IPv6 am KIT
IPv6 ist der Nachfolger von IPv4. Vorerst werden IPv6 und IPv4 am KIT parallel betrieben. Die allermeisten Hosts haben zunächst eine IPv6- und eine IPv4-Adresse.
Der IPv6-Dienst am KIT ist produktiv. Im authentifizierten Wireless LAN am KIT steht IPv6 zur Verfügung. Alle VLANs der Institute und Verwaltungseinheiten für den Festnetzzugang werden gerade sukzessive mit IPv6 ausgestattet. Das KIT ist Projektkoordinator im Baden-Württemberg-Projekt bwIPv6∂Academia.
IPv6 unterscheidet sich von IPv4 nicht nur in der Größe des Adressraums. Es wurden viele Neuerungen eingeführt. In den folgenden FAQ werden die wichtigsten Fragen beantwortet.
Für weitergehende Informationen verwenden Sie bitte die folgend verlinkten Folien:
Folien der Informationsveranstaltung „Netzwerk-Konfiguration mit IPv6 am KIT“
Häufig gestellte Fragen
Was genau ändert sich mit IPv6?
IPv6, also das Internet-Protokoll Version 6, bietet einen erweiterten Adressraum von 2128 Adressen, bzw. von 264 abgrenzbaren Teilnetzen. Im Gegensatz zu IPv4 mit seinen variablen Subnetzgrößen bietet ein Subnetz bei IPv6 immer genug Adressen für alle angeschlossenen Geräte, d.h. es muss nie vergrößert werden. Es wurden außerdem administrative und operative Vereinfachungen wie z.B. die zustandslose Adress-Autokonfiguration eingeführt. Ein Rechner muss eine IPv6-Adresse haben, um Server, die nur über IPv6 angebunden sind, erreichen zu können. Eine Adressumsetzung von IPv4- auf IPv6-Adressen ist nicht möglich.
Wie kann ich IPv6 am KIT nutzen?
Bei der Migration auf den neuen KIT-Core wurde IPv6 für alle VLANs aktiviert.
Bei meinem VLAN wurde IPv6 eingeführt, was muss ich beachten?
Im Wesentlichen: nichts. Lediglich, wenn Sie Ihr Subnetz oder Adressen aus diesem irgendwo zur Freischaltung genannt haben, kann es passieren, dass Sie Ihr neues IPv6-Subnetz dort nachmelden müssen. Dies ist genau dann der Fall, wenn das Ziel (wohin freigeschaltet ist) ebenfalls IPv6 spricht. Genauergesagt, wenn der Name, den Sie ansprechen auch mit einer IPv6-Adresse im DNS eingetragen ist.
Ist mein Rechner direkt von außen erreichbar?
Sowohl bei IPv4 als auch IPv6 sorgt die zentrale Firewall dafür, dass Dienste im KITnet nur nach expliziter Freischaltung von außen erreichbar sind. Innerhalb des KITnets existieren nur wenige Barrieren. Das heißt, dass ein Rechner im Allgemeinen von außen nicht erreichbar ist.
Sind Router-Advertisements aktiviert?
Ja. Das bedeutet, der Router versendet an alle Clients im Subnetz Informationen über das Default-Gateway. Es muss und soll auf Clients daher nicht manuell gesetzt werden. Das Gateway ist eine link-lokale Adresse aus dem Bereich fe80::/16 und ist nur in der Broadcast-Domäne / im VLAN gültig.
Erhalten meine Rechner automatisch eine IPv6-Adresse, wenn IPv6 in meinem VLAN aktiviert ist?
Standardmäßig aktivieren wir zustandslose Adress-Autokonfiguration (SLAAC). Hierbei wird über das Router-Advertisement auch das Präfix (Subnetz) bekannt gegeben und die Rechner konfigurieren sich selbst eine IPv6-Adresse. Hierbei gibt es immer eine stabile Adresse, die sich auch nach Neustart des Rechners nicht ändern. Diese kann in das DNS eingetragen werden. Die DNS-Resolver werden ebenfalls automatisch über Router Advertisments verteilt.
Statische IP-Adress-Konfiguration für Server
Auf Servern empfehlen wir allerdings wie bei IPv4, statische IP-Adressen zu konfigurieren. Wir haben in jedem Subnetz die Adressen <...>:: bis <...>::f für Netzwerkdienste reserviert. Die erste freie und benutzbare Adresse ist die <...>::10. Aus dem restlichen Adressraum können Sie eine beliebige Adresse auswählen.
Auch die DNS-Resolver sollten auf Servern statisch konfiguriert werden. Auf einem Server, der eine IPv6-Adresse hat, sollten nur die IPv6-Adressen der Resolver eingetragen werden. Die IP-Adressen der DNS-Resolver am KIT finden Sie auf unserer Übersichtsseite zu den DNS-Servern am KIT.
Nicht nur bei den Clients, sondern auch bei Servern kann das Gateway automatisch per Router Advertisement gesetzt und braucht dann nicht statisch konfiguriert werden. Dies hat aus unserer Sicht keine Nachteile. Um hingegen Server vollständig statisch zu konfigurieren, kann die erste Adresse im Subnetz als Default Gateway eingetragen werden, wie im DNSVS dargestellt. Im KIT-Core ist stattdessen auch in jedem VLAN fe80::1 als Default Gateway konfigurierbar.
Vorsicht: bei gleichzeitiger Auswertung des Router Advertisements und statischer Konfiguration des Gateways wurden unter Linux Probleme beobachtet. Es wird dringend empfohlen, auf Linux-Servern das Auswerten von Router Advertisements zu deaktivieren, wenn das Default Gateway statisch eingetragen ist. Dies ist in den oben verlinkten Folien beschrieben.
Wie kann ich IPv6-DNS-Einträge hinterlegen?
DNSVS-Bereichsbetreuer können IPv6-DNS-Einträge (AAAA/PTR) selbst erstellen. DNS-Einträge werden wie bei IPv4 alle zwei Stunden publiziert. Bei Fragen zum DNSVS wenden Sie sich bitte an dns-betrieb∂scc.kit.edu.
Gibt es eine Möglichkeit IPv6 ohne IPv4 zu betreiben?
IPv6 ist ein eigenständiges Protokoll, dass parallel zu IPv4 (Dual Stack) eingerichtet werden kann. Dienste, die noch nicht per IPv6 erreichbar sind, können so weiterhin per IPv4 erreicht werden. Soll auf die Einrichtung von IPv4 verzichtet werden, kann NAT64 als Übergangstechnologie genutzt werden. Zur Aktivierung des NAT64-Dienstes müssen auf einem System folgende Resolver eingetragen werden:
-
2a00:1398::64:1
-
2a00:1398::64:2
Das SCC stellt über wifi2vlan zwei VLANs zum Testen bereit. Bei der Einbuchung mit dem Realm "ipv6-only-dns64" werden automatisch die speziellen Resolver für NAT64 an das Endgerät gesendet. Der zweite Realm "ipv6-only" nutzt die Standard-Resolver des KIT. Eine Verbindung zu IPv4-Diensten ist hier nicht möglich.