German Unix User Group (GUUG)
Lokale Gruppen | sage@guug Karlsruhe | Treffen am 08.06.2004
http://www.guug.de/lokal/karlsruhe/2004-06-08/index.html
2017-12-15

Treffen am 08.06.2004

Unser 16. Treffen fand am Dienstag, den 08.06.2004 ab 18:00 Uhr in den Räumen der Firma WEB.DE statt. Über 90 Teilnehmer hatten trotz strahlenden Sonnenscheins den Weg zu uns gefunden, um die Vorträge über IPv6 von Benedikt Stockebrand und IPsec von Stefan Mink und Jens Kühlers zu hören.

Im Anschluß gab es die immer wieder beliebte Führung durch das Rechenzentrum von WEB.DE und den gemütlichen Abschluß im Biergarten der Festhalle Durlach.

Vielen Dank an die Vortragenden und an WEB.DE für das Sponsoring der Räume und Verpflegung.

Vortrag 1: IPv6: Mehr als ein größerer Adressraum

von Benedikt Stockebrand

Paper (PDF)

Die Diskussion, ob IPv6 tatsächlich nötig oder doch nur eine Spielerei von weltfremden Tekkies ist, wird fast ausschließlich um den vergrößerten Adressraum herum geführt, oft genug mit Pseudoargumenten, die stark an "640 KByte sind genug für jeden" (Bill Gates, 1981) erinnern. Dabei werden andere wichtige Verbesserungen, die IPv6 bietet, genauso vernachlässigt wie die Frage, welchen Nutzen dieser große Adressraum als solcher bietet.

Zwei große Vorteile von IPv6 sind vereinfachte Konfiguration und höhere Zuverlässigkeit:

Anders als ARP in Ethernet-basierten IPv4-Netzen verhindert IPv6 während der Konfiguration Adresskollisionen, während ARP blind darauf vertraut, daß die Netzwerkkartenhersteller jede Ethernet-Adresse nur einmal vergeben.

Mit den langen Adressen wird es praktikabel, die Subnetzgröße /64 fest vorzugeben. Innerhalb eines Subnetzes generiert IPv6 aus jedem gegebenen Netzwerk-Prefix, das es von einem erreichbaren Router erfragt, und seiner 48 Bit langen Ethernet-Adresse eine IPv6-Adresse. Auf DHCP oder statisch konfigurierte Netzwerkparameter kann IPv6 also verzichten.

Wenn Router mehrere Netzwerk-Prefixe verkünden, wird zu jedem Prefix eine IPv6-Adresse konfiguriert. Unkontrollierte DHCP-Server können deshalb keinem Rechner seine "richtige" Adresse überschreiben.

Routing-Informationen liegen ausschließlich auf den Routern. Normale Hosts schicken (etwas vereinfacht) alle Pakete, die sie nicht direkt ausliefern können, an den nächsten erreichbaren Router und brauchen deshalb keine eigene Routing-Konfiguration mehr.

Mit dieser automatisierten Konfiguration werden einige administrative Aufgaben erheblich einfacher, was interessante Möglichkeiten eröffnet:

Müssen in IPv6-Netzen die Adressen zum Beispiel bei einem Providerwechsel geändert werden, lassen sich im laufenden Betrieb die neuen als zusätzliche Adressen einrichten, so daß die alten Adressen allmählich "aussterben" können.

Network Appliances können so auch ohne technisches Know-How in Plug-and-Play-Manier in Betrieb genommen werden. Das senkt die gerne zitierte "Total Cost of Ownership" pro Netzkomponente und macht damit IP-Telefone, netzwerkgesteuerte Lichtschalter und Thermostatventile und viele andere Kleinigkeiten bei ständig sinkenden Hardwarekosten zunehmend interessant.

Einige neue Features wurden bei IPv6 sauber integriert, während sich die IPv4-Welt hier mit eingeschränkten Lösungen behelfen muß:

Mobile IP erlaubt es, auch bei ständig wechselnden Netzwerkverbindungen existierende TCP-Verbindungen nahtlos aufrechtzuerhalten. Egal ob ich mich mit meinem Notebook oder PDA nur von meinem Büro in einen Besprechungsraum bewege oder quer durch Deutschland fahre, ich muß mich nirgends ab- und anderswo wieder anmelden, muß nur soweit über Ethernet, DSL, UMTS, GPRS oder WLAN nachdenken, wie ich das Gerät physikalisch einstöpseln muß oder Performance-Fragen relevant sind.

Mit Ressource Reservation (RSVP) kann ich für einzelne Verbindungen Bandbreite reservieren und Quality-of-Service-Merkmale festlegen, womit IPv6 Aufgaben von spezialisierten Bus-Systemen übernehmen kann.

Ein letztes Scheinargument, das in der Diskussion um IPv4 oder IPv6 oft angeführt wird, ist die Behauptung, daß eine Migration zu aufwendig ist und man den Betrieb dafür nicht stillegen kann, obwohl IPv4 und IPv6 problemlos im gleichen Netz parallel zu betreiben sind und die IETF konsequent auf zuverlässige Migrationspfade geachtet hat.

Der Autor ist Dipl.-Inform. und freischaffender Systemarchitekt im Unix- und TCP/IP-Umfeld.

Er unterstützt IT-Projekte dabei, Software auf real existierender Hardware in real existierenden Rechenzentren in einen effizienten und zuverlässigen Betrieb zu nehmen, bringt die Infrastruktur von Rechenzentren auf den Stand der Technik und führt die IT-Bausünden der New Economy in die betriebwirtschaftliche Realität.

Neben den dabei relevanten technischen Themen, insbesondere Performance, Hochverfügbarkeit und Skalierbarkeit, interessiert ihn auch die dazugehörige Betriebsorganisation und die Schulung und das Coaching der Mitarbeiter im IT-Betrieb.

Wenn er sich nicht gerade mit IPv6 beschäftigt, tauchen geht oder mit dem Fahrrad Kontinente sammelt, ist er unter stockebrand@guug.de und http://www.benedikt-stockebrand.de/ zu erreichen.

Vortrag 2: IPsec-VPN in der Praxis

von Stefan Mink und Jens Kühlers

Vortragsfolien (PDF).

Da Techniker eine unglaubliche Affinität mit ihrem Arbeitsplatz entwickeln, und auch Nachts/am Wochenende auf ihre Schäfchen zugreifen wollen, hat sich bei Schlund+Partner der IPsec-VPN-Zugang von einem Test-Projekt zu einer nicht mehr wegzudenkenden Einrichtung entwickelt.

Der Vortrag wird eine kurze Einführung in IPsec-VPNs geben und danach zwei Evolutionsstufen unseres VPN-Gateways zusammen mir ihren Vor-/Nachteilen beschreiben. Darüberhinaus werde ich auch auf gängige Probleme im realen Umfeld und auf die Client-Seite eingehen (speziell auch unter Windows).

Der Autor Stefan Mink arbeitet seit 1999 bei Schlund+Partner im WAN-Bereich der Netzwerkabteilung und ist dort für Betrieb, Planung und Ausbau von AS8560 zuständig. Vorher jobbte er 4 Jahre im Rechenzentrum der Uni-KA als HiWi (NNTP/SMTP/IMAP).