Neues von der NRO: IPv4-Adressen gehen zur Neige!
Gestern (18.10.2010) kam von der Number Resource Organization (NRO) eine sehr wichtige Meldung: Der IPv4-Adressraum ist bald aufgebraucht. Es sind jetzt weniger als 5% freie Adressen verfügbar. Und die NRO geht davon aus, daß im Kalenderjahr 2011 endgültig keine IPv4-Adressen mehr verfügbar sein werden.
Natürlich wird das Internet nächstes Jahr nicht einfach aufhören zu funktionieren. Die Nichtverfügbarkeit neuer IPv4-Adressen wird jedoch erzwingen, daß immer mehr Internet-Resourcen nur noch per IPv6-Adresse erreichbar sein werden.
Nun kommt das in etwa so überraschend wie der erste Schnee im Winter. Sehr viele IT-Abteilungen sind dennoch nicht darauf vorbereitet, ihre Infrastruktur auf IPv6 umzustellen. Gründe, das jetzt zeitnah anzugehen, gibt es reichlich, zum Beispiel:
- Mobile Benutzer: Internet Service-Provider werden nach und nach auf IPv6 umstellen. Ihre mobilen Benutzer benötigen dann ein Betriebssystem, daß IPv6-fähig ist. Windows Vista und Windows 7 sind das, bei Windows XP muß zunächst das ‘Advanced Networking Pack for Windows XP’ installiert werden.
- Interne Resourcen: Es gibt immer mehr Infrastruktur-Dienste, die IPv6 verwenden. Bei den meisten Diensten genügt es, IPv6 einfach aktiviert zu lassen und die automatische Konfiguration zu nutzen. Direct Access funktioniert z.B. so, aber nur mit reduziertem Funktionsumfang: will man per Richtlinie regeln, welche internen Server über Direct Access erreichbar sind, muß zumindest für diese Server IPv6 intern vollständig konfiguriert sein. Es ist eine Frage der Zeit, bis immer mehr Infrastruktur-Dienste IPv6 erfordern.
- Cloud Computing: Immer mehr IT-Resourcen wandern in die Cloud. Egal, ob das nun Applikationen, Services oder virtualisierte Server bzw. Desktops sind, diese Resourcen benötigen eine IP-Adresse. Sobald alle IPv4-Adressen aufgebraucht sind, werden alle neuen Resourcen IPv6-Adressen erhalten. Da das sehr bald der Fall sein wird, sollten Sie sicherheitshalber gleich so planen: wenn Sie über Cloud Computing nachdenken, dann müssen Sie Ihre Infrastruktur IPv6-fähig machen.
Was ist notwendig, um IPv6 intern vollständig zu konfigurieren und einzusetzen?
- IPv6-fähige Router (und ggf. Switches): IPv6 verwendet Router für die Subnet-Konfiguration der Endgeräte. Und natürlich müssen Ihre Router IPv6-Pakete prinzipiell auch weiterleiten können …
- DNS: Wenn Sie den Windows DNS-Service benutzen, müssen Sie als DNS-Server min. Windows Server 2003 einsetzen.
- DHCP: Unterstützung für IPv6-Scopes in Windows DHCP gibt es ab Windows Server 2008. Zwar kann man IPv6 vollständig ohne DHCP betreiben, und zwar nicht mit statischen Adressen, sondern durchaus dynamisch und automatisch konfiguriert, jedoch ist DHCP hilfreich, um einige Einstellungen (z.B. DNS Server-Adressen) zentral zu verwalten. Achtung: Ihre Router müssen dann auch als IPv6 DHCP Relay Agent funktionieren!
- Betriebssystem: IPv6-Unterstützung gibt es ab Windows XP bzw. Windows Server 2003. Ab Windows Vista bzw. Windows Server 2008 ist IPv6 vollständig in den Netzwerk-Stack integriert, was sich insbesondere bei Servern mit hoher Netzwerkauslastung positiv bemerkbar macht.
- IPv6-Adressbereich: Wollen Sie einen öffentlichen Adressbereich benutzen, dann müssen Sie den wie üblich registrieren.
- Support-Prozesse: Sehr leicht wird übersehen, daß einige Tools und Prozessen ebenfalls angepaßt werden müssen. Netzwerk-Traces benötigen evtl. andere oder neuere Tools und ganz sicher zusätzliches Wissen seitens Ihrer Netzwerk-Experten.
Und was spricht dagegen? Eigentlich sehr wenig. Wenn Ihre aktiven Netzwerkkomponenten IPv6 nicht unterstützen, ist an dieser Stelle eine Investition fällig. Abgesehen davon ist die Einführung von IPv6 nicht sehr aufwändig. IPv4 und IPv6 können problemlos koexistieren, daher ist eine stufenweise Einführung ohne weiteres möglich. Es macht Sinn, zunächst ein rein administratives Subnet zu adressieren und dann die Server-Infrastruktur (Rechenzentren und ggf. Zweigstellen-Server). Danach sollte ausreichend Routine vorhanden sein, um die dynamische Konfiguration der Endgeräte in Angriff zu nehmen.
Mit freundlichen Grüßen!
Ralf M. Schnell
Comments
- Anonymous
October 22, 2010
Da wundert es das Microsoft dem ISA Nachfolger Forefront TMG 2010 noch keine IPv6 Unterstützung mitgegeben hat. Die Umstellung der Clients wird also nichts nützen wenn man nicht auf eine Firewall eines anderen Herstellers umsteigt.