Sergej Khackimullin - Fotolia
Wie Sie IPv6 in Unternehmensnetzwerken nutzen
Bevor Sie von IPv4 auf IPv6 umsteigen, sollten Sie Vor- und Nachteile evaluieren. Damit die IPv6-Integration gelingt, informieren wir Sie über Best Practices und Troubleshooting.
Seit Jahrzehnten ist IPv4 das Standardprotokoll für die logische Adressierung. IPv4 spielt in der Geschichte des Internets eine wichtige Rolle, da es Funktionen wie Client-Server-Networking, Cloud Computing, E-Commerce und vieles mehr ermöglicht hat.
Aber IPv4 hat auch Schwächen, und neuere Entwicklungen haben dessen Grenzen aufgezeigt. Zu den Herausforderungen von IPv4 gehören die folgenden Punkte:
- Begrenzte Anzahl an verfügbaren Adressen auf circa 4,3 Milliarden.
- Keine integrierte Verschlüsselung für Vertraulichkeit, Integrität oder Authentizität.
- Umfangreiche und unstrukturierte weltweite Routing-Möglichkeiten.
Die meisten Unternehmen haben bereits von IPv6 gehört, der neuesten IP-Generation, die auch als Ersatz für IPv4 dient. IPv6 überwindet die Einschränkungen von IPv4 und bietet einen neuen Ansatz für das Networking. IPv6 ermöglicht mehr Adressräume, integrierte Verschlüsselung über IPsec und effizienteres Routing sowie weitere verbesserte Funktionen.
Trotzdem kommt in Unternehmen immer noch überwiegend IPv4 zum Einsatz. Im Unternehmensbereich hat sich die Einführung von IPv6 verzögert, weil die Umstellung auf einen neuen Standard kostspielige Investitionen in die Aufrüstung der Infrastruktur und in die Schulung der Netzwerkmitarbeiter erfordert. In Verbindung mit der Tatsache, dass es bei IPv6-Systemen manchmal auch Kompatibilitätsprobleme mit IPv4 gibt, haben sich viele Unternehmen dazu entschieden, weiter auf das vertraute IPv4 zu setzen.
Wenn Ihr Unternehmen bereit ist, von IPv4 auf IPv6 umzusteigen, sollten Sie wissen, wie Sie IPv6 optimal nutzen können. Dies setzt ein solides Verständnis des Protokollstandards voraus, zum Beispiel der Verbesserungen gegenüber IPv4, Best Practices und Troubleshooting-Techniken.
IPv6-Verbesserungen gegenüber IPv4
IPv6 bietet unter anderem folgende Vorteile:
- Mehr verfügbare Adressen.
- Integrierte Verschlüsselung, um die Vertraulichkeit und Authentizität von Daten zu schützen.
- Ein besser strukturiertes Routing-Schema, das effizientere Routing-Tabellen ermöglicht.
Die folgende Tabelle zeigt einen grundlegenden Vergleich der Merkmale von IPv4 und IPv6.
Merkmal | IPv4 | IPv6 |
Adresslänge | 32 Bit | 128 Bit |
Anzahl der Adressen | Circa 4,3 Milliarden | Circa 340 Sextillionen |
Notation | Dezimalpunkt | Hexadezimal |
Broadcast-Adressen | Verfügbar | Durch Multicast ersetzt |
Verschlüsselung | Standardmäßig keine | Integriertes IPsec |
Konfiguration | Statisch oder dynamisch, etwa per Dynamic Host Configuration Protocol (DHCP) | Autokonfiguration oder DHCPv6 |
IP-Adressformate
IPv4-Adressen sind 32 Bit lang und werden in vier Oktette unterteilt. Das Ergebnis ist eine Adresse wie 192.0.2.0. IPv6-Adressen sind hingegen 128 Bit lang. Anders als IPv4-Adressen, die in Dezimalpunktschreibweise dargestellt werden, verwendet man für IPv6-Adressen das Hexadezimalformat. Ein IPv6-basiertes System könnte zum Beispiel eine Adresse wie 2001:DB8::1:1:1 haben.
Während IPv4-Adressen Classful Addressing nutzen, kommt bei IPv6-Adressen die CIDR-Notation (Classless Inter-Domain Routing) zum Einsatz. Bei vielen IPv6-Adressbereichen kann beispielsweise /8 oder /3 am Ende stehen. CIDR enthält die Netzwerkadresse und die Subnetzmaske, da es angibt, wie viele Bits den Netzwerkteil und die Host-Adressen darstellen.
CIDR bietet eine ähnliche Funktionalität wie Classful Addressing von IPv4. Zwar kann IPv4 die CIDR-Notation verwenden, aber IPv6 profitiert aufgrund seiner komplexeren Adressierungsstruktur von CIDR.
In der folgenden Tabelle sind die wichtigsten IPv6-Adresstypen aufgeführt.
Adresstyp | Art der Kommunikation | Beschreibung | Präfix |
Unicast | Eins-zu-eins-Kommunikation | Global-Unicast-Adressen: Ähnlich den öffentlichen IPv4-Adressen. Über das Internet routing-fähig. Unique-Local-Adressen: Ähnlich wie private IPv4-Adressen in lokalen Netzwerken. Link-Local-Adressen: Ähnlich wie eine selbst zugewiesene IPv4-APIPA-Adresse (Automatic Private IP Addressing) auf einer Netzwerkkarte. |
Global-Unicast-Adressen: 2000::/3 Unique-Local-Adressen: FC00::/7 or FD00::/7 Link-Local -Adressen: FE80::/10 |
Multicast | Eins-zu-viele-Kommunikation | Ähnlich wie Klasse-D-Multicast-Adressen bei IPv4. | FF00::/8 |
Anycast | Eins-zu-viele-Kommunikation | Mehreren Schnittstellen zugewiesene Unicast-Adressen. | nicht verfügbar |
Die Identifizierung von IPv6-Adressen mag aufgrund ihrer Komplexität etwas komplizierter sein. Aber nachdem man sich einmal mit IPv6 vertraut gemacht hat, ist das kein Problem mehr.
Namensauflösung und IPv6
Die Namensauflösung wandelt komplexe IP-Adressen in für Menschen lesbare Namen um. Der Umgang mit IPv6-Adressen gestaltet sich unter Umständen schwieriger, so dass Dienste zur Namensauflösung, wie DNS, IPv6-fähig sein müssen. Die meisten Windows- und Linux-basierten DNS-Server verfügen über diese Funktionalität.
IPv6-Befehle
Wer sich mit Troubleshooting im Netzwerk beschäftigt, nutzt in der Regel Tools wie ping und traceroute beziehungsweise tracert unter Windows, um in IPv4-Systemen Netzwerkprobleme zu diagnostizieren und zu beheben. Das ist bei IPv6 ähnlich.
Befehle zum Anzeigen von IPv6-Adressen
Sie können wieder die Standardbefehle des jeweiligen Betriebssystems verwenden, um IPv6-Adressen auf einer Workstation anzuzeigen. Dabei werden die aktuellen-IP-Adressen aller installierten physischen und virtuellen Netzwerkadapter ausgegeben, was die Sache etwas unübersichtlich machen kann.Unter Linux geben Sie Folgendes ein:
ip addr
Unter macOS verwenden Sie diesen Befehl:
ifconfig
Unter Windows lautet das Kommando:
ipconfig
Möglicherweise müssen Sie auf älteren Windows-Rechnern den Parameter /all mit angeben, um zusätzlich zu IPv4- auch IPv6-Konfigurationsdaten anzuzeigen.
IPv6 nutzt die Nachbarschaftserkennung (Neighbor Discovery), um in der Nähe befindliche Knoten im gleichen Segment zu ermitteln. Sie können die für die Nachbarschaftserkennung verwendete Tabelle anzeigen lassen, um die Umgebung zu untersuchen oder Fehlern auf die Spur zu kommen.
Unter Linux geben Sie Folgendes ein:
ip -6 neighbor show
Unter macOS verwenden Sie dieses Kommando:
ndp -a
Unter Windows lautet der Befehl:
netsh interface ipv6 show neighbors
IPv6-Befehle für das Troubleshooting
Die meisten Systeme erkennen IPv6-Adressen automatisch, aber Sie können die Verwendung von IPv6 explizit angeben.
Um einen Remote-Knoten unter Linux und macOS anzupingen, verwenden Sie:
ping6 <IPv6-Adresse>
Auf einem Windows-Computer setzen Sie dieses Kommando ab:
ping -6 <IPv6-Adresse>
Um den Netzwerkpfad zu einem Remote-System unter Linux und macOS zu überprüfen, geben Sie eines der folgenden Kommandos ein:
traceroute6 <IPv6-Adresse>
traceroute -6 <IPv6-Adresse>
Windows-Administratoren können den Befehl tracert verwenden, um IPv6-Adressrouten zu verfolgen, wie in diesem Beispiel:
tracert -6 <IPv6-Adresse>
Umstellung auf IPv6 planen
Wenn ein Unternehmen von IPv4 zu IPv6 migriert, sollten die Netzwerkteams sich darüber im Klaren sein, wie sie IPv6 zusammen mit IPv4 im selben Netzwerk nutzen wollen.
Für den Übergang von IPv4 zu IPv6 bieten sich drei Ansätze an:
- Dual Stack: Die Netzwerkknoten werden mit einer IPv4- und einer IPv6-Implementierung betrieben.
- Tunnel: IPv6-Pakete werden über eine IPv4-Infrastruktur übertragen.
- Übersetzung: Hierbei sorgt ein Gateway für die Übersetzung zwischen den beiden Adressstrukturen.
Die meisten modernen Betriebssysteme sind von Haus aus IPv6-kompatibel. Aber IoT-Geräte, ältere Systeme und Legacy-Netzwerkgeräte erfordern möglicherweise besondere Aufmerksamkeit während einer Migration. In diesen Fällen empfiehlt es sich, veraltete Komponenten aufzurüsten.
Ein anderer Ansatz besteht darin, den Netzwerkknoten die Wahl des Protokolls zu überlassen und sich bei der Übersetzung der Adressen auf die Netzwerkgeräte zu verlassen. Diese Methode erfordert Dual Stack Router sowie die Nutzung von Network Address Translation (NAT) und IPv4-Tunneln.
Best Practices für IPv6
IPv6 bietet viele Sicherheitsvorteile. Trotzdem müssen Sie immer auf der Hut sein und Ihre Umgebung absichern. IPv6 ist eine von mehreren Ebenen eines Defense-in-Depth-Ansatzes, um den Netzwerkzugang und -Traffic zu schützen.
Für die Sicherheit von IPv6-Netzwerken empfehlen sich die folgenden Best Practices:
- Deaktivieren Sie IPv4, und integrieren Sie IPv6 in Umgebungen mit hoher Sicherheitsstufe.
- Deaktivieren Sie IPv4 nach gründlichen Tests. Ältere und sogar einige moderne Netzwerkanwendungen sind unter Umständen nicht in der Lage, IPv6 zu nutzen.
- Schulen Sie die Netzwerkmitarbeiter hinsichtlich IPv6-Konfigurationen und -Sicherheitsfunktionen.
- Integrieren Sie IPv6 in Cloud-Bereitstellungen.
- Schützen Sie Tunnel und Übersetzungsprotokolle in gemischten IPv4- und IPv6-Umgebungen.
- Nutzen Sie weiterhin Access Control Lists (ACL) und Filter, um den Netzwerk-Traffic abzusichern.
- Halten Sie sich über IPv6-Schwachstellen auf dem Laufenden, und installieren Sie regelmäßig alle empfohlenen Patches.
Fazit
Beim IPv6-Management kommt es darauf an, vorausschauend zu planen. Als in den 1980er Jahren die IPv4-Adressen eingeführt wurden, konnte niemand die Internetrevolution vorhersehen oder dachte an effiziente Zuweisungen und Größen von Routing-Tabellen. Bei IPv6 steht derzeit nur ein kleiner Prozentsatz der möglichen Adressen zur Verfügung. Der Rest wurde für potenzielle zukünftige Innovationen reserviert.
IP-Adressblöcke werden effizienter und hierarchischer zugewiesen, wodurch sich die Größe der Routing-Tabellen für Internet-Router reduziert. IPv6-Adressblöcke werden in der Regel einzelnen Einrichtungen und Unternehmen in größeren Einheiten zugewiesen, was die Abhängigkeit von NAT minimieren dürfte.
Achten Sie bei der Umstellung auf IPv6 darauf, dass Sie den Umgang damit beherrschen, und berücksichtigen Sie die folgenden Aspekte:
- Die meisten Netzwerkgeräte, zum Beispiel Workstations und Server, sind schon IPv6-kompatibel.
- Schulen Sie die Netzwerkmitarbeiter in puncto IPv6.
- Nutzen Sie weiterhin IPv4 in Ihrem internen Netzwerk, wenn Sie dies bevorzugen. Ein Teil der Übersetzung findet bereits im Internet außerhalb des Netzwerkperimeters eines Unternehmens statt, und Sie können bei Bedarf interne Kompatibilität implementieren.
IPv6 ist die Zukunft der Netzwerkkommunikation. Gestalten Sie Ihre Umgebung zukunftssicher, und beginnen Sie mit der Migration zu einer flexibleren und sichereren Online-Welt.