Viele Menschen in der IT-Branche sind noch immer Novizen im IPv6-Bereich und haben noch keine Zeit investiert, um sich mit dem „neuen“ Protokoll auseinander zu setzen. Außerdem kursieren in den sozialen Medien und auch in Fachzeitschriften Fehlinformationen über die Funktionen des Protokolls. Diese Fehl- bzw. Falschinformationen werden in der Regel von sogenannten Fachleuten verbreitet, denen es an IPv6-Kenntnissen und Einsatz-Erfahrung mangelt. Daher gibt es viele Missverständnisse über IPv6.
IPv6 wird noch immer nicht genutzt
Es wird auch immer noch von IP-Spezialisten behauptet, dass das neue IP noch immer nicht im Einsatz ist und man getrost darauf verzichten kann. Ironischerweise nutzen auch diese IP-Spezialisten ein 4G/5G-IPv6-fähiges Mobiltelefone. Die Mobilfunknetze basieren alle auf einer Dual-Protokoll-Internet durchlaufen, und auf Servern, die in einer Dual-Stack-Umgebung arbeiten. Auch deren Fahrzeuge (Autos) kommunizieren bereits seit vielen Jahren ausschließlich per IPv6, wenn diese nicht älter als 30 Jahre sind.
Der Start von IPv6 hat jetzt bald drei Jahrzehnte auf dem Buckel, aber seit etwa 15 Jahren steigt die Nutzung von IPv6 stetig an. Beispielsweise zeigen die IPv6-Messstatistiken von Google, dass der weltweite IPv6-Datenverkehr derzeit bei mehr als 50 Prozent liegt. Im Umkehrschluss bedeutet dies, dass nur noch weniger als 50 Prozent der Internetverbindungen auf IPv4 basieren. Auch die Statistiken von Meta/Facebook zeigen ähnliche Zahlen. Jedes Jahr steigt die Menge des IPv6-Datenverkehrs, den Google weltweit übermittelt, um 5 Prozent.
Inzwischen nutzen immer mehr Content-Anbieter das IPv6-Protokoll auf ihren Internetverbindungen. Gemäß einschlägiger Analysen stellen knapp 60 Prozent der Top-1000-Websites die IPv6-Protokolle für den Zugang der angebotenen Daten zur Verfügung. Ein interessanter Aspekt dabei ist, dass die Wahrscheinlichkeit, dass eine Website IPv6 nutzt, mit ihrer Popularität steigt.
In einigen Ländern übersteigt der IPv6-Internetverkehr bereits 50 Prozent. Tatsächlich übersteigt das IPv6-Verkehrsvolumen mittlerweile in vielen Ländern das IPv4-Verkehrsvolumen.
|
Land |
IPv6-fähig |
IPv6 bevorzugt |
|
Frankreich |
79.01% |
78.24% |
|
Belgien |
71.92% |
70.66% |
|
Deutschland |
68.79% |
67.68% |
|
USA |
59.28% |
58.47% |
|
Japan |
58.31% |
55.27% |
|
Griechenland |
55.26% |
54.80% |
|
China |
53.43% |
49.27% |
|
England |
50.05% |
49.39% |
|
Australien |
44.88% |
43.58% |
|
Schweiz |
44.78% |
44.15% |
|
Niederlande |
42.28% |
41.62% |
|
Österreich |
40.33% |
39.65% |
Es gibt keine „Killer-App” für IPv6
Der 32-Bit-Adressraum von IPv4 ist ein klarer Begrenzungsfaktor für das Wachstum der IP-Netze. IPv4 bietet nur 3,7 Milliarden eindeutige öffentliche Adressen und etwa 17 Millionen nicht eindeutige private RFC 1918-kompatible Adressen. Bei über 18 Milliarden Mobilgeräten und einer Weltbevölkerung von 8 Milliarden Menschen kann deshalb der IPv4-Adressraum nicht skalieren. Dieser reicht schon lange nicht mehr aus, um das Wachstum und die Innovation der globalen Internet-Technologie aufrechtzuerhalten. Und alle fünf regionalen Internet Registries (RIRs) haben ihren Vorrat an öffentlichen IPv4-Adressen vor über einem Jahrzehnt bereits ausgeschöpft.
Die exzessive Verwendung von Network-Address-Translation (NAT) durch IPv4 bedeutet, dass IPv4-Adressen nur noch lokal eine Bedeutung haben. ISPs benötigen dringend mehr Adressraum. Sie haben keine andere Wahl, als ihren Kunden private IP-Adressen (100.64.0.0/10 gemäß RFC 6598) zuzuweisen und in Kombination mit einem zentralisierten Carrier Grade NAT (CGN)/Large Scale NAT (LSN) zu verwenden. Diese kostspieligen CGN/LSN-Konstrukte müssen dann über viele Jahre hinweg hochverfügbare in ihrem Netzwerk bereitgestellt werden. Auch erschweren CGN/LSN-Lösungen die gesetzeskonforme Überwachung der Kundenverbindungen. Jedes NAT führt zwangsläufig zu erhöhten Latenzzeiten für die Teilnehmer. Dies kann unter Umständen zu Anwendungsproblemen führen, was wiederum zu mehr Anrufen beim ISP-Helpdesk führt.
Das herausragendste Merkmal von IPv6 sind seine 128-Bit-Adressen, die eine Fülle von global eindeutige Adressen für jede denkbare Netzwerkumgebung bieten. IPv6 erfordert kein NAT und daher ist eine Ende-zu-Ende Transparenz der Verbindungen möglich. Auch sind die IPv6-Verbindungen über das Internet schneller als der IPv4-Durchschnitt.
Die Unternehmen sollten versuchen, die versteckten Kosten der IPv4-Adressierung zu quantifizieren, um, um die konkreten Vorteile von IPv6 zu dokumentieren.
Es gibt genügend IPv4-Adressen, daher brauchen wir IPv6 nicht
Viele Unternehmen sind noch immer der Meinung, dass sie über ausreichend privaten RFC 1918-Adressraum verfügen oder sie nutzen bereits den sogenannten „IPv4-Squat Space”. Der IP-Squat-Space ist ein Adressbereich, den bereits eine Organisation zur Nummerierung seiner Netzwerke verwendet. Im besten Fall ist dieser Adressbereich jemand anderem zugewiesen und wird derzeit nicht genutzt oder kann in Zukunft jemand anderem zugewiesen werden. Der Squat-Space wird in der Regel nicht über das öffentliche Internet geroutet. Dies würde als Hijacking angesehen werden. Stattdessen wird dieser Adressbereich in der Regel hinter einem Network-Address-Translator oder für Dinge verwendet, die keine direkte Kommunikation mit dem Internet erfordern.
Einige Unternehmen sind auch der Meinung, dass sie bei Bedarf jederzeit weitere IPv4-Adressen käuflich beschaffen können. Der einzige Weg für Unternehmen, öffentliche IPv4-Adressressourcen zu erhalten führt über den Adressübertragungsmarkt. Dieser wird von spezialisierten IP-Brokern, IP-Marktplätzen oder Cloud-Anbieter versorgt. Da das Angebot am Markt knapp ist, variieren die Preise variieren die Preise erheblich. Der Preis pro einzelner IP liegt oft höher als der Preis in größeren Blöcken. Die aktuellen Preise schwanken im Bereich von 35 bis 50+ US-Dollar pro IP-Adresse oder monatlichen Mietkosten von ca. 12 Dollar pro IP-Adresse, abhängig von der Größe des Blocks und dem Anbieter.
Einige Organisationen betrachten das Internet nur aus ihrer Perspektive und berücksichtigen nicht die Nutzung des Internets aus der Perspektive ihrer Nutzer bzw. Kunden. Viele Nutzer und deren IT-Komponenten unterstützen bereits IPv6. Wenn ein Unternehmen beispielsweise über ein ausschließlich IPv4-basiertes Internet verfügt wartet im Hintergrund oft bereits das IPv6 auf seinen Einsatz. IPv6-Clientgeräte (wie viele 5G-Mobilgeräte) müssen einen IPv6-zu-IPv4-Übersetzungsprozess durchlaufen, um auf eine IPv4-Anwendung zugreifen zu können. Dadurch werden IPv4-Verbindungen langsamer.
IPv6 komplett zu vermeiden, ist mittelfristig ein Rezept für eine Katastrophe. IPv6 muss nicht sofort implementiert werden, aber die unvermeidliche weltweite Umstellung auf IPv6 zu ignorieren, schadet dem Unternehmen. Einige Unternehmen finden eine Vielzahl von Ausreden für IPv6, um ihre Untätigkeit zu rechtfertigen. Es ist grob fahrlässig, wenn eine IT-Abteilung, die seit 20 Jahren weiß, dass der weltweite Übergang zu IPv6 im Gange ist, absichtlich nichts unternimmt. Viele Unternehmen verkürzen absichtlich oder unabsichtlich den Zeitplan für die IPv6-Einführung und erschweren sich damit die Zukunft.
Unternehmen müssen komplett von IPv4 auf IPv6 umstellen
Viele Unternehmen verstehen nicht, warum sie sich überhaupt auf IPv6 einlassen, bevor sie sich direkt in die Arbeit stürzen. Wenn sie kein klares Ziel vor Augen haben, können sie keinen Weg zum Ziel festlegen. Das Fehlen eines konkreten Ziels kann zu einer Vielzahl von Projektfehlern, Nacharbeiten und vergeblichen Anstrengungen führen, die nicht zum Erfolg führen. Stattdessen wird empfohlen, zu Beginn eines IPv6-Projekts einen Business-Case zu erstellen. Damit werden die an der IPv6-Migration beteiligten Teams im Unternehmen auf die Ziele der IPv6-Einführung auszurichten, und trägt dazu bei, diejenigen Teile der Netzwerkumgebungen zu priorisieren, die den größten Nutzen aus IPv6 ziehen können.
Auch müssen die Unternehmen nicht komplett von IPv4 auf IPv6 umstellen. Dies ist ein häufiges Missverständnis in Bezug auf IPv6. In Wirklichkeit gibt es viele Methoden für einen reibungslosen Übergang von IPv4 zu IPv6. Über die Jahre hat die Internet Engineering Task Force (IETF) hat über die Jahre eine Reihe von Architekturen für den Übergang zu IPv6 entwickelt. Der Übergang kann schrittweise erfolgen und beginnt in der Regel mit einer Dual-Stack-Konfiguration, die oft gegenüber Tunneling bevorzugt wird.
In Wirklichkeit ist IPv6 keine Alles-oder-Nichts-Entscheidung. Unternehmen können IPv6 langsam und methodisch IPv6 für ihre mit dem Internet verbundenen Systeme über den Internet-Perimeter aktivieren und das Protokoll anschließend innerhalb ihrer Netzwerke einführen. Unternehmen sollten mit den Systemen und Anwendungen beginnen, die den größten Nutzen aus der Verwendung von IPv6 ziehen. Anschließend sollten sie IPv6 in der internen Kernnetzwerkinfrastruktur und anschließend die gemeinsam genutzten Dienste IPv6-fähig machen.
IPv6 nicht als langjähriges IT-Projekt behandeln
Einige Unternehmen versäumen es, die Planung und Einführung von IPv6 als mehrjähriges IPv6-Programm zu etablieren. Möglicherweise herrscht der Glaube vor, dass die Umstellung auf IPv6 ganz natürlich erfolgt, da die physische Hardware und Software jährlich aktualisiert wird. Das ist jedoch nicht der Fall, und leider erfordert IPv6 einen gewissen zusätzlichen Aufwand für die Planung und Umsetzung. Auch wenn viele IT-Geräte, Produkte, Systeme und Dienste IPv6-fähig sind, wird es nicht automatisch ohne administrative Maßnahmen aktiviert.
IPv6-Projekte scheitern in der Regel zu 100 Prozent, wenn ihnen die Unterstützung durch die Unternehmensführung fehlt. In einem solchen Fall erhalten die IT-Teams keine Unterstützung für die Planung und Umsetzung. Den Teams wird keine Zeit für die Arbeit an IPv6 eingeräumt, und andere Prioritäten treten an ihre Stelle.
Bei Google begann die IPv6-Einführung als „20-Prozent-Projekt“, bei dem die Mitarbeiter in ihrer „Freizeit” an IPv6 arbeiten konnten. Es ist verständlich, dass Unternehmen nicht wollen , dass die IT-Mitarbeiter (oder auch nur ein Teil der Teams) einen Großteil der Arbeitszeit für IPv6 aufwenden. Die IT-Teams haben viele andere konkurrierende Initiativen, an denen sie arbeiten. Wird den IT-Teams keine Zeit für die IPv6-Megration bereitgestellt, wird das Protokoll nicht wie von Zauberhand im Unternehmen integriert. Es muss ein gesunder Mittelweg gefunden werden, bei dem die Teams in einem gleichmäßigen Tempo an IPv6 arbeiten können, parallel zu anderen wichtigen IT-Projekten.
Die IPv6-Adressierung ist zu kompliziert
Wenn Menschen sich zum ersten Mal mit IPv6 beschäftigen, erkennen sie zuerst, dass IPv6-Adressen aus acht hexadezimalen Zeichen, die durch „:“ getrennt sind, dargestellt werden. Dies ist gegenüber der bisherigen bei IPv4 genutzten Dezimaldarstellung ungewohnt. Eine 128-Bit-Binär-IPv6-Adresse bzw. eine 8 Zeichen lange Adresse kann sich kein Mensch merken. In der Vergangenheit (als wir IPv4 noch nicht gewohnt waren) war die IPv4-Adressierung auch kompliziert. Man vergisst sehr schnell, wie viel Zeit man damit verbracht hat, Idas Pv4-Subnetting zu lernen, und wie mühsam es war, ständig Dezimalzahlen in Binärzahlen, /28 und /29 umzuwandeln. Der Versuch, sich eine Subnetzadresse, die erste nutzbare Adresse, die letzte verwendbaren Adresse und die Subnetz-Broadcast-Adresse zu merken, ist immer noch kompliziert. Die meisten Menschen können sich Binärzahlen nicht vorzustellen, sodass für diesen Vorgang oft ein Subnetzrechner erforderlich ist, der die Binärzahlen in Dezimalzahlen umzuwandelt.
Die zunehmende Fragmentierung des Adressraums, Adressüberschneidungen, Neuzuweisungen von Adressen und mehrere NAT-Schichten erhöhen den Betriebsaufwand. All diese Probleme im Zusammenhang mit den begrenzten IPv4-Adressen erhöht die Betriebskosten für die Nutzung von IPv4.
In Wirklichkeit ist die IPv6-Adressierung viel einfacher. Jede Hexadezimalziffer hat eine bestimmte Bedeutung im Adressplan. IPv6 verwendet einige Standard-Präfixlängen (z. B. /32, /48, /64), die die Verwendung die Arbeit erheblich erleichtern.
Darüber hinaus nutzt man die IPv6-Adressen sehr selten. Stattdessen werden logische Namen aus den DNS-Systemen verwendet. Mit der Zeit, wenn sich die Menschen an IPv6 gewöhnt haben, werden sie erkennen, wie viel einfacher die Arbeit mit IPv6-Adressen ist.
IPv6 verwendet kein NAT, aber wir benötigen doch NAT für die Sicherheit
Viele IT-Mitarbeiter sind verwirrt und erkennen nicht, dass die Network Address Translation (NAT) -Funktion keine Sicherheitsmaßnahme ist. Das Verbergen der Kenntnis einer Quelladresse ist keinen nachhaltige Sicherheitsstrategie. Viele Menschen verwechseln NAT mit Stateful Packet Inspection, weil sie in der Regel auf demselben Gerät durchgeführt werden: dem Internet-Perimeter-Firewall.
Der RFC mit dem Titel „Local Network Protection for IPv6“ (RFC 4864) lässt sich über alle Vorteile von NAT aus, aber dokumentiert auch, dass NAT für IPv6-Netzwerke nicht erforderlich ist. Die zustandsorientierte Paketfilterung in Firewalls schützt interne Systeme, ermöglicht ausgehende Verbindungen und verhindert unerwünschte eingehende Verbindungen.
Trotzdem wird es NAT-Funktionalität für IPv6 in der Praxis geben, und sie ist bereits in vielen Herstellerprodukten implementiert ist. NAT für IPv6 wird immer dann genutzt, wenn es keine anderen Alternativen gibt, um IPv6 direkt im ursprünglich vorgesehenen Ende-zu-Ende-Modell des Internets zu verwenden.
IPv6 ist sicherer als IPv4.
Das ist nicht wahr. IPv6 und IPv4 verfügen über keine inhärente Sicherheit, die in die Protokolle selbst integriert ist. Die Sicherheit wird von IPv6 den unteren oder oberen Ebenen des Protokollstapels überlassen. Sicherheitsmaßnahmen wie Firewalls, Malware-Schutz, Anwendungsverschlüsselung, fallen nicht in den Zuständigkeitsbereich des Internetprotokolls (IP). Manche Menschen haben den Eindruck, dass IP-Sicherheit (IPsec) für alle IPv6-Kommunikationen vorgeschrieben. Dies würde bedeuten, dass IPsec zur Authentifizierung und jede Kommunikation zwischen jedem Client und Server verwendet werden müsste. Das ist in der Praxis als ein enormer Aufwand bewiesen und war nur schwer zu verwalten. Tatsächlich steht IPsec sowohl für IPv4 und als auch IPv6 zur Verfügung. Das Fehlen von NAT bei IPv6 bedeutet weniger Anonymität, aber es kann immer noch mit Hilfe von NAT für IPv6 in Kombination mit der Authentizität von IPv6-Adressen eine IPv4-ähnliche Sicherheit erreicht werden.
In vielen Fachartikeln wird darüber berichtet. wie man IPv6 deaktiviert. Dies ist jedoch der schlechteste Ratschlag, den man geben kann. Es ist schwierig, IPv6 vollständig von einem Dual-Protokoll-Host-Betriebssystem zu entfernen, bei dem IPv6 standardmäßig aktiviert ist. Hierzu müsste man den Betriebssystemkern neu kompilieren, ansonsten kann IPv6 niemals vollständig deaktiviert werden. Microsoft empfiehlt, IPv6 aktiviert zu lassen. Das Unternehmen hat bereits damit gedroht, seinen Kunden den technischen Support zu verweigern, wenn diese IPv6 absichtlich deaktivieren.
Stattdessen sollten die Unternehmen besser mit der IPv6-Aktivierung auf den Zugangsnetzen beginnen, bevor die gemeinsam genutzten Dienste, die diese Endknoten unterstützen, bereit sind. Beispielsweise gehört die DNS-Infrastruktur zu einem der ersten Dienste, die ein Unternehmen IPv6-fähig machen sollte. Dies ist ein Beispiel für einen kritischen gemeinsamen Dienst, der vor der IPv6-Aktivierung von Endbenutzer-Zugangsnetzen für IPv6 konfiguriert werden sollte.
Unternehmen sollten daher alle Dienste berücksichtigen, die für die Unterstützung mobiler Endgeräte unerlässlich sind, und frühzeitig im Projektplan die IPv6-Fähigkeit dieser Dienste einplanen. Dienste wie DNS, DHCP/DHCPv6, Single-Sign-On (SSO), Active-Directory, Zertifikate (CAs), Public-Key-Infrastructure (PKI), Desktop-Support, Patch-Management, Sicherheitsmaßnahmen und andere sollten vor den Endbenutzergeräten IPv6-fähig gemacht werden.
Wir brauchen keine IPv6-Schulungen
Ein weiterer Fehler zahlreicher IPv6-Projekte besteht darin, dass den IT-Teams, die mit der Implementierung beauftragt sind, keine IPv6-spezifischen Schulungen angeboten werden. In der Praxis hat sich erwiesen, dass sich der Betrieb von IPv6 fundamental von IPv4 unterscheidet. Nur durch ausreichende Ausbildung sind die IT-Teams in der Lage, fundierte Entscheidungen über die IPv6-Architektur und das Design zu treffen und können Fehler bei der IPv6-Adressierung vermeiden. Man muss die vielfach publizierten Best Practices für die IPv6-Konfiguration der jeweiligen Implementierung verstehen, denn Probleme bzw. Missverständnisse in diesem Bereich führen immer wieder zu Betriebsproblemen.
Einige Unternehmen verschanzen sich hinter dem Argument, dass es kein Budget für ein IPv6-Projekt hätte und daher auch kein Budget für Schulungen zu diesem Thema. Um die dünnen Schulungsbudgets eines Unternehmens optimal zu nutzen besteht die Taktik darin, eine erste IPv6-Schulung frühzeitig über kostenlose bzw. kostengünstige Schulungsangebote zu erhalten. Zu einem späteren Punkt im Zeitplan kann den Teams dann vertiefende praktische IPv6-Schulung bereitgestellt werden. Egal welches Trainingsbudget zur Verfügung steht, sollten Unternehmen einen IPv6-Schulungsplan erstellen. Es gilt: Je mehr IPv6-Wissen den IT-Teams vermittelt werden kann, desto produktiver werden alle nachfolgenden IPv6-Diskussionen und -Aktivitäten.
Von Mathias Hein, Consultant, Buchautor, Redakteur
