IPv6 über IPv4-Provider-Zugänge
IPv6-Tunneltechniken im Vergleich
Die Umstellung des Internets auf das neue Protokoll IPv6 erfolgt parallel zur bestehenden IPv4-Infrastruktur. Bis überall native IPv6-Internet-Zugänge verfügbar sind, wird es noch länger dauern. Verschiedene IPv6-Tunneltechniken ermöglichen zwischenzeitlich IPv6-Verbindungen vom Unternehmens-Router über bestehende IPv4-Provider-Zugänge. Der Beitrag stellt drei relevante Tunnelvarianten vor und erklärt die für Einsatzszenarien wichtigen Unterschiede.Schon seit Jahren heißt es, dass das neue Internet-Protokoll IPv6 "in Kürze nutzbar" sein werde, allerdings kam es nie zu einem offiziellen weltweiten Einführungstermin. Der Grund ist einfach: Das Internet lässt sich wegen seiner Komplexität nicht an einem bestimmten "Tag X" von IPv4 auf die neue Adressverwaltung umstellen. Jedoch bestehen schon heute, speziell in Asien, erhebliche Kapazitätsengpässe bei den herkömmlichen IPv4-Adressen. Die Einführung von IPv6 erfolgt daher parallel zum existierenden IPv4 und zunächst ergänzend. Native IPv6-Internet-Zugänge werden hierzulande noch lange nicht die Regel sein. Bis dahin können Unternehmen IPv6 über verschiedene Tunneltechniken nutzen, um den bestehenden IPv4-Internet-Zugang ihres Providers zu "überbrücken".
Dieser Beitrag stellt drei wesentliche Methoden gegenüber, die Router mit IPv6-Unterstützung verwenden können, um den Zugang zum IPv6-Internet über eine bestehende IPv4-Internet-Verbindung bereitzustellen. Es handelt sich dabei um die Tunneltechniken "6to4", "6in4" und "6rd". Weitere Protokolle wie "Teredo" finden hier keine Berücksichtigung, da sie für Clients konzipiert sind. Die einzelnen Tunnelprotokolle setzen voraus, dass das lokale Netz IPv6 entweder nativ oder gleichzeitig IPv4 und IPv6 ("Dual Stack") unterstützt.
Details zum IPv6-Protokoll, die den Rahmen dieses Beitrags sprengen würden, finden sich beispielweise im deutschen Wikipedia (de.wikipedia.org/wiki/IPv6). Dort ist auch eine Reihe für IPv6 grundlegender RFCs ("Requests for Comments") der Standardisierungsorganisation IETF (Internet Engineering Task Force, www.ietf.org) verlinkt. Der wesentliche Aspekt von IPv6 ist, dass dessen Adressen mit einer Länge von 128 Bit viermal so lang sind wie IPv4-Adressen. So wird IPv6 einer fast unbegrenzten Zahl von Geräten den Zugang zum Internet ermöglichen. Mit IPv6 können künftig alle Endgeräte eine eindeutige, öffentliche IP-Adresse erhalten. Bisherige Verfahren wie NAT (Network Address Translation), um öffentliche IP-Adressen zu "sparen", sind damit überflüssig.
6to4-Tunnel
Bei einem 6to4-Tunnel handelt es sich um einen dynamischen Tunnel, der zwischen dem lokalen Router und einem regionalen 6to4-Relay aufgebaut wird. Das 6to4-Relay ist in der Regel unter der Anycast-Adresse 192.88.99.1 zu erreichen. Allerdings gibt es sehr viele Relays, und der Anwender hat keinen Einfluss darauf, welches Relay genau angesprochen wird, da sich dies bei jeder Verbindung entscheidet. Das Präfix der IPv6-Adresse einer solchen Verbindung setzt sich aus dem Präfix für 6to4 sowie der hexadezimal umgewandelten IPv4-Adresse zusammen. So wird beispielsweis ein Router mit der IPv4-Adresse 80.25.211.2 das Präfix "2002:5019:d302::/48" erhalten (6to4-Präfix 2002::/16 und IPv4-Adresse 5019:d302).
Wenn ein Zugriff über IPv6 erfolgen soll, versendet der Client im LAN seine Anfrage als IPv6-Paket. Der lokale Router bettet dieses in ein IPv4-Paket ein (Packet Encapsulation) und sendet es an das IPv6-Relay. Letzteres extrahiert das IPv6-Paket und leitet es weiter. Die Antwort der Empfängerseite nimmt dieses Relay ebenfalls entgegen, kapselt es entsprechend in IPv4 und schickt es an den Unternehmens-Router, der das IPv6-Paket dann extrahiert und an den Client weiterleitet (Bild 1). 6to4 bietet mehrere Vorteile gegenüber anderen Methoden. Zum einen ist der geringe Konfigurationsaufwand zu erwähnen, da keine statischen Tunnel zu konfigurieren sind und das 6to4-Relay automatisch ausgewählt wird. Zum anderen behandelt das Betriebssystem des Clients IPv4 bevorzugt, sofern das Ziel sowohl IPv4 als auch IPv6 anbietet, sodass etwaige Probleme des 6to4-Relays nicht die Kommunikation beeinträchtigen können.
Allerdings besitzt 6to4 auch einige Nachteile, die auf der dynamischen Auswahl des 6to4-Relays basieren. Da es nicht möglich ist, ein spezifisches 6to4-Relay anzusprechen, stellt dies natürlich ein Sicherheitsrisiko dar, weil weder der Standort noch der Betreiber des Relays bekannt sind. So ist prinzipiell nicht auszuschließen, dass der Betreiber des Relays die Daten mitschneidet oder gar manipuliert. Einen weiteren Nachteil stellt die Stabilität der Verbindung dar, da nicht sichergestellt ist, dass zu allen 6to4-Relays im Internet die notwendigen Routen existieren. So kann eine Verbindungsaufnahme trotz bestehendem Tunnel scheitern.
Daher sollten - wenn überhaupt - allenfalls Privatanwender ein 6to4-Tunnel nutzen. Der professionelle Einsatz ist jedoch aufgrund der nicht zu gewährleistenden Erreichbarkeit und der angesprochenen Sicherheitsthematik nicht zu empfehlen.
6in4-Tunnel
Die Methode "6in4" kommt zum Einsatz, um Verbindungen zwischen zwei Routern, zwei Hosts oder von Host zu Router herzustellen. Auf diese Weise ist es möglich, zwei IPv6-Netzwerke über ein IPv4-Netzwerk zu verbinden. Bild 2 zeigt einen statischen 6in4-Tunnel zwischen dem lokalen Router und dem 6in4-Relay eines so genannten Tunnel-Brokers wie etwa Hurricane Electric (www.tunnelbroker.net). Im Gegensatz zu 6to4 handelt es sich dabei stets um einen dedizierten, bekannten Dienst und Betreiber. Die Endpunkte des Tunnels sind festgelegt, und der Tunnel-Broker weist ein statisches Präfix zu.
Zu den Punkten, die für eine 6in4-Lösung sprechen, zählen sowohl die festen 6in4-Relays, als auch das Wissen um den jeweiligen Betreiber. Als weiterer Vorteil gilt, dass der Tunnel-Broker ein festes Präfix zuweist. Dieses bestimmt die Anzahl der möglichen Subnetze, die sich nutzen lassen. Ein 64-Bit-Präfix (zum Beispiel 2001:db8::/64) erlaubt das Nutzen eines einzigen Subnetzes. Bei einem 48-Bit-Präfix stehen dem Kunden sogar 16 Bit des 64-Bit-Präfixanteils zur Verfügung, womit sich bis zu 65.536 Subnetze reali-sieren lassen.
Der Nachteil der 6in4-Technik gegenüber 6to4 liegt im erhöhten Administrationsaufwand, da eine Anmeldung bei dem gewählten Tunnel-Broker erforderlich ist. Hinzu kommt die statische Konfiguration der Tunnelendpunkte. Somit sind im Fall einer dynamisch bezogenen IPv4-Adresse die Daten regelmäßig zu aktualisieren. Letzteres kann allerdings ein Router etwa mithilfe eines Skripts automatisch erledigen.
6rd-Tunnel
6rd ("Rapid Reployment") stellt eine Weiterentwicklung von 6to4 dar - die zugrunde liegende Funktionsweise ist jeweils identisch. Der Unterschied zwischen beiden Methoden besteht darin, dass in diesem Fall ein spezifisches Relay zum Einsatz kommt, das der eigenen Internet-Provider betreibt. Sicherheit und Stabilität - die beiden Probleme von 6to4 - sind auf diese Weise gelöst. Das Präfix wird bei 6rd entweder manuell konfiguriert oder über DHCP (IPv4) übermittelt, was den Konfigurationsaufwand am Endpunkt reduziert. Bild 3 zeigt eine schematische Darstellung eines 6rd-Szenarios. Der Provider weist dem Router ein Präfix (zum Beispiel 2001:db8::/32) zu, das dieser durch die umgerechnete IPv4-Adresse (32 Bit) ergänzt, woraus dann das IPv6-Präfix "2001:db8:5019:d302::/64" resultiert.
6rd erweist sich somit aus zwei Perspektiven als attraktiv: Zum einen ermöglicht es dem Provider, auf einfache Weise seinen Kunden das IPv6-Internet über ein zugrunde liegendes IPv4-Netzwerk zugänglich zu machen, und zum anderen vereinfacht es die Nutzung für die Anwender erheblich, da diese weder die Sicherheitsrisiken von 6to4 noch den Konfigurationsaufwand von 6in4 in Kauf nehmen müssen.
Lesen Sie mehr zum Thema
