Unternehmen tun gut daran, möglichst zügig auf das neue Internetprotokoll IPv6 umzustellen. Bereits seit längerer Zeit zeichnet sich ab, dass der Vorrat an IPv4-Adressen zur Neige gehen wird.
So wurden etwa im September 2015 in Nordamerika von der zuständigen regionalen Vergabestelle die allerletzten IPv4-Adressen ausgegeben.
Aus Angst vor Ausfällen, aber auch weil sie den Bedarf nicht sehen, tun sich manche Firmen noch schwer, das neue Internetprotokoll konsequent umzusetzen.
Wieso diese Sichtweise gelinde gesagt nicht optimal ist, stelle ich in meinem Beitrag vor.
Firmen, die eine IPv4-Adresse benötigen, können diese zwar weiterhin bei ihrer zuständigen Vergabestelle beantragen. Allerdings werden sie auf eine Warteliste gesetzt und erhalten neue IP-Adressen nur noch aus dem Pool zurückgegebener Adressen.
Um den akuten Mangel an IPv4-Adressen zu umgehen, ist es für IT-Unternehmen unabdingbar, neben IPv4 auch IPv6 anzubieten. Der neue Internetstandard nutzt 128 Bit zur Adressspeicherung. Das heißt, es lassen sich damit 2.128 (circa 340 Sextillionen) Adressen darstellen. Diese Anzahl dürfte für die nächsten Jahrhunderte ausreichen.
Die Adresse wird mithilfe von acht Zeichenblöcken dargestellt, die Zahlen und Buchstaben enthalten können. Da eine solche Zeichenkombination durch die vielen Nullen oft unübersichtlich aussieht, können die langen Zahlenketten mit verschiedenen Kürzungsregeln vereinfacht werden.
Eine IPv6-Adresse besteht aus mehreren Teilen, dem Prefix, das von der Vergabestelle zugeteilt wird (in der Regel 32 Bit), und einem lokalen Teil. Dieser lokale Teil kann vom Service Provider für unterschiedlichste Zwecke weiter unterteilt werden, um auf verschiedene Anforderungen einzugehen. Das Netz von ADACOR ist zum Beispiel erreichbar unter: 2a03:9480::/32. Darüber hinaus erfolgt eine Trennung der Rechenzentren nach folgender Systematik: /40 pro Rechenzentrumsstandort, /48 pro Firewall Cluster oder /56 pro Kunde.
Hardware kann eigene öffentlich erreichbare IP-Adresse erhalten
Mittlerweile gibt es mehr Netzwerkgeräte als IPv4-Adressen. Um die Adressknappheit kurzfristig aufzulösen, wird in IP-Routern, die lokale Netzwerke mit dem Internet verbinden, das sogenannte NAT-Verfahren (NAT = Network Address Translation) eingesetzt. Da Webzugänge in der Regel nur über eine IPv4-Adresse verfügen, müssen sich alle anderen Stationen im LAN auf eine private Adresse beschränken. Private IP-Adressen dürfen zwar mehrfach genutzt werden, sie besitzen aber in öffentlichen Netzen keine Gültigkeit. Das bedeutet, dass Stationen mit einer privaten IP-Adresse nicht mit Stationen außerhalb des lokalen Netzwerks kommunizieren können. Damit trotzdem alle Geräte mit privater Adresse einen Internetzugang erhalten können, muss der Zugangsrouter in allen ausgehenden Datenpaketen die IP-Adresse der lokalen Stationen durch seine eigene, öffentliche IP-Adresse ersetzen. Damit die eingehenden Datenpakete der richtigen Station zugeordnet werden, speichert der Router die aktuellen TCP-Verbindungen (TCP = Transmission Control Protocol). Der NAT-Router merkt sich, welche Datenpakete zu welcher TCP-Verbindung gehören.
Mit der Einführung von IPv6 wird NAT überflüssig, denn damit kann jedes Gerät mit einer eigenen öffentlich erreichbaren IP-Adresse ausgestattet werden. Allerdings gewinnt damit der Einsatz einer Firewall enorm an Wichtigkeit.
Übergangslösungen: von Dual Stack und Carrier-grade NAT
Auch Internet Service Provider wie die Telekom oder Vodafone haben bereits reagiert und vergeben in der Regel keine IPv4-Adressen mehr. Damit forcieren die Anbieter die Migration auf den neuen Standard. Bis aber flächendeckend nur noch per IPv6 kommuniziert wird, dürfte noch einige Zeit vergehen.
Für die Übergangszeit bieten sich verschiedene Möglichkeiten an. Eine davon ist der Parallelbetrieb von IPv6 und IPv4 (Dual Stack). In diesem Fall vergibt der Anbieter für beide Protokolle eine IP-Adresse. Kennzeichnend ist, dass der Anschluss eine öffentliche IPv4-Adresse besitzt. Das hat den Vorteil, dass alle Dienste weiterhin unter der bisherigen Adresse erreichbar sind und die Umstellung nach und nach erfolgen kann. Sollten die Provider nicht mehr über die nötige Zahl an IPv4-Adressen verfügen, wird statt des Dual-Stack-Betriebs auf Dual Stack Lite zurückgegriffen, wobei dem Kunden nur eine globale IPv6-Adresse für das Routing zugewiesen wird.
Ähnlich wie beim NAT-Verfahren kommen beim Dual Stack Lite private IPv4-Adressen zum Einsatz. Das IPv4-Paket erhält jedoch nicht schon beim Kundenendgerät via NAT eine öffentliche IPv4-Adresse, sondern es wird über den Router erst in ein IPv6-Paket gekapselt. Anschließend wird das IPv6-Paket über die IPv6-Verbindung des Routers in das Anbieternetz transportiert. Dort wird es entpackt und das ursprüngliche IPv4-Paket (mit privater IP-Adresse) wiederhergestellt. Die private IPv4-Adresse wird per Carrier-grade NAT danach in eine öffentliche IPv4-Adresse umgeswitcht und das Paket ins Internet geroutet. Bei diesem Vorgehen reicht eine IPv4-Adresse für Tausende von Kunden.
Den Übergang von IPv4 zu IPv6 planen
Es empfiehlt sich, die Umstellung von IPv4 auf den neuen Standard ausführlich zu planen und die Systemvoraussetzungen dafür vorab zu überprüfen. Nicht jede aktuell eingesetzte Hardware oder Software ist IPv6-kompatibel. Bei einer Ad-hoc-Umstellung könnten entsprechende Geräte von heute auf morgen nicht mehr funktionieren, nicht kompatible Software könnte zu Fehlern und Ausfällen führen. Obwohl IPv6 schon älter als 20 Jahre ist, kommt es bei der Implementation immer mal wieder zu Problemen.
Auch bei uns verzögerte sich die Gesamtumstellung auf IPv6. Liefen bereits einige Systeme reibungslos mit dem neuen Standard, waren bei einem System nach dem ersten Migrationsversuch plötzlich einige Dienste nicht mehr erreichbar. Bei der Fehlersuche wiesen die ausgewerteten Logdateien auf einen herstellerseitigen Software Bug bei einem der Firewall-Systeme hin. Bei uns sind die verschiedenen Firewall-Systeme über mehrere Standorte verteilt. Bei der Umstellung auf IPv6 haben die Techniker mit dem größten Firewall-System angefangen, da dort der größte Impact zu erwarten war. Genau dieser wurde auch getroffen. Die anderen Firewalls, also die Systeme, die an einem anderen Standort stehen, wären ohne Probleme schon per IPv6 erreichbar gewesen. Es macht aber nur Sinn, die Migration komplett umzusetzen. Deshalb war es wichtig, die betroffene Software erst einmal auf den neusten Stand der Technik zu bringen.
Aus Angst vor solchen Ausfällen, aber auch weil sie den Bedarf nicht sehen, tun sich manche Firmen noch schwer, das neue Internetprotokoll konsequent umzusetzen. Zusätzlich verzögern Unternehmen die Umstellung auch deshalb, weil sie die damit verbundenen Investitionen wie die Anschaffung IPv6-tauglicher Geräte oder die Kosten für Mitarbeiterschulungen scheuen. IPv6 arbeitet vom Grundsatz her etwas anders als IPv4, weshalb einige Aspekte, die man für IPv4 kennt, für IPv6 neu gelernt werden müssen.