IPv6 im Uni-Datennetz

von Ulrich Kiermayr (Ausgabe 05/1, März 2005)

 

Der Zentrale Informatikdienst der Uni Wien ist bereits seit einigen Jahren an einer Reihe von Forschungs- und Pilotprojekten beteiligt, die sich mit dem Thema IPv6 beschäftigen.1) Nachdem diese Tests weitgehend abgeschlossen sind, ist es nun an der Zeit, auf Basis der gewonnenen Erfahrungen IPv6 im Datennetz der Universität regulär einzusetzen. (Zur Beruhigung: Es handelt sich dabei um eine Erweiterung des Datennetzes, die keine Auswirkungen auf die bestehende IPv4-Infrastruktur hat. Für Institute bzw. AnwenderInnen, die an IPv6 nicht interessiert sind, ergeben sich daher keinerlei Änderungen.)

Adressen

Eine IPv6-Infrastruktur erfordert in erster Linie IPv6-Adressen für die einzelnen Rechner. Um zukünftig alle Internet-Services des ZID auch über IPv6 anbieten zu können, musste für die Uni Wien ein ausreichend großer Adressbereich reserviert werden. Die Internet-Standards2) sehen hier für jeden Endkunden (auch für jeden Heimanwender mit Internetanbindung über Modem/ISDN, Kabel oder DSL) ein so genanntes /48-Prefix3) vor. Aufgrund ihrer rund 13000 Fernzugänge bekam die Universität Wien im Sommer 2004 den Adressbereich 2001:62a::/31 zugewiesen, aus dem der Bereich 2001:62a:4::/48 für das reguläre Datennetz (LAN) der Universität verwendet wird. Nachdem die wichtigsten Netzwerkkomponenten im Uni-LAN bereits IPv6 unterstützen, kann somit die gesamte Universität mit einer IPv6-Internetanbindung versorgt werden. Dies erfolgt über dieselbe LAN-Infrastruktur, über die auch IPv4 betrieben wird (Dual Stack). Dadurch ist es ohne zusätzliche Hardware möglich, Rechner gleichzeitig mit IPv4 und IPv6 zu versorgen.

Klienten

Die Zuweisung von IPv6-Adressen an die Arbeitsplatzrechner erfolgt derzeit mittels Stateless Autoconfiguration. Diese Methode wird inzwischen von allen gängigen Betriebssystemen unterstützt und hat den Vorteil, dass die Verteilung sehr einfach und ohne manuelle Konfigurationsänderungen des PCs funktioniert (Plug & Play). Die auf solche Weise vergebenen IPv6-Adressen werden nach der Norm EUI64 gebildet und enthalten daher auch die MAC-Adresse des jeweiligen Rechners, was die Fehlersuche bei Problemen erheblich erleichtert. Einzig die Eintragung von DNS-Namen zu den IPv6-Adressen ist bei Arbeitsplatzrechnern auf Grund des administrativen Aufwands derzeit nicht vorgesehen.

Zu beachten ist, dass sehr viele Internet-Applikationen IPv6 bevorzugen, sobald dieses Protokoll am betreffenden PC aktiviert wurde. Das kann mitunter zu Fehlern führen, wenn die Zieladresse nur über IPv4 erreichbar ist. Für erste Versuche mit IPv6 steht das Datentankstellen-Netz des ZID zur Verfügung. In diesem Netz erhält man - ebenfalls über Stateless Autoconfiguration - neben einer IPv4- auch eine IPv6-Adresse zugewiesen und kann nach erfolgter Anmeldung die IPv6-Verbindung ins Internet testen.

Server des ZID

Der erste Schritt beim Aufbau eines IPv6-Netzwerks ist es, das Nameservice (DNS) IPv6-fähig zu machen. Dies umfasst neben dem Eintragen von IPv6-Adressen in das DNS - was ausschließlich von der Software der Nameserver abhängig ist und auf allen DNS-Servern des ZID bereits seit geraumer Zeit unterstützt wird - auch die Erreichbarkeit der Nameserver via IPv6. Letzteres wurde sowohl für die Nameserver der Uni Wien als auch für zwei DNS-Server der .at-Topleveldomain im Sommer 2004 realisiert. Diese Nameserver sind seither unter folgenden IPv6-Adressen erreichbar:

  • für .at:
    NS2.UNIVIE.AC.AT     2001:628:453:4302::53
    NS-US1.NIC.AT        2001:4f8:4:b::202
  •  
  • für die Domain univie.ac.at (mit allen Subdomains):
    NS3.UNIVIE.AC.AT     2001:62a:4:303::53
    NS4.UNIVIE.AC.AT     2001:62a:4:304::53
    NS5.UNIVIE.AC.AT     2001:628:402:1:204:acff:fede:2319

Die Server NS3.UNIVIE.AC.AT und NS4.UNIVIE.AC.AT sind innerhalb des Uni-LAN auch als rekursive Nameserver über IPv6 verwendbar. Damit ist für IPv6-fähige Rechner im Datennetz der Universität Wien im Prinzip keine parallele IPv4-Verbindung mehr nötig; alle Schlüsselfunktionen des Netzwerks werden von der IPv6-Infrastruktur unterstützt.

Nachdem nun alle wesentlichen Grundvoraussetzungen für den Betrieb von IPv6 gegeben sind, wird der ZID sukzessive alle Services, bei denen dies möglich ist, auch über das neue Protokoll anbieten. Bereits seit Sommer 2004 ist der Server FTP.UNIVIE.AC.AT über IPv6 erreichbar. Seit November 2004 verfügen auch die drei primären Mail-Exchanger für die univie.ac.at-Adressen über eine IPv6-Verbindung. Dadurch können von außen einlangende eMail-Nachrichten auch via IPv6-Transport zugestellt werden, was sich dann in der entsprechenden Received:-Zeile des Mail-Headers widerspiegelt - z.B.:

Received: from erasmus.terena.nl
(TERENA-tunnel-ipv6.Customer.surf.net [IPv6:2001:610:ff:5::2])
by mx1.univie.ac.at (8.12.10/8.12.10) with ESMTP id j0I8wNdT032167;
Tue, 18 Jan 2005 09:58:25 +0100 (CET)

IPv6 für Institute

In Instituts-Subnetzen kann IPv6 auf Wunsch des jeweiligen Instituts aktiviert werden. Die technischen Voraussetzungen hierfür sind im Wesentlichen dieselben wie für die Institutsfirewall und das DHCP-Service (siehe www.univie.ac.at/ZID/datennetz/). Sobald die IPv6-Anbindung existiert, ist es selbstverständlich auch möglich, die Institutsserver mit IPv6 zu betreiben. Für diese werden die IPv6-Adressen vom ZID direkt vergeben (kein EUI64) und in das DNS eingetragen, damit die Server auch bei einer Änderung der MAC-Adresse weiterhin unter derselben IP-Adresse erreichbar sind. Bei Servern ist natürlich besonders darauf zu achten, dass auch für IPv6-Zugriffe entsprechende Security-Maßnahmen getroffen werden müssen (Firewall usw.), um Angreifern keine "Schleichwege" in den vermeintlich sicheren Rechner zu bieten.

Bei Interesse bzw. Fragen wenden Sie sich bitte an die eMail-Adresse netzwerk.zid@univie.ac.at.

 

 

1) Hintergrundinformationen zu IPv6 und den entsprechenden Projekten des ZID finden Sie im Artikel IPv6 - Das Internetprotokoll der nächsten Generation (Comment 03/1).

2) siehe RFC 3177

3) Das sind 1.208.925.819.614.629.174.706.176 (= 280) IP-Adressen