Das Internet bricht bald zusammen!" Diese düstere Prognose vernimmt man spätestens seit dem beginnenden Wandel des Internet vom akademischen Forschungsinstrument zum populären Kommerz- und Unterhaltungsmedium Mitte der neunziger Jahre immer wieder. Die vorgebrachte Begründung: Die vier Milliarden IP-Adressen, die im bisher gebräuchlichen IPv4-Protokoll zur Verfügung stehen, seien demnächst aufgebraucht. Spätestens 2005 sei es definitiv soweit, und das neue IP-Protokoll Version 6 müsse nun so schnell wie möglich auf breiter Ebene eingeführt werden.
Die regionalen IP-Registries (RIR), die für die Vergabe der Adressblöcke an lokale Registries (LIR) sowie direkt an grosse ISPs zuständig sind, sind anderer Meinung: Bei der weltweiten Registry-Zentrale IANA stünden von insgesamt 221/8-Adressblöcken (früher Class-A-Netze genannt) noch ganze 91 zur Verfügung, wie die für Europa, Afrika sowie den nahen und mittleren Osten zuständige Regional-Registry RIPE im "Internet Number Resource Status Report" vom vergangenen Oktober feststellt.
Seit 1999 wurden inklusive der Spitzenjahre 2000 und 2001 insgesamt unter 20 dieser Blöcke neu vergeben, von denen jeder 16'777'216 IP-Adressen umfasst. Daraus folgt, dass bei einigermassen gleichbleibendem Wachstum die 91 verbleibenden Blöcke noch längere Zeit reichen, jedenfalls dramatisch länger als die oft prognostizierte Zeit bis 2005.
Zum gleichen Schluss kommt der profilierte Internetexperte John Huston, unter anderem Mitglied des Internet Architecture Board IAB und Chefwissenschaftler beim australischen Provider Telstra, in seiner "ISP Column" vom Juli 2003. Seine ausgeklügelte Extrapolation rechnet sogar erst für die Zeit nach 2020 damit, dass keine IPv4-Adressen mehr frei sind.
Dazu kommt, dass in der Vergangenheit oft viel zu grosse Adressbereiche reserviert und in der Folge nur zu einem kleinen Teil wirklich benutzt wurden. Selbst in den schon vergebenen Adressbereichen ist demnach eine grosse Zahl von Adressen eigentlich noch frei - allerdings ist die Rückgabe ungenutzter Adressen an die Registries nicht ganz einfach.
Schwarzmalerei ist also fehl am Platz. Doch auch wenn in allernächster Zeit kein Zusammenbruch kommt, gibt es wenig Grund, sich sorglos zurückzulehnen: Der Adressbedarf könnte künftig sowohl wegen neuer Internetanwendungen als auch durch neue Internetanwenderschichten durchaus explosionsartig steigen.
In den Anfängen beschränkte sich die öffentliche Internetnutzung auf E-Mail und Web-Zugang. Nun kommen immer mehr Internet-basierte End-to-End-Kommunikationsanwendungen hinzu, die auf eine dedizierte, statische Adresse auf beiden Seiten angewiesen sind oder zumindest davon profitieren. Dazu gehören Peer-to-Peer-Applikationen wie Instant Messaging, Voice over IP und Groupware, aber auch mobile Kommunikationsgeräte wie UMTS-Handys, Mikrowellenöfen und Kühlschränke mit Internetanschluss sowie das vielbeschworene vernetzte Auto, das laut Industrievertretern bis zu vierzig Adressen belegt - pro Fahrzeug, versteht sich.
Auch wer nur die konventionelle Internetnutzung betrachtet, sollte sich nicht auf das eigene Gärtchen beschränken: Während in den USA und in Europa schon über 50 Prozent der Bevölkerung Zugriff aufs Internet haben, warten im Fernen Osten äusserst bevölkerungsreiche Märkte auf den breitflächigen Anschluss - in China sind beispielsweise erst 4 Prozent der immerhin über 1,2 Milliarden Einwohner online. Es steht also für die kommenden Jahre ein immenser Mehrbedarf ins Haus. Darüber hinaus liegt die bisherige IP-Zuteilung geografisch ziemlich schief: Rund zwei Drittel der Adressen gehören derzeit den USA. In diversen Ländern des Fernen Ostens sind IPv4-Adressen schon heute Mangelware.
Einer der Hauptgründe dafür, dass in unseren Breitengraden bis jetzt kaum etwas von einer Adressknappheit zu spüren ist: Ein grossteil der firmeninternen Netze arbeitet mit Network Address Translation (NAT). Auch jeder Privatanwender, der mehr als einen Computer betreibt, kennt das Prinzip: Das eigene LAN wird hinter einer einzigen oder einigen wenigen öffentlichen IP-Adressen versteckt. Intern gelten private Adressen, die gegen aussen nicht sichtbar sind und demnach den öffentlichen Adressraum nicht tangieren. Die Übersetzung zwischen den internen und öffentlichen Adressen besorgt der Access Router oder ein separater NAT-Server.
Theoretisch lässt sich so ein ganzes Unternehmensnetz mit Tausenden von Geräten über eine einzige öffentliche Adresse bedienen. Das klingt erfreulich, aber NAT hat grosse technische Nachteile:
• NAT wurde eigentlich nur als Notlösung angesichts des drohenden Adressmangels entwickelt - es funktioniert, ist aber technisch unelegant und widerspricht der Grundidee des Internet als globales Netzwerk gleichberechtigter Knoten.
• Jede Anwendung und jeder Dienst, der auf eine Internetverbindung angewiesen ist, muss auf NAT-Verträglichkeit geprüft und allenfalls angepasst werden.
• Die Übersetzung zwischen internen und externen Adressen beansprucht Rechenleistung im Router und kann zu Leistungseinbussen in der Verbindung führen.
• Jede End-zu-End-Verbindung, die hinter einem NAT-Router endet, muss explizit konfiguriert werden. Das ist oft kompliziert und verwirrend - das InfoWeek-Online-Forum spricht diesbezüglich Bände.
• Der NAT-Router oder -Server ist ein Single Point of Failure: Beim Ausfall ist das ganze Netz vom Internet getrennt, und auch die interne Kommunikation wird gestört.
• Oft wird die Trennung zwischen LAN und Internet als Sicherheitsvorteil gewertet. Das Security-Plus ist allerdings mit den bereits erwähnten Nachteilen zu bezahlen.
Das neue IP-Protokoll Version 6 ist seit 1998 einsatzbereit und bietet neben einem um Dimensionen grösseren Adressraum verschiedene weitere Vorteile wie die automatische Konfiguration, die DHCP teilweise überflüssig macht, integrierte Quality-of-Service-Mechanismen sowie eine spürbare Entlastung von Routern und anderen aktiven Netzwerkkomponenten dank der wesentlich einfacher aufgebauten Paket-Header - Details siehe Kasten. Trotz einer beträchtlichen Anfangsinvestition hilft IPv6 demnach, langfristig Kosten zu sparen.
Nicht nur die Entwickler sowie einige vehemente Verfechter der neuen IP-Version sind sich einig, dass kein Weg an IPv6 vorbeiführt: Über kurz oder lang werden die v4-Adressen wirklich knapp, und die Komplexität der NAT-Konfiguration eines grossen Firmen-LANs mit vielen auf End-to-End-Anwendungen angewiesenen Benutzern wird irgendwann den Aufwand für die IPv6-Umstellung übertreffen.
Doch trotz eindeutigen Vorteilen ist IPv6 heute nur in Testumgebungen und Forschungsnetzen zu finden. Die breite Masse der Anwender sieht bis dato aus verschiedenen, mehr oder weniger berechtigten Gründen keinen Anlass für die Umstellung:
• Im Moment stehen noch genügend IPv4-Adressen bereit: Das stimmt, aber wirklich nur für den Moment. Da die Adressen garantiert irgendwann knapp werden und die IT-Beschaffungszyklen typischerweise mindestens vier Jahre betragen, sollte zumindest bei Neuanschaffungen bereits jetzt auf IPv6-Unterstützung geachtet werden - so lassen sich Zusatzinvestitionen zum Zeitpunkt der Umstellung vermeiden.
• Engpässe lösen wir mit NAT: Möglich, aber je komplexer das LAN, desto aufwendiger die Konfiguration. Auf Direktverbindung zwischen den beteiligten Endgeräten angewiesene Applikationen erleiden durch den NAT-Übersetzungsaufwand Leistungseinbussen.
• Ein NAT-abgeschirmtes Netz bietet von sich aus eine gewisse Grundsicherheit: Die interne LAN-Struktur kann von aussen nicht eingesehen werden, und Hackerangriffe auf einzelne Rechner sind nicht möglich: Prinzipiell korrekt - aber die Abschottung des internen Netzes ist nur ein Nebeneffekt von NAT, und kein vernünftiges Unternehmen wird sich ausschliesslich darauf verlassen. Eine gut konfigurierte Firewall ist in den meisten Szenarien ohnehin unabdingbar. Sicherheitsfunktionen gehören zudem auch konzeptuell nicht in den Router, sondern in die Firewall.
• Statt als Erste umzustellen, warten wir die Fehler der Early Adopter ab: Korrekt, aber als einer der ersten Anwender einer neuen Technologie hat man stets auch einen Wettbewerbsvorteil und kann früh Know-how sammeln, das sich später als nützlich erweist und allenfalls in bare Münze umwandeln lässt.
• Die Betriebssysteme unterstützen IPv6 noch unvollständig: Sämtliche aktuellen Windows-Versionen können mit IPv6-Support ergänzt werden; die meisten anderen Betriebssysteme bieten bereits integrierte Unterstützung. Damit ist es möglich, die Umstellung so durchzuführen, ohne dass jeder Client mit einem neuen Betriebssystem ausgerüstet werden muss - im Idealfall merkt der Benutzer gar nichts davon.
• IPv6-fähiges Equipment ist noch teuer und selten: Die derzeitigen Preisunterschiede werden mit der Zeit verschwinden. Die weitverbreiteten Cisco-Router unterstützen IPv6 ab der IOS-Version 12.3, die in den meisten Modellen mit genügend Flash- und Arbeitsspeicher eingesetzt werden kann. Bereits heute bieten andere Hersteller wie Juniper (Betriebssystem Junos, Router der T- und M-Serie) ebenfalls IPv6-fähige Geräte an.
• Die Umstellung bringt Kosten und Arbeitsaufwand: Stimmt, aber danach hat man ein zukunftsfähiges Netzwerk auf dem neuesten Stand. Viele grössere LANs sind organisch gewachsen und funktionieren als Ganzes nur dank zahlreicher Tricks und Workarounds; eine IPv6-Umstellung bringt auch die Gelegenheit, das Netz von Altlasten zu entrümpeln.
• Während der Transition ist die Stabilität des LAN gefährdet: Bei sorgfältiger Planung lassen sich Probleme weitgehend vermeiden.
• Nur wenige ISPs bieten überhaupt IPv6-Verbindungen an: Korrekt, in der Schweiz sind es bisher vor allem kleinere Provider, oft aufgrund eines expliziten Kundenwunsches. Derzeit gibt es IPv6-Connectivity bei Cyberlink, Dolphins Networks (Mitglied der Schweizer IPv6-Taskforce) und Solnet. Grössere Anbieter wie Sunrise haben noch keine konkreten Angebote (Zitat Sunrise-Website: "...IETF hat den neuen Standard IPv6 ausgearbeitet, der bis 2005 eingeführt werden soll").
In einer Diplomarbeit an der Zürcher Hochschule Winterthur ZHW haben sich die beiden Informatiker Henrik Deecke und Chris Berger im Oktober 2003 eingehend mit den technischen und betriebwirtschaftlichen Aspekten der Transition von IPv4 nach IPv6 beschäftigt.
Die Autoren haben die organisatorischen Voraussetzungen und Konsequenzen der IPv6-Transition für ISPs, Firmen, Privatanwender sowie die öffentliche Hand untersucht und kommen im Hinblick auf Firmennetzwerke zu folgenden Schlüssen:
• Unternehmen, die Geschäftskontakte zum asiatischen Raum unterhalten, Zweigstellen in Asien betreiben oder eine Fusion mit einem asiatischen Konzern als Möglichkeit ins Auge fassen, müssen sich wesentlich früher als andere Firmen um das Thema IPv6 kümmern. Früher oder später wird aber jede Firma mit einer IT-Infrastruktur, die mehr als ein paar PCs umfasst, sowohl mit IPv4 als auch mit IPv6 konfrontiert werden. Eine klar durchdachte Einkaufsplanung, die die Transition schon berücksichtigt, ist darum unerlässlich.
• Nicht nur die Hardware ist betroffen, auch die Software und hier vor allem die nach wie vor sehr verbreiteten hausintern entwickelten Systeme müssen vor der Umstellung IPv6-tauglich gemacht werden. Dies erfolgt mit Vorteil im Rahmen einer Softwareanpassung, wie sie ohnehin immer wieder nötig ist.
• IPv6-Know-how wird innerhalb des Unternehmens ausschliesslich beim betroffenen IT-Personal benötigt, das möglichst früh entsprechend ausgebildet werden sollte. Die Schulung umfasst den Umgang mit allfällig neu angeschafftem IPv6-tauglichem Equipment, aber auch Konfiguration und Betrieb neuer Möglichkeiten wie End-to-End-Dienste und Quality-of-Service sowie ganz besonders die Sicherheitsaspekte.
• Es ist natürlich möglich, die Umstellung erst dann, wenn sie unabdingbar wird, in einer gut vorbereiteten Par-Force-Aktion in einem Zug zu erledigen. Ein solches Vorgehen unter zeitlichem und wirtschaftlichem Druck bezahlt man aber mit drastisch höheren Kosten. In den meisten Fällen wird man deshalb das Verhalten und die Fallstricke des neuen Protokolls zuerst anhand einer Testumgebung prüfen und eine gewisse Zeit lang, allenfalls in verschiedenen Teilbereichen des LAN, beide Protokolle betreiben. Technisch lässt sich dies mit drei verschiedenen Methoden lösen: Tunneling (UIPv6-Pakete werden zur Übermittlung übers herkömmliche IPv4-Internet in IPv4-Pakete eingebunden und am Ziel wieder entpackt), Dual-Stack-Betrieb (die betroffenen Geräte können je nach Bedarf mit beiden Protokollen umgehen) und Protokollübersetzung (ein Router mit Zusatzsoftware übersetzt Adressen zwischen den zwei Protokollen). Die zitierte Diplomarbeit gibt einen ausführlichen Überblick über die verschiedenen Tunneling-, Dual-Stack- und Translation-Methoden.
• Der ideale Zeitpunkt für die Umstellung hängt von mehreren Faktoren ab. Zu diesen gehören das aktuelle Alter der IT-Infrastruktur, die Geschäftskontakte mit Asien sowie insbesondere der bestehende NAT-Einsatz: Je mehr Probleme mit NAT bestehen, desto eher lohnt sich die Umstellung. Ohne NAT dagegen spart man mit IPv6 praktisch nichts. Das Fazit von Deecke/Berger: "Falls ein Unternehmen nicht triftige Gründe für den Umstieg hat, sollte es noch einige Zeit mit der Transition warten. Die IT-Strategie sollte aber trotzdem angepasst werden; bei einem anstehenden Neukauf eines Geräts oder einer Softwareänderung muss schon jetzt auf IPv6-Unterstützung geachtet werden."
Ein ganz kleines Unternehmen, das heute typischerweise über einen simplen ADSL-, Cable- oder SDSL-Router am Internet hängt, intern ausschliesslich NAT nutzt und für Adressvergabe auf DHCP setzt, muss ohnehin warten, bis der Internet-Provider IPv6 anbietet und IPv6-fähige Access Router zu KMU-freundlichen Preisen auf den Markt kommen, eventuell gleich mit integrierter Firewall. Es ist zu erwarten, dass solche Geräte dann dank des IPv6-eigenen Autokonfigurationsmechanismus ebenso unkompliziert zu installieren sind wie die aktuellen Boxen für den SOHO-Markt.
Das neue Internet-Protokoll, anfänglich IPnG (next Generation) genannt und heute unter der Bezeichnung IPv6 geläufig, wurde mit vier Hauptzielen entwickelt: mehr Adressen, verbesserte Sicherheit, verbesserte Unterstützung für Multimedia- und Echtzeit-Anwendungen und vereinfachtes Management.
Im Vergleich zum IPv4-Header mit 13 Feldern kommt IPv6 mit 8 Header-Feldern aus. Unter anderem fällt die Checksumme weg. Der Router wird dadurch massgeblich entlastet; bei IPv4 muss ja für jedes Paket in jedem beteiligten Router die Checksumme ermittelt und geprüft werden.
Mit dem 128 Bit grossen Adressfeld bietet IPv6 insgesamt 2 hoch 128 eindeutige IP-Adressen, die neu in Form von hexadezimalen 4-Byte-Zeichenfolgen dargestellt werden. Der IPv6-Adressraum bietet genügend Kapazität, um jeden Quadratmikrometer der Erdoberfläche mit 5000 IP-Adressen auszustatten - im Vergleich dazu kommen einem die insgesamt 4 Milliarden 32-Bit-Adressen der bisherigen IP-Version geradezu spartanisch vor.
Wie bei IPv4 gibt es auch im neuen Protokoll Adressbereiche mit Sonderstatus, erkennbar an den ersten paar Bytes der Adresse. So dürfen beispielsweise Adressen, die mit fe80 bis febf beginnen, nicht geroutet werden und lassen sich somit nur im lokalen Subnetz einsetzen - vergleichbar mit den "192.168"-Adressen von IPv4.
Punkto Security legt IPv6 mit integrierter IPSec-Unterstützung zu: Dieses heute gängigste Sicherheitsprotokoll wurde ursprünglich im Zug der IPv6-Definition entwickelt, lässt sich aber mit zusätzlicher Software bereits unter IPv4 nutzen.
Auch Quality-of-Service-Mechanismen gibt es schon in IPv4-Netzen. Im Gegensatz zu den bestehenden QoS-Lösungen ist die Kategorisierung und Priorisierung von Datenpaketen verschiedener Klassen in IPv6 über die Felder "Class" und "Flow-Label" im Paket-Header von Haus aus integriert. Die detaillierte QoS-Spezifikation ist aber noch in Entwicklung; das Feature kann heute noch nicht "out of the box" genutzt werden.
Mit der Autokonfiguration bietet IPv6 einen Mechanismus zur automatischen Vergabe von Client-Adressen, und zwar wahlweise mit oder ohne DHCP-Server: Die Adressen können manuell, automatisch ohne DHCP oder automatisch in zwei Stufen vergeben werden.
Das zweistufige Verfahren bietet die höchste Flexibilität: Der Client erhält als erstes per IPv6-Autokonfiguration eine lokale Adresse, mit der er sich sodann via Router vom DHCPv6-Server die "richtige" Adresse inklusive aller Einstellungen besorgen kann - auf diese Weise erübrigt sich das Vorkonfigurieren von Routern und Clients. Dennoch lassen sich Detaileinstellungen und gewünschte Adressbereiche zentral über den DHCP-Server verwalten. Mit reiner Autokonfiguration dagegen hat der Administrator überhaupt keine Kontrolle über die Adressvergabe, und trotzdem müssen die Router vorkonfiguriert werden.
Detaillierte Informationen über das IPv6-Protokoll sind unter anderem auf den folgenden Websites zu finden: www.ipv6.org (offizielle IPv6-Infopage), www.ch.ipv6tf.org (Schweizer IPv6-Taskforce), www.6bone.net (Homepage des IPv6-Testnetzes 6Bone), http://de.wikipedia.org/wiki/IPv6 (gute IPv6-Infos in Deutsch).
