Santa Clara, USA, Starnberg, 2. Jan. 2014 — Was Unternehmen beachten sollten, wenn sie ihre IPv6–Strategie entwickeln…
Zum Hintergrund: Die Umstellung von IPv4 auf IPv6 ist aus Netzwerksicht grundsätzlich nicht trivial. Hardware-/Software müssen überprüft, Mitarbeiter geschult und Netzwerk-Policies neu aufgesetzt bzw. angepasst werden. Aus Storage-Sicht (iSCSI, NAS) sind hingegen keine Einschränkungen zu erwarten, ausser das mit IPv6 ein anderes Adressformat auf Grund der Länge-/Größe existiert und IPv6 viel mehr IP-Adress-Kombinationen im Vergleich zu IPv4 liefert. Grundsätzlich ermöglicht IPv6 ein verbessertes Management (QoS-Aspekt) für iSCSI, ebenso wie eine höhere Performance und Skalierbarkeit (Data Flow Improvements); End-to-end Encryption sorgt für mehr Sicherheit, ein wichtiger Aspekt für NAS-Anwender (mit IPSec wird die Qualität und Sicherheit bei der Nutzung von IPv6 mit Storagesystemen erhöht). Bei IPv6 können Daten zudem konsistent mit weniger Problemen verschlüsselt werden (höhere Benutzerakzeptanz, Sicherheit, Vertrauen).
Anbieter Infoblox - ein US-Spezialist für die Netzwerk–Automatisierung – hat aus Netzwerk-Sicht nachfolgend eine kurze Checkliste entwickelt, wie Unternehmen potentielle Probleme bei der Umstellung im Vorfeld vermeiden können.
IP-Adressen konfigurieren und nachverfolgen: IPv6 wird großen Einfluss darauf haben, wie IP-Adressen zugeteilt und verwaltet werden – das ist die wichtigste Änderung bei der Umstellung. Der Wechsel von 32-Bit IPv4- zu 128-Bit IPv6-Adressen macht die Überlegung notwendig, wie man IP-Adressen zuteilt, aber auch tracken kann. Bei IPv4-Adressen konnte das manuell erledigt werden, etwa mithilfe von Tabellen. Schon wegen der puren Länge macht es Sinn, hier sog. IP-Adress-Management (IPAM)-Werkzeuge einzusetzen, die automatisiert und IPv6-kompatibel sind.
DNS-Architektur überprüfen: Sobald IPv6 auch im internen Netzwerk verwendet wird, muss geprüft werden, ob der Rest der IP-Management-Infrastruktur bereit ist für die Umstellung. Wird ein Dynamic Host Configuration Protocol (DHCP) für die Adresszuteilung genutzt, muss auch der DHCP-Server IPv6-kompatibel sein. DCHP ist aber nur ein Teil dessen, was ein IPv6-Endpunkt benötigt. Zudem müssen auch DNS Domain Support, DNS Server-Adressen, Adressen von Netzwerk-Zeitservern und viele andere Elemente kompatibel mit IPv6 sein. Dafür muss eine moderne DNS-Infrastruktur implementiert, sowie die Kompatibilität zwischen DNS und DHCP-Systemen getestet werden.
Richtlinien für Sicherheit und Wartung prüfen: Wird IPv6 implementiert, wird es nötig, Richtlinien für Sicherheit und Wartung anzupassen. Während die Schwächen von IPv4 bekannt sind, gibt es diese Erfahrungswerte bei IPv6 noch nicht. Deshalb müssen etwaige Bedrohungen, die das neue System mit sich bringen kann, konsequent analysiert werden. Unternehmen sollten also bei der Umstellung auf IPv6 auch daran denken, ihre Sicherheitsvorkehrungen zu überarbeiten.
Inventar der Netzwerk-Infrastruktur kontrollieren: Eine Umstellung auf IPv6 kann nur funktionieren, wenn ein Unternehmen genau über sein Netzwerk und dessen Komponenten Bescheid weiß. Deshalb müssen Netzwerk-Infrastruktur und Traffic-Routing eingehend untersucht werden. So sollte jedes Subnetz daraufhin überprüft werden, ob die Verbindung zum Backbone auch unter dem neuen Protokoll funktioniert.
Sind die Anwendungen kompatibel? Anwendungen laufen nicht unbedingt automatisch auch auf einem IPv6-basierten Netzwerk – auch sie müssen vor einer Umstellung getestet werden. Bei IPv6 werden neue Layer 4 TCP-Protokolle eingesetzt (TCP 6 und UDP 6), die Auswirkungen auf einige Anwendungen haben können.
Backend-Tools auf den neuesten Stand bringen: Um ein IPv6-Netzwerk zu verwalten und Probleme zu erkennen, müssen die existierenden Tools dafür geeignet sein. Das gilt sowohl für den Betrieb als auch für die Wartung. So ist etwa schon die Länge der IPv6-Adressen problematisch für manche Datenbanken, die solche Adressen nicht speichern können. Auch Analyzer und andere Überwachungslösungen sind oft nicht IPv6-kompatibel.
Netzwerk-Performance im Auge behalten: Die Veränderungen durch IPv6 können sich negativ auf die Leistung eines Netzwerks auswirken. Die Header sind 40 Byte und damit doppelt so groß wie bei IPv4. Daher wird es gerade bei Anwendungen, die kleine Paketgrößen brauchen, merkliche Leistungsauswirkungen geben. Obwohl die meisten Systemanbieter eine Strategie zur IPv6-Implementierung haben, gilt diese nicht unbedingt für die Leistung von Systemen, auf denen das IPv6-Protokoll läuft. Hier ist die Umstellung der Firmware ein erster Schritt. Für eine umfassende interne Umstellung wird aber die Hardware der Netzwerk-Infrastruktur zu großen Teilen verbessert werden müssen, um leistungsfähig genug zu bleiben.
SPAM-Filter müssen neu entwickelt werden: SPAM-Blocker von heute stützen sich meistens auf DNS Black Lists (so genannte DNSBLs). Die werden allerdings bei der Umstellung auf IPv6 wertlos, da Hosts unter IPv4 nur einige hundert Adressen haben, so dass individuelle Adressen einfach aufgelistet und blockiert werden können. Bei IPv6 können Hacker einem Server dagegen Tausende von Adressen zuweisen und für jede neue SPAM-Nachricht eine neue Adresse wählen. Ganze IPv6-Bereiche in DNSBL aufzulisten – so wird es aktuell bei IPv4 gemacht - ist keine Lösung, da diese aufgrund ihrer Größe Caches und DNS-Server zusammenbrechen. Zudem ziehen DNS Caches neue Antworten älteren gegenüber oft vor, so dass die Vielzahl von DNSBL-Daten alle anderen DNS-Informationen aus dem Cache drängen würde. Oft wird zudem für DNSBL der gleiche Cache genutzt wie für alle anderen DNS-Anfragen. Das belastet wiederum alle anderen DNS-Server, die sich die gelöschten Antworten zurückholen müssen.
Mehr Informationen zum Thema finden Sie auch hier: