Praxis | IPv6-EinführungReiko KapsSchritt für Schrittzu IPv6Der IPv6-Migrationsleitfaden des Bundesverwaltungsamtshilft auch Firmen bei der IPv6-EinführungAm Internet Protocol Version 6 (IPv6) führt inzwischen kein Weg mehr vorbei.Wer sein Unternehmen dafür rüsten will, kann auf erprobte Ver fahren wie denIPv6-Migrationsleit faden für die öffentliche Verwaltung zurückgreifen. Die dortauf geführten Rezepte und Vorschläge lassen sich leicht an die Anforderungenvon Unternehmen anpassen.Nachdem bei der ICANN inzwischensämtliche Vorrätean ungenutzten IPv4-Adressenaufgebraucht sind, kommt niemandmehr um die Einführungdes Internet Protocols Version 6(IPv6) herum.Für die rasche IPv6-Einführungspricht, dass es in fast allen aktuellenBetriebssystemen bereits abWerk läuft, es immer mehr vernetzteGeräte wie Smartphones,Tablets und intelligente Haushaltsgerätegibt und selbst Zugangsanbieterwie die Telekom und Unitymediaauf IPv6 setzen – einigeaus purer Not. So musste Unitymedianeue Kabel-Kunden wegenIPv4-Adressknappheit gleich perIPv6 ans Internet anschließen. SolcherLeidensdruck ist aber offenbarnicht überall vorhanden.Kleinere Unternehmen zögernden Umstieg noch hinaus, denndas Thema erscheint ihnen zukomplex. Administratoren undVerantwortliche müssten mit IPv6zwangsläufig Neuland betreten –obwohl die etablierten Verfahrennoch gut funktionieren.Ziel des Leitfadens ist es, dieMigration voranzutreiben (siehec’t-Link): Dafür bieten die AutorenKochrezepte an, erläutern Alternativenund helfen mit Checklistenund Tipps. Die Autoren<strong>vom</strong> Fraunhofer Institut Fokusund von den Firmen Cassini undBearing Point begründen aberauch ihre Vorschläge und Rezepte– teils etwas weitschweifig,teils sehr detailreich.Der Leitfaden richtet sich vorrangigan öffentliche Verwaltungen,doch die vorgeschlagenenVerfahren und Hilfsmittel lassensich recht einfach an die Anforderungenin Firmennetzen anpassen.Wie IT-Verantwortlicheund Administratoren dabei vorgehenkönnen, zeigen wir imFolgenden an einem Beispiel.AusgangslageDer Leitfaden unterteilt die öffentlichenVerwaltungsnetze infünf Varianten, die er anhand derArbeitsplätze, des Internetzugangs,der Netzwerktopologie,der IP-Support-Qualität sowieder Infrastruktur-Komponentenunterscheidet. Der dort aufgeführte„Einzelplatz Mobil“ entsprichtin etwa einem Außendienstmitarbeiter,der sich perMobilfunk mit dem Firmennetzverbindet. Kleine Büros, Ladengeschäfteoder Filialen dürftensich in „SoHo ÖV“ wiederfinden,das Firmenhauptquartier unddie Nebenstellen fallen je nachMitarbeiterzahl unter „mittlereÖV“ oder „große ÖV“.Als Beispiel haben wir eineFirma mit Hauptquartier und einigenregionalen Ablegern gewählt.Das Hauptquartier betreibteine Server-Infrastrukturmit einem Warenwirtschaftssystem,aus dem die Filialen Bestandsdatenabfragen und demsie Bestellungen übermitteln.Das Hauptquartier gelangt perStandleitung ans Internet undbetreibt in einem <strong>vom</strong> LAN abgetrenntenNetz (DMZ) einenOnline-Shop. Die Filialen gelangenper DSL ins Internet. Mitdem Warenwirtschaftssystem imFirmennetz kommunizieren sieüber ein VPN.Planung ist dashalbe LebenDie Umstellung eines Firmennetzesauf den gemeinsamenBetrieb von IPv6 und IPv4 (Dual-Stack) kann nicht nebenbei laufen.Neben dem alltäglichen Betriebmuss das Unternehmendafür Personal, Zeit und ein Budgetbereitstellen: Daher stelltder Leitfaden allgemeine Weisheitenund Prinzipien wie „Planungist das halbe Leben, Dokumentationdie andere Hälfte“heraus. Er weist auch darauf hin,dass man gewachsene Strukturenbeim Umbau aufräumenund in Einzelschritten vorgehensolle. Letzteres erleichtere imNotfall ein geordnetes Zurücknehmender Maßnahmen.Das Wichtigste sei jedoch einklares Projektziel, aus dem sicheine Reihenfolge der notwendigenSchritte ableitet (Zeitplan,Meilensteine). Es muss festlegen,wo IPv6 ausschlaggebend für dieFirmentätigkeit ist und ob dasFirmennetz ganz oder nur teilweisemit IPv6 versorgt werdensoll.Des Weiteren benötigt dasUnternehmen eine Bestandsaufnahmealler angebotenen Dienste,der Netzwerkübergänge (Internetanbindung)und derenProvider sowie der laufendenVerträge – einschließlich allerKontaktdaten, Laufzeiten, Abschreibungszeiträumeund Service-LevelAgreements (SLAs).Strategischer UmbauFür die eigentliche IPv6-Migra -tion bieten die Leitfaden-Autorenje nach Zieldefinition die beidenStrategien „Von unten nachoben“ und „Von außen nachinnen“ an.Mit der Strategie „Von untennach oben“ hangelt man sich beider IPv6-Einführung von denNetzwerk-Switches über dieRouter zu den Infrastrukturdienstenwie DHCP und DNS anhanddes OSI-Schichtenmodellsnach oben. Damit schafft manschrittweise eine Grundlage fürIPv6, was lange Zeit dauernkann: Erst am Ende der Migrationläuft das gesamte Netzwerk mitbeiden Protokollversionen.Diese Strategie lässt sichzudem leicht stören: WährendInternet-Zugang, Switches undRouter bereits mit IPv6 zusammenspielen,steht eine IPv6-taugliche Firewall erst zu einemspäteren Zeitpunkt auf demPlan. Da aber moderne Betriebssystemebereits ab Werk mitIPv6 laufen, könnten sie sichüber das bereits IPv6-tauglicheNetz unkontrolliert mit dem Internetverbinden. Solche Problemelassen sich bei dieserVorgehensweise nur durch einesehr gründliche Planung ausschließen.Szenarien öffentliche Verwaltung/FirmaEinzelplatz Mobil SoHo ÖV mittlere ÖV große ÖV Kommunales oder Landes-Rechenzentrumorganisatorische Beispiele mobiles Bürgerbüro Schule, Polizei Meldestelle, Ausländeramt AmtAnzahl Rechner arbeitsplätze 1 bis zu 4 5–200 >200 –Netzanbindung GRPS/UMTS/LTE DSL > 2 MBit/s SDSL > 10 MBit/s MPLS redundante Anbindung (bis zu 1 GBit/s)Netztopologie VPN Stichleitung Stichleitung vollvermaschtes Netz Sternmittelpunkt/vollvermaschtes NetzEntsprechung freie Wirtschaft Road Warrior kleines Unternehmen Mittelstand Konzern Konzern<strong>15</strong>6 c’t 2013, Heft <strong>15</strong>
Praxis | IPv6-EinführungWill unser Beispielunternehmenhingegen seinen Online-Shop möglichst schnell auf denDual-Stack-Betrieb umstellen,gehen die IT-Verantwortlichenbesser „Von außen nach innen“vor. Mit dieser Strategie lassensich einzelne Teile des Firmennetzesschnell mit IPv6 versorgen.Andere wie das Intranetsamt Warenwirtschaftssystemkommen dabei erst später an dieReihe.Da die Webserver des Online-Shops in einer eigenen Netzwerkzonelaufen, muss zuerst am Internetzugangneben IPv4 auchIPv6 laufen (Dual-Stack). Anschließendbraucht es Dual-Stack-tauglicheInternet-Router und -Firewallsund erst dann stellt manWebserver und Online-Shop um.Ist diese erste Etappe abgeschlossen,startet die Umstellung desIntranets, des Warenwirtschaftssystemsund aller anderer Fir -mennetzbereiche.SicherungsschichtAlle für die Umstellungen nötigenMaßnahmen testet manvorab auf Herz und Nieren – andernfallsdroht ein Fiasko.Elementare Tests betreffenbesonders die Sicherheit derneuen IPv6-Infrastruktur. Dazugehört das Filtern von internenIPv6-Adressen, von nichtessenziellenICMPv6-Nachrichten undMulticast-Quelladressen an derexternen Firewall, das Blockierenvon Teredo-Tunneln sowievon für Firmen-LAN unerwünschtenIPv6-Extension-Headern(Routing): Interne IPv6-Adressen und Multicast-Quellenbetreffen nur das (interne) Firmennetz,und Tunnel<strong>technik</strong>enerübrigen sich in einem Dual-Stack-tauglichen Netz völlig. BeiICMPv6 muss die Firewall mindestensdie Nachrichten typenND, NS, RS, SA und Path MaximumTransmission Unit (MTU)Discovery durchlassen. Diesesind für den IPv6-Betrieb notwendig– der Leitfaden empfiehltaber auch die für das Dia -gnose-Tool ping wichtigenEcho-Replies freizuschalten (ge-mäß RFC 4890). Ähnliche Vor -gaben setzt man bei IPv6-Extension-Headersan: Fürs LAN un -nötige Header wie solche mitRouting-Informationen blockiertdie Firewall per Vorgabe.Wegen der mit IPv6 wiederhergestelltenEnde-zu-Ende-Kommunikation benötigen Ar-Webserver/Online-ShopFirmensitz InternetFiliale 1VPNDMZIPv4only/IntranetWarenwirtschaftssystembeitsplätze und Endgeräte mehrSicherheitsvorkehrungen – meistdurch IPv6-taugliche Anti-Virus-Software und Host-Firewalls.Diese Forderung kann das Unternehmenals Richtlinie formulierenund darüber bestimmen,wann und auf welchen SystemenIPv6 aktiviert wird.Kontrolle ist besserUm solche Vorgaben, die Netzwerk-sowie Dienstenutzung zukontrollieren, setzt man Monitoringund Netzwerkmanagement(SNMP) für die Netzwerkbeobachtungein. In einem Dual-Stack-Netz benötigt SNMP nichtnur die generelle IPv6-Unterstützung.Meist muss man zusätzlicheMIBs (Management InformationBase) installieren, die perIPv6 anfallende Daten ausliefernkönnen. Ähnliches trifft auf dasMonitoring zu: Messdaten sollensowohl über IPv6 als auch IPv4aus- und angeliefert werden. Diefür die Messdaten vorgesehenenDatenbanken müssen die langenIPv6-Adressen aufnehmen, sodassetwa viermal mehr Monitoring-Datenals bei IPv4 anfallen.Konkretere Beispiele liefert derLeitfaden an dieser Stelle jedochnicht.Per IPv6 online shoppenDie Migration von Webserverund Online-Shop lassen sich ausdem Leitfaden ableiten: Der Serverarbeitet bislang ausschließlichper IPv4 und ist über einenHostnamen im DNS erreichbar.Von der IPv6-Einführung sinddes Weiteren alle zwischen Internetund Webserver arbeitendenVPNIPv6/IPv4Komponenten (Firewall, Router)sowie die Konfiguration des Serversselbst betroffen (Betriebssystem,Adressen und dort laufendeAnwendungen), was manvor der Umstellung etwa in einerim Leitfaden enthaltenen, tabellarischenCheckliste dokumentiert.Bei der Umstellung muss sichdas Unternehmen entscheiden,ob der Webserver seine IPv6-Adresse per Hand, DHCPv6 oderüber eine andere zentraleAdressverwaltung zugeteilt bekommt.Der zuständige DNS-Servermuss zudem die für IPv6-Adressen zuständigen AAAA-Recordsunterstützen, zu den bereitsbekannten Hostnamen(intern und extern) auch IPv6-Adressen liefern und sollte auchselbst per IPv6 ansprechbar sein.Der Leitfaden hält dafür Rezepteund Konfigurationsbeispiele bereit,zeigt aber auch, wie sich dieDNS-Einrichtung mittels dig überprüfenlässt.Das beim Online-Shop für dieverschlüsselte Kommunikationeingesetzte SSL-Zertifikat mussunter Umständen für IPv6 fit gemachtwerden – etwa durch dasEntfernen von OCSP-Responderoder CRL-Download-Adressen.Als einer der letzten Schritte dieserStufe, aktualisiert und konfiguriertdas Unternehmen seinenWebserver auf respektive fürIPv6, was je nach Software unterschiedlichausfällt. GrundlegendeParameter für den Apache-Webserver beschreibt der Leitfadenim Anhang.Nun folgt eine ausführlicheTestphase des IPv6-tauglichenWebserver: Funktioniert der Zugriffper Browser allein per IPv6und allein bei IPv4 sowie imDual-Stack-Betrieb, jeweils ausdem Internet und dem Firmennetzsowie von unterschiedlichenBetriebssystemen, Smart -phones und Tablets? Dabei untersuchtman alle auf dem Webservergehosteten Domainssowie wichtige URLs.Bestehen Webserver und Online-Shopdiese Tests, kann dasProduktivsystem im nächstenSchritt umgestellt werden.HilfestellungenNach unserer Einschätzung liefertder Leitfaden eine gute Hilfestellungbei der IPv6-Einführung.Als besonders nützlichdürften sich die Checklistensowie die Sammlung IPv6-relevanterRFCs und Stichwörter erweisen.Konkrete Hilfestellungen findenSie zudem in den Artikeln„Teredo bohrt IPv6-Tunneldurch Firewalls“, „IPv6-Internetzugang“,„IPv6-Zugang fürs LANnachrüsten“, „IPv6 für kleineNetze“ sowie „IPv6: Das Mega-Netz“ auf heise Netze (sieheLink). Die IPv6-Grundlagen aufaktuellen Betriebssystemen erklärendie Artikel „Mit 128 Bit umdie Welt“ [1] und „Jenseits vonIPv4“ [2].(rek)Literatur[1]ˇReiko Kaps, In 128 Bit um dieWelt, IPv6-Tools und -Konfigura -tion unter Windows und Linux,c’t 13/11, S. 162[2]ˇReiko Kaps, Dušan Živadinović,Jenseits von IPv4, IPv6: Tipps fürden Start, c’t 2/13, S. 124www.ct.de/13<strong>15</strong><strong>15</strong>6Online-ShopperWeb-BrowserFührt die Firma IPv6 „Von außen nach innen“ ein,lässt sich ein Online-Shop schnell umstellen.Andere Bereiche folgen später.Filiale 2cc’t 2013, Heft <strong>15</strong><strong>15</strong>7
- Seite 1:
magazin fürcomputertechnikwww.ct.d
- Seite 7:
Action-CamsBewegungen in hohemTempo
- Seite 16 und 17:
aktuell | Unsichere Industrieanlage
- Seite 18:
aktuell | Computer Graphics Interna
- Seite 22 und 23:
aktuell | SupercomputerAndreas Stil
- Seite 24 und 25:
aktuell | ProzessorenAndreas Stille
- Seite 26 und 27:
aktuell | Smartphones, Tablets, Not
- Seite 28:
aktuell | Grafik, HardwareMini-ITX-
- Seite 31 und 32:
aktuell | EmbeddedRobuste Mainboard
- Seite 34 und 35:
aktuell | PeripherieRobustes Displa
- Seite 36 und 37:
aktuell | IPv6Marc HeuseDie beste V
- Seite 38:
aktuell | Anwendungen3D-Puppe Genes
- Seite 41 und 42:
aktuell | Technische AnwendungenGü
- Seite 43:
aktuell | ForschungErweiterte Reali
- Seite 47 und 48:
aktuell | LinuxEinsteiger-Linux Zor
- Seite 50 und 51:
aktuell | AppleDetails zu iOS 7 und
- Seite 52:
kurz vorgestellt | Display, Android
- Seite 55 und 56:
kurz vorgestellt | Motorrad-Navigat
- Seite 57 und 58:
kurz vorgestellt | Externe Festplat
- Seite 59 und 60:
kurz vorgestellt | Modellier-App, O
- Seite 62 und 63:
Prüfstand | MacBook AirJohannes Sc
- Seite 64 und 65:
Report | VR-Brille zum Selbstausdru
- Seite 66 und 67:
Prüfstand | 3D-Rendererunbekleidet
- Seite 68 und 69:
Report | Voice-Tools für Linux-Gam
- Seite 70:
Report | Voice-Tools für Linux-Gam
- Seite 73 und 74:
Report | Facebook-RechenzentrumIn l
- Seite 75 und 76:
Report | Service & SupportRobert W.
- Seite 77 und 78:
Report | Glass im Alltagschaltet wa
- Seite 79 und 80:
Prüfstand | SmartphonesApple iPhon
- Seite 81 und 82:
Prüfstand | Smartphonesbeim Q10, b
- Seite 84 und 85:
Prüfstand | SmartphonesSonys Ände
- Seite 86 und 87:
Prüfstand | SmartphonesGrafik-Benc
- Seite 88 und 89:
Prüfstand | SmartphonesSurfenFürs
- Seite 90 und 91:
Prüfstand | SmartphonesSmartphone-
- Seite 92 und 93:
Prüfstand | SmartphonesLeistungsau
- Seite 94 und 95:
Benjamin BenzZu schnellKomplett-PCs
- Seite 96 und 97:
Prüfstand | Komplett-PCsKomplett-P
- Seite 98 und 99:
Prüfstand | Profi-GrafikkartenMart
- Seite 100 und 101:
Prüfstand | Profi-GrafikkartenDie
- Seite 102 und 103:
Prüfstand | Profi-GrafikkartenK Sa
- Seite 104 und 105:
Report | Action-Cams - ZubehörPhil
- Seite 106 und 107: Report | Action-Cams - ZubehörKlet
- Seite 108 und 109: Prüfstand | Action-CamsUlrich Hilg
- Seite 110 und 111: Prüfstand | Action-CamsDie Contour
- Seite 112 und 113: Prüfstand | Action-CamsTaschenlamp
- Seite 114 und 115: Prüfstand | Action-CamsDas Farbdis
- Seite 116 und 117: Prüfstand | Action-CamsÜbern Tell
- Seite 118 und 119: Christof WindeckNeu startenLösunge
- Seite 120 und 121: Praxis | UEFI-TroubleshootingSecure
- Seite 122 und 123: Praxis | UEFI-TroubleshootingDer bo
- Seite 124 und 125: Praxis | UEFI-Troubleshooting: Wind
- Seite 126 und 127: Praxis | UEFI-Troubleshooting: Wind
- Seite 128 und 129: Thorsten LeemhuisWeitere Betriebsar
- Seite 130 und 131: Praxis | UEFI-Troubleshooting: Linu
- Seite 132 und 133: Praxis | UEFI-Troubleshooting: Linu
- Seite 134 und 135: Praxis | UEFI-Troubleshooting: Umpa
- Seite 136 und 137: Praxis | UEFI-Troubleshooting: Umpa
- Seite 138 und 139: Know-how | Das leistet UEFIChristof
- Seite 140 und 141: Praxis | iPhone-AkkuwechselChristia
- Seite 142 und 143: Praxis | iPhone-Akkuwechsel5Der dri
- Seite 144: dedizierter1Gbit/sPort
- Seite 147 und 148: Praxis | HotlineHOTLINESie erreiche
- Seite 149 und 150: Praxis | Hotlinedoch parallel auch
- Seite 152 und 153: Praxis | SSD-DiagnoseBoi FeddernGuc
- Seite 154 und 155: Praxis | SSD-Diagnosedows ein und e
- Seite 158 und 159: Praxis | Content MarketingFrank Pus
- Seite 160: Praxis | Content MarketingDas Keywo
- Seite 164 und 165: Praxis | Bonjour im VPNDušan Živa
- Seite 166 und 167: Praxis | Bonjour im VPNters“ alle
- Seite 168 und 169: Praxis | Hyper-V ReplicaPeter Sieri
- Seite 170: Praxis | Hyper-V ReplicaNur Windows
- Seite 173 und 174: Praxis | Hyper-V ReplicaEin Assiste
- Seite 175 und 176: Know-how | JavaScript-Frameworksvar
- Seite 177 und 178: Know-how | JavaScript-FrameworksKla
- Seite 179 und 180: Know-how | Trusted Computingon 2.0
- Seite 181 und 182: Know-how | Trusted Computingsichert
- Seite 184: Buchkritik | Apple-Dienste, 3D-Soft
- Seite 187 und 188: Spiele | Rundenstrategie, Indie- un
- Seite 190: Kids’ Bits | Rätselsammlung, Leu
- Seite 193 und 194: Illustration: Susanne Wustmann, Dor
- Seite 212 und 213:
Inserentenverzeichnis *1&1 Internet
- Seite 214:
ÖSTERREICH 9,90 ¤ / SCHWEIZ 13,60