© Oleg Palchik, 123RF.com
Nicht jeder sieht in IPv6 nur eine bloße Erweiterung des Adressenraums. Das Linux-Magazin hat in der Branche nach Erfahrungen – guten wie schlechten – sowie nach Tipps zum neuen Internetprotokoll gefragt.
Der Kernel spricht IPv6, aktuelle Netzwerkhardware ebenfalls. Dem Protokoll steht von dieser Seite kaum ein Hindernis entgegen, dennoch bleiben Unwägbarkeiten. Entwickler und Firmen sehen das ähnlich. Oder wie Aram Kananov, Marketing Manager Platform und Cloud bei Red Hat, es formuliert: Der Linux-Stack ist bereit für IPv6, aber es gibt noch viel zu tun, damit alle Komponenten reibungslos mit IPv6 arbeiten.
Zögerliche SIP-Anbieter
Björn Jacke, bei Sernet [1] beschäftigt und im internationalen Samba-Team: “Allein die Möglichkeit, problemlos ausreichend dimensionierte und vernünftig aufteilbare Netzbereiche durch IPv6 zur Verfügung zu haben, ist ein riesiger Gewinn. Ich würde mich freuen, wenn die Provider auch IPv6-Multicast-Adressen mitrouten würden. Mit IPv6 steht endlich ein ausreichend großer Adressenbereich für Multicast zur Verfügung und theoretisch können wir damit alle die nächste Royals-Hochzeit übers Internet gucken, ohne dass dadurch das Netz unter der Datenflut zusammenbricht.
Auch Probleme mit SIP-Telefonie (Abbildung 1), die bei IPv4 durch NAT-Gateways entstehen, könnten dank IPv6 bald der Vergangenheit angehören – leider haben die meisten SIP-Anbieter wohl bislang Angst vor IPv6 und unterstützen es bis heute noch nicht, obwohl es hier so sinnvoll wäre.”
Abbildung 1: Nachholbedarf sieht Samba-Entwickler Björn Jacke bei SIP-Anbietern.
Strategien für Adressen
Anders Henke, Expert System Architect 1&1 Internet AG [2]: “Bei der IP-Vergabe für IPv6 sind viele Softwarelösungen noch überfordert und übersehen bestimmte Praxisprobleme, etwa beim Firewalling vor dem Server im Netz. Wer ein abstufbares Filtering im Netzwerk in der IP-Vergabe will, muss möglichst weit vorne in der IPv6-Adresse einen eindeutigen Identifier unterbringen.
Generell gibt es bei der IPv6-Adressenvergabe an Server viele Strategien. Wichtig ist, sich nicht allein auf Stateless Autoconfiguration zu verlassen, weil diese Adressen auf Basis der MAC-Adresse bildet. Beim Wechsel der Serverhardware würde sich auch die IP ändern.
Den Host-Part, also die hinteren 64 Bit einer IPv6-Adresse, kann man zufällig auswürfeln, darin die Inventarnummer des Servers oder einfach die Portnummer des Haupt-Service einkodieren, aber auch von der IPv4-Adresse ableiten.”
Umstellung in einem Tag
Martin Loschwitz, Entwickler bei Linbit [3] und Debian-Maintainer: “Ich pflege bei Debian einige Pakete, bei denen eine gute Unterstützung von IPv6 wünschenswert ist. Darunter der Clustermanager Communication Stack Heartbeat, der bis vor Kurzem nur IPv4 unterstützte. Als Lars Ellenberg, der im Augenblick hauptsächlich für die Heartbeat-Entwicklung verantwortlich ist, größere Umbauten am Heartbeat-Code vornahm, kam ihm auch die Idee, IPv6 einzubauen.
Das ging mit wesentlich weniger Aufwand in der Entwicklung vonstatten als angenommen. Die Arbeit war in einem Tag inklusive Tests abgeschlossen. Zwar ist Heartbeat nicht das komplizierteste Programm, aber das Beispiel zeigt: IPv6-Unterstützung lässt sich ohne große Probleme implementieren. Seit Version 3.3.4 [4] funktioniert IPv6.”
IPv6 läuft weiter
Wilhelm Boeddinghaus, Head of Network bei Strato [5]: “Bereits seit 2009 sind die dedizierten Linux- und Windows-Server bei Strato zusätzlich zu IPv4 auch “IPv6 ready”. Dank des zahlreichen Feedback von Kunden konnten wir auch unser eigenes Backbone-Netz für IPv6 optimieren.
Zum IPv6-Tag haben wir dann auch IPv6 für alle Kunden-Websites, den E-Mail-Abruf und -Versand, die Webshops sowie für FTP und SSH aktiviert. Unser Plan war es, IPv6 dauerhaft angeschaltet zu lassen. Da wir bei unseren internen Tests schon ein sehr gutes Qualitätsniveau erreicht hatten, waren wir ziemlich sicher, dass uns das gelingt. IPv6 ist weiterhin an und alles ist reibungslos verlaufen.
Das liegt daran, dass wir viel Zeit in die Tests der Konfiguration und die Ausbildung von Mitarbeitern investiert haben. Außerdem haben wir frühzeitig bei der Beschaffung von Hardware und Software auf IPv6 Rücksicht genommen.
Im nächsten Schritt schalten wir IPv6 für virtuelle Server an. Dann können Administratoren IPv6 kostengünstig außerhalb des eigenen Netzwerks testen.”
Es fehlt an der Breite
Markus Hennig, Chief Technology Officer bei Astaro [6]: “Schon seit Juni 2010 mit der Veröffentlichung der Version 8 unterstützt unser Astaro Security Gateway (ASG) IPv6 in vollem Umfang. Es fehlten jedoch – und fehlen noch immer – breite Anwendungsszenarien. Der ,International IPv6 Day’ war daher eine sehr gute Möglichkeit, IPv6 ans Licht der Öffentlichkeit zu bringen und Partner und Kunden an das Thema heranzuführen. Auch Astaro hat seine Webseiten zum IPv6-Day im Dualstack betrieben. Das klappte sehr gut.
Wie wir an der eigenen Hauptfirewall (Abbildung 2) sehen konnten, wurde auch innerhalb von Astaro viel Gebrauch von dem Angebot gemacht, Webseiten per IPv6 zu erreichen. Wir haben uns, wie viele andere Teilnehmer auch, dazu entschlossen, unsere Webseiten weiterhin parallel auf IPv4 und IPv6 zu betreiben; so ist zum Beispiel die deutsche Homepage auch nach dem Test unter ihrer IPv6-Adresse [http://[2a02:788:12:38::6]] zu erreichen.”
Abbildung 2: Die Hauptfirewall bei Astaro zeigt Zuspruch von IPv6 aus den eigenen Reihen.
Unbekannte Risiken
Christoph Becker, Consultant Business Development bei D-Link [7]: “Das neue Internetprotokoll ist nach mittlerweile 16 Jahren Entwicklungszeit langsam flügge. Die Internet Service Provider arbeiten intensiv an Konzepten, um IPv6 kurzfristig für die breite Masse einsetzen zu können. Dabei gilt es, zwei zentrale Herausforderungen zu meistern: Zum einen spielt die Sicherheit eine große Rolle, zum anderen müssen Administratoren wie auch Endkunden lernen mit dem neuen Protokolltyp umzugehen. Mit Blick auf die Verbreitung handelt es sich bei IPv6 noch um einen sehr jungen Standard; unsere Firma geht deshalb davon aus, dass es etliche Risiken und Angriffsszenarien gibt, die derzeit noch nicht erkannt werden und gegen die das Protokoll noch nicht abgesichert ist.
Administratoren müssen sich zügig in die Verwaltung von IPv6 einarbeiten, in erster Linie also Fehler erkennen und beseitigen können. Aber auch Endkunden müssen beispielsweise das Zusammenspiel zwischen Link-Local- und Global-Unicast-Adressen sowie zwischen DHCPv6 und Autokonfiguration verstehen. Für die Unternehmen gilt es nun, die Notwendigkeit der Migration zu analysieren und dann entsprechende Szenarien zu entwickeln, Administratoren zu schulen und dabei die Sicherheit für IPv6-Netzwerke im Fokus zu haben.”
Infos
- Sernet: http://www.sernet.de
- 1und1: http://www.1und1.de
- Linbit: http://www.linbit.com
- Heartbeat: http://hg.linux-ha.org/dev/rev/81a903aa700b
- Strato: http://www.strato.de
- Astaro: http://www.astaro.de
- D-Link: http://www.d-link.de
