The Cable GuyIPv6-Datenverkehr über VPN-Verbindungen
Joseph Davies
Wenn Sie mit der Bewertung der Rolle von Internetprotokoll Version 6 (IPv6) auf Ihrem Intranet und der Planung für die Bereitstellung beginnen, sollten Sie wissen, wie IPv6-Datenverkehr über Verbindungen im virtuellen privaten Netzwerk (Virtual Private Network, VPN) in Windows unterstützt wird. Mit VPN-Verbindungen können Sie Ihr Netzwerk ausdehnen und Links über öffentliche
Netzwerke wie das Internet einbeziehen. VPN-Verbindungen werden durch sichere Authentifizierungsprotokolle geschützt, die die Anmeldeinformationen des verbindenden Benutzers überprüfen, sowie Verschlüsselungsmethoden, um die Vertraulichkeit der Daten zu gewährleisten.
Windows® XP und Windows Server® 2003 umfassen einen IPv6-Protokollstapel, doch viele Kerndienste und Netzwerkkomponenten unterstützen IPv6 nicht. Windows Vista™ und Windows Server 2008, früher mit dem Codenamen „Longhorn“ bezeichnet, verfügen über umfassenden Support für IPv6, der standardmäßig installiert und aktiviert wird. Fast alle Netzwerkanwendungen und Dienste, die in Windows Vista und Windows Server 2008 enthalten sind, unterstützen IPv6. In diesem Monat geht es um den Support in Windows Vista, Windows Server 2008, Windows XP und Windows Server 2003 für IPv6-Datenverkehr über VPN-Verbindungen, die über das Internetprotokoll Version 4 (IPv4) und IPv6-Internetverbindungen eingerichtet werden.
VPN-Verbindungen über das IPv4-Internet
Bei den meisten heutigen Intranets werden VPN-Verbindungen über das IPv4-Internet erstellt. Abbildung 1 zeigt Windows-basierte Komponenten für VPN-Verbindungen dieser Art. Diese Komponenten bestehen aus Folgendem:
Abbildung 1** Windows-basierte Komponenten für VPN-Verbindungen über das IPv4-Internet **(Klicken Sie zum Vergrößern auf das Bild)
VPN-Client Dies ist ein Computer, der eine RAS-VPN-Verbindung zu einem VPN-Server initiiert und mit Intranetressourcen kommuniziert. Eine RAS-VPN-Verbindung ermöglicht es dem VPN-Client so zu arbeiten, als sei er direkt mit dem Intranet verbunden. Ein VPN-Client kann Client- oder Serverversionen von Windows ausführen.
VPN-Server Dieser Computer überwacht RAS-VPN-Verbindungsversuche, setzt Authentifizierungs- und Verbindungsanforderungen durch und leitet Pakete zwischen VPN-Clients und Intranetressourcen weiter. Ein VPN-Server führt normalerweise eine Serverversion von Windows mit dem Routing- und RAS-Dienst aus.
VPN-Router Ein VPN-Router ist ein Computer, der Standort-zu-Standort-VPN-Verbindungsversuche initiiert oder überwacht. Eine Standort-zu-Standort-VPN-Verbindung verbindet zwei Teile eines Intranets. Ein VPN-Router führt eine Serverversion von Windows sowie den Routing- und RAS-Dienst aus.
VPN-Verbindung Eine VPN-Verbindung ist die logische Verbindung zwischen dem VPN-Client und dem VPN-Server oder zwischen VPN-Routern entsprechend der Kapselung eines VPN-Protokolls.
IPv6-aktiviertes Intranet Dieses Intranet kann IPv6-Datenverkehr systemintern oder als getunnelte IPv4-Pakete weiterleiten.
IPv6/IPv4-Host Dieser Intranetknoten sendet und empfängt IPv6-Datenverkehr systemintern oder als getunnelte IPv4-Pakete.
Windows-basierte VPN-Clients, Server und Router können folgende VPN-Protokolle verwenden, um die über die VPN-Verbindung gesendeten Pakete zu kapseln: Point-to-Point-Tunneling-Protokoll (PPTP), Layer Two Tunneling-Protokoll mit Internet Protocol Security (L2TP/IPsec) und Secure Socket Tunneling-Protokoll (SSTP). SSTP wird nur von Windows Vista mit Service Pack 1 (SP1, derzeit in der Betatestversion) und Windows Server 2008 unterstützt.
Für VPN-Verbindungen über das IPv4-Internet gibt es zwei Methoden zum Senden von IPv6: Als IPv4-Pakete getunnelte IPv6-Pakete, die nachstehend als IPv6-over-IPv4-Datenverkehr bezeichnet werden, und systemeigener IPv6-Datenverkehr.
In diesem Artikel wird die Unterstützung für IPv6-Datenverkehr über VPN-Verbindungen mithilfe von VPN-Protokollen und Versionen von Windows aufgezeigt. Bei RAS-VPN-Verbindungen bedeutet eine bestimmte Kombination aus einem VPN-Protokoll und einer Version von Windows Unterstützung sowohl durch RAS-Client- als auch RAS-Serverkomponenten von Windows.
IPv6-over-IPv4-Datenverkehr
Bei dieser Methode kapselt ein RAS-Client oder ein IPv6/IPv4-Host im Intranet IPv6-Pakete mit einem IPv4-Header und sendet das Ergebnis als IPv4-Paket. Für Intranets ermöglicht die IntraSite Automatic Tunnel Addressing Protocol (ISATAP) IPv6-Übergangstechnologie (RFC 4214) es IPv6/IPv4-Knoten, den IPv6-Datenverkehr über ein reines IPv4-Intranet auszutauschen. Mit ISATAP können Sie IPv6-Konnektivität in einem reinen IPv4-Intranet aktivieren, ohne vorhandene Router konfigurieren oder aktualisieren zu müssen, damit sie die systemeigene IPv6-Adressierung und -weiterleitung unterstützen. Weitere Informationen zu ISATAP finden Sie unter „IPv6-Übergangstechnologien“ unter microsoft.com/technet/network/ipv6/ipv6coexist.mspx.
Abbildung 2 zeigt die allgemeine Paketstruktur für VPN-Datenverkehr beim Senden eines IPv4-Pakets mithilfe einer VPN-Verbindung über das IPv4-Internet. Das IPv4-Paket wird vom VPN-Protokoll mit einem Header und – abhängig vom VPN-Protokoll – mit einem Nachspann gekapselt. Das Ergebnis wird mit einem IPv4-Header gekapselt, der das Weiterleiten über das IPv4-Internet ermöglicht.
Abbildung 2** IPv4-Pakete, die eine VPN-Verbindung über das IPv4-Internet verwenden **
Bei IPv6-over-IPv4-Datenverkehr ist die Nutzlast des über die VPN-Verbindung gesendeten IPv4-Pakets ein IPv6-Paket. Abbildung 3 zeigt die allgemeine Paketstruktur für VPN-Datenverkehr beim Senden eines IPv6-over-IPv4-Pakets mithilfe einer VPN-Verbindung über das IPv4-Internet.
Abbildung 3** IPv6-over-IPv4-Pakete, die eine VPN-Verbindung über das IPv4-Internet verwenden **
Für RAS-VPN-Verbindungen wird IPv6-over-IPv4-Datenverkehr über das IPv4-Internet von PPTP und L2TP/IPsec in Windows Vista, Windows Server 2008, Windows XP SP1 oder höher und Windows Server 2003 und von SSTP in Windows Vista SP1 und Windows Server 2008 unterstützt. Für Standort-zu-Standort-VPN-Verbindungen wird IPv6-over-IPv4-Datenverkehr über das IPv4-Internet von PPTP und L2TP/IPsec in Windows Server 2008 und Windows Server 2003 unterstützt.
Systemeigener IPv6-Datenverkehr
Für systemeigenen IPv6-Datenverkehr sendet der VPN-Client, Server oder Router IPv6-Pakete über die VPN-Verbindung ohne anfängliche IPv4-Kapselung. Dies funktioniert für Intranets, die über systemeigene IPv6-Konnektivität verfügen, und erfordert, dass die VPN-Clients, Server, und Router das IPv6-Steuerungsprotokoll (IPV6CP), RFC 2472, unterstützen, das definiert, wie IPv6-Knoten IPv6-Konfigurationsoptionen für Verbindungen auf Basis des Point-to-Point-Protokolls (PPP) aushandeln. Windows Vista und Windows Server 2008 unterstützen IPV6CP, während dies bei Windows XP und Windows Server 2003 nicht der Fall ist. Abbildung 4 zeigt die allgemeine Paketstruktur für VPN-Datenverkehr beim Senden eines systemeigenen IPv6-Pakets mithilfe einer VPN-Verbindung über das IPv4-Internet.
Abbildung 4** Systemeigene IPv6-Pakete, die eine VPN-Verbindung über das IPv4-Internet verwenden **
Für RAS-VPN-Verbindungen wird systemeigener IPv6-Datenverkehr über das IPv4-Internet von PPTP und L2TP/IPsec in Windows Vista und Windows Server 2008 und von SSTP in Windows Vista SP1 und Windows Server 2008 unterstützt. Für Standort-zu-Standort-VPN-Verbindungen wird systemeigener IPv6-Datenverkehr, der über das IPv4-Internet übermittelt wird, von PPTP und L2TP/IPsec in Windows Server 2008 unterstützt.
VPN-Verbindungen über das IPv6-Internet
Sie können VPN-Verbindungen auch über das IPv6-Internet herstellen. Solche VPN-Verbindungen sind heute noch selten. In Zukunft aber werden immer mehr Internetdienstanbieter ihren Kunden IPv6 anbieten und immer mehr Organisationen IPv6-Internetkonnektivität an der Intranetgrenze ihrer Netzwerke zur Verfügung stellen.
Um VPN-Verbindungen über das IPv6-Internet zu unterstützen, müssen die verwendeten VPN-Protokolle Verbindungen über IPv6 unterstützen. In Windows Vista und Windows Server 2008 unterstützen die L2TP/IPsec- und die SSTP-VPN-Protokolle RAS-VPN-Verbindungen über IPv6. In Windows Server 2008 unterstützt L2TP/IPsec Standort-zu-Standort-Verbindungen über IPv6. VPN-Verbindungen über das IPv6-Internet verwenden denselben Satz an Komponenten wie für VPN-Verbindungen über das IPv4-Internet für RAS- und Standort-zu-Standort-VPN-Verbindungen.
Es gibt zudem zwei Möglichkeiten, IPv6-Pakete über das IPv6-Internet zu senden: IPv6-over-IPv4-Datenverkehr und systemeigener IPv6-Datenverkehr. Abbildung 5 zeigt die allgemeine Struktur von IPv6-over-IPv4-Paketen, wenn sie über eine VPN-Verbindung über das IPv6-Internet gesendet werden.
Abbildung 5** IPv6-over-IPv4-Pakete, die eine VPN-Verbindung über das IPv6-Internet verwenden **
Für RAS-VPN-Verbindungen wird IPv6-over-IPv4-Datenverkehr über das IPv6-Internet von L2TP/IPsec in Windows Vista und Windows Server 2008 und von SSTP in Windows Vista SP1 und Windows Server 2008 unterstützt. Für Standort-zu-Standort-VPN-Verbindungen wird IPv6-over-IPv4-Datenverkehr über das IPv6-Internet von L2TP/IPsec in Windows Server 2008 unterstützt. Genau wie bei IPv6-over-IPv4-Datenverkehr über das IPv4-Internet erfordert IPv6-over-IPv4-Datenverkehr über das IPv6-Internet die Bereitstellung einer IPv6-Übergangstechnologie wie ISATAP auf Ihrem Intranet.
Abbildung 6 zeigt die allgemeine Struktur von systemeigenen IPv6-Paketen, wenn sie über eine VPN-Verbindung über das IPv6-Internet gesendet werden. Genau wie bei systemeigenem IPv6-Datenverkehr über das IPv4-Internet erfordert systemeigener IPv6-Datenverkehr über das IPv6-Internet IPV6CP-Support und die Bereitstellung von systemeigener IPv6-Konnektivität auf Ihrem Intranet.
Abbildung 6** Systemeigene IPv6-Pakete, die eine VPN-Verbindung über das IPv6-Internet verwenden **
Für RAS-VPN-Verbindungen wird systemeigener IPv6-Datenverkehr über das IPv6-Internet von L2TP/IPsec in Windows Vista und Windows Server 2008 und von SSTP in Windows Vista SP1 und Windows Server 2008 unterstützt. Für Standort-zu-Standort-VPN-Verbindungen wird systemeigener IPv6-Datenverkehr über das IPv6-Internet von L2TP/IPsec in Windows Server 2008 unterstützt.
Zusammenfassung
Abbildung 7 zeigt die vier Methoden zum Senden von IPv6-Datenverkehr über VPN-Verbindungen und die Unterstützung in Windows für die zwei verschiedenen Arten von VPN-Verbindungen. Kurz gesagt: wenn Sie eine IPv6-Übergangstechnologie wie ISATAP auf Ihrem Intranet verwenden, können Sie IPv6-over-IPv4-Datenverkehr über VPN-Verbindungen über das IPv4- und IPv6-Internet senden. Wenn Ihr Intranet systemeigene IPv6-Konnektivität unterstützt, können Sie systemeigenen IPv6-Datenverkehr über VPN-Verbindungen mit Windows Vista und Windows Server 2008 sowohl über das IPv4- als auch das IPv6-Internet senden.
Figure 7 Unterstützung für IPv6-Datenverkehr über VPN-Verbindungen in Windows
| Methode zum Senden von IPv6-Datenverkehr | RAS-VPN-Verbindungen | Standort-zu-Standort-VPN-Verbindungen |
| IPv6-over-IPv4-Datenverkehr über das IPv4-Internet | PPTP und L2TP/IPsec in Windows Vista, Windows Server 2008, Windows XP SP1 oder höher und Windows Server 2003 SSTP in Windows Vista SP1 und Windows Server 2008 | PPTP und L2TP/IPsec in Windows Server 2008 und Windows Server 2003 |
| Systemeigener IPv6-Datenverkehr über das IPv4-Internet | PPTP und L2TP/IPsec in Windows Vista und Windows Server 2008 SSTP in Windows Vista SP1 und Windows Server 2008 | PPTP und L2TP/IPsec in Windows Server 2008 |
| IPv6-over-IPv4-Datenverkehr über das IPv6-Internet | L2TP/IPsec in Windows Vista und Windows Server 2008 SSTP in Windows Vista SP1 und Windows Server 2008 | L2TP/IPsec in Windows Server 2008 |
| Systemeigener IPv6-Datenverkehr über das IPv6-Internet | L2TP/IPsec in Windows Vista und Windows Server 2008 SSTP in Windows Vista SP1 und Windows Server 2008 | L2TP/IPsec in Windows Server 2008 |
Joseph Davies ist technischer Redakteur bei Microsoft und lehrt und schreibt seit 1992 über Themen im Bereich der Windows-Netzwerke. Er hat fünf Bücher für Microsoft Press verfasst und ist Autor des monatlich erscheinenden TechNet-Artikels „The Cable Guy“.
© 2008 Microsoft Corporation und CMP Media, LLC. Alle Rechte vorbehalten. Die nicht genehmigte teilweise oder vollständige Vervielfältigung ist nicht zulässig.