Kapitel 4 Planen eines IPv6-Netzwerks (Aufgaben)

Die Bereitstellung von IPv6 in einem neuen oder einem vorhandenen Netzwerk erfordert einen erheblichen Planungsaufwand. In diesem Kapitel werden die zur Planung erforderlichen Schritte beschrieben. Diese Schritte sind notwendig, um IPv6 an Ihrem Standort zu konfigurieren. Bei vorhandenen Netzwerken sollte die Bereitstellung von IPv6 schrittweise vorgenommen werden. Die Themen in diesem Kapitel unterstützen Sie dabei, IPv6 phasenweise in ein anderweitig IPv4-basiertes Netzwerk einzuführen.

In diesem Kapitel werden folgende Themen behandelt:

• Planung der Einführung von IPv6 (Übersicht der Schritte)

• Szenario einer IPv6-Netzwerktopologie

• Vorbereiten eines bestehenden Netzwerks zur Unterstützung von IPv6

• Vorbereiten eines IPv6-Adressierungsplans

Eine Einführung in die Konzepte von IPv6 finden Sie in Kapitel 3Einführung in IPv6 (Überblick). Ausführliche Informationen zu IPv6 finden Sie in Kapitel 11IPv6 im Detail (Referenz).

Planung der Einführung von IPv6 (Übersicht der Schritte)

Führen Sie die in der folgenden Tabelle aufgeführten Aufgaben nacheinander durch, um die zur Einführung von IPv6 erforderlichen Planungsaufgaben erfolgreich abzuschließen.

In der folgenden Tabelle sind verschiedene Aufgaben beschrieben, die zum Konfigurieren des IPv6-Netzwerks erforderlich sind. Die Tabelle enthält Beschreibungen des Zwecks der einzelnen sowie die Abschnitte, in denen die Schritte zur Ausführung der einzelnen Aufgaben beschrieben sind.

Aufgabe	Beschreibung	Siehe
1. Vorbereiten Ihrer Hardware zur Unterstützung von IPv6.	Stellen Sie sicher, dass Ihre Hardware zur Unterstützung von IPv6 aufgerüstet werden kann.	Vorbereiten der Netzwerktopologie auf die Unterstützung von IPv6
2. Einen ISP beauftragen, der IPv6 unterstützt.	Stellen Sie sicher, dass Ihr aktueller ISP IPv6 unterstützt. Wenden Sie sich andernfalls an einen ISP, der IPv6 unterstützt. Sie können zwei ISP verwenden, einen für IPv6- und einen für IPv4-Kommunikationen.
3. Sicherstellen, dass Ihre Anwendungen IPv6-konform sind.	Überprüfen Sie, ob Ihre Anwendungen in einer IPv6-Umgebung ausgeführt werden können.	So bereiten Sie Netzwerkservices auf die Unterstützung von IPv6 vor
4. Beziehen eines Standortpräfix.	Beziehen Sie einen 48-Bit-Standortpräfix für Ihren Standort von Ihrem ISP oder dem nächsten RIR.	Beziehen eines Standortpräfix
5. Erstellen eines Teilnetz-Adressierungsplans.	Bevor Sie IPv6 auf den verschiedenen Knoten in Ihrem Netzwerk konfigurieren können, müssen Sie die allgemeine IPv6-Netzwerktopologie und das Adressierungsschema planen.	Erstellen eine Nummerierungsschemas für Teilnetze
6. Entwerfen eines Plans für die Nutzung von Tunneln.	Legen Sie fest, welche Router Tunnel zu anderen Teilnetzen oder externen Netzwerken ausführen sollen.	Planung für Tunnel in der Netzwerktopologie
7. Erstellen eines Adressierungsplans für Entitäten im Netzwerk.	Setzen Sie Ihren Plan zur Adressierung von Servern, Routern und Hosts vor der IPv6-Konfiguration um.	Erstellen eines IPv6-Adressierungsplans für Knoten
8. Entwickeln einer IPv6-Sicherheitsrichtlinie.	Berücksichtigen Sie bei der Entwicklung einer IPv6-Sicherheitsrichtlinie IP Filter, IP-Sicherheitsarchitektur (IPsec), Internet Key Exchange (IKE) und andere Oracle Solaris-Sicherheitsfunktionen.	Teil IV, IP-Sicherheit
9. (Optional) Einrichten einer DMZ.	Aus Sicherheitsgründen benötigen Sie einen Adressierungsplan für die DMZ und die darin enthaltenen Entitäten, bevor Sie IPv6 konfigurieren.	Sicherheitsbetrachtungen bei der Einführung von IPv6
10. Aktivieren der Knoten zur Unterstützung von IPv6.	Konfigurieren Sie IPv6 auf allen Routern und Hosts.	Konfiguration eines IPv6-Routers (Übersicht der Schritte)
11. Aktivieren der Netzwerkservices.	Stellen Sie sicher, dass bereits vorhandene Server IPv6 unterstützen können.	Aufgaben bei der Verwaltung von TCP/IP Netzwerken (Übersicht der Schritte)
12. Aktualisieren der Namen-Server zur Unterstützung von IPv6.	Stellen Sie sicher, dass die DNS-, NIS- und LDAP-Server mit den neuen IPv6-Adressen aktualisiert werden.	Konfiguration der Namen-Services-Unterstützung für IPv6

Szenario einer IPv6-Netzwerktopologie

Die Aufgaben in diesem Kapitel beschreiben die Planung zur Einführung von IPv6-Services in einem typischen Unternehmensnetzwerk. Die folgende Abbildung zeigt das in diesem Kapitel verwendete Netzwerk. Ihr geplantes IPv6-Netzwerk umfasst möglicherweise alle oder nur einige der Netzwerklinks, die in dieser Abbildung aufgeführt sind.

Abbildung 4–1 Szenario einer IPv6-Netzwerktopologie

Dieses Szenario eines Unternehmensnetzwerks besteht aus fünf Teilnetzen mit vorhandenen IPv4-Adressen. Die Links im Netzwerk tauschen Daten direkt mit den administrativen Teilnetzen aus. Die vier internen Netzwerke werden mit privaten IPv4-Adressen gemäß RFC 1918 gezeigt. Dies ist eine häufig verwendete Lösung bei einem Mangel an IPv4-Adressen. Das Adressierungsschema dieser internen Netzwerke ist:

• Teilnetz 1 ist das interne Netzwerk-Backbone 192.168.1 .

• Teilnetz 2 ist das interne Netzwerk 192.168.2 mit LDAP, sendmail und DNS-Servern.

• Teilnetz 3 ist das interne Netzwerk 192.168.3 mit den NFS-Servern des Netzwerks.

• Teilnetz 4 ist das interne Netzwerk 192.168.4, das bestimmte Hosts für die Angestellten des Unternehmens enthält.

Das externe, öffentliche Netzwerk 172.16.85 fungiert als DMZ des Unternehmens. Dieses Netzwerk enthält Webserver, anonyme FTP-Server und andere Ressourcen, die das Netzwerk zur Verfügung stellt. Router 2 führt eine Firewall aus und trennt das öffentliche Netzwerk 172.16.85 vom internen Backbone. Am anderen Ende der DMZ führt Router 1 eine Firewall aus und dient als Grenzserver des Unternehmensnetzwerks.

Die öffentliche DMZ in Abbildung 4–1 hat die private RFC 1918-Adresse 172.16.85. In der Realität muss die öffentliche DMZ eine registrierte IPv4-Adresse haben. Die meisten IPv4-Standorte verwenden eine Kombination aus öffentlichen Adressen und privaten RFC 1918-Adressen. Wenn Sie jedoch IPv6 einführen, ändert sich das Konzept der öffentlichen und der privaten Adressen. Da IPv6 über einen größeren Adressraum verfügt, werden die öffentlichen IPv6-Adressen für sowohl private als auch öffentliche Netzwerke verwendet.

Vorbereiten eines bestehenden Netzwerks zur Unterstützung von IPv6

---

Hinweis –

Das Dual-Stack-Protokoll von Oracle Solaris unterstützt gleichzeitig IPv4- und IPv6-Vorgänge. Während und nach dem Deployment von IPv6 in Ihrem Netzwerk können IPv4–bezogene Operationen weiterhin erfolgreich durchgeführt werden.

---

IPv6 fügt einem bestehenden Netzwerk neue Funktionen hinzu. Aus diesem Grund müssen Sie bei der ersten Einführung von IPv6 sicherstellen, dass Sie keine Vorgänge unterbrechen, die mit IPv4 ausgeführt werden. In den Themen in diesem Abschnitt wird beschrieben, wie Sie IPv6 schrittweise in ein bestehendes Netzwerk integrieren.

Vorbereiten der Netzwerktopologie auf die Unterstützung von IPv6

Der erste Schritt bei der Einführung von IPv6 besteht darin, festzustellen, ob die vorhandenen Entitäten in Ihrem Netzwerk IPv6 unterstützen. In den meisten Fällen kann die Netzwerktopologie – Kabel, Router und Hosts – nach der Einführung von IPv6 unverändert weiterverwendet werden. Eventuell müssen Sie jedoch vorhandene Hardware und Anwendungen für IPv6 vorbereiten, bevor Sie die IPv6-Adressen für die Netzwerkschnittstellen konfigurieren.

Überprüfen Sie, ob die Hardware in Ihrem Netzwerk auf IPv6 aufgerüstet werden kann. Lesen Sie beispielsweise die Dokumentation der Hersteller zur IPv6-Konformität der folgenden Hardwareklassen:

• Router

• Firewalls

• Server

• Switches

---

Hinweis –

Alle Vorgänge in diesem Teil gehen davon aus, dass Ihre Netzwerkausrüstung (insbesondere die Router) auf IPv6 aufgerüstet werden können.

---

Einige Router-Modelle können nicht auf IPv6 aufgerüstet werden. Weitere Informationen und eine Lösungsmöglichkeit finden Sie unter IPv4-Router kann nicht auf IPv6 aufgerüstet werden.

Vorbereiten der Netzwerkservices auf die Unterstützung von IPv6

Die folgenden typischen IPv6-Netzwerkservices in der aktuellen Oracle Solaris-Version sind IPv6-konform:

• sendmail

• NFS

• HTTP (Apache 2.x oder Orion)

• DNS

• LDAP

Der IMAP-Mailservice kann nur unter IPv4 ausgeführt werden.

Knoten, die für IPv6 konfiguriert wurden, können IPv4-Services ausführen. Wenn Sie IPv6 aktivieren, akzeptieren nicht alle Services IPv6-Verbindungen. Services, die zu IPv6 portiert wurden, akzeptieren eine Verbindung. Services, die nicht zu IPv6 portiert worden, arbeiten mit der IPv4-Hälfte des Protokollstapel weiter.

Nach dem Aufrüsten von Services auf IPv6 können eventuell Probleme auftreten. Ausführliche Informationen finden Sie unter Probleme beim Aufrüsten von Services auf IPv6.

Vorbereiten von Servern auf die Unterstützung von IPv6

Da Server als IPv6-Hosts betrachtet werden, werden ihre IPv6-Adressen vom Neighbor Discovery-Protokoll automatisch konfiguriert. Viele Server sind jedoch mit mehreren Netzwerkschnittstellenkarten (NICs) ausgestattet, die im Rahmen von Wartungs- oder Reparaturarbeiten ausgetauscht werden können. Wenn Sie eine NIC austauschen, erzeugt das Neighbor Discovery-Protokoll automatisch eine neue Schnittstellen-ID für diese NIC. Dieses Verhalten ist für bestimmte Server nicht akzeptabel.

Aus diesem Grund sollten Sie die Schnittstellen-ID-Komponente der IPv6-Adresse jeder Schnittstelle auf dem Server manuell konfigurieren. Anweisungen finden Sie unter So konfigurieren Sie ein benutzerdefiniertes IPv6-Token. Wenn Sie später eine vorhandene NIC austauschen müssen, wird die bereits konfigurierte IPv6-Adresse automatisch für die neue NIC übernommen.

So bereiten Sie Netzwerkservices auf die Unterstützung von IPv6 vor

1. Aktualisieren Sie die folgenden Netzwerkservices zur Unterstützung von IPv6:

   • Mail-Server

   • NIS-Server

   • NFS

     ---

     Hinweis –

     LDAP unterstützt IPv6, ohne dass IPv6-spezifische Konfigurationsschritte durchgeführt werden müssen.

     ---

2. Stellen Sie sicher, dass Ihre Firewall-Hardware IPv6-konform ist.

   Anweisungen finden Sie in der jeweiligen Firewall-bezogenen Dokumentation.

3. Stellen Sie sicher, dass andere Services in Ihrem Netzwerk auf IPv6 portiert wurden.

   Weitere Informationen finden Sie in den Marketingsunterlagen und der jeweiligen Softwaredokumentation.

4. Falls die folgenden Services an Ihren Standorten bereitgestellt werden, stellen Sie sicher, dass Sie die erforderlichen Maßnahmen für diese Services eingeleitet haben:

   • Firewalls

     Verstärken Sie die für IPv4 angewendeten Richtlinien, so dass sie IPv6 unterstützen. Weitere Informationen zu den Sicherheitsbetrachtungen finden Sie unter Sicherheitsbetrachtungen bei der Einführung von IPv6.

   • Mail

     Erwägen Sie das Hinzufügen der IPv6-Adresse Ihres Mail-Servers zu den MX-Einträgen für das DNS.

   • DNS

     Überlegungen zum DNS finden Sie unter So bereiten Sie das DNS auf die Unterstützung von IPv6 vor.

   • IPQoS

     Verwenden Sie die gleichen Diffserv-Richtlinien auf einem Host, die für IPv4 eingesetzt wurde. Weitere Informationen finden Sie unter Classifier-Modul.

5. Prüfen Sie alle von einem Knoten angebotenen Netzwerkservices, bevor Sie diesen Knoten zu IPv6 konvertieren.

So bereiten Sie das DNS auf die Unterstützung von IPv6 vor

Die aktuelle Oracle Solaris-Version unterstützt die DNS-Auflösung sowohl auf der Client- als auch auf der Serverseite. Zur Vorbereitung der DNS-Services auf IPv6 führen Sie die folgenden Schritte aus.

Weitere Informationen zur DNS-Unterstützung für IPv6 finden Sie im System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP) .

1. Stellen Sie sicher, dass der DNS-Server, der die rekursive Namensauflösung durchführt, einen Dual-Stack ausführt (IPv4 und IPv6) oder ob er nur IPv4 unterstützt.

2. Bestücken Sie auf dem DNS-Server die DNS-Datenbank mit den entsprechenden AAAA-Einträgen der IPv6-Datenbank in der Weiterleitungszone.

   ---

   Hinweis –

   Server, die mehrere kritische Services ausführen, erfordern besondere Berücksichtigung. Stellen Sie sicher, dass das Netzwerk ordnungsgemäß arbeitet. Achten Sie darauf, dass alle kritischen Services zu IPv6 portiert wurden. Dann fügen Sie die IPv6-Adresse des Servers zur DNS-Datenbank zu.

   ---

3. Fügen Sie die zugehörigen PTR-Datensätze für die AAAA-Einträge in die Reverse-Zone ein.

4. Fügen Sie entweder nur IPv4-Daten oder sowohl IPv6- als auch IPv4-Daten in den NS-Datensatz ein, der Zonen beschreibt.

Planung für Tunnel in der Netzwerktopologie

Die IPv6-Implementierung unterstützt als Übergangslösung zahlreiche Tunnel-Konfigurationen, während Ihr Netzwerk zu einer Mischung aus IPv4 und IPv6 migriert. Mithilfe von Tunneln können isolierte IPv6-Netzwerke miteinander kommunizieren. Da der größte Teil des Internet IPv4 ausführt, müssen IPv6-Pakete von Ihrem Standort das Internet über Tunnel zum IPv6-Zielnetzwerk überbrücken.

Im Folgenden sind einige Szenarios für die Verwendung von Tunneln in der IPv6-Netzwerktopologie aufgeführt:

• Der ISP, von dem Sie IPv6-Services erwerben, ermöglicht es Ihnen, einen Tunnel vom Grenzrouter Ihres Standorts zum ISP-Netzwerk zu erzeugen. Abbildung 4–1 zeigt einen solchen Tunnel. In diesem Fall würden Sie einen manuellen IPv6-über-IPv4-Tunnel ausführen.

• Sie verwalten ein großes verteiltes Netzwerk mit IPv4-Konnektivität. Um verteilte Standorte, die IPv6 verwenden, miteinander zu verbinden, können Sie einen automatischen 6to4-Tunnel vom Grenzrouter jedes Teilnetzes ausführen.

• Manchmal kann ein Router in Ihrer Infrastruktur nicht auf IPv6 aufgerüstet werden. In diesem Fall können Sie einen manuellen Tunnel über den IPv4-Router mit zwei IPv6-Routern als Endpunkte erzeugen.

Anweisungen zur Konfiguration von Tunneln finden Sie unter Aufgaben bei der Konfiguration von Tunneln zur Unterstützung von IPv6 (Übersicht der Schritte). Konzeptuelle Informationen zu Tunneln finden Sie unter IPv6-Tunnel.

Sicherheitsbetrachtungen bei der Einführung von IPv6

Bei der Einführung von IPv6 in einem vorhandenes Netzwerk müssen Sie darauf achten, die Sicherheit des Standorts nicht zu beeinträchtigen. Beachten Sie bei der Umsetzung Ihrer IPv6-Lösung die folgenden Sicherheitsaspekte:

• Für IPv6-Pakete und IPv4-Pakete ist der gleiche Filteraufwand erforderlich.

• IPv6-Pakete durchlaufen eine Firewall häufig durch einen Tunnel. Aus diesem Grund sollten Sie eines der folgenden Szenarios verwenden:

  • Sorgen Sie dafür, dass die Firewall den Inhalt des Tunnels inspiziert.

  • Richten Sie eine IPv6-Firewall mit ähnlichen Regeln am anderen Tunnelendpunkt ein.

• Einige Übergangslösungen verwenden IPv6-über-UDP-über-IPv4-Tunnel. Diese Lösungen sind eventuell gefährlich, da sie die Firewall kurzschließen.

• IPv6-Knoten sind global von Punkten außerhalb des Unternehmensnetzwerks aus erreichbar. Wenn Ihre Sicherheitsrichtlinie öffentlichen Zugriff verbietet, müssen Sie strengere Richtlinien für die Firewall einrichten. Eventuell sollten Sie die Firewall als eine statusbehaftete Firewall konfigurieren.

Dieses Buch beschreibt Sicherheitsmerkmale, die innerhalb einer IPv6-Implementierung verwendet werden können.

• Die IP-Sicherheitsarchitektur (IPsec) ermöglicht Ihnen, einen kryptografischen Schutz für IPv6-Pakete einzurichten. Weitere Informationen hierzu finden Sie in Kapitel 19IP Security Architecture (Übersicht).

• Der Internet Key Exchange (IKE) ermöglicht Ihnen, öffentliche Schlüsselauthentifizierung für IPv6-Pakete zu verwenden. Weitere Informationen hierzu finden Sie in Kapitel 22Internet Key Exchange (Übersicht).

Vorbereiten eines IPv6-Adressierungsplans

Ein wichtiger Teil beim Übergang von IPv4 zu IPv6 ist die Entwicklung eines Adressierungsplans. Zu dieser Aufgabe gehören die folgenden Vorbereitungsmaßnahmen:

• Beziehen eines Standortpräfix

• Erstellen eines IPv6-Nummerierungsschemas

Beziehen eines Standortpräfix

Bevor Sie IPv6 konfigurieren können, müssen Sie ein Standortpräfix beziehen. Das Standortpräfix dient allen Knoten in Ihrer IPv6-Implementierung zum Ableiten von IPv6-Adressen. Eine Einführung in Standortpräfixe finden Sie unter Präfixe in IPv6.

Jeder ISP, der IPv6 unterstützt, kann Ihrer Organisation ein 48-Bit-IPv6-Standortpräfix bereitstellen. Falls Ihr aktueller ISP nur IPv4 unterstützt, können Sie einen anderen ISP zur Unterstützung von IPv6 verwenden, während Ihr aktueller ISP für die IPv4-Unterstützung sorgt. In diesem Fall können Sie eine von mehreren Problemumgebungen wählen. Weitere Informationen finden Sie unter Der aktuelle ISP unterstützt IPv6 nicht.

Handelt es sich bei Ihrem Unternehmen um einen ISP, beziehen Sie die Standortpräfixe für Ihre Kunden von der jeweiligen Internet Registrierungsstelle. Weitere Informationen finden Sie auf der Website der Internet Assigned Numbers Authority (IANA).

Erstellen eines IPv6-Nummerierungsschemas

Sie können die bereits bestehende IPv4-Topologie als Basis für das IPv6-Nummerierungsschema verwenden, es sei denn, das geplante Netzwerk ist vollständig neu.

Erstellen eine Nummerierungsschemas für Teilnetze

Beginnen Sie Ihr Nummerierungsschema, indem Sie vorhandene IPv4-Teilnetze in entsprechende IPv6-Teilnetze umwandeln. Betrachten Sie als Beispiel die in Abbildung 4–1 gezeigten Teilnetze. Teilnetze 1–4 nutzen die RFC 1918 IPv4 private Adresszuweisung für die ersten 16 Bit ihrer Adressen (neben den Ziffern 1–4), um das Teilnetz zu kennzeichnen. Gehen Sie zur Verdeutlichung davon aus, dass dem Standort das IPv6-Präfix 2001:db8:3c4d/48 zugewiesen wurde.

Die folgende Tabelle zeigt, wie die privaten IPv4-Präfixe zu IPv6-Präfixen zugeordnet wurden.

IPv4-Teilnetzpräfix	Entsprechendes IPv6-Teilnetzpräfix
192.168.1.0/24	2001:db8:3c4d:1::/64
192.168.2.0/24	2001:db8:3c4d:2::/64
192.168.3.0/24	2001:db8:3c4d:3::/64
192.168.4.0/24	2001:db8:3c4d:4::/64

Erstellen eines IPv6-Adressierungsplans für Knoten

Bei den meisten Hosts ist die statusfreie, automatische Konfiguration von IPv6-Adressen für deren Schnittstellen eine angemessene, zeitsparende Strategie. Wenn der Host das Standortpräfix von nächsten Router empfängt, erzeugt das Neighbor Discovery-Protokoll automatisch IPv6-Adressen für jede Schnittstelle auf dem Host.

Server benötigen stabile IPv6-Adressen. Wenn Sie die IPv6-Adressen eines Servers nicht manuell konfigurieren, wird automatisch eine neue IPv6-Adresse konfiguriert, wenn eine NIC-Karte in dem Server ausgetauscht wird. Beachten Sie die folgenden Tipps, wenn Sie Adressen für Server erstellen:

• Vergeben Sie aussagekräftige und stabile Schnittstellen-IDs an den Server. Eine Strategie ist das Verwenden eines sequentiellen Nummerierungsschemas für die Schnittstellen-IDs. Beispielsweise könnte die interne Schnittstelle des LDAP-Servers in Abbildung 4–1 die Adresse 2001:db8:3c4d:2::2 erhalten.

• Alternativ können Sie, wenn Sie Ihr IPv4-Netzwerk nicht regelmäßig neu nummerieren, die vorhandenen IPv4-Adressen der Router und Server für deren Schnittstellen-IDs verwenden. Angenommen, die Schnittstelle des Routers 1 zur DMZ in Abbildung 4–1 besitzt die IPv4-Adresse 123.456.789.111 . Sie können diese IPv4-Adresse in eine hexadezimale Zahl umwandeln und dann als Schnittstellen-ID verwenden. Die neue Schnittstellen-ID lautet dann ::7bc8:156F.

  Verwenden Sie diesen Ansatz jedoch nur dann, wenn Sie die registrierte IPv4-Adresse selbst besitzen, und nicht, wenn Sie die Adresse von einem ISP bezogen haben. Wenn Sie eine IPv4-Adresse verwenden, die Ihnen von einem ISP zugewiesen wurde, stehen Sie vor einem Problem, wenn Sie den Provider wechseln.

Aufgrund der beschränken Anzahl an IPv4-Adressen sind Netzwerkdesigner in der Vergangenheit dazu übergegangen, globale, registrierte Adressen und private RFC 1918-Adressen zu verwenden. Dieses Konzept von globalen und privaten IPv4-Adressen lässt sich jedoch nicht auf IPv6-Adressen übertragen. Sie können globale Unicast-Adressen, die das Standortpräfix enthalten, auf allen Links in einem Netzwerk verwenden, einschließlich der öffentlichen DMZ.