Große Internet-Player wie Amazon und Co. haben am World IPv6 Launch am 6. Juni mit ihren IPv6-Netzen den operativen Betrieb aufgenommen. Müssen Unternehmen jetzt nachziehen?
WIETRYCHOWSKI: Unternehmen sollten sich 2012 mit diesem Thema beschäftigen, um zumindest eine IPv6-Präsenz zu haben. Das bedeutet für mich, dass ein Unternehmen über IPv6 zu erreichen ist. Zudem tut sich eine Firma unter Image-Aspekten nicht unbedingt einen Gefallen, wenn sie nur IPv4 spricht. Des Weiteren kommt der Business-Faktor hinzu, wo nicht das Branding "ich bin per IPv6 erreichbar" im Vordergrund steht.
TRABER: IPv6 wird in den kommenden Jahren den aktuellen Adressstandard IPv4 ergänzen. Dies ist aufgrund des rasanten Wachstums des Internets notwendig, um weiterhin allen Unternehmen, Internetnutzern und IP-fähigen Endgeräten eine Online-Präsenz und den Zugang zum Internet ermöglichen zu können. Ein akuter Handlungsbedarf trifft aber aktuell nur den asiatischen Raum. Speziell in Europa müssen Unternehmen unmittelbar noch nichts unternehmen. Die Situation wird sich aber bald ändern.
Gilt das für alle Unternehmen?
WIETRYCHOWSKI: Das ist unabhängig von der Unternehmensgröße. Grundsätzlich sollt der Entscheider überlegen, ob er IPv6 dringend zur Kommunikation braucht. Wir wissen, dass man in verschiedenen Weltregionen in Sachen IPv6 aufgrund der IPv4-Adressknappheit sehr viel weiter ist als in Europa. Das gilt etwa für Asien oder Südamerika, also überall dort wo IPv4 aufgrund der Entwicklung nicht die dominierende Rolle gespielt hat.
Deshalb ist es für viele Unternehmen von elementarer Bedeutung auch per IPv6 erreichbar zu sein, wenn sie in diesen Regionen Geschäftsbeziehungen unterhalten. Einer unserer Kunden sah sich beispielsweise bereits mit der Anforderung eines asiatischen Zulieferers konfrontiert, der ganz klar verlangte, wir brauchen IPv6 zur Kommunikation. Hier stellt sich dann die Frage nach der Notwendigkeit einer Migration gar nicht mehr.
TRABER: Mit Sicherheit nicht. So wird die rein regional tätige Schreinerei in Deutschland zunächst noch auf IPv6 verzichten können. Ein international tätiges Unternehmen sollte sich dagegen jetzt schon auf eine teilweise Migration ihrer Internet-Router vorbereiten. Netzwerk-Komponenten, die nur im internen Netzwerk genutzt werden, müssen jedoch überhaupt nicht ausgetauscht werden und können ohne Probleme bis zum Ende ihrer Lebensdauer mit IPv4 genutzt werden.
Welche Gefahr droht, wenn ein Unternehmen nicht migriert?
WIETRYCHOWSKI: Ein Unternehmen sollte sich vor allem überlegen, wie wichtig IPv6 für das Business ist. Bestehen Geschäftsbeziehungen zu Ländern, in denen IPv6 eine Rolle spielt? Laufe ich Gefahr Aufträge zu verlieren, wenn ich kein IPv6 kann? Werden diese Fragen mit Ja beantwortet, sollte ein Unternehmen eine IPv6-Migration ins Auge fassen.
Ein anderer Punkt sind die mobilen Endgeräte, die über kurz oder lang IPv6 sprechen werden. Spätestens dann wird es interessant, wenn der Mobile Provider IPv6 einsetzt und das mobile Endgerät des Mitarbeiters ebenfalls IPv6 verwendet und dann auf die unternehmenseigene IPv4-Infrastruktur zugreifen soll. Natürlich geht das auch mit NAT und Super-NAT, aber diese Techniken stoßen auch an ihre Kapazität. Das erhöht den Aufwand und damit die Betriebskosten, womit IPv4 irgendwann einfach zu teuer wird.
Jetzt auf IPv6 umsteigen?
Und warum nicht dennoch einfach länger IPv4 nutzen mit Techniken wie Tunneling, Translation oder Gateways?
WIETRYCHOWSKI: Das sind nur Behelfslösungen, die der IT-Abteilung das Leben schwer machen, wenn etwa eine Applikation in ein Unternehmensnetz hineingreifen soll und einfach nicht ge-NAT-et werden kann. Nehmen Sie als Beispiel eine Voice-Kommunikation. Wie soll ein IPv6-Node eine Verbindung mit einem IPv4-Knoten aufbauen? Das geht erst einmal nicht. Sicherlich können Sie Gateways verwenden. Das bedeutet aber zusätzlichen Betriebsaufwand. Sie müssen das Gateway pflegen, Sie müssen NAT von v4 nach v6 und umgekehrt machen, Sie müssen sicherstellen, dass ihre Applikation das auch versteht. Der Aufwand wird so groß, dass es effizienter ist, einen Schnitt zu machen und IPv6 aufzubauen. So kommt dann der Punkt, wo es finanziell günstiger ist, umzustellen.
Warum nicht sofort IPv6 nutzen?
TRABER: Ein Leitspruch für Administratoren lautet "Never touch a running system". Solange ein Unternehmen alle Kunden und Partner ansprechen und von diesen auch erreicht werden kann, gibt es keinen zwingenden Grund IPv6 zu nutzen. Im Gegenteil: So wie selbst jetzt noch nach Jahrzehnten der Entwicklung Fehler im IPv4-Protokoll gefunden werden wird es gerade am Anfang der IPv6-Einführung zu Schwierigkeiten kommen. Es empfiehlt sich, einen gewissen Reifeprozess für IPv6 abzuwarten bevor eventuell unternehmenskritische Dienste über dieses Protokoll abgewickelt werden. Im internen Netzwerk eines Unternehmens überlagern die Risiken einer Migration deutlich die Vorteile. Hier gibt es keinen Grund ein funktionierendes Netzwerk zu verändern.
Wie stehen Sie zum IPv4 und IPv6 Mischbetrieb?
WIETRYCHOWSKI: Es ist nicht realistisch, anzunehmen, dass ein Unternehmen von heute auf morgen von IPv4 auf IPv6 wechselt. Wo es möglich ist, sollte der Anwender einen Dual Stack fahren. Zumal dies im Vergleich zu NAT eine saubere Kommunikation ist. Überall dort wo es geht, sollte Stand heute Dual Stack genutzt werden. Auf Netzseite ist dies ist über VLANs relativ einfach zu realisieren.
Aber der Teufel steckt im Detail: Wie sieht es auf Anwendungsseite aus, welche Verkehrsmengen und -beziehungen existieren? Oder kann ich eine Applikation, die eventuell 1998 gekauft wurde und auf die 30 Prozent der Mitarbeiter zugreifen, überhaupt IPv6 ready machen oder muss ich sie weiterhin auf IPv4 lassen. Dann brauche ich in der Regel ein IP-Translation-Gateway, durch das dann alle meine IPv6 PCs durch müssen. Hier kann ein Nadelöhr entstehen. Sie sehen es gibt viele Detailfragen, die eine Menge Implikationen auf das Netzdesign haben können.
TRABER: Dieser Mischbetrieb wird über viele Jahre aus den schon angesprochenen Gründen eher die Regel als die Ausnahme sein. Wir offerieren eine Betriebssystem-Version für unsere Geräte, mit der dieser Mischbetrieb problemlos möglich ist.
Und welche Tipps haben Sie in Sachen IP für den Unternehmensalltag?
WIETRYCHOWSKI: Als erstes sollten sich Unternehmen mit dem Thema IPv6 beschäftigen. Hier bin ich mittlerweile ganz zuversichtlich. Wenn Sie auf entsprechenden Veranstaltungen darüber diskutieren, dann betreiben etwa zehn Prozent bereits ein IPv6-Netz und 50 Prozent befassen sich mit dem Thema. Das sind deutlich mehr als noch vor einem Jahr. Des Weiteren würde ich einen Fahrplan für die nächsten drei Jahre aufstellen. Hier sollten Punkte wie Applikationsanpassungen auch in Hinsicht auf Mobile berücksichtigt werden. Ein anderer Aspekt ist das Thema Security.
Dort sollte man ganz genau hinsehen, was in Sachen IPv6 unterstützt wird. Ähnliches gilt hinsichtlich WireIess (Access Points) und Mobility. Hier sollte der Anwender im Detail untersuchen, was das Produkt in Sachen IPv6 beherrscht. Die geringsten Kopfschmerzen dürften den Anwendern die Router bereiten, denn im Business-Umfeld können sie schon lange IPv6. Analog sieht die Situation bei den Layer-3-Switches aus. Die spannende Frage dürfte auch hier wieder die Sicherheit betreffen. Inwieweit können Sicherheitsprotokolle und -mechanismen aus der IPv4-Welt auch in einer IPv6-Umgebung weiterverwendet werden.
Tipps in Sachen IP für den Unternehmensalltag
Last but not least gilt es beim Thema Dual Stack noch zu beachten, ob der Router genügend Speicher und Rechenkraft hat, um die doppelten Routing-Tabellen zu halten und zu verarbeiten. Und schließlich sollten die Service Provider nicht vergessen werden: Wie hat dieser IPv6 implementiert? Welche IPv6-Adressen will ich als Unternehmen - Provider-unabhängige oder Provider-Assigned-Adressen? Beides hat seine Vor und Nachteile, weshalb bei der Providerwahl darauf geachtet werden sollte, was dieser anbietet und unterstützt.
TRABER: Vorsicht und Sorgfalt bei der Einführung von IPv6! Bei einer kleinen Fehlkonfiguration, beispielsweise der Firewall, könnten alle IPv6-fähigen Geräte im internen Netzwerk aus dem gesamten Internet direkt zu erreichen sein! Auch wenn das für IPv4 in der Regel nötige (und oft ungeliebte) NAT für IPv6 nicht mehr nötig wäre, so stellt es gerade in Unternehmensnetzwerken ein nicht zu unterschätzender Sicherheitsgewinn dar. (Computerwoche)