Seite 3: Einfacher Header

Inhaltsverzeichnis

Einfacher Header

Router müssen beim IPv4-Protokoll Checksummen prüfen und Pakete fragmentieren. Prinzipiell ist das nicht aufwendig, aber beim enormen Durchsatz aktueller Leitungen erfordert auch das reichlich Rechenleistung. Beides, die Fragmentierung und die Checksummen der IP-Header, sind in IPv6 ersatzlos gestrichen. Eine Prüfsumme führt nun nur der TCP-Header. Fehlerhafte Pakete erkennt somit ausschließlich der Empfänger, und er fordert auch den Sender auf, betreffende Pakete neu zu schicken.

Mangels Fragmentierung müssen Router nun zu große Pakete grundsätzlich verwerfen und den Sender per ICMP-Nachricht über den Fehler informieren. Der Sender setzt dann die maximale Paketgröße für diese Route herab (MTU, Maximum Transmission Unit). Dieses Verfahren namens Path MTU Discovery ist bei IPv4 nur optional, und um es nutzen zu können, muss ein IPv4-Sender dafür das Don't-Fragment-Bit setzen.

Wenn die per ICMP-Block geschickte Fehlermeldung des Routers unterwegs verloren geht, beispielsweise wegen einer falsch konfigurierten Firewall, schlägt die Path MTU Discovery fehl. In diesen seltenen Fällen muss der Sender die kleinstmögliche MTU verwenden. Diese beträgt bei IPv4 nur 68 Byte. Bei Routen, die prinzipiell höhere MTUs erlauben, wird so der Anteil der Verwaltungsinformationen unnütz erhöht und die Kapazität der Leitung nicht ausgeschöpft. Dieser Effekt wird bei IPv6 drastisch gemildert, denn alle IPv6-Geräte müssen mindestens 1280-Byte-Pakete befördern können. Natürlich dürfen sie wie IPv4 aber auch kleinere Pakete befördern.

Bei IPv6-Headern ist die Länge nicht mehr variabel und die Adressfelder sind auf 64-Bit-Grenzen ausgerichtet (64 Bit aligned). Das spart Rechenleistung in Routern und verspricht höheren Durchsatz. Flags wie das Don't-Fragment-Bit werden nicht mehr im Header übertragen, sondern als Teil von Optionen zwischen dem IP-Layer und UDP/TCP.

Bewegliche Adressen

Mobile IPv6 erlaubt es, etwa mit einem Laptop an beliebigen Orten mit der heimischen IP-Adresse zu arbeiten, beispielsweise auf Konferenzen oder irgendwo in einem WLAN-Hotspot. Bei IPv6 hat man für diesen Zweck eine ICMP-Umleitungsnachricht eingeführt, mit der der Laptop auf der Konferenz einem Agenten im heimischen Netz mitteilt, unter welchen IPs er gerade erreichbar ist. Der Agent stellt dann einkommende Verbindungen dorthin durch.

Sicherheitsexperten dürfte dieses Szenario alarmieren, denn man muss befürchten, dass Cracker die banking.weltbank.de für ihre Zwecke umleiten wollen. Daher darf der Agent nicht einfach auf Zuruf Verkehr umleiten, sondern der Administrator muss mit kryptographischen Methoden eine Authentifizierung sicherstellen. Eine adäquate Verschlüsselung bringt IPv6 in Gestalt von IPsec mit (RFC 2411). Das gibt es zwar auch schon bei IPv4, aber dort hauptsächlich im Tunnel-Modus für VPNs und nicht für Punkt-zu-Punkt-Verbindungen wie bei IPv6.

In der freien Software-Szene hat sich IPv6 inzwischen etabliert. Es gibt eine ganze Reihe an IPv6 unterstützenden Applikationen. Anfangs gab es nur Nameserver und diverse Tools wie Ping oder Traceroute, inzwischen aber auch Webserver, Browser oder auch Mailer, sodass man zumindest im LAN schon IPv6 üben konnte.

Im LAN zahlt sich IPv6 aus, weil es keinen Broadcast mehr gibt, der hohe Netzlast provozieren kann. Für alle unter IPv4 über Broadcast abgewickelten Übertragungen gibt es Multicast. Dadurch laufen in großen geswitchten Ethernets die Neighbor-Discovery-Pakete praktisch nur auf den Strängen, auf denen der Host sich befindet.