Banner

IPv6 im MWN

IPv6 - Internet Protocol Version 6

IPv6 ist der designierte Nachfolger des seit Jahrzehnten eingeführten IPv4 (auch mit IP abgekürzt). Nähere Informationen können auf folgenden Informationsseiten eingeholt werden:

Wann wird das Internet auf IPv6 umgestellt?

IPv6 ist auf Netzwerkebene ein komplett eigenständiges Protokoll und kann ohne störende Wechselwirkungen parallel zu IPv4 über dieselbe Leitung benutzt werden. Dabei können Hosts IPv4-only, IPv4/IPv6 (Dualstack) oder IPv6-only sein. Da besonders bei Appliances und kommerzieller Software die Unterstützung für IPv6 noch zu wünschen übrig lässt, wird IPv4 auf absehbare Zeit nicht abgeschaltet werden, sondern weiterhin zur Verfügung stehen. Da die IPv4-Adressen bald alle vergeben sein werden, werden neu eingerichtete Netze vielfach nur noch über IPv6 erreichbar sein.

Welche Betriebssysteme unterstützen IPv6?

  • Windows XP, Windows Vista, Windows 7, Windows Server 2003
  • Linux 2.4+
  • FreeBSD, OpenBSD, NetBSD
  • MacOS X
  • Sun Solaris 8+

und viele weitere.

Welche Applikationen unterstützen IPv6?

Während unter Windows nur wenige Applikationen IPv6 unterstützen (beispielsweise Internet Explorer, Mozilla-Suite, PuTTY), wird unter Unix IPv6 bereits von nahezu allen relevanten OpenSource-Programmen unterstützt.

IPv6 im MWN

Addressbereich

Das LRZ hat sich im April 2005 durch eine Mitgliedschaft bei RIPE einen eigenen, global routebaren IPv6-Block gesichert (2001:4ca0::/32). Der MWN-Adressplan sieht für jede administrative Einheit mindestens ein /48-Netz vor. Dies ermöglicht dieser Einheit die Adressierung von 2^16 (65.536) Subnetzen mit jeweils 2^64 Systemen.

Im allgemeinen ist jedem Institut bereits ein IPv6-Adressbereich zugewiesen. Um einen neuen Bereich zu erhalten, füllen Sie als Netzverantwortlicher bitte unser Template IPv6-Adressbereich aus und kopieren Sie es in einen Request über unser Servicedesk-Portal
https://servicedesk.lrz.de/ql/create/50.

Verfügbare Dienste

Im Zuge von Neuinstallationen oder Wartungsarbeiten an MWN-Servern wird bei immer mehr Systemen IPv6 für den Benutzerzugriff aktiviert. Eine kleine Auswahl an über IPv6 erreichbaren Diensten zeigt folgende Übersicht

www.lrz.de Webserver
flash5.lrz.de Multimedia Streaming-Server (http://www.lrz.de/services/peripherie/streamingserver/)
resolver1.lrz.de DNS-Resolver (http://www.lrz.de/services/netzdienste/dns/)
ntp1.lrz.de NTP-Zeitserver (http://www.lrz.de/services/netzdienste/ntp/)

Weitere Dienste sind in Vorbereitung und werden sobald als möglich in Betrieb gehen. Diese Tabelle wird nicht aktualisiert, sofern ein Dienst im Benutzerbetrieb IPv6 anbieten kann, wird dies durch den Eintrag einer IPv6-Adresse im DNS publiziert, IPv6-fähige Clients benutzen diesen Dienst dann automatisch über IPv6.

Wie kann ich mich an IPv6 anschließen?

Zum Anschluss an IPv6 stehen verschiedene Möglichkeiten zur Verfügung. Die einfachste und schnellste Variante ist die sogenannte native Anbindung. Hierbei wird auf dem bestehenden MWN-Anschluss parallel IPv6 aktiviert. Direkt in diesem Subnetz liegende IPv6-fähige Clients können bei Bedarf automatisch mit einer IPv6-Adresse versehen werden. Aus technischen Gründen ist diese Art des Anschlusses nur an den MWN-Kernstandorten möglich, andere Anbindungen wie WLAN, ISDN-Einwahl oder SDSL sind derzeit nicht möglich.

Sollte dies nicht möglich sein, können sich Institute oder andere Einrichtungen für eine getunnelte Anbindung entscheiden. Hierbei werden IPv6-Pakete vom nähesten MWN-Router in IPv4-Pakete eingepackt und über IPv4 zu einem Zielsystem geschickt. Dieses kann die Pakete wieder entpacken und bei Bedarf auch die Clients in seinem Netz über diesen Tunnel mit IPv6 versorgen. Aus Gründen der Geschwindigkeit und der Konfigurationsarbeit können wir diese Möglichkeit jedoch nicht allen Benutzern zur Verfügung stellen. Insbesondere dynamische IP-Adressen stellen hier große Probleme dar.

Damit jeder Client im MWN, unabhängig von seinem Standort IPv6-fähig gemacht werden kann wird ein automatischer Tunnelmechanismus (ISATAP) angeboten. Technisch entspricht dies der soeben genannten getunnelten Anbindung, allerdings werden diese Tunnel nicht von Hand konfiguriert, sondern haben Parameter wie die IPv4-Adresse des Tunnels in die IPv6-Adresse hineincodiert. Die Konfiguration ist, besonders bei Unix-Systemen, nicht ganz einfach, außerdem belastet dieser Mechanismus die MWN-Router stärker als eine native Anbindung. Diese Methode sollte daher nur bei Clients angewendet werden, Server sollten nur nach Rücksprache und bei Nicht-Verfügbarkeit einer anderen Anbindungsart dauerhaft mit dieser Methode angeschlossen werden.

Wie soll ich meinen Rechner konfigurieren?

Clientrechner sollten auf der Systemvoreinstellung mit automatischem Bezug der IPv6-Adresse belassen werden. Sie erhalten dann vom Router mittels "Stateless Address Autoconfiguration" eine Adresse, die anhand der MAC-Adresse eindeutig erzeugt wird. Beachten Sie auch die Hinweise im FAQ Wie konfiguriere ich IPv6 auf Windows korrekt?.

Bei Serverrechnern sollte die IPv6-Adresse manuell gesetzt werden, damit sie auch beim Austausch des LAN-Adapters unverändert bleibt. Es wird empfohlen, bei den letzten 4 Bytes die IPv4-Adresse hexadezimal codiert zu verwenden. Empfehlenswert ist außerdem ein Eintrag mit der IPv6-Adresse im DNS (über das Servicedesk-Portal anfordern oder über Webdns).

Achtung:

Die Einführung von IPv6 kann Auswirkungen auf Zugangsregelungen und andere auf IP-Adressen basierende Einstellungen haben.

Beispiel:

Die Freischaltung von Nameservern zum Berechtigen von dynamischen DNS-Updates muss jetzt auch die IPv6-Adresse beinhalten.

Welche Sicherheitsoptionen sind verfügbar?

Das LRZ kann derzeit nur einige Standardoptionen für Filter an den Kundeninterfaces anbieten. Dabei besteht die Wahl zwischen folgenden Möglichkeiten:

  • keinerlei Filter
  • Filtern eingehender (=zum Kunden gehender) TCP-Verbindungsversuche, Rest frei
  • Filtern eingehender (=zum Kunden gehender) TCP-Verbindungsversuche außer Port 22 (SSH), Rest frei

Die Option kann nur einheitlich für gesamte Router-Interfaces gewählt werden, woran oft mehrere Subnetze verschiedener Institute angebunden sind. Feingranularere Filter sind im geringen Maße auf Anfrage möglich, für größere Filterwünsche ist der Betrieb einer Firewall erforderlich. Die virtuellen Firewalls des LRZ unterstützen ebenfalls IPv6.