TU Wien | ZID | ZIDline 15 | IPv6 im TUNET

IPv6 - im TUNET kein Problem

Johann Kainrath
Mit IPv4 sind wir mittlerweile bestens vertraut und es ist aus unserem täglichen Leben kaum mehr wegzudenken. Welche IP-Adresse hat Ihr Rechner? Können Sie das Gateway pingen? Verwenden Sie einen VPN-Client mit IPSec? Solche oder ähnliche Fragen müssen wir uns häufig stellen lassen. Wird das mit IPv6 anders oder besser sein? Nun, die Entwickler von IPv6 haben aus mehr als 15 Jahren mit IPv4 gelernt und einiges einzubauen versucht, das uns das tägliche Leben erleichtern wird. Ist es real, dass alle unsere Geräte (vom PDA über Haushaltsgeräte bis zum Auto) in Zukunft via Internet erreichbar sein sollen?

IPv4, Grundlage für das Internet

Basisübertragungsprotokoll im Internet ist derzeit das Internet Protocol Version 4 (IPv4). Damit man mit anderen Netzteilnehmern lokal wie global kommunizieren kann, benötigt jedes Gerät mit Internet-Anschluss eine weltweit eindeutige IP-Adresse. Eine IPv4-Adresse (z. B. 128.130.2.3) hat eine Länge von 32 Bit, das ergibt 232 (rund 4,3 Milliarden) mögliche Adressen, von denen allerdings aus technologischen Gründen nicht alle für Endgeräte verwendet werden können.
Der IPv4-Adressraum wäre schon längst zu klein, gäbe es nicht diverse Hilfsmittel. NAT (Network Address Translation, auch bekannt unter dem Namen Masquerading) in Zusammenhang mit privaten Adressen ermög- licht mit nur einer IP-Adresse mehreren Endgeräten den Zugang zum Internet.
Das rasante Wachstum und die globale Verbreitung des Internet war zum Zeitpunkt der Konzeptionierung von IPv4 (1981) noch nicht absehbar. Aus diesen Gründen wurde bereits 1995 mit der Entwicklung des Internet-Protokolls der nächsten Generation (IPv6) begonnen.
Die TU Wien nahm bereits sehr früh am Internet teil und am 18. Juni 1986 wurden der TU Wien die noch heute verwendeten Class B Adressen vom USC/Information Sciences Institut zugeteilt. Die beiden vom damaligen regionalen Internet-Registrar zugeteilten IPv4 Class B Adressblöcke umfassten die Netze 128.130.0.0/16 und 128.131.0.0 (je 65.536 Adressen) sowie einige kleinere Class C Netzbereiche mit je 256 Adressen. Bis heute konnte damit an der TU Wien das Auslangen gefunden werden, auch wenn es in bestimmten Bereichen des externen Zugangs (TU-ADSL, VPN, Dialin, WLAN) zunehmend eng wird.
Technisch gesehen besteht derzeit kein unmittelbarer Grund, zu IPv6 zu migrieren. NAT wird oft auch als Security Feature verwendet, ist aber dafür nicht wirklich designed und geeignet. Viele neue Internet-Applikationen wie VoIP, Peer-to-Peer etc., die sich IPv4 als Transport bedienen, haben damit ein Problem. NAT verhindert eine echte End-zu-End-Konnektivität und damit Transparenz. Verbindungsaufbauten sind quasi nur von innen möglich.
Visualisierung
Visualisierung Adressraum IPV4, IPv6, 2005
Copyright 2005 The Regents of the University of California, All Rights Reserved
http://www.caida.org/analysis/topology/as_core_network/ipv6.xml

IPv6, das neue Internet-Protokoll

Größerer Adressraum

Der wichtigste und offensichtlichste Vorteil von IPv6 (RFC 2460) ist, dass die Adressen länger sind, daher Platz für einen viel, viel größeren Adressraum ist. Die tatsächliche Anzahl individueller Adressen, die mit den nun zur Verfügung stehenden 128 Bit möglich sind, geht weit darüber hinaus, was sich jemand, der kein Astronom oder Teilchenphysiker ist, vorstellen kann:
340.282.366.920.938.463.463.374.607.431.768.211.456
Das sind 2128 IP-Adressen.
Dagegen wirkt die Anzahl der möglichen IPv4-Adressen (232 ) eher banal:
4.294.967.296
Der 128-Bit Adressraum ist groß genug, um ca. 667 Billiarden Adressen pro Quadratmillimeter Erdoberfläche zur Verfügung zu stellen (ca. 6,5*1028 Adressen pro Mensch). Angenommen, der benötigte Adressraum würde sich alle fünf Jahre verdoppeln, so würde der IPv6 Adressraum bis zum Jahr 2485 ausreichen.
Die Befürchtung, dass die IPv4-Adressen ausgehen, hat sich noch nicht bewahrheitet, da die Adressvergabe nicht mehr exponentiell ansteigt. Bis zur flächendeckenden Verwendung von IPv6 stehen noch ausreichend Adressen zur Verfügung.
Weitere Verbesserungen neben der Ausweitung des Adressraumes sind Mobile IP und vereinfachte Umnummerierung (Renumbering), Security (IPSec), Quality of Service (QoS) und Multicast "serienmäßig" sowie Effizienz bei Routing und Packet Processing. Die automatische Adressvergabe an Endsysteme in Form der Stateless Autoconfiguration stellt einen wesentlichen Vorteil gegenüber IPv4 dar.

Stateless Autoconfiguration, Plug&Play

Die Zuweisung von IPv6-Adressen an die Arbeitsplatzrechner erfolgt standardmäßig mittels Stateless Autoconfiguration. Diese Methode wird inzwischen von allen gängigen Betriebssystemen unterstützt und hat den Vorteil, dass die Vergabe sehr einfach und ohne manuelle Konfigurationsänderungen des PCs funktioniert (Plug & Play). Die auf solche Weise vergebenen IPv6-Adressen werden nach der Norm EUI-64 gebildet und enthalten daher auch die MAC-Adresse des jeweiligen Rechners. (Der EUI-64-Name der MAC-Adresse bildet bei der IPv6-Autokonfiguration in der Regel die letzten 64 Bit der IPv6-Adresse.)
IPv6 Adressierung
IPv6 Adressierung, EUI-64
Bei der stateless Autokonfiguration bekommt ein IPv6-System in der Regel vom zuständigen Router vollautomatisch einen Präfix (mithilfe dessen die IP-Adresse gebildet wird) und ein Gateway zugewiesen (sowie einige weitere Parameter), nicht aber einen DNS-Server. Bei der Methode mit DHCPv6 (stateful) kann auch eine Nameserver IP-Adresse zugewiesen werden. Der spezielle Mechanismus DAD (Duplicate Address Detection) verhindert die doppelte Vergabe von IPv6-Adressen.

IPv6 Adressen

IPv6-Adressen werden nicht in dezimaler (zum Beispiel 128.131.192.13), sondern in hexadezimaler Nota- tion mit Doppelpunkten geschrieben, die die Adresse in acht Blöcke mit einer Länge von jeweils 16 Bit unterteilen. Beispiel einer IPv6-Adresse:
2001:629:400:36a:20c:29ff:fe1e:5ac8/64
Eine oder mehrere 16-Bit-Gruppen mit dem Wert 0000 können durch zwei aufeinander folgende Doppelpunkte ersetzt werden. Die resultierende Adresse darf höchstens einmal zwei aufeinander folgende Doppelpunkte enthalten. 2001:0629::fece:7c61 ist gleichbedeutend mit 2001:0629:0000:0000:0000:0000:fece:7c61, aber 2001::fece::7c61 ist nicht korrekt, da nicht nachvollzogen werden kann, wie viele 16-Bit-Gruppen durch die zwei Doppelpunkte jeweils ersetzt wurden. Führende Nullen einer 16-Bit-Gruppe dürfen ausgelassen werden, 2001:629::26:c ist gleichbedeutend mit 2001:0629::0026:000c.
Address Allocation
Address Allocation and Assignment
Adressbereiche werden bei IPv6 durch Präfixe angegeben. Dazu wird die Präfixlänge (Anzahl der "gültigen" Bits) als Dezimalzahl mit vorangehendem "/" an die IPv6-Adresse angehängt. Subnetze werden als Adressbereiche ebenfalls durch den Präfix bestimmt. Die ersten 64 Bit der IPv6-Adresse dienen üblicherweise der Netzadressierung, die letzten 64 Bit werden zur Host-Adressierung verwendet. Beispiel: hat ein Netzwerkgerät die IPv6-Adresse 2001:629:400:36a:20c:29ff:fe1e:5ac8/64 so stammt es aus dem Subnetz 2001:629:400:36a::/64, das mit den ersten 64 Bit seiner Adresse identifiziert wird. Analog gehört das Subnetz, 2001:629:400:36a::/64 hierarchisch zum Subnetz mit dem kürzeren Präfix 2001:629:400::/48.
Die Global Unicast Address, die bei der End-to-end Kommunikation ins Internet verwendet wird, ist somit eine Kombination von Präfix und Interface-ID. Neben dieser global gültigen Adresse gibt es auch noch eine so genannte Link-Local Address (beginnend mit fe80::/10), die jedes IPv6-System automatisch generiert. Diese ist nur lokal im VLAN gültig. Datenpakete mit solchen Adressen werden vom zuständigen Router nicht weiter geleitet.
Adressmodell
Die IPv6-Adressen folgen einem hierarchischen Adress- und Aggregationsmodell

IPv6 und DNS

Wenn man von IPv6 DNS (Domain Name Service) spricht, gibt es zwei unterschiedliche Aspekte, die beachtet werden müssen. Einer davon ist, ob der betroffene Nameserver überhaupt Quad-A (AAAA) Records unterstützt, d. h. einen Namen in eine IPv6-Adresse auflösen kann. Der andere Gesichtspunkt bezieht sich darauf, ob der auf dem Klienten installierte Resolver (d. h. das Programmstück, das die Nameserverauflösung für die Internet-Applikationen vornimmt) IPv4 oder IPv6 als Transport verwendet, wenn es so genannte Lookups vornimmt. Für den Lookup von IPv6-Records muss der Resolver des verwendeten Betriebssystems dies unterstützen. Das neue VISTA-Betriebssystem von Microsoft unterstützt jede Variante, auch den reinen IPv6-Betrieb, sowohl die Namensauflösung als auch die wirkliche Kommunikation (also der Datenaustausch) finden über IPv6 statt.

IPv6 an der TU

Bereits Ende Februar 2001 erfolgten erste Modifikationen an der TUNET-Datenbank, um neue IPv6 DNS Attribute und damit IPv6 DNS Resource Records zu unterstützen. Im Mai 2001 erfolgte die Installation eines eigenen Routers, um Native IPv6 Connectivity zu bieten. Damit konnten erste Gehversuche unternommen werden. Am 26. 6. 2002 ging schließlich der für den Echtbetrieb geplante Cisco 2621 IPv6 Router in Produktion und rea- lisierte die Anbindung. Bisher haben einige Institute diese Connectivity im Rahmen von Projekten genutzt.
Im Mai 2006 wurde ein neues erweitertes IPv6-Netz für die TU Wien (2001:629::/32) bei RIPE registriert (296 IP-Adressen, gemäß RFC 3177). Für die Organisationseinheiten der TU werden Adressbereiche mit einem /48 Präfix (2001:629::/48) zur Verfügung gestellt, das sind 280 Adressen. In zahlreichen Umbauten und Software- Upgrades wurde das TUNET IPv6 ready gemacht. Dank Dual-Stack (Koexistenz von IPv4 und IPv6 auf einer Netzwerkschnittstelle) ist es im TUNET möglich, IPv6 ohne zusätzliche Hardware (im selben VLAN wie IPv4) zu verwenden.
Wie kommt man zu IPv6-Adressen bzw. einem Adressbereich im TUNET? Auf Wunsch des jeweiligen Instituts kann IPv6 in den Instituts-Subnetzen aktiviert werden (E-Mail an hostmaster@noc.tuwien.ac.at). Für Server ist es sinnvoll, fixe Adressen zu verwenden, diese werden vom ZID direkt in das DNS eingetragen (kein EUI-64). Es ist darauf zu achten, dass entsprechende Security-Maßnahmen getroffen werden (Firewall, ...). Bei Arbeitsplatzrechnern kann der Vorteil der Autokonfiguration ausgenutzt werden (jedoch kein dynamic DNS). Aus Gründen des hohen administrativen Aufwands ist vorerst kein manueller DNS-Eintrag durch den ZID geplant.
Da derzeit das primäre Nameservice über IPv4 läuft, ist die automatische Konfiguration mit IPv6 Nameservern noch nicht notwendig. An einer Erweiterung des Standards wird gearbeitet, um zusätzliche Services wie NTP, DNS per Autokonfiguration den Clients zur Verfügung zu stellen.
Wie erwähnt, können die Nameserver der TU Wien derzeit wegen davorgeschaltener Firewall-Systeme zwar IPv6-Adressen (AAAA) auflösen, sind aber nicht direkt unter IPv6 erreichbar. Bis zu dem Zeitpunkt, wo diese Firewalls auch IPv6 unterstützen, erfolgt die DNS-Abfrage über das IPv4-Protokoll.

Wird IPv6 irgendwann IPv4 ersetzen?

Mittelfristig nein, langfristig eher ja. Die Dual-Stack Technologie ermöglicht den sanften Übergang, wobei IPv6-only Netze in nächster Zeit durchaus denkbar sind. Es scheint aber kein schlagartiges "Umschalten" des Internets auf IPv6 (an einem so genannten D-Day) geplant zu sein. Tunnellösungen scheinen nur temporäre Lösungen auf dem Weg zu einer großflächigen Migration zu sein. Eigentlich ist kein aktuelles Betriebssystem für Endsysteme bekannt, welches IPv6 nicht unterstützt. Auch die wichtigsten Applikationen scheinen schon längere Zeit IPv6-fähig. Im Bereich der Netzwerkinfrastrukturgeräte (Router und Switches) ist IPv6 nicht wirklich ein Thema mehr und teilweise bereits in Hardware implementiert (zumindest aber in Software). Im Bereich der Firewall-Hersteller wird jedoch noch heftig an Lösungen gearbeitet, die an den Funktionsumfang von IPv4 Security-Gateways herankommen sollen.
Die Netzwerke sind zwar größtenteils IPv6 ready, aber die Treiber bzw. die Killerapplikationen sind noch nicht vorhanden. Insider und Experten, die internationale Meetings bereisen, sehen die Zukunft von IPv6 im IP/TV Servicebereich im südostasiatischen Raum bzw. in der Internet-Telefonie.
Tatsache ist, dass das Internet über IPv6 immer näher zum Benutzer kommt. War IPv6 bei Windows XP zwar bereits vorhanden, aber nicht sichtbar, so ist es bei vielen Unix-Systemen, bei MacOS X und nun auch bei VISTA bereits aktiv und in den Netzwerkeinstellungen sichtbar. Daher sind alle eingeladen, diese neue Technologie zu erkunden. Beispielsweise ist der Webserver des ZID (www.zid.tuwien.ac.at) ab sofort per IPv6 erreichbar.

Literatur und Links:

Iljitsch van Beijnum: Running IPv6, Apress, 2006, ISBN: 1-59059-527-0
Die Österreichische IPv6 Taskforce: www.austria.ipv6tf.org
IPv6 Dissemination and Exploitation: www.6diss.org
Ripe NCC Internet Resources: www.ripe.net/ipv6/
European IPv6 Internet Exchanges Backbone: www.euro6ix.org
Alte Projekte: www.6net.org, www.6bone.net
Seitenanfang | ZIDline 15 - Dezember 2006 | ZID | TU Wien