Das Dual-Stack-Protokoll von Oracle Solaris unterstützt gleichzeitig IPv4- und IPv6-Vorgänge. Während und nach dem Deployment von IPv6 in Ihrem Netzwerk können IPv4–bezogene Operationen weiterhin erfolgreich durchgeführt werden.
IPv6 fügt einem bestehenden Netzwerk neue Funktionen hinzu. Aus diesem Grund müssen Sie bei der ersten Einführung von IPv6 sicherstellen, dass Sie keine Vorgänge unterbrechen, die mit IPv4 ausgeführt werden. In den Themen in diesem Abschnitt wird beschrieben, wie Sie IPv6 schrittweise in ein bestehendes Netzwerk integrieren.
Der erste Schritt bei der Einführung von IPv6 besteht darin, festzustellen, ob die vorhandenen Entitäten in Ihrem Netzwerk IPv6 unterstützen. In den meisten Fällen kann die Netzwerktopologie – Kabel, Router und Hosts – nach der Einführung von IPv6 unverändert weiterverwendet werden. Eventuell müssen Sie jedoch vorhandene Hardware und Anwendungen für IPv6 vorbereiten, bevor Sie die IPv6-Adressen für die Netzwerkschnittstellen konfigurieren.
Überprüfen Sie, ob die Hardware in Ihrem Netzwerk auf IPv6 aufgerüstet werden kann. Lesen Sie beispielsweise die Dokumentation der Hersteller zur IPv6-Konformität der folgenden Hardwareklassen:
Router
Firewalls
Server
Switches
Alle Vorgänge in diesem Teil gehen davon aus, dass Ihre Netzwerkausrüstung (insbesondere die Router) auf IPv6 aufgerüstet werden können.
Einige Router-Modelle können nicht auf IPv6 aufgerüstet werden. Weitere Informationen und eine Lösungsmöglichkeit finden Sie unter IPv4-Router kann nicht auf IPv6 aufgerüstet werden.
Die folgenden typischen IPv6-Netzwerkservices in der aktuellen Oracle Solaris-Version sind IPv6-konform:
sendmail
NFS
HTTP (Apache 2.x oder Orion)
DNS
LDAP
Der IMAP-Mailservice kann nur unter IPv4 ausgeführt werden.
Knoten, die für IPv6 konfiguriert wurden, können IPv4-Services ausführen. Wenn Sie IPv6 aktivieren, akzeptieren nicht alle Services IPv6-Verbindungen. Services, die zu IPv6 portiert wurden, akzeptieren eine Verbindung. Services, die nicht zu IPv6 portiert worden, arbeiten mit der IPv4-Hälfte des Protokollstapel weiter.
Nach dem Aufrüsten von Services auf IPv6 können eventuell Probleme auftreten. Ausführliche Informationen finden Sie unter Probleme beim Aufrüsten von Services auf IPv6.
Da Server als IPv6-Hosts betrachtet werden, werden ihre IPv6-Adressen vom Neighbor Discovery-Protokoll automatisch konfiguriert. Viele Server sind jedoch mit mehreren Netzwerkschnittstellenkarten (NICs) ausgestattet, die im Rahmen von Wartungs- oder Reparaturarbeiten ausgetauscht werden können. Wenn Sie eine NIC austauschen, erzeugt das Neighbor Discovery-Protokoll automatisch eine neue Schnittstellen-ID für diese NIC. Dieses Verhalten ist für bestimmte Server nicht akzeptabel.
Aus diesem Grund sollten Sie die Schnittstellen-ID-Komponente der IPv6-Adresse jeder Schnittstelle auf dem Server manuell konfigurieren. Anweisungen finden Sie unter So konfigurieren Sie ein benutzerdefiniertes IPv6-Token. Wenn Sie später eine vorhandene NIC austauschen müssen, wird die bereits konfigurierte IPv6-Adresse automatisch für die neue NIC übernommen.
Aktualisieren Sie die folgenden Netzwerkservices zur Unterstützung von IPv6:
Mail-Server
NIS-Server
NFS
LDAP unterstützt IPv6, ohne dass IPv6-spezifische Konfigurationsschritte durchgeführt werden müssen.
Stellen Sie sicher, dass Ihre Firewall-Hardware IPv6-konform ist.
Anweisungen finden Sie in der jeweiligen Firewall-bezogenen Dokumentation.
Stellen Sie sicher, dass andere Services in Ihrem Netzwerk auf IPv6 portiert wurden.
Weitere Informationen finden Sie in den Marketingsunterlagen und der jeweiligen Softwaredokumentation.
Falls die folgenden Services an Ihren Standorten bereitgestellt werden, stellen Sie sicher, dass Sie die erforderlichen Maßnahmen für diese Services eingeleitet haben:
Firewalls
Verstärken Sie die für IPv4 angewendeten Richtlinien, so dass sie IPv6 unterstützen. Weitere Informationen zu den Sicherheitsbetrachtungen finden Sie unter Sicherheitsbetrachtungen bei der Einführung von IPv6.
Erwägen Sie das Hinzufügen der IPv6-Adresse Ihres Mail-Servers zu den MX-Einträgen für das DNS.
DNS
Überlegungen zum DNS finden Sie unter So bereiten Sie das DNS auf die Unterstützung von IPv6 vor.
IPQoS
Verwenden Sie die gleichen Diffserv-Richtlinien auf einem Host, die für IPv4 eingesetzt wurde. Weitere Informationen finden Sie unter Classifier-Modul.
Prüfen Sie alle von einem Knoten angebotenen Netzwerkservices, bevor Sie diesen Knoten zu IPv6 konvertieren.
Die aktuelle Oracle Solaris-Version unterstützt die DNS-Auflösung sowohl auf der Client- als auch auf der Serverseite. Zur Vorbereitung der DNS-Services auf IPv6 führen Sie die folgenden Schritte aus.
Weitere Informationen zur DNS-Unterstützung für IPv6 finden Sie im System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP) .
Stellen Sie sicher, dass der DNS-Server, der die rekursive Namensauflösung durchführt, einen Dual-Stack ausführt (IPv4 und IPv6) oder ob er nur IPv4 unterstützt.
Bestücken Sie auf dem DNS-Server die DNS-Datenbank mit den entsprechenden AAAA-Einträgen der IPv6-Datenbank in der Weiterleitungszone.
Server, die mehrere kritische Services ausführen, erfordern besondere Berücksichtigung. Stellen Sie sicher, dass das Netzwerk ordnungsgemäß arbeitet. Achten Sie darauf, dass alle kritischen Services zu IPv6 portiert wurden. Dann fügen Sie die IPv6-Adresse des Servers zur DNS-Datenbank zu.
Fügen Sie die zugehörigen PTR-Datensätze für die AAAA-Einträge in die Reverse-Zone ein.
Fügen Sie entweder nur IPv4-Daten oder sowohl IPv6- als auch IPv4-Daten in den NS-Datensatz ein, der Zonen beschreibt.
Die IPv6-Implementierung unterstützt als Übergangslösung zahlreiche Tunnel-Konfigurationen, während Ihr Netzwerk zu einer Mischung aus IPv4 und IPv6 migriert. Mithilfe von Tunneln können isolierte IPv6-Netzwerke miteinander kommunizieren. Da der größte Teil des Internet IPv4 ausführt, müssen IPv6-Pakete von Ihrem Standort das Internet über Tunnel zum IPv6-Zielnetzwerk überbrücken.
Im Folgenden sind einige Szenarios für die Verwendung von Tunneln in der IPv6-Netzwerktopologie aufgeführt:
Der ISP, von dem Sie IPv6-Services erwerben, ermöglicht es Ihnen, einen Tunnel vom Grenzrouter Ihres Standorts zum ISP-Netzwerk zu erzeugen. Abbildung 4–1 zeigt einen solchen Tunnel. In diesem Fall würden Sie einen manuellen IPv6-über-IPv4-Tunnel ausführen.
Sie verwalten ein großes verteiltes Netzwerk mit IPv4-Konnektivität. Um verteilte Standorte, die IPv6 verwenden, miteinander zu verbinden, können Sie einen automatischen 6to4-Tunnel vom Grenzrouter jedes Teilnetzes ausführen.
Manchmal kann ein Router in Ihrer Infrastruktur nicht auf IPv6 aufgerüstet werden. In diesem Fall können Sie einen manuellen Tunnel über den IPv4-Router mit zwei IPv6-Routern als Endpunkte erzeugen.
Anweisungen zur Konfiguration von Tunneln finden Sie unter Aufgaben bei der Konfiguration von Tunneln zur Unterstützung von IPv6 (Übersicht der Schritte). Konzeptuelle Informationen zu Tunneln finden Sie unter IPv6-Tunnel.
Bei der Einführung von IPv6 in einem vorhandenes Netzwerk müssen Sie darauf achten, die Sicherheit des Standorts nicht zu beeinträchtigen. Beachten Sie bei der Umsetzung Ihrer IPv6-Lösung die folgenden Sicherheitsaspekte:
Für IPv6-Pakete und IPv4-Pakete ist der gleiche Filteraufwand erforderlich.
IPv6-Pakete durchlaufen eine Firewall häufig durch einen Tunnel. Aus diesem Grund sollten Sie eines der folgenden Szenarios verwenden:
Sorgen Sie dafür, dass die Firewall den Inhalt des Tunnels inspiziert.
Richten Sie eine IPv6-Firewall mit ähnlichen Regeln am anderen Tunnelendpunkt ein.
Einige Übergangslösungen verwenden IPv6-über-UDP-über-IPv4-Tunnel. Diese Lösungen sind eventuell gefährlich, da sie die Firewall kurzschließen.
IPv6-Knoten sind global von Punkten außerhalb des Unternehmensnetzwerks aus erreichbar. Wenn Ihre Sicherheitsrichtlinie öffentlichen Zugriff verbietet, müssen Sie strengere Richtlinien für die Firewall einrichten. Eventuell sollten Sie die Firewall als eine statusbehaftete Firewall konfigurieren.
Dieses Buch beschreibt Sicherheitsmerkmale, die innerhalb einer IPv6-Implementierung verwendet werden können.
Die IP-Sicherheitsarchitektur (IPsec) ermöglicht Ihnen, einen kryptografischen Schutz für IPv6-Pakete einzurichten. Weitere Informationen hierzu finden Sie in Kapitel 19IP Security Architecture (Übersicht).
Der Internet Key Exchange (IKE) ermöglicht Ihnen, öffentliche Schlüsselauthentifizierung für IPv6-Pakete zu verwenden. Weitere Informationen hierzu finden Sie in Kapitel 22Internet Key Exchange (Übersicht).