Reflexion: IPv6-Präfixe für weltweit tätige Unternehmen

Kommentieren Drucken

Im Netzwerk-Insider Artikel „IPv6 Adresse: die Qual der Wahl“ vom April 2012 werden die verschiedenen Arten globaler IPv6 Adresspräfixe vorgestellt und hinsichtlich ihrer Einsatzszenarien bewertet. Ein Aspekt ist dabei nur am Rande angesprochen worden, der jedoch immer wieder zu Nachfragen und Debatten führt: der Einsatz von IPv6 in mehreren geographischen Regionen.
In diesem Artikel fasse ich meine Gedankengänge und bisherigen Rechercheergebnisse zusammen. Am Ende stelle ich die Frage, ob überhaupt ein einziges, weltweites Präfix pro Unternehmen sinnvoll ist.
Der Leser ist herzlich eingeladen, seine eigene Ideen oder auch Kritiken zu schreiben. Über eine lebhafte Diskussion würde ich mich freuen.

In dem Netzwerk Insider Artikel schreibe ich pointiert:

„Weltweit tätige Unternehmen benötigen somit für jede Internetregion eine eigene PI. Es ist nicht erlaubt, mit einer IPv6-Adresse aus dem Bereich des RIPE NCC in Asien „ins Internet zu gehen“.

Daraus ergibt sich bei weltweit tätigen Unternehmen meist folgende Diskussion, wie sie hier von einer Leserin gut auf den Punkt gebracht wurde:

„Gerade diesen Punkt diskutieren wir […] intern momentan: brauchen wir von allen fünf RIRs Adressen, oder können wir nur Adressen von RIPE bekommen und die dann weltweit nutzen?

Wir haben viele Personen gefragt (RIPE, ARIN, Cisco, HP, …), aber keine klare Antwort bekommen. […] Die Antworten, die wir von den anderen bekommen haben, gehen Richtung „ja, eigentlich sollte man 5 Präfixe nutzen, aber es funktioniert auch mit nur einem, also sparen Sie sich den ganzen Aufwand um fünf zu bekommen“.“

Was ist von dieser letzten Aussage zu halten und:

Worauf stütze ich meine Aussage?

Die schlechte Nachricht zuerst: Eine verbindliche Quelle habe ich auch bislang nicht gefunden, bin aber für sachdienliche Hinweise sehr dankbar. Der zitierte Absatz entstammt einem Vortrag des RIPE NCC im vergangenen Jahr, allerdings dort auch nur auf der Tonspur. Damals habe ich den Referenzen (zwei) dieselbe Frage gestellt, da ich auch Klarheit haben wollte. Sinngemäß war das weiter oben ihre Antwort, jedoch mit vielen Wenns und Abers und unter Vorbehalt einer jederzeit möglichen Änderung der Policy durch das RIPE.

Gibt es nun etwas Verbindliches in Schriftform?

Gefunden habe ich auch nichts, was kurz, eindeutig und obendrein noch gültig ist. Eher im Gegenteil: Eine verbindliche Regel gibt es nicht, denn es gilt immer noch die RIPE Policy „RIPE Routing Working Group Recommendations on Route Aggregation“. (vgl. http://www.ripe.net/ripe/docs/ripe-399)
Dieses Dokument regelt die Vergabe von IP Adressen durch das RIPE NCC. Und dort heißt es wörtlich in Kapitel 4.1 „What is Deaggregation?“

„The RIRs allocate address space to ISPs in blocks, with the expectation that these blocks are announced to the Internet unaltered. It should be noted that the RIRs have no rules about how this address space should be announced to the Internet. The industry considers it improper for the RIRs to tell ISPs how to announce address space.“

Das ist der Grund, warum man aktuell von niemandem eine klare Antwort bekommt. Dieser Absatz besagt nämlich Folgendes: wenn man überall auf der Welt einen ISP findet, der bereit ist, den „eigenen“ Adressblock zu routen, dann können die RIRs nichts dagegen unternehmen. Sie vergeben nur die IP Blöcke, aber kontrollieren nicht das Routing. Absatz 7.6 weitet das von IPv4 auf IPv6 aus.

Insofern könnte man mit einem einzigen IPv6 Block arbeiten. – So scheint es.

Jetzt kommt das „Aber“

Weltweit kann man nicht mit einer einzigen ISP Adresse arbeiten, vielmehr braucht man eine PI (Provider Idependent) Adresse. Schließlich ist es ja gerade das Ziel, in unterschiedlichen Regionen Internetanschlüsse bei verschiedenen Providern zu haben.
Damit hat man aber schon das erste Problem: providerunabhängige IPv6 Adressen gibt es nur bei den RIRs. Als Unternehmen, Behörde, noch nicht mal als Nation kann man zum IANA gehen und einen Präfixblock bekommen. Damit ist aber jeder IPv6 Block automatisch einer Region zugeordnet.
Nun kann man natürlich auf die Idee kommen, sich bei einem der fünf RIRs eine PI zu besorgen und seine Provider weltweit davon zu überzeugen, diese für einen überall zu propagieren. Gemäß dem oben zitierten Artikel des RIPE können die RIRs nichts dagegen unternehmen.
Jetzt kommt die Stunde der Vergaberichtlinien von IPv6, der „IPv6 Address Allocation and Assignment Policy“ (vgl. http://www.ripe.net/ripe/docs/ripe-545)
Diese Policy sichert den RIRs, oder in diesem Fall zumindest dem RIPE, mehr Macht zu als es früher der Fall war. In Kapitel 4.1 „Address space not to be considered property“ gibt es eine sehr interessante Klarstellung. Wie der Titel schon nahe legt, „gehört“ einem ein IPv6 Block nicht. Man bekommt ihn nur noch geliehen und das auch nur auf Zeit und unter Bedingungen. Diese Bedingungen können sich auch noch ändern, so dass eine Verlängerung des Leasingvertrages durchaus an den neuen Bedingungen scheitern kann:

„Note that when a license is renewed, the new license will be evaluated under and governed by the applicable IPv6 address policies in place at the time of renewal, which may differ from the policy in place at the time of the original allocation or assignment.“

Was also sind die aktuellen „Policies“ in Hinblick auf die Weltweit-nur-1-Präfix-Idee?

In Kapitel 3.4 „Aggregation“ heißt es:

„Wherever possible, address space should be distributed in a hierarchical manner, according to the topology of network infrastructure. […]
IPv6 address policies should seek to avoid fragmentation of address ranges.“

Jedes weltweit tätige Unternehmen, das dasselbe Präfix in unterschiedlichen Regionen nutzt und „direkt“ ins Internet geht, durchkreuzt diesen Plan. Schließlich wird das Präfix in Subnetze aufgespaltet und diese Sub-Präfixe sollen dann in unterschiedlichen Regionen auftauchen.
Allerdings steht dort „should“ und das gleich zwei Mal. Ein Verbot ist es also nicht, aber für ein flaues Gefühl im Magen sorgt es schon. Insbesondere wenn man bedenkt, dass aus dem „should“ in Zukunft ein „must“ werden kann. In Kombination mit der Möglichkeit des RIPE, NCC Adressen wieder einzuziehen, wenn sich die Policy ändert, ist es sogar mehr als nur ein flaues Gefühl.

Schlimmer noch: es gibt schon ein „must“, das gegen den weltweiten Einsatz eines Präfixes spricht. Das befindet sich in Kapitel 4.2 „Routability not guaranteed“:

„However, RIRs must apply procedures that reduce the possibility of fragmented address space which may lead to a loss of routability.“

Aus diesem Absatz lässt sich durchaus ableiten, dass sich das RIPE bereits heute vorbehält, Adressen zu kassieren, wenn auch nur die Möglichkeit besteht, dass Routingtabellen zu lang werden könnten. Also ziemlich genau das, was passiert, wenn man einen Adressblock aufsplittet und rund um die Welt verstreut. – Genau an diesem Gießkannenprinzip krankt die weltweite Verteilung von IPv4-Adressen bis heute.

Fazit

Zusammengefasst stehe ich zu der Aussage aus meinem Artikel, auch wenn ich zugebe, dass sie verkürzt und zugespitzt formuliert ist. Aber meine klare Empfehlung bei Fällen wie diesem ist, mit einer PI pro Region zu arbeiten. Es mag sein, dass man aktuell mit einer PI „durch kommt“. Aber das kann einem auch morgen schon um die Ohren fliegen, wenn die RIRs die Regeln verschärfen. Die Mittel, diese durchzusetzen haben sie dank des Leasings ja nun.

Anregung

Eine Anregung von mir als Argumentationshilfe: warum den Spieß nicht einfach umdrehen? Sollen sich doch diejenigen rechtfertigen, die für die 1-Präfix-Politik stehen und erklären, was so gut daran ist.
Aus meiner Sicht gibt es eigentlich nichts, was für ein einziges spricht.

  1. Für ein Präfix pro Region spricht, dass man im internen Netz mit der kontinentalen Aggregierung arbeiten kann.
    Das macht

    1. das Design übersichtlicher und einfacher (da schon vorstrukturiert),
    2. die Routingtabellen kürzer,
    3. die Konvergenz im Rerouting-Fall schneller,
    4. die Routing-Fehler-Domains kleiner,
    5. die Delegation von Verantwortlichkeiten möglich (jede Region kann unabhängig von der Zentrale agieren).
  2. Ferner hat man automatisch „mehr“ IP Subnetze und damit einen höheren Grad an designerischer Freiheit.
  3. Außerdem ist es im Fehlerfall von Vorteil, wenn man bei den komplexen IPv6 Adressen auf den ersten Blick erkennen kann, aus welcher Region eine Adresse stammt und nicht erst den Subnetz Anteil „suchen“ muss.
  4. Auch ist man nicht der Gnade sämtlicher beteiligter ISPs ausgeliefert, dass diese ein Präfix einer fremden Region zu routen. Das wiederum reduziert den Verwaltungsaufwand.

Es ist mit Sicherheit einfacher, 5x eine PI zu beantragen und dann nur noch zu verlängern, als bei jedem Provider und jedem Providerwechsel die Diskussion der Region-fremden PI zu führen und entsprechende Servicekontrakte abzuschließen.

Was für ein einziges Präfix spricht, weiß ich nicht. Ich gebe zu, auch wir hatten diesen Gedanken ursprünglich, zumal wir bei IPv4 auch ein eigenes Class B Netz haben. Aber nach einiger Diskussion kam dabei raus, dass es eigentlich nur dieses „Bauchgefühl“ ist: „unsere IP Adresse“. Und bei IPv4 stimmte das in unserem Fall auch, da sie noch vom IANA selbst kommt (in den 80er Jahren beantragt). Für IPv6 stimmt das aber eben nicht mehr: egal woher, es gibt nur eine geliehene Adresse.
Höchstens die Leasinggebühren könnten ein Argument sein. Beim RIPE NCC beliefen sie sich im letzten Jahr auf 50 Euro Mitgliedsgebühren. Ob das noch aktuell ist, kann ich nicht sagen. Aber ich denke eine Firma, die in mehreren Internetregionen Standorte hat, wird das verschmerzen können.

zugeordnete Kategorien: IP und IPv6, LAN
zugeordnete Tags: , ,

Sie fanden diesen Beitrag interessant? Sie können



Anmerkungen, Fragen, Kommentare, Lob und Kritik:

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

.