top of page

Vermeiden Sie unnötige IPv6-Migrationskosten durch kluge Planung.

Bild_2021-09-05_230446.png

Das Potenzial von IPv6 ist groß, das mittelfristige Einsparpotential ebenso.

Vermeiden Sie unnötigen Mehraufwand und unnötige Kosten:

Eine kluge Planung und viel IT-Betriebserfahrung lässt die IPv6-Migration angenehm und budgetfreundlich umsetzen.

Als erstes erstellen wir eine klare Linie, aufgeteilt nach Technik und Organisation

und nach:

  • Netzwerk, LAN & WAN

  • Server und Applikationen

  • Clients und mobile Endgeräte

Im Anschluß erfolgt beginnend „von innen nach außen” eine technische und organisatorische Migration hin zu „dual stack IPv4/IPv6”.

Zudem bieten wir als Mitglied und Partner der „RIPE“ („LIR“) vom Provider unabhängige IPv6-Adressen für die interne (LAN, Data Center) und externe (Internet) Verwendung an.

Führen Sie IPv6 heute gut und sicher mit unseren IPv6-Spezialisten ein.

Öffentliche IPv6-Adressen beantragen

 

Als Mitglied der „RIPE“ und in der Eigenschaft als „LIR“ beantragen und verwalten wir öffentliche IPv6-Adressen. Mittlere und große Unternehmen, welche im Regelfall nicht selbst Mitglied der RIPE sind, erhalten so "RIPE-Ressourcen". Zur Beantragung von IPv4- und

IPv6-Adressen und zu AS-Nummern folgen Sie dem nachfolgenden Link.

Technische Information:
Wie erhalten Sie IPv6-Adressen?

Bei der Planung des IPv6-Netzwerkes geht es sehr schnell um die Entscheidung, welche IPv6-Adressarten ausgewählt und beschafft werden sollen. Erfahren Sie grundsätzliche Überlegungen zur IPv6-Adressierung.

IPv6-Adresskonzept

 

Ein IP-Adresskonzept sorgt für einen langfristig belastbaren IT-Betrieb. Erfahren Sie, was Sie bei der Planung eines IPv6-Adresskonzepts berücksichtigen sollten und wie Ihre IPv6-Adressen geplant und verwaltet werden können.

→ Besuchen Sie eine unserer nächsten IPv6-Schulungen:

Die iternas GmbH ist RIPE NCC-Mitglied, LIR (Local Internet Registry), Mitglied in internationalen IPv6-Arbeitsgruppen und hat unzählige IPv6-Beratungen und Projekte durchgeführt und umgesetzt.
Zudem halten die beteiligten Berater persönliche IPv6-Fachzertifizierungen von Herstellern und Verbänden.

Wir freuen uns auf Ihre Nachricht:

IPv6-Security-Expert.png
IPv6-Fundamentals-Analyst_badge.png

Danke! Die Nachricht wurde gesendet.

Mit * gekennzeichnete Angaben sind notwendig. Alle Ihre Angaben werden intern zur Weiterverarbeitung bei der iternas GmbH und beim Webdienstleister soweit gespeichert, wie es zur weiteren Anfragenbearbeitung notwendig ist. Damit erklären Sie sich einverstanden. Falls Sie dies nicht wünschen, so verzichten Sie bitte auf diese Art der Kontaktaufnahme und rufen uns bspw. an.

Wir nehmen den Schutz Ihrer Daten sehr ernst, im technischen als auch im organisatorischen Sinne.

Blogbeiträge zum Thema IPv6

1
23
ipv6-act-now.png

Wissenswertes zu IPv6

iternas & IPv6

 

Seit IPv6 (Internet Protocol Version 6) im Internet- und Firmenumfeld thematisiert wurde, sind wir als iternas GmbH in diesem Bereich aktiv tätig und konnten so in vielen mittleren und großen Unternehmen IPv6-Konzepte erstellen, Projekte firmenweit realisieren und unzählige Fachschulungen und Vorträge zu diesem Thema halten.

 

Zudem wirken wir als Mitglied der RIPE (Network Coordination Centre), die für die Vergabe von IP-Adressbereichen zuständige Organisation, sowie in in anderen Fachgremien aktiv an der Entwicklung und Umsetzung von IPv6 mit.

 

Technik

 

Jedes Gerät mit einer Netzwerkverbindung benötigt eine eindeutige ID (Identifikator), die so genannte

IP-Adresse.

In Unternehmensnetzwerken sind heute IPv4-Adressen, 32 Bit lang, weit verbreitet. 

Die 128 Bit langen IPv6-Adressen sind derzeit noch überwiegend im WAN und Internet anzutreffen.

 

 

Warum benötigen wir IPv6-Adressen?

 

Neben vielen technischen Neuerungen ist der fast schon alleinige Umstellungsgrund die Länge

der IPv6-Adressen und damit die verbundene (unendliche) Anzahl an Möglichkeiten und Geräten.

 

Die Anzahl der IPv4-Adressen sind schon rein rechnerisch auf ca. 4 Milliarden (2 Zustände ^ 32 Bit) begrenzt.

In der Praxis ist dieser Wert auf Grund der blockweisen Vergabe sehr viel geringer.

 

Sie sehen: Es gibt weltweit viel zu wenige Adressen im Gegensatz zu immer mehr werdenden Geräten. 

Eine Vergabe von öffentlichen IPv4-Adressen ist schon längst nicht mehr möglich und um die wenigen verfügbaren IPv4-Adressen wird bereits mit marktwirtschaftlichen Mitteln gekämpft. 

 

Um den Mangel an öffentlichen IPv4-Adressen hinauszuzögern, wurden technische Möglichkeiten, wie „NAT" (Network Adress Translation) und „CIDR" (classless inter domain routing), erschaffen. 

Damit teilen sich mehrere User eine öffentliche IPv4-Adresse und dieses Vorgehen ist bei den heutigen Providern Standard.

 

 

Warum stellt die Welt auf IPv6 um?

 

Schon die RFCs (Request for Comments) https://tools.ietf.org/html/rfc1883 und https://tools.ietf.org/html/rfc1884 bezeichneten IPv6 als das Nachfolgeprotokoll - das war bereits 1995!

 

Entscheidend bei IPv6 sind die schier unendlichen IP-Adressen. 

Alle anderen Vorteile von IPv6 sind gut, reichen aber jeweils überhaupt nicht aus, um eine weltweite Migration von IPv4 auf IPv6 anzuregen.

 

IPv6 mit 128 Bit Adresslänge - dass sind unendliche 340.282.366.920.938.463.463.374.607.431.768.211.456 Adressen (2 Zustände ^ 128 Bit).

Mehr Rechnereien zu den IPv6 Adressen im Blog: „IPv6 nachgerechnet“.

 

Es gibt Berechnungen zur quantitativen Verdeutlichung, die mehr IPv6-Adressen als Sandkörner auf der Erde vermuten.

 

IPv6-Adressen sehen anders aus

Die Darstellungsform von IPv6-Adressen ist eine hexadezimale Schreibweise. 

Ein hexadezimales Zeichen kann den Wert 0-9 und und a-f haben. 

Vier hexadezimale Zeichen bilden einen Block, acht dieser Blöcke bilden die IPv6-Adressen.

Eine typische IPv6-Adresse sieht daher so aus:

2001:db8:12bc::a2b4/64

 

Auffällig ist dabei der oft verwendete einmalige doppelte Doppelpunkt "::". 

Dieser ermöglicht es, Blöcke mit Nullen in der Darstellung wegzulassen, dadurch wird die IPv6-Adresse etwas kürzer und handlicher.

 

Viele weitere Schreibweisen gibt es, wir empfehlen jedoch:

 

  • alle Buchstaben sind klein zu schreiben

  • führende Nullen sind wegzulassen

  • wenn möglich, Blöcke mit Nullen durch „::“ zu ersetzen 

 

Weitere Schreibweisen empfiehlt die eigens dafür geschaffene RFC 5952 https://tools.ietf.org/html/rfc5952

 

 

Adressarten

 

Im IPv6 nutzen wir verschiedene Adressarten, zuletzt definiert in RFC 4291.

Die wichtigsten drei IPv6-Adressarten sind:

  • Link-Local Unicast Adresse

  • Global Unicast Addresses

  • Unique Local IPv6 Unicast Addresses

 


Link-Local Unicast Adresse

Die erste Adresse, welche man nach der IPv6-Aktivierung sofort erhält, ist die „Link-Local Unicast Adresse“, wir kürzen sie intern gerne mit „Lilo“ ab. 

Diese Link-Local-Adresse ist nur für die Adressierung innerhalb eines LAN-Segmentes zuständig. 

An einem Router kann diese Adresse an jedem Interface identisch sein, die Angabe des Interface als Zusatzinformation einer Link-Local-Adresse ist daher notwendig. 

Bspw. kann ein Router an allen Interfaces die IPv6 Link-local-Adresse fe80::1 haben. 

Interessant ist, dass Routingprotokolle wie OSPFv3, diese „Lilo“-Adresse als „next-hop“-Adressen verwendet.

 


Global Unicast Adresse

Die zweite und für den öffentlichen Internetverkehr wichtige Adressart sind die Global Unicast Adressen. 

Global Unicast Adressen sind alle nicht anderweitig definierten Adressen.

In der Praxis gehen diese IPv6 globalen Unicast Adressen jedoch mit „2“ los, da die IANA (Internet Assigned Numbers Authority) vorerst nur diesen Bereichen (2000::/3) den RIRs (in Europa ist es die RIPE) zugeteilt hat.


Unique Local IPv6 Unicast Adressen

 

Erst im Oktober 2005 definierte die IETF (Internet Engineering Task Force) mit der RFC 4193 die Unique Local IPv6 Unicast Adressen. (Dem Voraus ging die Abkündigung der „site local“ IPv6-Adressen voraus.)

Diese Adressen können innerhalb von Unternehmen oder anderen abgrenzenden Bereichen verwendet werden, jedoch werden diese Adressen niemals im Internet geroutet.

fc00::/7  Unique Local IPv6 Unicast Addresses

 


Netzwerkmaske

Die Aufteilung zwischen dem Netzanteil und dem Hostanteil ist genauso, wie auch schon bei IPv4, vorhanden. 

Bei IPv6 beträgt die übliche und supportete Netzwerkmaske /64.

Lediglich Carrier und wenige andere Ausnahmen nutzen abweichende Netzwerkmasken, bspw. /127.

Diese abweichende Maske ist möglich, weil es im IPv6 kein Broadcast und kein Netzbereich (Host = 0) gibt.

Per RFC 4291 ist lediglich die Maske von /64, auch wir empfehle aus Gründen der Betriebsstabilität nur diese Maske.

IPv6-Maske.png
Sicherheit

 

IPv6 ist ein Adressierungsprotokoll und damit nicht mehr oder weniger sicher als IPv4. 

Es sind im IPv6-Extension-Header weitere Felder vorgesehen, welche die Sicherheitsfunktionen „mit aufnehmen" können, jedoch ist IPv6 deswegen nicht per se sicherer oder unsicherer.

 

Indirekt jedoch fehlt die NAT-Funktion als Sicherheitsmerkmal:

Während bei IPv4 die Clients ihre interne IP-Adresse meist hinter einem Router mit einer offiziellen Adresse verbergen, sind sie gegen initiale Zugriffe von außen geschützt. 

Der Angreifer kann nicht über die öffentliche IPv4-Adresse am Router auf die lokalen IPv4 Adressen der internen User zugreifen.

(Als private interne IPv4-Adressen gelten die Adressen in der RFC 1918 definierten 10.0.0.0/8, 172.16.0.0/12 und 192.168.0.0/16. Diese Adressen werden, wie die IPv6 Unique Local Unicast fc00::/7, nicht im Internet geroutet.) 

Dieses NAT-Konstrukt  konnte die Verbindung von öffentlichen Adressen reduzieren und den IPv4-Adressmangel deutlich hinauszögern.

 

Bei IPv6 ist NAT natürlich technisch weiterhin möglich, war jedoch in den früheren Konzepten und RFCs nicht vorgesehen. IPv6 geht von einer Ende-Ende-Kommunikation aus, selbst die Fragmentierung der IP-Pakete auf dem Weg zum Ziel ist nicht vorgesehen.

 

 

Schneller

 

Der Beginn des IPv6-Header hat fest vorgegebene Felder, um das schnelle Verarbeiten per Hardware (ASICs/FPGA) zu ermöglichen. Dieser Vorteil war in der ersten IPv6 RFC1883 im Jahre 1995 relevant, ist heute aber technisch weniger bedeutend.

Die längere IP-Adresse ändert das Verhältnis von Header zu Nutztraffic. Dieser Unterschied ist jedoch nur akademischer Art und in der Praxis nicht relevant.

IPv6 ist also weder schneller noch langsamer als IPv4.

 

 

Noch mal zurück zur IT-Sicherheit und IPv6:

 

ICMPv6 (Internet Control Message Protocol für IPv6) ist ein elementarer Bestandteil von IPv6! 

Sei es das Neighbor Discovery Protocol oder Path MTU Discovery, ICMPv6 soll an den Firewalls aktiviert und durchgelassen sein!

 

Das absolute Minimum, welches erlaubt sein sollte:

- Destination Unreachable (Ping „geht nicht")

- Packet Too Big - Type 2 (wichtig für Path MTU Discovery und MTU-Size)

- Time Exceeded (time out)

- Parameter-Problem (hilft bei der Fehlersuche)

- Echo Request (Type 128) (Ping-Anfrage)

- Echo Response (Type 129) (Ping-Antwort)

   

   

Adressverteilung

   

Eine Änderung und Besonderheit ist die Adressverteilung bei IPv6. 

Ursprünglich war lediglich vorgesehen, dass die Router per Neighbor Discovery Protocol mit Router Advertisement-Paketen ihre Clients über die am Interface anliegenden IPv6-Adressen informieren. 

Die Clients generieren sich dann eigene Adressen. Als Grundlage für den Hostanteil dienten ihre MAC-Adresse, heute wird der Hostanteil bei den meisten Consumer-Systemen „gewürfelt", bspw wie in der RFC 4941 beschrieben.

Die RFC 4941, „Privacy Extensions for Stateless Address Autoconfiguration in IPv6" beschreibt eine mögliche Generierung der anonymen 64 Bit Hostadressen.

Dieses Verfahren der IPv6 Adressverteilung nennt man „SLAAC" (Stateless Address Autoconfiguration). Stateless deshalb, weil keine zentrale Datenbank über die vorhandenen IPv6-Adressen wacht.

„SLAAC" sah anfangs keine Möglichkeit vor, den IPv6-Clients DNS-Server mitzugeben, dies wurde per RFC 8106 nachgereicht („IPv6 Router Advertisement Options for DNS Configuration", vormals RFC 5006 und RFC 6106.)

 

In den letzten Jahren kamen weitere RFCs hinzu, welche die IPv6-Adressverteilung insbesondere in Unternehmen per DHCPv6 (Dynamic Host Configuration Protocol Version 6) regelt.

1
23
bottom of page