Integrationsplan

Integrationsplan

Zunächst: das Gute ist, dass IPv4 und IPv6 komplett nebeneinander laufen. IPv6 kann IPv4 nicht kaputt machen, (solange man es nur auf Clients einschaltet, bemerkt Charly an). Clients und Server, die noch kein IPv6 haben, sind also überhaupt nicht betroffen, wenn man mit IPv6 anfängt, auch wenn man einen Fehler macht. Daher sollte man als erstes seine eigenen Clients mit IPv6 austatten (Netz-Mitarbeiter), um zu sehen, ob IPv6 generell funktioniert im eigenen Netz. Sobald man IPv6 auf Clients konfiguriert hat, werden sie mit vielen Webseiten im Internet über IPv6 kommunizieren. So sieht man schon mal, ob hier alles korrekt funktioniert.

Zwei Dinge, die immer wieder Kopfzerbrechen bereiten bei der Einführung von IPv6: IPAM und ACL-Management. Das simultane Pflegen von IPv4- und IPv6-ACLs bzw. das Nachziehen von IPv6-ACLs sollte frühzeitig geklärt werden. Das Thema IPAM sollte vor der Inbetriebnahme von Diensten mit IPv6 geklärt sein. Clients kann man ruhig schon vorher mit IPv6 ans Netz nehmen. Ein DNS-Eintrag ist hier im Normalfall nicht zwingend notwendig.

IPv6 im eigenen Netz: Was/wann/wie - Reihenfolge?

  • Außenanbindung: unkritisch, solange niemand im Netz IPv6 nutzt und keine Server AAAA-Records eingetragen haben.
  • Kern-Netz: unkritisch. Zunächst eigenes Client-Netz (Netz-Mitarbeiter) mit IPv6.
  • VPN (Tunnelendpunkt) kann frühzeitig mit IPv6 ausgestattet werden (nichts anderes hängt davon ab).
  • Dienste: frühzeitig DNS-Server (autoritativ und rekursiv) IPv6-fähig machen. Verteilen der IPv6-Resolver-Adressen auf Clients (per SLAAC oder DHCPv6).
  • Nach und nach weitere Dienste und Client-Netze (zunächst vorrangig mit versierteren Nutzern) hinzunehmen.

Was man falsch machen kann

  • AAAA-Record für einen Server ins DNS eintragen, wenn der Server noch nicht funktional mit IPv6 ist. Richtig: erst Server mit IPv6-Adresse funktional machen, dann AAAA-Record ins DNS eintragen. Denn dann fangen die Clients an, den Server über IPv6 anzusprechen.
  • ACLs ignorieren. Richtig: Wenn Clients mit IPv4 freigeschaltet sind, muss IPv6 nachgezogen werden (Beispiel: NFS, Mailserver-ACLs …). Alternativ (und besser): Dienste von IP-Adress-Freischaltungen auf Authentifizierung umstellen.
  • Wenn ein Endgerät einen IPv4 Firewall hat, muss es auch einen IPv6 Firewall verwenden wenn es IPv6 Adressen hat.

  • Wenn der Rechner im IPv4 hinter einnem NAT-Router ist und der Nutzer sich deshalb sicher fühlt, dann ist er via IPv6 erst einmal ohne weitere Sicherheitsmaßnahmen direkt aus dem Internet erreichbar.

    Was ist mit der Entscheidung SLAAC versus DHCPv6?

    Kann auch noch später getroffen werden. Falls man DHCPv6 tatsächlich ins Auge fast, kann man SLAAC und DHCPv6 parallel testen. Für SLAAC ist kein Aufwand nötig. Auf keinen Fall sollte der Einstieg in IPv6 verzögert werden, weil man hier noch keine Entscheidung getroffen hat. Erst wenn man IPv6 großflächig auf die Client-Netze ausrollt, sollte man wissen, in welche Richtung man hier generell gehen will.