IPv6

Einleitung

An dieser Stelle informieren die Informatikdienste sporadisch über die Entwicklung im Bereich IPv6 an der UZH.
Die Seite richtet sich hauptsächlich an IT-Fachleute, welche mit Begriffen aus der Netzwerktechnik einigermassen vertraut sind.

Überlegungen zu IPv6 an der UZH

  1. IPv6 löst vorerst keine Adressierungsprobleme.
    Solange nicht jeder zu erreichende Host im Internet über eine IPv6-Adresse verfügt, muss er mit IPv4 erreichbar bleiben. Auf unserer Seite muss also jeder Rechner weiterhin eine öffentliche IPv4-Adresse haben. Möglich wäre eine 6-to-4-Umsetzung, wobei diese technisch aufwändig ist, eine 1:1-Umsetzung keinen Sinn macht und eine Umseztung n:1 oder n:pool die gleichen Probleme wie bei NAT unter IPv4 mit sich bringt.
  2. IPv6 erhöht die Komplexität.
    Zwei Protokolle laufen parallel. Firewallregeln und Access-Lists müssen doppelt vorhanden sein. Fehleranfälligkeit und Angreifbarkeit verdoppeln sich. Fehlersuche wird ebenfalls doppelt aufwändig.
  3. Keine Rückschritte wegen IPv6!
    IPv4 ist eine heute ausgereifte Technologie. Verfügbarkeit und Security sind hoch. Wenn man IPv6 einführt, muss das auf dem gleichen Qualitätsniveau wie IPv4 geschehen. Kunden, die «nur» IPv4 nutzen, dürfen dadurch auf keine Weise beeinträchtigt werden. Die IT-Security darf auf keinen Fall beeinträchtigt werden.
  4. Die Hardware ist erst teilweise so weit.
    Heute ist IPv6 in den Switches und Routern von Cisco Systems einigermassen gut, aber noch lange nicht so gut wie IPv4 implementiert. Es zeigen sich immer noch häufiger Bugs unter IPv6. Oft lässt auch die Performance zu wünschen übrig, weil einzelne Features erst in Software, aber nicht in Hardware implementiert sind. Der Teufel liegt hier im Detail. Unsere neuen Firewalls unterstützen IPv6, allerdings müsste für gleiche Performance erst eine HW-Aufrüstung erfolgen. Unsere Loadbalancer unterstützen zur Zeit IPv6 noch nicht. Es werden neue Systeme evaluiert, welche natürlich auch IPv6 unterstützen müssen.
  5. Die Software hinkt hintennach.
    Unsere Netz-Management-Tools, seien es selbst entwickelte oder von extern beschaffte, unterstützen IPv6 inhaltlich noch nicht. So ist z.B. das ganze Firewall-Management nur für IPv4 entwickelt worden. Unsere Tools, welche die IP-Adressen und MAC-Adressen sammeln und den Switchports zuordnen, machen das nur für IPv4. In diesem Bereich sind intern und extern noch grosse Aufwendungen notwendig, um die gleichen Funktionen und die gleiche Transparenz unter IPv6 wie unter IPv4 zu erreichen.
  6. Die Host-Adressierung ist ungelöst.
    IPv6 verwendet standardmässig eine automatische Adressierung, bei welcher der Router ein Präfix vorgibt und ausstrahlt (Router-Advertisement, RA) und der Host seinen Teil dazu gibt (Autokonfiguration/SLAAC). Ursprünglich war dieser Host-Teil aus seiner MAC-Adresse ableitbar, aber inzwischen wurde aus Privacy-Gründen von den OS-Herstellern ein System eingeführt, bei welchem der Host eine temporäre, nicht nachvollziehbare Adresse benutzt, ohne dass das irgendwie zentral erfasst werden könnte. Somit sind IP-Adressen nicht mehr eindeutig dem Host zuteilbar, was für die IT-Security nicht in Frage kommt. Alternativen sind statische Adressierung, was aber mit den langen Adressen für die Host-Betreiber mühsam und fehleranfällig ist und einen der Vorteile von IPv6 zunichte macht, oder DHCPv6. Letzteres ist dann ein gangbarer Weg, wenn es mit allen Host-OS richtig funktioniert und verhindert werden kann, dass Clients daneben sich automatisch via RA adressieren. Diese Probleme sind ungelöst und ein massgeblicher Grund, warum IPv6 in einem offenen, heterogenen Unternehmens-Netz, wie wir es an der UZH vorfinden, nicht einfach so eingeführt werden kann.
  7. Es besteht kein dringender Handlungsbedarf.
    IPv6 ist heute klar noch kein Muss, sondern ein "Nice to have". Alle Hosts sind via IPv4 erreichbar. Die vorhandenen Ressourcen müssen für die jeweils dringendsten Aufgaben eingesetzt werden. IPv6 gehört definitiv noch nicht dazu. Das heisst nicht, dass man IPv6 nicht ernst nehmen oder ablehnen sollte. Es ist sinnvoll, sich beiläufig damit zu beschäftigen und allmählich die Voraussetzungen dafür zu schaffen. Gleichzeitig arbeitet auch das Umfeld an Verbesserungen, so dass die Einführung bis zu einem gewissen Punkt je später je leichter gehen wird. Ein Kraftakt ist nicht angezeigt.

Schlussfolgerungen

Aus diesen Gründen verfolgen die Informatikdienste die Entwicklung im Bereich IPv6, sprechen mit Vertretern der Informatikdienste anderer Hochschulen und SWITCH darüber, besuchen Kurse, unternehmen Versuche in experimentellen Umgebungen und achten bei Neubeschaffungen und grösseren Umstellungen darauf, dass IPv6 unterstützt wird.
Eine reguläre Einführung in den produktiven Institutsnetzen ist heute jedoch unter den gegebenen Umständen nicht möglich.

Testumgebungen

  • Institutsnetz
    Grundsätzlich ist das Institutsnetz, welches ja aus einem virtuellen Ethernet (VLAN) besteht, fähig, IPv6-Pakete zu übertragen. Es fehlt aber ein Router, der IPv6-Pakete zum Rest des universitären Netzes und dem Internet überträgt. Da auch ein IPv6-Router notwendig ist, um Router-Advertisements mit dem global gültigen Adress-Präfix an die Hosts zu senden, erhalten diese kein solches. Die lokale Kommunikation zwischen zwei Rechnern über IPv6 ist dennoch prinzipiell möglich, entweder über eine manuelle Adressierung oder die link local-Adressierung. Auch ein DHCPv6-Server auf einem Host wäre denkbar.
    Damit könnten lokal mit Ausnahme der Autokonfiguration einige Funktionen von IPv6 ausprobiert werden. Allerdings ist dabei zu beachten, dass ein mit aktiviertem IPv6-Stack betriebener Rechner keine IPv6-Defaulroute haben darf, ansonsten er vergebliche, weil unmögliche Verbindungsversuche Richtung Internet unternimmt, wenn er bei DNS-Namensauflösungen neben IPv4- auch IPv6-Adressen zur Antwort erhält. Solche vergeblichen Verbindungsversuche führen zu langen Timeouts, welche den Rechner für die Internetnutzung unbrauchbar machen. Deshalb besteht die Empfehlung, in einem reinen IPv4-Umfeld den IPv6-Stack generell zu deaktivieren - ausser man will eben bewusste Versuche fahren.
  • SixXS
    IT-Fachleuten, welche selber konkrete Erfahrungen mit IPv6 sammeln wollen, sei der Weg über SixXS empfohlen. Das lässt sich bei entsprechender Einarbeitung im Heimnetz gut einrichten (wobei SixXS strenge Regeln aufstellt, an welche man sich ausnahmslos halten muss, um zum Ziel zu kommen). An der UZH ist die Einrichtung einer solchen Verbindung hingegen nicht gestattet, weil es sich um einen im Internet gerouteten Tunnel handelt, welcher gemäss REIM § 10 Abs. 3 untersagt ist.
    Dabei ist in Erinnerung zu halten, dass Lösungen, welche in einem privaten, leicht überblickbaren Umfeld funktionieren, nicht ohne weiteres in ein grösseres Unternehmensnetz übertragen werden können.
  • Forschungsumgebung
    Einzige Ausnahme, bei welcher heute ein Institut mit einer IPv6-Verbindung zum Internet versorgt wird, ist die IPv6-Forschungsumgebung des Instituts für Informatik mit entsprechender akademischer Legitimation. Es handelt sich hierbei um eine dedizierte IPv6-Zuleitung, welche vollständig vom produktiven Netz getrennt ist. Die Forschungsumgebung basiert auf eigener, durch das Institut beschaffter Hardware.