Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

09.11.2001 - 

LAN im Wandel/Kommende IP-Version soll Adressprobleme lösen

Erneuerung für das Internet Protocol

Das Internet Protocol (IP) ist in die Jahre gekommen. Mit IP Version 6 (IPv6) steht ein Nachfolger bereit, der über bessere Sicherheitsfunktionen und einen größeren Adressraum verfügt. Noch ist der Umstieg nicht zwingend notwendig, doch das neue Protokoll kann schon jetzt genutzt werden. Von Horst Bialas*

IP-Adressen sind Mangelware. Obwohl derzeit etwa 25 Prozent der öffentlichen IPv4-Adressen noch frei sind, ist absehbar, dass diese für künftige Anwendungen im Internet nicht reichen werden. Zum einen, weil das Internet selbst ständig wächst, und zum anderen, weil IP in Zukunft nicht nur Computer miteinander verbinden, sondern auch andere Dienste und Geräte unterstützen soll. Dazu gehören zum Beispiel "Wireless Devices" und Handys, von denen Schätzungen zufolge in absehbarer Zeit weltweit etwa eine Milliarde ans Internet angeschlossen werden.

Da IPv4 nur etwa vier Milliarden Adressen unterstützt, wird dieser Vorrat unweigerlich irgendwann zu Ende gehen. Aus diesem Grunde begann die Internet Engineering Task Force (IETF) zu Beginn der 90er Jahre mit der Entwicklung einer neuen IP-Version. Das Ergebnis ist in Form von IPv6 seit 1997 auf dem Markt. Das "Next Generation Internet Protocol" wurde in einem weltweiten öffentlichen Diskurs erarbeitet. Ziel dabei war, das Adressproblem zu lösen und den Protokoll-Header zu vereinfachen (damit Router die IP-Pakete schneller routen können). Außerdem sollten Funktionen wie Authentifizierung und damit Datensicherheit unterstützt werden.

Aus Alt mach NeuNach rund zehn Jahren Entwicklungszeit ist nun mit IPv6 ein Protokoll entstanden, das außer dem Namen nicht mehr viel mit seinem Vorgänger gemein hat. Es handelt sich um eine komplette Neuentwicklung, wobei die beiden Standards nicht miteinander kompatibel sind. IPv6 unterstützt alle Protokolle des klassischen TCP/IP-Stacks, etwa die Transportprotokolle Transport Control Protocol (TCP) und User Datagram Protocol (UDP), das Informationsprotokoll Internet Control Message Protocol (ICMP) sowie die Routing-Protokolle Border Gateway Protocol (BGP), Open Shortest Path First (OSPF) und Router Information Protocol (RIP).

Einige Data-Link-Layer-Protokolle werden bei IPv6 jedoch unter den Tisch fallen. So hat beispielsweise der Netzwerkhersteller Cisco angekündigt, in seiner IPv6-Implementierung die Verfahren X. 25, Frame Relay SVC, SMDS oder Token Ring nicht zu unterstützen.

Eine Hauptaufgabe sah die IETF darin, den IPv4-Header zu entrümpeln. Dadurch müssen Router bei der Bearbeitung der Datenpakete weniger Information auslesen und können die IP-Pakete schneller weiterleiten.

Starke Bauchschmerzen bereitete den Entwicklern des neuen Internet Protocol vor allem die Tatsache, dass IPv4 es dem Router ermöglicht, Datenpakete zu fragmentieren. Der Router splittet dabei IP-Pakete, die für die Übertragung auf dem Data Link Layer (zum Beispiel Ethernet oder Token Ring) zu groß sind, in kleinere Fragemente auf und teilt dies dem Empfänger im Fragment-Offset-Feld des Headers mit. Dieses Verfahren hat den Nachteil, dass es den Prozessor des Routers stark belastet.

Der IPv6-Header und damit das Protokoll als solches weisen gegenüber IPv4 einige Unterschiede auf. Prinzipiell besteht IPv6 aus einem Haupt- oder Basis-Header, die durch verschiedene Erweiterungs-Header ergänzt wird. Diese erfüllen jeweils eine besondere Funktion. Der Basisheader hat nur noch acht Felder und informiert den Empfänger des Paketes unter anderem über die IP-Version, die Paketgröße, den nachfolgenden Erweiterungs-Header und natürlich die Quell- sowie Ziel-adresse einer Übertragung.

Das Format der Adressen hat nunmehr 128 Bit und lässt sich grob in zwei Teile trennen: Die ersten 64 Bit definieren das Netz, die nächsten 64 Bit sind die Knotenadressen (Interface-IDs). Anders als bei IPv4 definiert der IPv6-Adressraum keine Klassen mit verschiedenen Netztypen, sondern verteilt die ersten 64 Bit hierarchisch auf die Internet Service Provider (ISPs). Die ersten 13 Bit sind dabei Top-Level-Aggregator-Adressen für die größten ISPs, danach folgen 24 Bit für kleinere ISPs als Next-Level-Aggregatoren. Weitere 16 Bit verbleiben für die Adressierung einzelner Unternehmen. IPv4-Adressen werden weiter unterstützt, indem die ersten 96 Bits der IPv6-Adresse auf null gesetzt werden, worauf die 32 Bit der alten IPv4-Adresse folgen.

AdressvielfaltEine IPv6-Adresse wird hexadezimal dargestellt, die 128 Bits sind dabei in acht Felder à 16 Bit unterteilt, die jeweils durch einen Doppelpunkt voneinander getrennt werden. Konkret sieht das etwa so aus: 1080:0:FF:0:8:800:200C: 417A. Für Schreibfaule hat die IETF eine komprimierte Darstellungsweise standardisiert, die es erlaubt, nachfolgende Nullen mit zwei Doppelpunkten zusammenzufassen. Aus FF01:0:0: 0:0:0:0:27 wird dann beispielsweise FF01::43.

Da dieses Schema ausreichend Adressen bietet, lässt sich damit jedem Endgerät eine öffentliche IP-Adresse zuweisen. Unternehmen wären somit nicht länger gezwungen, private IP-Adressen zu nutzen und diese über Network Adress Tanslation (NAT) von Routern in öffentliche Adressen umsetzen zu lassen. Der Wegfall von NAT bringt einen deutlichen Leistungsgewinn, die Router sind in der Lage, mehr Pakete in derselben Zeit weiterzuleiten.

Einen Performance-Zuwachs bringt auch das bereits angesprochene neue Header-Konzept der IPv6-Pakete. Hinter einem Basisteil folgt nun immer ein Erweiterungskopf, in dem der Empfänger angewiesen wird, wie das jeweilige Paket zu behandeln ist. Es gibt sieben Erweiterungsheader: Hop-by-Hop-Header, Routing-Header, Fragment-Header, Destination-Option-Header, zwei Security-Header und den Upper-Layer-Header. Der Vorteil dieses neuen Konzepts gegenüber IPv4 besteht darin, dass jetzt nicht mehr alle Verwaltungsinformationen in einem Kopf übertragen werden. Musste der IPv4-Client noch jedesmal alle 14 Felder des Headers analysieren, reduziert sich diese Zahl bei IPv6 auf die acht festen Felder des Basis-Headers, zu denen dann lediglich die in Frage kommenden Erweiterungsfeldern des Erweiterungsteils hinzukommen.

Neues Header-KonzeptDer Empfänger erhält zuerst den Basis-Header, wobei er im "Next-Header-Feld" über eine Nummer ausliest, wie viele Erweiterungs-Header auf den Basisteil folgen. Das kann nur ein Feld sein, es ist aber auch möglich, dass mehrere Erweiterungs-Header vorhanden sind. Auf jede Erweiterung folgt wiederum ein "Next-Header-Feld".

Die Fragmentierung von Datenpaketen wird bei IPv6 durch den Fragment-Header geregelt. Anders als bei IPv4 verkleinert beim neuen Internet Protocol jedoch nur noch der Quellhost zu große IP-Pakete, ein Router auf dem Weg zum Zielnetz wird dies nicht tun. Stattdessen sendet der Router dem Sender eine entsprechende Nachricht, woraufhin der Sender das Paket verkleinert und erneut schickt. Jedes der Fragmente erhält nun neben dem Basis-Header den Fragment-Header, über den das Zielgerät erfährt, an welche Stelle des Gesamtpakets das Fragment gehört.

Den Wunsch nach mehr Übertragungsicherheit erfüllt IPv6 durch zwei spezielle Security-Header: Es handelt sich dabei um den Authentication-Header und den ESP-Header (ESP = Encapsulating Security Protocol). Mit Hilfe des Authentication-Headers können zwei Clients bei der Datenübertragung überprüfen, ob die IP-Daten von der richtigen Quelle stammen und ob sie manipuliert wurden. Um das zu ermöglichen, überträgt der Sender im Authentication-Header eine verschlüsselte Prüfsumme und eine 32-Bit Schlüsselnummer. Der Empfänger kann über die Schlüsselnummer den Geheimschlüssel herausfinden und so die Prüfsumme gegenrechnen. Die Verschlüsselung der Daten unterstützt der ESP-Header. Durch diesen Header ist IPsec in IPv6 integriert und End-to-End-Security muss nun nicht mehr als separater Service laufen.

Adressänderungen automatischEin weiteres Feature von IPv6 besteht darin, dass mit diesem Protokoll arbeitende Router periodisch Router-Advertisement-Messages an die in ihrem lokalen Segment angeschlossenen Knoten senden. Darin wird diesen die Netzwerknummer mitgeteilt. Die spezifische Knotenadresse generieren die einzelnen Geräte dann aus ihrer MAC-Adresse. Zudem unterstützt IPv6 das Router-Renumbering-Protokoll, mit dessen Hilfe die IP-Adressen der Hosts geändert werden können, falls sich die IP-Adresse des gesamten Netzwerks ändert. Das könnte zum Beispiel beim Wechsel des Providers der Fall sein. Mit Hilfe der Router Advertisement Message wird diese neue Netzwerknummer hinzugefügt, die Clients lernen auf diese Weise die neue Netzadresse.

Trotz der geschilderten Verbesserungen dürfte es noch eine ganze Weile dauern, bis sich IPv6 durchsetzt. Da es unmöglich ist, die Protokolle von heute auf morgen umzustellen, werden beide IP-Versionen aller Voraussicht nach zunächst über einige Jahre parallel existieren. Für Unternehmen bleibt die Frage, ob ein Migration auf die neue IP-Generation überhaupt Sinn gibt. Schließlich ist es nicht damit getan, eine neue Software aufzuspielen, vielmehr müssen eine komplett neue interne Adressstruktur entwickelt und alle Geräte natürlich entsprechend konfiguriert werden. Im Übrigen lässt es sich mit den privaten IPv4-Adressen möglicherweise gut leben, solange der ISP diese Adressen ins Internet weiterroutet. Anwender sollten also die Vorteile von IPv6 genau abwägen, um zu prüfen, ob eine Umstellung in Frage kommt. Für IPv6 sprechen eindeutig der größere Adressraum sowie die integrierten Security- und Fragmentierungsstandards.

Für den Fall, dass ein Unternehmen das gesamte Netz oder Teile davon auf IPv6 umstellen will, hat das IETF verschiedene Methoden standardisiert, mit denen Anwender IPv6-Daten über einen IPv4-Backbone senden können. Sie legen auch fest, wie Maschinen, die nur IPv4 beherrschen, mit IPv6-Geräten kommunizieren.

Parallelbetrieb möglichSollte der ISP im Backbone noch IPv4 fahren, müssen Firmen auf ihren Grenz-Routern zum ISP zusätzlich zu IPv4 das neue Internet Protocol installieren und konfigurieren (Dual-Stack-Betrieb). Die Geräte packen nun die IPv6-Daten in einen IPv4-Header ein, bevor sie diese an den Router des ISPs weiterleiten. Diesen Tunnel müssen sie zusätzlich konfigurieren. Der ISP transportiert die verpackten Daten über sein Backbone zum Zielnetz. Der Dual-Stack-Router am Zielort wirft den IPv4-Header weg und leitet nur noch die IPv6-Daten weiter. Das IETF empfiehlt jedoch, dies nur als Übergangslösung zu nutzen, weil das Tunneling recht kompliziert sein kann. Vor allem die Fehlersuche kann in diesem Umfeld sehr kompliziert sein.

Wer nicht alle Geräte gleichzeitig auf IPv6 umstellen kann oder will, hat auch die Möglichkeit, beide Stacks laufen zu lassen und zu einem späteren Zeitpunkt den IPv4-Stack zu entfernen. Es ist aber auch denkbar, mit Hilfe von Network Address Translation-Protocol Translation (NAT-PT) die Daten, die von einer IPv4-Maschine kommen, in IPv6-Daten umzusetzen und umgekehrt. NAT-PT lässt sich sowohl im Intra- als auch im Internet einsetzen. Falls beide IP-Stacks parallel laufen, werden die Geräte automatisch IPv4-Daten über IPv4-Adressen versenden und IPv6-Daten über IPv6-Adressen.

Hersteller zwiegespaltenWann das neue Internet Protocol weltweit Fuß fassen wird, ist derzeit noch nicht abzusehen. Seit Anfang 1998 läuft die neue IP-Generation in einem Testnetz, dem "6bone". Rund 40 Länder beteiligen sich daran und testen mehr als 25 verschiedene IPv6-Implementierungen. Doch obwohl die Entwicklergemeinde schon seit längerem die Netzhersteller und ISPs darauf drängt, das Internet-Backbone auf das neue Protokoll umstellen, kommt dieser Prozess nur sehr zögerlich in Gang. Der Grund: Eine solche Umstellung ist teuer und langwierig. Zudem argumentieren einige Hersteller, die Features von IPv6 rechtfertigten nicht die Kosten für die Umrüstung. Immerhin haben Anbieter wie Cisco Systems, Hewlett-Packard (HP), 3 COM, Sun oder IBM die Zeichen der Zeit erkannt und IPv6 mittlerweile in ihre Software implementiert. Cisco beispielsweise unterstützt IPv6 seit Version 12.2 (2) T seines Internetworking Operating System (IOS), allerdings nur in bestimmten Versionen. Man darf also gespannt sein, wann es zum flächendeckenden Einsatz der neuen IP-Version kommt. (ave)

*Horst Bialas ist freier Journalist in Düsseldorf.

Abb: Neuer Header

Das neue Header-Konzept von IPv6 soll das Internet Protocol leistungsfähiger machen. Quelle: CW