Von iPv4 auf iPv6 migrieren? Kein Problem
IPv6 hält Einzug. Lesen Sie hier, worauf Sie bei Routern, Switches und Betriebssystemen unbedingt achten müssen.
Ratgeber IPv6-Einführung: Wie Sie von IPv4 auf IPv6 migrierenweitere Artikel
» Von , 25.09.2012 12:23.
Dieser Artikel wurde ursprünglich in unserer Schwesterpublikation Computerwoche.de veröffentlicht.
Das Thema IPv6 hat seit der Vergabe der letzten offiziellen IPv4-Adressbereiche an Brisanz gewonnen. Langsam begreifen die meisten Firmen die Tragweite des Themas und beginnen, sich auf die Herausforderungen einzustellen, die diese Umstellung mit sich bringt. Einer der zentralen Punkte ist dabei nicht unbedingt die eigene Knappheit an IPv4-Adressen, sondern vielmehr die Sicherstellung der Erreichbarkeit über IPv6 gegenüber künftigen Kunden und Geschäftspartnern, die nur per IPv6 kommunizieren können.
Nachfolgend werden Massnahmen beschrieben, wie Router, Switches und Windows-Betriebssysteme an das neue Netzwerkprotokoll angepasst werden müssen.
Router: Was sich mit IPv6 ändert
In neueren IPv6-Implementierungen kann der Router sogar DNS-Server mitliefern. Alternativ kann man IPv6-Adressen wie gewohnt statisch vergeben. Foto: Bongertz Jasper
Auch der Einsatz des Dynamic Host Configuration Protocol (DHCP) ist möglich, allerdings etwas anders als bisher gewohnt, denn die Clients wählen es nicht selbständig aus. Bei IPv6 teilt der Router in seinem Router Advertisement mit, dass zusätzlich ein DHCPv6-Server angefragt werden soll, woraufhin der Client den DHCP-Server sucht. Dieser liefert dann je nach Konfiguration ebenfalls IP-Adressen oder auch nur zusätzliche Informationen etwa über DNS- und NTP-Server. Wer plant, IP-Helper beziehungsweise DHCP-Relay-Funktionen zu verwenden, sollte darauf achten, bei der Konfiguration der Router mit deren Link-Local-Adressen zu arbeiten, weil diese ansonsten oft die entsprechenden Parameter ignorieren.
Lesen Sie auf der nächsten Seite: Grosszügige Adressplanung in IPv6-Netzen
Zeit nehmen sollte man sich nicht nur für ein sinnvolles Adresskonzept. Von einer - wie skizziert problemlosen - Einführung von IPv6 / Dual Stack ohne vorherige eingehende Betrachtung der Security-Implikationen kann man in mittleren bis grösseren Umgebungen nur abraten.
Beispiele:
- Die Ausbildung der Netzwerk-, Sysadmin- und Security-Staff braucht Zeit. Die ersten Fehler sollte man nicht im Produktionsbetrieb machen, sondern im Testlab oder Pilotprojekt.
- Erst ein Assessment der Readyness aller sicherheitsrelevanten Komponenten (Firewalls, IDS, Monitoring, Management) und das Wissen, welche Roadmap die Hersteller haben zeigt, wann IPv6 sicher eingeführt werden kann.
- Der Produktionsbetrieb läuft nicht "auf IPv4 weiter", wenn man Dual Stack fährt, sondern im Zweifelsfall undefiniert Dual Stack. Hier kann man sich nicht perse auf die Trennung verlassen, die der Autor suggeriert und muss auf unvorhergesehene Effekte reagieren können (siehe Punkt 1).
Nicht zuletzt steigt der Aufwand im operativen Betrieb durch Dual Stack und sollte rechtzeitig bei der Ressourcenplanung berücksichtigt werden. Das ungünstigste Szenario wäre, wenn das Personal jetzt schon voll ausgelastet ist und dann ohne den notwendigen Wissens-Background Probleme in Produktion troubleshooten muss, die sie mangels IPv6-Monitoring gar nicht erkennen.