25.09.2012, 12:23 Uhr
Von iPv4 auf iPv6 migrieren? Kein Problem
IPv6 hält Einzug. Lesen Sie hier, worauf Sie bei Routern, Switches und Betriebssystemen unbedingt achten müssen.
Dieser Artikel wurde ursprünglich in unserer Schwesterpublikation Computerwoche.de veröffentlicht. Das Thema IPv6 hat seit der Vergabe der letzten offiziellen IPv4-Adressbereiche an Brisanz gewonnen. Langsam begreifen die meisten Firmen die Tragweite des Themas und beginnen, sich auf die Herausforderungen einzustellen, die diese Umstellung mit sich bringt. Einer der zentralen Punkte ist dabei nicht unbedingt die eigene Knappheit an IPv4-Adressen, sondern vielmehr die Sicherstellung der Erreichbarkeit über IPv6 gegenüber künftigen Kunden und Geschäftspartnern, die nur per IPv6 kommunizieren können. Nachfolgend werden Massnahmen beschrieben, wie Router, Switches und Windows-Betriebssysteme an das neue Netzwerkprotokoll angepasst werden müssen.
Router: Was sich mit IPv6 ändert
Router sind seit jeher zentraler Bestandteil von Computernetzen, da ohne sie nur lokale Segmente betrieben werden könnten. Mit der Umstellung auf IPv6 werden sie noch an Bedeutung gewinnen, weil sie als Lieferanten für Subnetzinformationen dienen, mit deren Hilfe sich die Interfaces angeschlossener Endgeräte automatisch konfigurieren. Diese sogenannte Stateless Address Autoconfiguration (SLAAC) vereinfacht den Aufwand der Adresszuteilung ganz erheblich, indem die Router über entsprechende Router Advertisements mitteilen, welches Subnetzpräfix im lokalen Segment gilt. Stationen, die diese Advertisements empfangen, generieren sich dazu automatisch passende IP-Adressen und wissen zugleich auch, dass der absendende Router ihr Default Gateway ist. In neueren IPv6-Implementierungen kann der Router sogar DNS-Server mitliefern. Alternativ kann man IPv6-Adressen wie gewohnt statisch vergeben. Auch der Einsatz des Dynamic Host Configuration Protocol (DHCP) ist möglich, allerdings etwas anders als bisher gewohnt, denn die Clients wählen es nicht selbständig aus. Bei IPv6 teilt der Router in seinem Router Advertisement mit, dass zusätzlich ein DHCPv6-Server angefragt werden soll, woraufhin der Client den DHCP-Server sucht. Dieser liefert dann je nach Konfiguration ebenfalls IP-Adressen oder auch nur zusätzliche Informationen etwa über DNS- und NTP-Server. Wer plant, IP-Helper beziehungsweise DHCP-Relay-Funktionen zu verwenden, sollte darauf achten, bei der Konfiguration der Router mit deren Link-Local-Adressen zu arbeiten, weil diese ansonsten oft die entsprechenden Parameter ignorieren. Lesen Sie auf der nächsten Seite: Grosszügige Adressplanung in IPv6-Netzen
Grosszügige Adressplanung in IPv6-Netzen
Eine grössere Umstellung ist auch beim Adresskonzept erforderlich, das vor dem Konfigurieren der Router erstellt und gründlich diskutiert werden sollte. IPv6 nutzt 128 Bit grosse Adressen, wovon 64 Bit fest für den Endgeräteanteil reserviert sind. Vielen Administratoren fällt es jedoch schwer, sich vom Konzept einer möglichst sparsamen Vergabe von IP-Adressen zu verabschieden. Ganz besonders gilt dies für Transfernetze, die früher gern mit Masken für nur zwei Adressen (und zwar die der beteiligten Router) konzipiert wurden. Solche Netze sind bei IPv6 nicht mehr vorgesehen, sondern haben auch hier 64 Bit Host-Adressraum. Grundsätzlich ist es ratsam, bei der Adressplanung in IPv6-Netzen grosszügig vorzugehen und die alten Sparmassnahmen ad acta zu legen.
Vorsicht bei der Fragmentierung
Als weiterer Stolperstein bei der Migration auf IPv6 gilt, dass eine Fragmentierung des nächsten Segments durch die Router bei zu kleiner Maximum Transmission Unit (MTU) nicht mehr vorgesehen ist. Diese Aufgabe muss nun immer durch den absendenden Knoten erledigt werden, also meist den Client beziehungsweise den Server. Wer sich also momentan bei MTU-Problemen mit dem beliebten Trick behilft, im Router oder der Firewall grundsätzlich das «Dont Fragment-Flag im IP-Header zu löschen, stösst bei der Umstellung auf IPv6 eventuell auf Probleme. Der Grund: Ein solches Flag existiert bei IPv6 nicht mehr - stattdessen ist es sozusagen stillschweigend immer gesetzt. Generell empfiehlt es sich, auf die entsprechenden Nachrichten des Internet Control Message Protocol (ICMP) (bei IPv6 mit dem Inhalt «Packet too big») zu achten, mit denen MTU-Probleme automatisch gemeldet werden. Bei Blackhole-Routern, die solche ICMP-Nachrichten nicht absetzen, hilft dann allerdings nur noch eine PathMTU Detection.
Adressauflösung: ICMP löst ARP ab
In IPv6-Netzen hat das Address Resolution Protocol (ARP) als Bindeglied zwischen Ethernet-Adresse und IP-Adresse ausgedient, genauso wie sonstiger Broadcast-Verkehr. Stattdessen ist nun ICMP für die Adressauflösung, die Erkennung doppelter IP-Adressen und weitere ehemaliger ARP-Aufgaben zuständig. Auch die Suche nach Routern per Router Solicitation sowie deren Antwort per Router Advertisements werden per ICMP übermittelt. Lesen Sie auf der nächsten Seite: Switches: Was sich mit IPv6 ändert
Neue Extension Header erschweren Filterregeln
Eine weitere Herausforderung stellen Access Control Lists (ACLs) beziehungsweise Firewalls dar, denn nicht alle Geräte sind bereits in der Lage, IPv6 vollständig zu filtern. Teilweise erschweren zum Beispiel die bei IPv6 neu hinzugekommenen Extension Header das Aufstellen korrekter Filterregeln. Darüber hinaus verfolgen einige Implementierungen den ziemlich ungewohnten Ansatz, Pakete mit unbekannten Strukturen vorsichtshalber einfach durchzulassen.
Switches: Was sich mit IPv6 ändert
Für Switches ändert sich bei der Einführung von IPv6 deutlich weniger, denn sie sind primär für den Transport auf Layer 2 zuständig. Ob nun IPv4 oder IPv6 übertragen wird, ist in den meisten Fällen ohne Bedeutung, beides funktioniert normalerweise ohne Komplikationen. Hauptsächlich für Administratoren könnte es interessant sein, die Geräte für die Konfiguration per IPv6 ansprechen zu können. Allerdings spricht nichts dagegen, dass dies auch weiterhin per IPv4 erfolgt. Sollte es dennoch gewünscht sein, Adressen mit IPv6 zu konfigurieren, bereiten Geräte mit älterer Firmware unter Umständen Schwierigkeiten. Beispielsweise hat sich gezeigt, dass sich einige Cisco-Switches in internen Testumgebungen problemlos mit VLANs und IPv6-Adressen konfigurieren liessen, dann aber unter den erfolgreich eingetragenen Adressen nicht ansprechbar waren. Erst ein Upgrade des Cisco-Betriebssystems IOS schaffte Abhilfe, und die Switches waren danach via IPv6 erreichbar. Eine Konfiguration, die dennoch auf Switchen sinnvoll sein dürfte, ist der sogenannte «Router Advertisement Guard». Er verhindert, dass gefälschte Router Advertisements in das Netz gelangen, indem man explizit konfiguriert, auf welchen Ports Router Advertisements eingehen dürfen. Dies sind sinnvollerweise jene Ports, an denen die tatsächlichen Router angeschlossen sind. Andernfalls könnten falsche Router Advertisements aus unautorisierten Ports in das Netz verteilt werden, die schlimmstenfalls eine IPv6-Sicherheitsbedrohung in Gestalt einer Man-in-the-Middle-Attacke oder aber auch einen Denial of Service auf das Default Gateway zur Folge hätten. Dazu ist allerdings zu erwähnen, dass solche Router-Advertisement-Guard-Funktionen zurzeit noch nicht auf allen Geräten vorhanden und konfigurierbar sind. Lesen Sie auf der nächsten Seite: Betriebssysteme: Was sich mit IPv6 ändert
Betriebssysteme: Was sich mit IPv6 ändert
Alle halbwegs aktuellen Betriebssysteme können mit IPv6 umgehen, gegebenenfalls allerdings erst durch die zusätzliche Installation des jeweiligen Protokoll-Stacks. Windows XP etwa benötigt, anders als Windows Vista oder Windows 7, die Installation von IPv6 als Protokoll auf der entsprechenden Netzwerkkarte. Gleiches gilt für Windows Server-Versionen vor Windows 2008. Allgemein muss sich der Verantwortliche bei Windows-Betriebssystemen mit dem Kommandozeilen-Tool «netsh» anfreunden, denn nur dort findet man all die verschiedenen Protokolloptionen, um den IPv6-Stack zu konfigurieren. Unter XP und Windows 2000 erfolgt dort auch die Konfiguration der statischen IP-Adressen, während Vista & Co. entsprechende GUI-Dialoge mitbringen. Da es mit dem Wegfall von ARP auch keine ARP-Tabellen mehr gibt, muss der Administrator stattdessen in «netsh» nachsehen (siehe Abbildung 3). Ein weiteres Thema bei der Einführung von IPv6 sind die Tunneltechniken. Bei Betriebssystemen sind dort am ehesten ISATAP und Teredo zu nennen, da diese bei Windows-Betriebssystemen automatisch aktiviert werden, sobald IPv6 zum Einsatz kommt. ISATAP ist grob gesagt ein Mechanismus, durch den sich IPv6-Knoten via IPv4-Routing erreichen können und bei dem für jedes Netz ein entsprechender virtueller Tunneladapter angelegt wird. Wer bei Windows Vista und Windows 7 einmal ein ipconfig mit einer langen Liste an Interfaces erlebt hat, kennt diese Adapter. Da diese Erreichbarkeit nicht immer erwünscht ist, kann man ISATAP per «netsh» abschalten und damit ganz nebenbei seine ipconfig-Liste gegebenenfalls stark verkürzen. Das Kommando dazu lautet «netsh interface isatap set state disabled» für Windows Vista und später sowie «netsh interface ipv6 isatap set state disabled» für XP etc.
Auch Teredo ist ein auf dem User Datagram Protocol basierender und damit zur Network Address Translation (NAT) fähiger Tunnel, der IPv6 via IPv4 einpackt und weiterleitet, allerdings diesmal in das Internet. Microsoft hat dazu Relay Server aufgebaut, die die entsprechenden Pakete annehmen und in das IPv6-Internet weiterleiten. Die Antworten werden dann vom Relay wiederum per Teredo an den Client geliefert. Auch Teredo lässt sich mit einem «netsh»-Kommando abschalten, zum Beispiel unter Vista und später mit «netsh interface teredo set state disabled». Lesen Sie auf der nächsten Seite: Fazit
Fazit
Die Umstellung von IPv6 kann in den meisten Fällen problemlos im Dual-Stack-Betrieb erfolgen, so dass der Produktionsbetrieb zunächst auf IPv4 weiterläuft, während man nach und nach auf IPv6 transferiert. Dies setzt allerdings voraus, dass die IPv6-Einführung nicht bereits unter Zeitdruck erfolgt. Man sollte sich Zeit für ein sinnvolles Adresskonzept nehmen und dabei von alten Mustern wie der sparsamen Adressvergabe oder gar der Verwendung einer Krücke wie Network Address Translation Abstand nehmen. Die Umstellung der Router ist eine zentrale Massnahme, ohne die der Rest nicht funktionieren kann, und sollte daher mit der entsprechenden Sorgfalt betrieben werden. (pg)