Switches: Was sich mit IPv6 ändert
Für Switches ändert sich bei der Einführung von IPv6 deutlich weniger, denn sie sind primär für den Transport auf Layer 2 zuständig. Ob nun IPv4 oder IPv6 übertragen wird, ist in den meisten Fällen ohne Bedeutung, beides funktioniert normalerweise ohne Komplikationen. Hauptsächlich für Administratoren könnte es interessant sein, die Geräte für die Konfiguration per IPv6 ansprechen zu können. Allerdings spricht nichts dagegen, dass dies auch weiterhin per IPv4 erfolgt. Sollte es dennoch gewünscht sein, Adressen mit IPv6 zu konfigurieren, bereiten Geräte mit älterer Firmware unter Umständen Schwierigkeiten. Beispielsweise hat sich gezeigt, dass sich einige Cisco-Switches in internen Testumgebungen problemlos mit VLANs und IPv6-Adressen konfigurieren ließen, dann aber unter den erfolgreich eingetragenen Adressen nicht ansprechbar waren. Erst ein Upgrade des Cisco-Betriebssystems IOS schaffte Abhilfe, und die Switches waren danach via IPv6 erreichbar.
Eine Konfiguration, die dennoch auf Switchen sinnvoll sein dürfte, ist der sogenannte "Router Advertisement Guard". Er verhindert, dass gefälschte Router Advertisements in das Netz gelangen, indem man explizit konfiguriert, auf welchen Ports Router Advertisements eingehen dürfen. Dies sind sinnvollerweise jene Ports, an denen die tatsächlichen Router angeschlossen sind. Andernfalls könnten falsche Router Advertisements aus unautorisierten Ports in das Netz verteilt werden, die schlimmstenfalls eine IPv6-Sicherheitsbedrohung in Gestalt einer Man-in-the-Middle-Attacke oder aber auch einen Denial of Service auf das Default Gateway zur Folge hätten. Dazu ist allerdings zu erwähnen, dass solche Router-Advertisement-Guard-Funktionen zurzeit noch nicht auf allen Geräten vorhanden und konfigurierbar sind.
Betriebssysteme: Was sich mit IPv6 ändert
Foto: Bongertz Jasper
Alle halbwegs aktuellen Betriebssysteme können mit IPv6 umgehen, gegebenenfalls allerdings erst durch die zusätzliche Installation des jeweiligen Protokoll-Stacks. Windows XP etwa benötigt, anders als Windows Vista oder Windows 7, die Installation von IPv6 als Protokoll auf der entsprechenden Netzwerkkarte. Gleiches gilt für Windows Server-Versionen vor Windows 2008. Allgemein muss sich der Verantwortliche bei Windows-Betriebssystemen mit dem Kommandozeilen-Tool "netsh" anfreunden, denn nur dort findet man all die verschiedenen Protokolloptionen, um den IPv6-Stack zu konfigurieren. Unter XP und Windows 2000 erfolgt dort auch die Konfiguration der statischen IP-Adressen, während Vista & Co. entsprechende GUI-Dialoge mitbringen. Da es mit dem Wegfall von ARP auch keine ARP-Tabellen mehr gibt, muss der Administrator stattdessen in "netsh" nachsehen (siehe Abbildung 3).
Ein weiteres Thema bei der Einführung von IPv6 sind die Tunneltechniken. Bei Betriebssystemen sind dort am ehesten ISATAP und Teredo zu nennen, da diese bei Windows-Betriebssystemen automatisch aktiviert werden, sobald IPv6 zum Einsatz kommt. ISATAP ist grob gesagt ein Mechanismus, durch den sich IPv6-Knoten via IPv4-Routing erreichen können und bei dem für jedes Netz ein entsprechender virtueller Tunneladapter angelegt wird. Wer bei Windows Vista und Windows 7 einmal ein ipconfig mit einer langen Liste an Interfaces erlebt hat, kennt diese Adapter. Da diese Erreichbarkeit nicht immer erwünscht ist, kann man ISATAP per "netsh" abschalten und damit ganz nebenbei seine ipconfig-Liste gegebenenfalls stark verkürzen. Das Kommando dazu lautet "netsh interface isatap set state disabled" für Windows Vista und später sowie "netsh interface ipv6 isatap set state disabled" für XP etc.
Auch Teredo ist ein auf dem User Datagram Protocol basierender und damit zur Network Address Translation (NAT) fähiger Tunnel, der IPv6 via IPv4 einpackt und weiterleitet, allerdings diesmal in das Internet. Microsoft hat dazu Relay Server aufgebaut, die die entsprechenden Pakete annehmen und in das IPv6-Internet weiterleiten. Die Antworten werden dann vom Relay wiederum per Teredo an den Client geliefert. Auch Teredo lässt sich mit einem "netsh"-Kommando abschalten, zum Beispiel unter Vista und später mit "netsh interface teredo set state disabled".
Fazit
Die Umstellung von IPv6 kann in den meisten Fällen problemlos im Dual-Stack-Betrieb erfolgen, so dass der Produktionsbetrieb zunächst auf IPv4 weiterläuft, während man nach und nach auf IPv6 transferiert. Dies setzt allerdings voraus, dass die IPv6-Einführung nicht bereits unter Zeitdruck erfolgt. Man sollte sich Zeit für ein sinnvolles Adresskonzept nehmen und dabei von alten Mustern wie der sparsamen Adressvergabe oder gar der Verwendung einer Krücke wie Network Address Translation Abstand nehmen. Die Umstellung der Router ist eine zentrale Maßnahme, ohne die der Rest nicht funktionieren kann, und sollte daher mit der entsprechenden Sorgfalt betrieben werden. (pg)