IPv6

Ziel der IPv6-Unterstützung ist es, dass das neue Internet-Protokoll im wesentlichen nicht anders behandelt wird, wie die Vorgängerversion IPv4.

Momentan gibt es keinerlei Zwang von Seiten des RRZE gegenüber Teilnehmern im Netz der FAU IPv6 zu verwenden! Allerdings ist zu beachten, dass bereits viele Endbenutzer-Systeme aggressiv versuchen IPv6 zu aktivieren. Es liegen dem RRZE nur begrenzte Möglichkeiten vor dies zu unterbinden. Außerdem kann, in nicht allzu ferner Zukunft, ein Zwang von außen auftreten, indem Teile des Internets nur noch per IPv6 erreichbar sind.

Eckpunkte der IPv6-Unterstützung in den Netzen der FAU

Für die Nutzung der IPv6-Anbindung der FAU, insbesondere in den vom RRZE direkt verwalteten Bereichen 2001:638:a000::/48 und fd00:638:a000::/48, gelten spezielle Vorgaben und Empfehlungen:

  • In der Regel wird jedem IPv4-Netz, auf dem auch IPv6 unterstützt werden soll, genau ein IPv6-Netz, hier auch Präfix genannt, zugeordnet.
  • Autokonfiguration bzw. SLAAC wird im Netz der FAU generell nicht mehr angeboten (im Sinne einer „managed infrastructure“). Adresszuweisungen bitte daher wie bisher statisch oder künftig auch per zentralem DHCPv6-Dienst (momentan in der Testphase, d.h. auf Anfrage). IPv6-Zugang zum Internet/Intranet wird auf diese Weise nur bei Geräten aktiviert, denen explizit eine Adresse zugewiesen wurde.
    Bitte beachten Sie: IPv6 ist im lokalen Netzwerk oft schon mit sogenannten Link-Local-Adressen automatisch aktiv! Moderne Betriebssysteme aktivieren dies automatisch. Ein Zugriff auf das Internet oder andere Netze der FAU (Intranet) ist damit jedoch nicht möglich!
  • Das Standardgateway ist netzübergreifend und Campus-weit für normale Subnetze immer die Link-Local-Adresse fe80::1. Diese wird (unabhängig vom deaktivierten SLAAC) auch per Router Advertisements bekannt gemacht, d.h. die meisten Klienten lernen – im Gegensatz zu Ihrer Adresse – ihr Standardgateway automatisch.
  • Jeder Host muss wie bisher schon mit seiner IPv4-Adresse auch mit seiner IPv6-Adresse im DNS gemeldet sein.
  • Die untersten 15 Adressen im IPv6-Netz, d.h. ::1 bis ::F bitte freilassen und nicht belegen (das sollte bei IPv6 vertretbar sein).
  • Die weitere Adressvergabe im Netz ist freigestellt, wir empfehlen aber die Einbettung der IPv4-Adresse. Dies bietet die größtmögliche Transparenz. Beispiele:
    • IPv4 Adresse dezimal eingebettet: 2001:638:a000:XYZ:131:188:17:147
    • IPv4 Adresse hexadezimal eingebettet: 2001:638:a000:XYZ::83bc:1193
    • Aufsteigend nummeriert: 2001:638:a000:XYZ::[10,11,12...]
  • Die FAU-DNS-Server sind auch per IPv6 erreichbar:
    2001:638:a000:1053:53::1 (dns1)
    2001:638:a000:1053:53::2 (dns2)
  • Wie auch bei IPv4 ist bei IPv6 für die meisten Anwendungsfälle die Verwendung von privaten Adressen empfohlen, bei IPv6 Unique Local Addresses (ULA) genannt.
    • Das an der FAU verwendete ULA-Präfix ist fd00:638:a000::/48.
    • Der Zugang zum Internet ist analog zu IPv4 über Network Address Translation (NAT) möglich.
    • Verbindungen innerhalb der FAU finden ebenfalls analog zu IPv4 direkt mit den ULA-Adressen über Routing statt.
  • Dienstleistungen wie ACL, DNS, DHCP sind wie gewohnt auch bei IPv6 über die regulären Kanäle (, , ) erreichbar. Die Netze, bzw. Präfixe, werden auch weiterhin vom DNS-Admin verwaltet.

DHCPv6

Ein Problem bei DHCPv6 entsteht dadurch, dass der DHCP-Server eine feste Zuteilung von Maschine zu IP-Adresse vornehmen soll („Managed Infrastructure“). Dies ist bei DHCPv6 laut Standard nur dadurch möglich, dass eine sogenannte DHCP Unique Identifier (DUID) verwendet wird. Diese DUID wird vom Betriebssystem erzeugt und an den DHCP-Server gemeldet, damit dieser der Maschine die korrekte IP-Adresse zuordnen kann. Leider fällt somit eigentlich die Verwendung der MAC-Adresse als eindeutiges Merkmal der Hardware weg.

Zum Glück gibt es jedoch (wohl auf Grund massiver Beschwerden) ein Verfahren, das die DUID direkt auf Basis der MAC-Adresse bildet (DUID Based on Link-layer Address, aka DUID-LL). Die von uns verwendete DHCP-Server-Software lässt damit Einträge zu, die auf MAC-Adressen basieren.

Ein Problem bleibt leider: Der Client muss das Verfahren auch verwenden. Aktuelle Windows-Versionen tun dies normalerweise automatisch und auch unter den verschiedenen Linux-Distributionen nimmt anscheinend die Verwendung derartiger DUID als Default zu.

Die Ungewissheit, wie sich die Clients nun in welchen Situationen wie genau verhalten, ist der Hauptgrund, weswegen wir den Dienst als in der „Testphase“ bezeichnen. Es fehlen schlicht Erfahrungswerte.