beantragt werden. Hierbei ist jedoch zu beachten, dass – im Gegensatz zu IPv4 - die Überlassung einer IPv6-Adresse nur auf Basis einer Nutzungsvereinbarung erfolgt. Diese unterliegt im Zuweisungszeitraum den gültigen Vergaberichtlinien. Das beinhaltet auch eine mögliche Rückgabeforderung des Adressraumes und die damit verbundene Umnummerierung der Netze eines Betreibers.

Sicherheits- und Datenschutz-Lösungen

Es ist sehr wahrscheinlich, dass IPv4 und IPv6 in den Unternehmen noch lange Jahre nebeneinander existieren werden. Bei der Migration wird es IPv4- und IPv6-Inseln geben. Damit auch diese miteinander kommunizieren können, werden diverse Übergangsmechanismen genutzt. Diese können jedoch heute noch unbekannte Sicherheitsrisiken bergen. Da eine Robustheit und Zukunftssicherheit der Infrastruktur durch die Compliance und andere Regelungsnachweise bzw. gesetzliche Auflagen gefordert wird, bietet eine Bestandsaufnahme der bereits vorhandenen Lösungen den Vorteil, die Migration wasserdicht und revisionssicher zu gestalten. Wie alle Techniken könnten die neuen IPv6-Protokolle und -Mechanismen von Angreifern missbraucht werden. Dies erhöht natürlich das gesamte Risiko einer Einführung und die möglichen Gefahren und Nebenwirkungen sind gewissenhaft abzuwägen. Die meisten der bisher genutzten Sicherheitslösungen in den Unternehmen wurden für eine IPv4-Infrastruktur entwickelt. Für die Dauer der Migration müssen parallel zu den IPv4-Protokollen auch die IPv6-Welten in das Sicherheitskonzept eingebunden werden.

Praxistauglichkeit des IPv6-Konzepts (PoC) nachweisen

Verfügt ein Unternehmen über ein Labor zum Testen von Konfigurationen, lassen sich entsprechende IPv6-Tests durchführen und die Interoperabilität zwischen den IPv6-Implementierungen auf den verschiedenen Systemen überprüfen. Die Qualität und die Performance von Netzen und Applikationen werden auch beim IPv6-Protokoll durch eine Vielzahl unterschiedlicher Faktoren bestimmt. Da über die IPv6-Technologien, Applikationen oder Netzsysteme kaum unabhängige Performance-Tests zu finden sind, ist ein Test der Netzkomponenten (über verschiedene Netzsegmente hinweg) notwendig. Hierzu müssen für den Proof of Concept (PoC) die notwendigen Test- und Durchsatzkriterien definiert werden.


Druckversion