zurück zum Artikel

Seit dem Erscheinen von Windows Vista ist IPv6 auf den verbreiteten PC-Betriebssystemen zusätzlich zu IPv4 aktiv. Ein Blick auf die Vorteile des Netzes der Zukunft lohnt daher für alle Netzwerker.

Die Entwicklung des Internet-Protokolls Version 6, IPv6 [1], begann bereits 1995, weil damals schon absehbar war, dass der durch den aktuellen Standard IPv4 [2] gebotene Adressraum knapp wird. Erste IPv6-Implementationen für PC-Betriebssysteme erschienen zur Jahrtausendwende (BSD), und in der Folge hielt IPv6 auch auf Mac OS X, Linux [3] und schließlich Windows Einzug. Firmen wie Cisco, die Router für Internet-Backbones herstellen, haben es ebenfalls schon längst im Programm [4]. Es gibt auch den einen oder anderen Provider, der IPv6 anbietet; Titan Networks [5], rh-tec [6] oder auch Space.Net [7] etwa. Auch gibt es frei erhältliche PPP [8]-Treiber für die Provider-Anwahl.

Aber auf breiter Front hat sich das Protokoll zur Enttäuschung seiner Verfechter bisher nicht durchgesetzt. Den Backbone-Betreibern und Providern in den USA oder auch Europa pressierte es bisher kaum – in diesen Ländern haben die meisten Provider deutlich mehr IP [9]-Adressen als Kunden, sodass sich daraus teilweise das Phlegma erklärt, das bisher die Einführung verhinderte.

Nicht kleckern …

Zu Beginn der Internet-Ära ging man recht sorglos mit dem Adressraum um; die IPv4-Spezifikation sieht 2³² Adressen vor, also rund 4,3 Milliarden und das schien damals mehr als genug. Fast 640 Millionen Adressen wurden für spezielle Zwecke reserviert [10] und mit dem Rest ging man sehr großzügig um. So bekam etwa die University of California in Berkeley (UCB) rund 16,8 Millionen IP-Adressen, die sie kaum je ausschöpfen wird.

Große Teile dieser Adressräume liegen daher brach, aber eine Neuordnung wäre zu aufwendig. Zudem würde man so die Fahnenstange nur unwesentlich verlängern – der IPv4-Adressraum reicht ja nicht einmal aus, um jedem Menschen wenigstens eine Adresse zuzuteilen. Spürbar ist die Knappheit bereits in Südamerika oder Asien, wo die Nachfrage derzeit stark zunimmt, aber nurmehr deutlich kleinere Adressräume erhältlich sind. Man setzt daher diverse Techniken ein, um das Problem zu lindern, beispielsweise Classless Inter-Domain Routing [11] gemäß RFC 1518 [12] und RFC 4632 [13] oder verschiedene NAT-Varianten gemäß RFC 3022 [14] und RFC 1918 [15].

Aber das sind nur Tropfen auf den heißen Stein. Glaubt man den verschiedenen Prognosen, dann hat die IANA [16], die oberste Adressenvergabestelle, die letzten freien IP-Adressen in wenigen Jahren an ihre Unterorganisationen auf den verschiedenen Kontinenten zugeteilt; eine der meistbeachteten Studien [17] geht von 2011 aus. Im Jahr 2012 haben demnach wiederum die IANA-Vertretungen ihre Adressräume komplett den Providern zugewiesen, und spätestens dann dürften die Folgen auch auf Surfer durchschlagen: Wenn alle IPv4-Adressen gleichzeitig im Verkehr sind, müssen Nutzer, die einen Anschluss ohne feste IP-Adresse haben, darauf warten, dass eine IP-Adresse aus dem dynamisch zugewiesenen Bereich frei wird, bevor sie ins Internet können. Das dürfte die weitaus meisten DSL-Surfer betreffen, aber auch Nutzer mit Modem [18]-, ISDN- oder Handy-Zugang.

… sondern klotzen

IPv6 definiert einen weit größeren Adressraum, nämlich 2¹²⁸ oder 340 282 366 920 938 463 463 374 607 431 768 211 456 Adressen, also rund 340,28 Sextillionen. Das genügt, um jeden Quadratmillimeter der Erdoberfläche inklusive Ozeanen mit rund 600 Billiarden Adressen zu bepflastern. Weil man nicht knausern muss, ist es nicht nur möglich, Mobiltelefonen, Fahrzeugen oder beliebigen Haushaltsgeräten eigene IP-Adressen zuzuweisen, sondern man kann an der Verwaltung sparen und die Adressen ad hoc zuteilen.

Viele Provider haben sich im Stillen schon auf IPv6 vorbereitet – über hundert Anbieter in Deutschland haben bereits IPv6-Adressräume, nur sind sie noch nicht bei jedem im praktischen Einsatz oder nicht für Privatkunden erhältlich.

Zu den großen Vorteilen der IPv6-Spezifikation gehören auch die IP-Autokonfiguration anhand der MAC-Adresse [19], Renumbering für den leichteren Wechsel ganzer Firmennetze zwischen Providern, Jumbogramme für Pakete bis zu 4 GByte Größe, schnelleres Routing, Punkt-zu-Punkt-Verschlüsselung gemäß IPSec [20] sowie die Erreichbarkeit unter derselben Adresse in wechselnden Netzwerken (Mobile IPv6). Diese Techniken erläutern wir im Weiteren ausführlich.

Die IPv6-originären Verfahren Multicast [21] und Quality of Service [22], die nachträglich auch bei IPv4 Einzug gehalten haben, behandeln wir in separaten Beiträgen. Multicast ersetzt Broadcast [23] und verhilft zu einer effizienteren Bandbreitennutzung beim Video- und Audio-Streaming an mehr als einen Empfänger. Mit Quality of Service lassen sich Datenströme priorisieren, um zeitkritische Anwendungen vor Paketverlust zu bewahren. Das soll zum Beispiel bei der IP-Telefonie Verzögerungen oder Aussetzer verhindern.

Adressnotation

Adressnotation

Um IPv6-Adressen kompakt darstellen zu können, greift man zur hexadezimalen Notation. Dabei sind die 128 Bit in acht Blöcke von je 16 Bit unterteilt; als Trennzeichen dienen jeweils Doppelpunkte. Die ersten vier Blöcke, also 64 Bit, werden für das Routing genutzt und bezeichnen das Netz-Präfix. Die darauf folgenden 64 Bit führen zum Host [24].

Folgen von Nullen lassen sich abgekürzt darstellen, sodass manche Adressen noch etwas kompakter dargestellt werden können. Mit "::1" kann man die Host-Local-Adresse angeben, welche aus 15 Nullen und einer 1 besteht und dem Local Host 127.0.0.1 bei IPv4 entspricht. Diese und ähnliche Details sind bereits ausführlich erläutert, unter anderem in einem c't-Beitrag [25].

In URLs kollidiert der Doppelpunkt mit der Portangabe, daher werden IPv6-Nummern in URLs wie in diesem Beispiel in eckige Klammern gesetzt:

http://[2001:0db8:85a3:08d3:1319:8a2e:0370:7344]:80/

Wie schon bei IPv4 kann jedes Netzwerk-Interface mehr als eine IP-Adresse haben – sie werden jedoch automatisch generiert. Startet man einen mit IPv6 bestückten PC, weist er sich selbst zunächst die Link-lokale Adresse für die Kommunikation im LAN [26] zu. Die ersten 64 Bit haben immer den Präfix fe80 und die restlichen 48 sind Nullen:

fe80:0000:0000:0000

Für die zweiten 64 Bit wird die MAC-Adresse des Netzwerk-Interfaces in das Nummerierungssystem EUI-64 des IEEE [27] umgewandelt (Extended Unique Identifier). Zusammen mit der ersten Hälfte sind das 128 Bit. Ein Beispiel sieht so aus:

fe80:0000:0000:0000:4231:65ff:fedc:1faa

oder

fe80::4231:65ff:fedc:1faa

Bevor ein Host eine solche Adresse nutzen kann, muss er per Neighbor Solicitation im LAN fragen, ob sie bereits belegt ist. Falls die fragliche Adresse ein anderer Host für sich annonciert (Neighbor Advertisement), kann der anfragende Host erst nach manueller IP-Adresseinstellung im LAN kommunizieren. Normalerweise sollte eine Kollision aber nicht vorkommen, denn schon MAC-Adressen sind für jedes Netzwerk-Interface weltweit individuell – aber sie lassen sich per Hand manipulieren. Wenn ein solcher Fall auftritt, ist es also ratsam, das LAN einer Prüfung zu unterziehen, weil möglicherweise Unbefugte eine gültige MAC-Adresse gekapert und per MAC-Spoofing ins LAN eingedrungen sind.

Mit der Link-lokalen Adresse kann ein Host nur im LAN kommunizieren; für öffentliche Verbindungen braucht er eine zusätzliche, die er anhand von Router-Antworten selbst generiert. Ein IPv6-Router sendet dafür auf Host-Anfragen das Präfix des öffentlichen Adressblocks, Lease Timeout, MTU [28] und Hop Count (bei IPv4 TTL [29] genannt). Ein Host kann nun prinzipiell eine öffentliche IP-Adresse aus Präfix und Suffix bilden; das Suffix ist seine EUI-64-Adresse. Praktisch an dem Verfahren ist, dass sich der Router nicht merken muss, welche IPs er bereits vergeben hat. Das Präfix kann kleiner als 64 Bit sein und wird dann mit Nullen auf 64 Bit aufgefüllt. Wechselt man den Provider, genügt es, dem Router das neue Präfix einzuimpfen, und die Hosts hüpfen automatisch mit (Router Renumbering, RFC 2894 [30]), manuelle Eingriffe bleiben dem Administrator erspart.

Dieses Verfahren erleichtert es jedoch Dritten, Nutzerprofile aufzuzeichnen, denn die EUI-64 ist statisch. Deshalb hat man nachträglich ein Verfahren spezifiziert, das für die öffentliche IP-Adresse das Suffix ausgehend von der MAC-Adresse und einer pseudozufälligen Zahl erzeugt (RFC 3041 [31]). Dieser "zufällige" 64-Bit-Block ist nur temporär und kann zum Beispiel täglich gewechselt werden.

Freilich hat das Verfahren auch Schwächen und Nachteile. Sobald der Host einen DNS [32]-Namen hat, den man per reverse DNS lookup auffinden kann, ist es untergraben, weil Lauscher den DNS-Namen wechselnden IP-Adressen zuordnen können. Netzwerkadministratoren dürfte es Analysen und Problemlösungen erschweren, weil es verschleiert, wie viele Hosts ein Netzwerkproblem verursachen.

Über die automatische Adresszuteilung hinaus braucht es noch das automatische Finden des Nameservers. Da die Autokonfiguration keine Informationen über Host-, Domainnamen, DNS- oder auch NTP [33]-Server erzeugt, muss man diese Informationen auf anderen Wegen beziehen. Für den öffentlichen DNS könnte man einen DHCPv6 [34]-Server verwenden. Dieser ist dadurch entlastet, dass er über die Adressvergabe im LAN nicht Buch führen muss (stateless DHCPv6, RFC 3736 [35]).

Microsoft geht einen radikaleren Weg und schlägt ein serverloses Protokoll vor, das Peer Name Resolution Protocol [36], das Windows XP und Vista [37] schon mitbringen.

Einfacher Header

Einfacher Header

Router müssen beim IPv4-Protokoll Checksummen prüfen und Pakete fragmentieren. Prinzipiell ist das nicht aufwendig, aber beim enormen Durchsatz aktueller Leitungen erfordert auch das reichlich Rechenleistung. Beides, die Fragmentierung und die Checksummen der IP-Header [38], sind in IPv6 ersatzlos gestrichen. Eine Prüfsumme führt nun nur der TCP-Header. Fehlerhafte Pakete erkennt somit ausschließlich der Empfänger, und er fordert auch den Sender auf, betreffende Pakete neu zu schicken.

Mangels Fragmentierung müssen Router nun zu große Pakete grundsätzlich verwerfen und den Sender per ICMP [39]-Nachricht über den Fehler informieren. Der Sender setzt dann die maximale Paketgröße für diese Route herab (MTU, Maximum Transmission Unit). Dieses Verfahren namens Path MTU Discovery ist bei IPv4 nur optional, und um es nutzen zu können, muss ein IPv4-Sender dafür das Don't-Fragment-Bit setzen.

Wenn die per ICMP-Block geschickte Fehlermeldung des Routers unterwegs verloren geht, beispielsweise wegen einer falsch konfigurierten Firewall [40], schlägt die Path MTU Discovery fehl. In diesen seltenen Fällen muss der Sender die kleinstmögliche MTU verwenden. Diese beträgt bei IPv4 nur 68 Byte. Bei Routen, die prinzipiell höhere MTUs erlauben, wird so der Anteil der Verwaltungsinformationen unnütz erhöht und die Kapazität der Leitung nicht ausgeschöpft. Dieser Effekt wird bei IPv6 drastisch gemildert, denn alle IPv6-Geräte müssen mindestens 1280-Byte-Pakete befördern können. Natürlich dürfen sie wie IPv4 aber auch kleinere Pakete befördern.

Bei IPv6-Headern ist die Länge nicht mehr variabel und die Adressfelder sind auf 64-Bit-Grenzen ausgerichtet (64 Bit aligned). Das spart Rechenleistung in Routern und verspricht höheren Durchsatz. Flags wie das Don't-Fragment-Bit werden nicht mehr im Header übertragen, sondern als Teil von Optionen zwischen dem IP-Layer und UDP [41]/TCP.

Bewegliche Adressen

Mobile IPv6 erlaubt es, etwa mit einem Laptop an beliebigen Orten mit der heimischen IP-Adresse zu arbeiten, beispielsweise auf Konferenzen oder irgendwo in einem WLAN-Hotspot [42]. Bei IPv6 hat man für diesen Zweck eine ICMP-Umleitungsnachricht eingeführt, mit der der Laptop auf der Konferenz einem Agenten im heimischen Netz mitteilt, unter welchen IPs er gerade erreichbar ist. Der Agent stellt dann einkommende Verbindungen dorthin durch.

Sicherheitsexperten dürfte dieses Szenario alarmieren, denn man muss befürchten, dass Cracker [43] die banking.weltbank.de für ihre Zwecke umleiten wollen. Daher darf der Agent nicht einfach auf Zuruf Verkehr umleiten, sondern der Administrator muss mit kryptographischen Methoden eine Authentifizierung sicherstellen. Eine adäquate Verschlüsselung bringt IPv6 in Gestalt von IPsec mit (RFC 2411 [44]). Das gibt es zwar auch schon bei IPv4, aber dort hauptsächlich im Tunnel-Modus für VPNs und nicht für Punkt-zu-Punkt-Verbindungen wie bei IPv6.

In der freien Software-Szene hat sich IPv6 inzwischen etabliert. Es gibt eine ganze Reihe an IPv6 unterstützenden Applikationen. Anfangs gab es nur Nameserver und diverse Tools wie Ping [45] oder Traceroute, inzwischen aber auch Webserver, Browser oder auch Mailer, sodass man zumindest im LAN schon IPv6 üben konnte.

Im LAN zahlt sich IPv6 aus, weil es keinen Broadcast mehr gibt, der hohe Netzlast provozieren kann. Für alle unter IPv4 über Broadcast abgewickelten Übertragungen gibt es Multicast. Dadurch laufen in großen geswitchten Ethernets [46] die Neighbor-Discovery-Pakete praktisch nur auf den Strängen, auf denen der Host sich befindet.

Adressumstellung

Adressumstellung

Das in der Praxis größte Problem für den kompletten Umstieg, Adressumstellungen im laufenden Betrieb, schafft IPv6 dank Renumbering aus der Welt. Die Routing-Tabellen dürften dadurch deutlich verkleinert werden, denn bei den IPv4-Routing-Tabellen gibt es fragmentierte Adressbereiche: So kann der Gesamtbereich XY einem Provider gehören, aber der darin liegende Unterbereich Z einem ehemaligen Kunden, der zu einem anderen ISP umgezogen ist.

Teilte man solche Bereiche auf, wären sie nicht mehr als Aggregat durch eine Route zusammenfassbar und die weltweite Routing-Tabelle würde explodieren. Das vermeidet das Renumbering von IPv6, und Kunden, die mit ganzen Firmennetzen den Provider wechseln wollen, können den Schritt wagen, weil der Aufwand deutlich kleiner ist.

Wechseln die Kunden zugleich von IPv4 auf IPv6, gewährleisten verschiedene LAN- und Internet-Verfahren den schmerzfreien Übergang. Der Wechsel zu IPv6 beginnt im LAN. Dort gibt es grundsätzlich Geräte, die auf Layer 1 (etwa Hubs), auf Layer 2 (Switches [48]) und auf Layer 3 (Router) aufsetzen. Layer-1-Geräte sind für IPv6 transparent, weshalb für diese keine Anpassung erforderlich ist. Layer-2-Devices wie Switches müssen Multicast beherrschen. Das ist bei allen modernen Switches der Fall.

Wenn man sich auf LANs beschränkt, dann markieren die Layer-3-Geräte (Router) im Heimbereich meist die Grenze des eigenen Netzes und sind daher für das Weiterleiten von IPv6-Verkehr zunächst nicht wichtig. Man kann also heute im LAN prima mit IPv6 arbeiten. Will man das LAN per IPv6 ans Internet anbinden, sieht es im Heimbereich routerseitig recht düster aus. Doch mit zwei LAN-Karten kann man PCs zu Routern aufrüsten: eine für die PPPoE [49]-Verbindung zum IPv6-Provider und eine für die Anbindung des LAN. Linux-basierte Router-Distributionen können dann die IPv6-Fähigkeiten des Kernels zur Verfügung stellen.

Zweisprachig

Die verbreiteten PC-Betriebssysteme sind für einen nahtlosen Umstieg auf IPv6 gerüstet. Dafür haben Linux, Mac OS X oder auch Windows Dual Stacks, mit denen sie IPv6 und IPv4 gleichzeitig beherrschen (RFC 4213 [50]). Bei Windows Vista ist IPv6 von Haus aus aktiviert [51] und nicht wie beim Vorgänger XP lediglich mitgeliefert. Mit Vista ausgerüstete PCs greifen auf Netzwerkdienste wo immer möglich, also automatisch via IPv6, zu.

Um die zurzeit nur inselartige Ausbreitung von IPv6 zu stützen, also IPv6-Verkehr über die IPv4-Infrastruktur hinweg zu ermöglichen, gibt es mehrere Techniken. Man kann relativ leicht mit ein paar statischen Tunneln IPv6-Inseln über das Internet verbinden. Das hat zum Beispiel das 6BONE-Projekt demonstriert, das nach erfolgreicher Testphase Mitte 2006 abgeschaltet worden ist.

Bei 6over4 tauschen zwei IPv6-Hosts Daten über einen per Multicast aufgebauten Tunnel durch das IPv4-Netz aus. Damit das auch mit dynamischen IPv4-Adressen funktioniert, hat das Centro Studi e Laboratori Telecomunicazioni [52] (CSELT) Tunnel-Broker erfunden, bei denen man nach dem Einwählen automatisch seinen Tunnel aktivieren kann. Via 6to4 können zwei IPv6-Hosts Daten in IPv4-Pakete enkapsulieren und über das IPv4-Netz austauschen. Teredo, eine Technik, die in Vista eingebaut ist, tunnelt IPv6-Verkehr via UDP durch NAT-Router. Weiterführende Informationen zu diesen und anderen Transitionsverfahren gibt es zum Beispiel beim IPv6-Dienst Six Access [53].

Ausblick

Für die meisten Anwender wird IPv6 trotz der Implementation auf ihren PCs zunächst wohl nur im Verborgenen wirken. Mac OS X oder auch Vista bringen dafür gar keine zusätzlichen grafischen User-Interfaces mit, IPv6 werkelt dort von Haus aus im Autopilotmodus und ermöglicht zumindest ansatzweise Surfen ohne Benutzereingriffe.

Im Bunde mit den verschiedenen Transitionsmechanismen dürfte vor allem Vista erheblichen Auftrieb verschaffen. Einen ersten Schub gab es bereits, als IPv6 in Japan und Süd-Korea eingeführt wurde. Ab 2008 wird es auch für die Backbones in den USA Pflicht, was wohl den entscheidenden Dominostein zugunsten von IPv6 umstoßen dürfte. Erste IPv6-Router als fertige Boxen für den Privatanwender dürften dann nicht lange auf sich warten lassen. (je [54]) ()

URL dieses Artikels:
https://www.heise.de/-221708

Links in diesem Artikel:
[1] http://www.heise.de/glossar/entry/Internet-Protocol-Version-6-395548.html
[2] http://www.heise.de/glossar/entry/Internet-Protocol-Version-4-396639.html
[3] http://www.heise.de/glossar/entry/Linux-395793.html
[4] http://www.ipv6forum.com/modules.php?op=modload&name=Web_Links&file=index&req=viewlink&cid=18
[5] http://www.titan-networks.de/index.php
[6] http://www.rh-tec.de/
[7] http://space.net/
[8] http://www.heise.de/glossar/entry/Point-to-Point-Protocol-396689.html
[9] http://www.heise.de/glossar/entry/Internet-Protocol-398355.html
[10] http://www.heise.de/netze/ip-adressen/
[11] http://www.heise.de/glossar/entry/Routing-398623.html
[12] http://www.heise.de/netze/rfc/rfcs/rfc1518.shtml
[13] http://www.heise.de/netze/rfc/rfcs/rfc4632.shtml
[14] http://www.heise.de/netze/rfc/rfcs/rfc3022.shtml
[15] http://www.heise.de/netze/rfc/rfcs/rfc1918.shtml
[16] http://www.heise.de/glossar/entry/Internet-Assigned-Numbers-Authority-397667.html
[17] http://www.potaroo.net/tools/ipv4
[18] http://www.heise.de/glossar/entry/Modem-398473.html
[19] http://www.heise.de/glossar/entry/MAC-Adresse-399057.html
[20] http://www.heise.de/glossar/entry/IPSec-397475.html
[21] http://www.heise.de/glossar/entry/Multicast-397787.html
[22] http://www.heise.de/glossar/entry/Quality-of-Service-398849.html
[23] http://www.heise.de/glossar/entry/Broadcast-398753.html
[24] http://www.heise.de/glossar/entry/Host-395236.html
[25] http://www.heise.de/kiosk/archiv/ct/01/16/202_Das_naechste_Netz
[26] http://www.heise.de/glossar/entry/Local-Area-Network-399387.html
[27] http://www.heise.de/glossar/entry/Institute-of-Electrical-and-Electronics-Engineers-398237.html
[28] http://www.heise.de/glossar/entry/Maximum-Transfer-Unit-398361.html
[29] http://www.heise.de/glossar/entry/Time-To-Live-397759.html
[30] http://www.heise.de/netze/rfc/rfcs/rfc2894.shtml
[31] http://www.heise.de/netze/rfc/rfcs/rfc3041.shtml
[32] http://www.heise.de/glossar/entry/Domain-Name-System-398615.html
[33] http://www.heise.de/glossar/entry/Network-Time-Protocol-398841.html
[34] http://www.heise.de/glossar/entry/Dynamic-Host-Configuration-Protocol-398825.html
[35] http://www.heise.de/netze/rfc/rfcs/rfc3736.shtml
[36] http://www.microsoft.com/technet/network/p2p/pnrp.mspx
[37] https://www.heise.de/glossar/entry/Windows-Vista-397587.html
[38] http://www.heise.de/glossar/entry/Header-396869.html
[39] http://www.heise.de/glossar/entry/Internet-Control-Message-Protocol-398827.html
[40] http://www.heise.de/glossar/entry/Firewall-398669.html
[41] http://www.heise.de/glossar/entry/User-Datagram-Protocol-398809.html
[42] http://www.heise.de/glossar/entry/Hotspot-394685.html
[43] http://www.heise.de/glossar/entry/Cracker-397027.html
[44] http://www.heise.de/netze/rfc/rfcs/rfc2411.shtml
[45] http://www.heise.de/glossar/entry/Ping-397515.html
[46] http://www.heise.de/glossar/entry/Ethernet-399379.html
[47] http://www.heise.de/netze/rfc/rfcs/rfc2205.shtml
[48] http://www.heise.de/glossar/entry/Switch-396339.html
[49] http://www.heise.de/glossar/entry/Point-to-Point-Protocol-over-Ethernet-396829.html
[50] http://www.heise.de/netze/rfc/rfcs/rfc4213.shtml
[51] http://www.microsoft.com/germany/technet/datenbank/articles/600950.mspx
[52] http://www.cselt.it
[53] http://www.sixxs.net/faq/connectivity/?faq=comparison
[54] mailto:je@heise-netze.de

Copyright © 2007 Heise Medien