Fragen zur Schulung:
Frau Evelyn van Haastert/ Hotline:
+49 711 219 5093-0
Fachliche Kursfragen:
Herr Morris Görke
Technologie & Umsetzung
Erläuterung: Öffentliche IPv6-Adressen für Ihr Unternehmen
Das Internet Protokoll Version 6 (IPv6) ist seit über 10 Jahren im Internet aktiv im Einsatz und befindet sich momentan bei den meisten Unternehmen in der Planungs- oder Einführungsphase für das LAN.
Damit unnötige Kosten und Aufwände bei der Einführung und dem Betrieb von IPv6 vermieden werden, sollten Sie während der Planung ein flexibles und zukunftsfähiges IPv6-Adresskonzept zu entwickeln, und je nach Unternehmensgröße vom Provider unabhängige IPv6-Adressen verwenden.
In dem nachfolgenden Beitrag erfahren Sie, wie Sie für Ihr Unternehmen an öffentlichen und vom Provider unabhängigen ("PI", "provider independent") IPv6-Adressen gelangen.
Es gibt grundsätzlich zwei verschiedene Methoden, um öffentliche IPv6-Adressen für Unternehmen zu erhalten:
1. IPv6-Adresse werden vom Provider (dynamisch oder statisch) zugewiesen (für Privatkunden)
2. Sie nutzen vom Provider unabhängig IPv6-Adressen (PI IPv6-Address-Space) (für Unternehmenskunden)
01
IPv6-Adressen vom Provider erhalten
Für Privatkunden und kleinere Unternehmen ist es der übliche und einfachste Weg, die IPv6-Adressen während der Nutzungsdauer vom Provider zu erhalten. Der Provider wird aus seinem, durch die „Regional Internet Registry” (abgekürzt RIR, in Europa: RIPE NCC) zugewiesenen, öffentlichen IPv6-Adressbereich (PA-Space, „provider aggregatable”) ein IPv6-Subnetz für Sie reservieren und bereitstellen.
Dieser IPv6-Adressbereich läuft auf den Namen des Providers und kann nur über diesen geroutet werden.
Je nach Dienstleistung und Art des Providers wird Ihnen dieses IPv6-Subnetz entweder auf Ihre Hosting-Umgebung oder auf Ihren Internetzugang geroutet und kann dort verwendet werden. (Privatkunden profitieren an ihrem Internetanschluss ebenfalls von der automatischen IPv6-Adresszuweisung. Allerdings wird in diesem Fall ein minimaler IPv6 Bereich mit 64 Bit Netzanteil und nur während der Nutzungsdauer vergeben und zudem nicht in einer zentralen Datenbank (RIPE) hinterlegt.
Der Vorteil dieser einfachen Lösung ist, dass Sie kein besonderes Routing-Equipment benötigen und nicht direkt mit dem RIPE NCC in Kontakt stehen müssen. Finanziell und technisch ist diese IPv6 Lösung scheinbar mit dem geringsten Aufwand verbunden und wird daher besonders von kleineren Unternehmen bevorzugt.
Der Nachteil dieser vom Provider abhängigen Lösung ist, dass der IPv6-Adressbereich (Präfix) jeweils aus dem Provider „PA-Space” stammt, und Sie bei einem Provider-Umzug oder bei einem sonstigen Verlust des Internetzugangsanbieters komplett auf ein anderes IPv6-Netz umadressieren müssen.
Ein vom Provider zugewiesenes „PA” IP-Netz kann nicht zu einem anderen Provider mitgenommen werden, da die IP-Adressbereiche der Kunden immer Teilmengen des jeweiligen Providernetzes sind: eben PA-space, „provider aggregatable”.
Außerdem besteht später keine Möglichkeit des BGP-Multihoming (Border Gateway Protocol), also Ihr IPv6-Netz redundant über verschiedene Provider im Internet zugänglich zu machen.
Für mittlere und größere Unternehmen sind diese vom Provider abhängigen IPv6-Adressen damit praktisch nicht zulässig, da sie wirtschaftlich und technisch unvernünftig sind.
Selbst wenn es keine Notwendigkeit zum Wechsel des Providers gibt, so ist ein Wettbewerb zwischen den Providern fast nicht mehr möglich: Die hohen Migrationskosten für das Umadressieren hin zu einem anderen IPv6-Netz verhindern praktisch ein Providerwechsel. Die Provider sind sich dieser für sie jeweils komfortablen Wettbewerbsposition bewusst.
Übrigens, bei IPv4 ist die Situation auf Grund NAT in den meisten Fällen unkritisch. Innerhalb der Unternehmen werden private (RFC 1918) IPv4-Adressen verwendet. Diese werden am Netzübergang zum Provider per NAT dynamisch in (wechselnde) öffentliche Provideradressen geändert.
Dieser Mechanismus ist bei IPv6 nicht vorhanden.
Providerunabhängige IPv6-Adressbereiche: Ideal für Unternehmen
Die übliche und kluge Alternative für mittlere und größere Unternehmen und für kleine Unternehmen mit eigenen Webdienstleistungen ist ein vom Provider unabhängiger IPv6-Adressbereich (PI-Space, „provider independent”).
Diese IPv6-Adressen (und IPv4-Adressen) werden über eine Local Internet Registry (LIR) Ihrer Wahl beantragt.
Diese so beantragten IPv6-Netze werden Ihnen letztendlich von der RIPE (in Funktion als „RIR”) zugewiesen und über einen "Sponsoring LIR" an Sie verteilt. Der LIR ist Ihre Schnittstelle zum RIPE NCC und kümmert sich um die technischen und administrativen Belange zwischen Ihnen und der RIPE und verwaltet zudem Ihre so genannten „resources”.
(Weitere Informationen über die Rolle des RIPE "Sponsoring LIR" finden sie hier.)
Die Vorteile dieser Lösung:
-
Sie verfügen über einen IPv6-Adressbereich, der Ihnen namentlich bei der RIPE zugewiesen ist und mit dem Sie unabhängig vom Internet- oder Hostingprovider / ISP sind.
-
Sie können flexibel und redundant die Anbindung an das Internet, zu Cloudservices zu anderen Firmenstandorten realisieren.
-
Ihr IPv6-Netz kann weltweit von verschiedenen Providern announced werden. Das bedeutet, Sie können hochverfügbare IPv6-Anycast oder Mulithominglösungen mit Ihrem IPv6-Adressbereich realisieren. Damit sind Sie unter anderem gegen Störungen und Ausfällen bei einem Ihrer Provider geschützt. Ebenso können sie bei Bedarf ihre Data Center über ihre öffentlichen IPv6-Adressbereiche redundant anbinden.
Für eine „PI-Allocation” (PI = „provider independent”) muss von der LIR über das LIR-Portal der RIPE https://lirportal.ripe.net ein IP-Adressbereich angefordert werden. (Größere LIRs nutzen zur Ressourcenverwaltung statt des Webportals eine bereitgestellte API der RIPE.)
Die Zuteilung des im Internet kleinstmöglichen PI - IPv6-Präfix mit einer Präfixlänge von /48 (Netzwerkanteil der IP-Adresse von 48 Bit) erfolgt in der Regel in maximal 2 Wochen. Eine weitere Argumentation und das Einreichen von Netzplänen oder Adresskonzepten ist bei dieser (geringen) Netzgröße gegenüber der RIPE nicht notwendig.
Bei einem IPv6-Netz mit einer Maske von 48 Bit stehen ihnen bereits 16 Bit für den eigenen Netzanteil und damit 65.536 IPv6-Adressbereiche zur Verfügung.
In Summe können sie theoretisch 1208925819614629174706176 eigene vom Provider unabhängige IPv6-Adressen nutzen.
Diese (theoretische) Anzahl an IP-Adressen in ihrem Unternehmen ist um ein Vielfaches höher, als es mit IPv4 jemals weltweit möglich war!
Für IPv6-Netze mit einem Präfix kleiner /48 (das Präfix, also die Anzahl der festgesetzten Bits, wird zahlenmäßig kleiner, der Netzbereich wird damit höher) werden von der RIPE bei der Antragstellung in den meisten Fällen IP-Adresskonzepte und Begründungen eingefordert.
Üblicherweise erfolgt die Bereitstellung von RIPE Ressourcen über eine LIR.
Übrigens, die LIR kann zu jedem Zeitpunkt problemlos gewechselt werden, da alle RIPE Ressourcen namentlich Ihrem Unternehmen zugeordnet. Wir als "Sponsoring LIR" sind lediglich die treuhändischen Verwalter der IP-Adressbereiche und anderer RIPE Ressourcen.
2.1. Routing der IPv6-Netze
Nachdem Ihnen Ihr IPv6-Adressbereich bereitgestellt wurde, wird dieser IPv6-Bereich im Internet bekannt gegeben.
Dazu wird der IPv6-Adressbereich dynamisch über das Routingpprotokoll BGP dem Internet mitgeteilt (announced, propagiert), oder er wird statisch über Ihren Internetprovider bzw. Leitungscarrier geroutet.
Für diese technische Dienstleistung ist mit ihrem Carrier oder ISP eine separate und oft standardisierte Vereinbarung zu treffen.
Routen Sie Ihren IPv6-Adressbereich dynamisch per BGP (Border Gateway Protocol), benötigen Sie zudem noch eine AS-Nummer (Autonomous System Number) mit der sich jedes IP-Netz (BGP-Routingdomäne) im Internet bekannt gibt.
Die AS-Nummern stellt der Sponsoring LIR ebenso über die RIPE bereit.
Zudem benötigen Sie BGP-Router, um erfolgreich am dynamischen Internet-Routing teilzunehmen.
Frage:
Sollen PI IPv6 Adressen auch im LAN verwendet werden?
Antwort:
Ja. Wir empfehlen Ihnen, im LAN als interne IPv6 Adressen ebenfalls die öffentlichen PI "provider independent" Adressen z verwenden. Andernfalls werden Sie später zu einer Neu-Adressierung gezwungen.
Dieser Einschätzung folgen fast alle mittleren und großen Unternehmen. Zudem wird das NAT ("Network address translation") vermieden. (Die RFC 5902 bespricht dieses Thema weiterführend.)
2.2. Zusammenfassung providerunabhängiger IP-Adressbereich
Sie benötigen für IPv6 PI-Space grundsätzlich die zwei der oben beschriebenen Dienstleistungen:
-
Einen Vertrag mit einer Sponsoring LIR (der Schnittstelle zur RIPE), um einen IPv6-Adressbereich und andere RIPE Ressourcen zu erhalten.
-
Eine Vereinbarung mit Ihrem Leitungscarrier / ISP, diesen IPv6-Adressbereich für Sie im Internet dynamisch per BGP oder statisch zu routen.
Zur Minimierung der Abhängigkeit vom Provider und zur Realisierung von komplexen Internet-Projekten ist diese providerunabhängige Adresszuteilung alternativlos.
Zudem minimiert diese Unabhängigkeit Kosten, da der bestehende Provider keine Monopolstellung bei Ihnen auf Grund der
tief integrierten IP-Adressen hat.
Wir beraten Sie als IT-Netzwerkspezialist und als RIPE-Partner zur Bereitstellung Anwendung von öffentliche IPv6-Adressen.
Wir empfehlen Ihnen einen Workshop, an denen wir die technischen Sachverhalte darstellen, und die wirtschaftlich passende Lösung erarbeiten.
Zur Beantragung von öffentlichen IPv6-Adressen nutzen Sie unseren Link:
Öffentliche IPv6-Adressen beantragen
Für Ihre weitere Anfrage nach einem Workshop oder eigenen und vom Provider unabhängigen IPv6-Adressen für Ihr Unternehmen nutzen Sie bitte das Kontaktformular, senden uns eine E-Mail an lir@iternas.com oder rufen uns an!
IPv6 und skalierbares Internetrouting gehörhen zu unseren Lieblingsthemen. Daher freuen wir uns sehr auf Ihre Kontaktaufnahme.
02
Die iternas GmbH ist RIPE NCC-Mitglied und LIR (Local Internet Registry). Zudem sind wir eines der größten RIPE-Vertragspartner für die Vergabe und Betreuung von RIPE "ressources" und öffentlichen IPv6-Adressen im Speziellen.
Wir beraten Sie zu Ihren IPv4 & IPv6 redundanten, skalierbaren und sicheren Internet-Projekten.
In der Funktion als RIPE LIR beantragen wir für Sie und in Ihrem Namen offizielle (PI, provider independent) IPv6-Adressen, aktuell 48 Bit Präfixe (/48).
Die Zuweisung von „RIPE Ressourcen” erfolgt über einen LIR. Als RIPE LIR übernehmen wir die gesamte Steuerung und sorgen für zuverlässige providerunabhängige IPv6-Adressen.
(Weitere RIPE Ressourcen, wie BGP AS-Nummern, betreuen wir ebenfalls.)
Weiterführende Links zu unseren IPv6-Themen:
Wenn Sie technische IPv6-Informationen oder andere IPv6-Themen suchen,
so folgen Sie diesen Links:
Öffentliche IPv6-Adressen beantragen
Die IPv6-Seite mit grundsätzlichen technischen Informationen zu IPv6
Der iternas Blog mit Einträgen rund um IPv6
Kennen Sie schon:
Unseren (und weltweit ersten) IPv6-Kaffee!
(Nur so lange der Vorrat reicht und vorbehaltlich Lieferung.)
Zudem verfügen wir über erfahrene IPv6-Spezialisten und planen, managen oder unterstützen Ihre IPv6-Migration im Unternehmen.
Auf das Gespräch mit Ihnen freuen wir uns!