The Cable GuyMigrieren des Intranets zu IPv6 mit ISATAP

Joseph Davies

Dieser Artikel basiert auf einer Vorabversion von Windows Server 2008. Die in diesem Artikel enthaltenen Informationen können jederzeit geändert werden.

In Verbindung mit IPv6 (Internetprotokoll Version 6) gibt es einige fälschliche Annahmen. Eine davon besteht darin, dass zur Verwendung von IPv6 systemeigene IPv6-Adressierung und systemeigenes IPv6-Routing bereitgestellt werden müssen, was eine detaillierte Analyse von IPv6-Adressierungsschemas, Routerupdates, Konfiguration sowie einen Einführungsplan erfordert. Obwohl all dies letzten Endes für systemeigene

IPv6-Konnektivität erfolgen sollte, können Sie mit ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) problemlos getunnelte IPv6-Konnektivität bereitstellen. Getunnelte IPv6-Konnektivität ermöglicht Hosts, die ISATAP unterstützen, die Kommunikation mithilfe von IPv6-Datenverkehr, der mit einem IPv4-Header gekapselt ist (das IPv4-Protokollfeld ist auf 41 festgelegt). ISATAP-Datenverkehr kann ein reines IPv4-Intranet durchlaufen, sodass Sie sofort mit dem Testen IPv6-fähiger Anwendungen beginnen können, ohne auf eine systemeigene IPv6-Infrastruktur warten zu müssen.

ISATAP ist eine im Standard RFC 4214 definierte Technologie für Adresszuweisung und automatisches Tunneling, mit der IPv6-Unicastverbindungen zwischen IPv6/IPv4-Hosts über ein IPv4-Internet bereitgestellt werden. ISATAP-Hosts verwenden eine logische Tunnelschnittstelle, der ISATAP-Adressen in einem der folgenden Formate zugewiesen sind: entweder UnicastPrefix:0:5EFE:w.x.y.z (wenn w.x.y.z eine private IPv4-Adresse ist, die dem ISATAP-Host zugewiesen ist) oder UnicastPrefix:200:5EFE:w.x.y.z (wenn w.x.y.z eine öffentliche IPv4-Adresse ist, die dem ISATAP-Host zugewiesen ist). UnicastPrefix ist ein beliebiges 64-Bit-Unicastadresspräfix, einschließlich Link-Local-, globaler und eindeutiger lokaler Präfixe. Beispiele für ISATAP-Adressen sind 2001:DB8::98CA:200:131.107.28.9 und 2001:DB8::98CA:0:10.91.211.17.

Intranet-Migration zu IPv6 mit ISATAP

Eine ISATAP-Bereitstellung besteht aus einem oder mehreren logischen ISATAP-Subnetzen, die reine IPv4-Netzwerke sind, denen ein 64-Bit-IPv6-Subnetzpräfix zugewiesen ist. In einem logischen ISATAP-Subnetz gibt es ISATAP-Hosts und ISATAP-Router. Ein ISATAP-Host verwendet eine ISATAP-Tunnelschnittstelle, um IPv6-Datenverkehr zu kapseln. Dieser Datenverkehr kann direkt an andere ISATAP-Hosts in demselben logischen ISATAP-Subnetz gesendet werden. Um Ziele in anderen ISATAP-Subnetzen oder in systemeigenen IPv6-Subnetzen zu erreichen, wird der Datenverkehr an einen ISATAP-Router gesendet. Ein ISATAP-Router ist ein IPv6-Router, der ISATAP-Hosts Subnetzpräfixe ankündigt und IPv6-Datenverkehr zwischen ISATAP-Hosts und Hosts in anderen IPv6 Subnetzen weiterleitet. Abbildung 1 zeigt die Komponenten von ISATAP in einem vereinfachten Intranet.

Abbildung 1** Reine IPv4-Anteile und IPv6-fähige Anteile des Intranets **(Klicken Sie zum Vergrößern auf das Bild)

ISATAP ermöglicht es Ihnen, systemeigene IPv6-Adressierungs- und Routingfunktionen in drei Phasen in Ihrem Intranet bereitzustellen.

Phase 1: Reines IPv4-Intranet In dieser Phase kann Ihr gesamtes Intranet ein einziges, logisches ISATAP-Subnetz sein. Abbildung 2 zeigt ein Beispiel für ein reines IPv4-Intranet mit einem ISATAP-Router, der ISATAP-Hosts nur ein globales oder eindeutiges lokales Adresspräfix ankündigt.

Abbildung 2** Ein reines IPv4-Intranet **(Klicken Sie zum Vergrößern auf das Bild)

Phase 2: Reine IPv4-Anteile und IPv6-fähige Anteile des Intranets In dieser mittleren Phase besteht Ihr Intranet aus einem reinen IPv4-Anteil (dem logischen ISATAP-Subnetz) und einem IPv6-fähigen Anteil. Der IPv6-fähige Anteil des Intranets unterstützt IPv4 und wurde aktualisiert, sodass systemeigene IPv6-Adressierung und Routing unterstützt werden. Sie haben diese Konfiguration bereits in Abbildung 1 gesehen.

Phase 3: IPv6-fähiges Intranet In dieser Endphase unterstützt das gesamte Intranet sowohl IPv4 als auch systemeigene IPv6-Adressierung und Routing. Beachten Sie, dass ISATAP nicht länger erforderlich ist. Abbildung 3 zeigt ein Beispiel.

Abbildung 3** IPv6-fähiges Intranet **(Klicken Sie zum Vergrößern auf das Bild)

Mit ISATAP können Sie IPv6-Konnektivität zwischen Hosts und Anwendungen während der ersten beiden Phasen des Übergangs von einem reinen IPv4-Intranet zu einem IPv6-fähigen Intranet erreichen.

Windows Server 2008 und Windows Vista

Das IPv6-Protokoll für Windows Server® 2008 und Windows Vista® unterstützt ISATAP sowohl als ISATAP-Host als auch als ISATAP-Router. Es gibt eine separate ISATAP-Tunnelschnittstelle für jede im Computer installierte LAN-Schnittstelle, die ein anderes DNS-Suffix aufweist. Beispiel: Wenn ein Computer mit Windows Vista zwei LAN-Schnittstellen besitzt, die beide mit demselben Intranet verbunden sind und denen das gleiche DNS-Suffix zugewiesen ist, gibt es nur eine ISATAP-Tunnelschnittstelle. Sind diese beiden LAN-Schnittstellen jedoch mit zwei verschiedenen Netzwerken mit unterschiedlichen DNS-Suffixen verbunden, gibt es zwei ISATAP-Tunnelschnittstellen. Bei Computern mit Windows Server 2008 oder Windows Vista SP1 werden die ISATAP-Tunnelschnittstellen in einen Zustand versetzt, in dem keine Verbindung zu Medien besteht, es sei denn, der Name „ISATAP“ kann aufgelöst werden.

Standardmäßig konfiguriert das IPv6-Protokoll für Windows Vista ohne installierte Service Packs automatisch Link-Local-ISATAP-Adressen (FE80::5EFE: w.x.y.z oder FE80::200:5EFE:w.x.y.z) auf den ISATAP-Tunnelschnittstellen für die IPv4-Adressen, die den entsprechenden LAN-Schnittstellen zugewiesen sind.

Das IPv6-Protokoll für Windows Server 2008 und Windows Vista SP1 konfiguriert Link-Local-ISATAP-Adressen nur dann auf ISATAP-Tunnelschnittstellen, wenn der Name „ISATAP“ aufgelöst werden kann.

Um eine Routerankündigung vom ISATAP-Router zu empfangen, muss der ISATAP-Host dem ISATAP-Router eine Routeranfrage senden. In einem Ethernet-Subnetz sendet ein systemeigener IPv6-Host eine Multicastrouteranfrage, woraufhin die Router im Subnetz mit einer Routerankündigung antworten. Da ISATAP weder IPv4-Multicastverkehr verwendet noch eine multicastfähige IPv4-Infrastruktur erfordert, muss der ISATAP-Host die Routeranfrage per Unicast an den ISATAP-Router senden.

Um die Routeranfrage per Unicast an den ISATAP-Router senden zu können, muss der ISATAP-Host zuerst die IPv4-Unicastadresse der Schnittstelle des ISATAP-Routers im logischen ISATAP-Subnetz bestimmen. Für das IPv6-Protokoll für Windows Server 2008 und Windows Vista ruft ein ISATAP-Host die IPv4-Unicastadresse des ISATAP-Routers mithilfe der erfolgreichen Auflösung des Hostnamens „ISATAP“ in eine IPv4-Adresse oder mit dem Befehl „netsh interface isatap set router“ ab.

Migrieren des Intranets: Phase 1

Um ISATAP im Intranet für Phase 1 der Migration zu IPv6 bereitzustellen, müssen Sie die folgenden Schritte durchführen.

Festlegen des ISATAP-Subnetzpräfix Sie müssen das 64-Bit-Subnetzpräfix festlegen, das dem logischen ISATAP-Subnetz zugewiesen werden soll, das Ihrem Intranet entspricht. Sie können ein 48-Bit-Präfix von einem ISP oder einer Internet Registry beziehen oder ein eigenes eindeutiges lokales 48-Bit-Präfix ableiten (siehe RFC 4193 online unter tools.ietf.org/html/rfc4193).

Wählen Sie aus dem 48-Bit-Präfix eine 16-Bit-Subnetz-ID für das logische ISATAP-Subnetz aus. Die Kombination aus 48-Bit-Präfix und 16-Bit-Subnetz-ID ergibt das 64-Bit-ISATAP-Subnetzpräfix. Zum Beispiel bilden das eindeutige lokale 48-Bit-Präfix FD8A:219C:052A::/48 und die Subnetz-ID 1 das 64-Bit-Subnetzpräfix FD8A:219C:052A:1::/64.

Bestimmen eines ISATAP-Routercomputers Bestimmen Sie, welcher Computer als ISATAP-Router fungieren soll. Obwohl viele handelsübliche Router ISATAP-Routerfunktionen unterstützen, gelten die hier bereitgestellten Informationen speziell für Computer mit Windows Server 2008.

Der ISATAP-Routercomputer benötigt weder mehrere LAN-Schnittstellen noch muss er für Phase 1 mit einem IPv6-fähigen Anteil des Intranets verbunden sein. Der Computer sollte jedoch so ausgewählt werden, dass er später um eine zusätzliche LAN-Schnittstelle ergänzt werden kann, die mit dem IPv6-fähigen Anteil des Intranets verbunden ist.

Konfigurieren des ISATAP-Routercomputers Durch Eingabe des folgenden Befehls auf dem ISATAP-Routercomputer werden die ISATAP-Tunnelschnittstellen auf dem ISATAP-Routercomputer in einen mit Medien verbundenen Zustand platziert:

netsh interface isatap set router IPv4Address 

IPv4Address ist die IPv4-Adresse, die der LAN-Schnittstelle des ISATAP-Routercomputers zugewiesen wird, der mit dem logischen ISATAP-Subnetz verbunden ist.

Bestimmen Sie als Nächstes mithilfe der Ausgabe des folgenden Befehls den Namen oder den Schnittstellenindex der ISATAP-Tunnelschnittstelle, die der LAN-Schnittstelle des ISATAP-Routercomputers entspricht, der mit dem logischen ISATAP-Subnetz verbunden ist:

netsh interface ipv6 show interfaces

Aktivieren Sie dann mithilfe dieses Befehls auf der ISATAP-Schnittstelle die Ankündigung:

netsh interface ipv6 set interface ISATAPInterfaceNameOrIndex advertise=enabled

ISATAPInterfaceNameOrIndex ist der Name oder der Schnittstellenindex der ISATAP-Tunnelschnittstelle.

Konfigurieren Sie anschließend mithilfe dieses Befehls den ISATAP-Routercomputer für die Ankündigung des ISATAP-Subnetzpräfixes an die ISATAP-Hosts:

netsh interface ipv6 add route ISATAPSubnetPrefix ISATAPInterfaceNameOrIndex publish=yes

ISATAPSubnetPrefix ist das bestimmte ISATAP-Subnetzpräfix

Konfigurieren des DNS Fügen Sie im DNS den entsprechenden Domänen einen Adresseintrag (A) für den Namen ISATAP hinzu, damit ISATAP-Hosts in Ihrem Intranet den Namen „ISATAP“ erfolgreich auflösen können. Beispiel: Wenn Ihre Intranet-Hosts das DNS-Suffix contoso.com verwenden, müssen Sie der Domäne contoso.com einen Adresseintrag für den Namen isatap.contoso.com mit der IPv4-Adresse hinzufügen, die der LAN-Schnittstelle des ISATAP-Routers im reinen IPv4- Intranet zugewiesen ist.

Wenn auf dem DNS-Server Windows Server 2008 ausgeführt wird, verwenden Sie den Registrierungs-Editor (regedit.exe) auf dem DNS-Server, um den ISATAP-Eintrag aus dem Registrierungswert „HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DNS\Parameters\GlobalQueryBlockList“ zu entfernen.

Testen der ISATAP-Hosts Zeigen Sie mithilfe des Tools Ipconfig auf einem ISATAP-Host im Intranet die zugewiesenen Adressen an. ISATAP-Hosts sollten eine Adresse im Format ISATAPSubnetPrefix:: 5EFE:w.x.y.z oder ISATAPSubnetPrefix:: 200:5EFE:w.x.y.z aufweisen. Beispiel: Wenn Ihr ISATAP-Subnetzpräfix FD8A:219C: 052A:1::/64 lautet und ein ISATAP-Host die IPv4-Adresse 10.1.31.97 hat, sollte der ISATAP-Tunnelschnittstelle des ISATAP-Hosts die Adresse FD8A: 219C:052A:1::5FE:10.1.31.97 zugewiesen sein.

Wenn ein ISATAP-Host keine ISATAP-Adresse auf der Grundlage des ISATAP-Subnetzpräfixes besitzt, überprüfen Sie, ob der Host den Namen „ISATAP“ auflösen kann. Ist dies nicht der Fall, überprüfen Sie, ob die Adresseinträge in den entsprechenden Domänen erstellt wurden. Überprüfen Sie bei DNS-Servern mit Windows Server 2008, ob der Registrierungswert „GlobalQueryBlockList“ geändert wurde, um den ISATAP-Eintrag zu entfernen. Wenn der Name aufgelöst werden kann, überprüfen Sie, ob der ISATAP-Routercomputer richtig konfiguriert wurde. Wenn dies der Fall ist, überprüfen Sie, ob die Router im Intranet die Weiterleitung von Datenverkehr über das IPv4-Protokoll 41 erlauben.

Wenn sich ISATAP-Hosts erfolgreich mit Adressen auf Basis des ISATAP-Subnetzpräfixes konfigurieren können, registrieren sie diese ISATAP-Adressen als AAAA-Einträge im DNS und verwenden sie für IPv6-basierte Konnektivität.

Migrieren des Intranets: Phase 2

In Phase 2 der Migration zu IPv6 müssen Sie Ihre ISATAP-Routerkonfiguration ändern, um die Weiterleitung zwischen den reinen IPv4-Anteilen und den IPv6-fähigen Anteilen des Intranets durchzuführen.

Geben Sie auf dem ISATAP-Routercomputer den folgenden Befehl ein:

netsh interface ipv6 show interfaces

Bestimmen Sie anhand der Ausgabe des obigen Befehls den Namen oder den Schnittstellenindex der LAN-Schnittstelle, die mit dem IPv6-fähigen Anteil des Intranets und der ISATAP-Tunnelschnittstelle verbunden ist.

Aktivieren Sie mithilfe dieses Befehls die Weiterleitung auf der ISATAP-Schnittstelle:

netsh interface ipv6 set interface ISATAPInterfaceNameOrIndex forwarding=enabled

Aktivieren Sie mithilfe dieses Befehls die Weiterleitung auf der LAN-Schnittstelle:

netsh interface ipv6 set interface LANInterfaceNameOrIndex forwarding=enabled

LANInterfaceNameOrIndex ist der Name oder der Schnittstellenindex der LAN-Schnittstelle.

Fügen Sie dem ISATAP-Router mithilfe des folgenden Befehls eine Standardroute hinzu:

netsh interface ipv6 add route ::/0 LANInterfaceNameOrIndex NextHopAddress publish=yes

NextHopAddress ist die IPv6-Adresse eines benachbarten systemeigenen IPv6-Routers im IPv6-fähigen Anteil des Intranets.

Damit das logische ISATAP-Subnetz aus dem IPv6-fähigen Anteil des Intranets erreichbar ist, müssen Sie die systemeigenen IPv6-Router mit einer Route für das ISATAP-Subnetzpräfix konfigurieren, die auf den ISATAP-Routercomputer verweist.

Um ISATAP für Computer im IPv6-fähigen Anteil des Intranets selektiv zu deaktivieren, ändern Sie die Adresseinträge für den Namen „ISATAP“ in Ihrem DNS, damit Computer im IPv6-fähigen Anteil des Intranets den Namen „ISATAP“ nicht auflösen können.

Eine weitere Möglichkeit besteht darin, den Registrierungswert HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tcpip6\Parameters\DisabledComponents zu erstellen und dafür 0x4 (DWORD-Typ) festzulegen.

Migrieren des Intranets: Phase 3

Wenn das gesamte Intranet IPv6-fähig ist, müssen Sie in Phase 3 die ISATAP-Bereitstellung über DNS entfernen und den ISATAP-Routercomputer erneut konfigurieren. Entfernen Sie im DNS alle Adresseinträge für den Namen „ISATAP“. Dadurch werden Hosts grundsätzlich daran gehindert, die IPv4-Adresse des ISATAP-Routers zu bestimmen.

Führen Sie für den ISATAP-Routercomputer den folgenden Befehl aus:

netsh interface isatap set router default 

Mit diesem Befehl wird die ISATAP-Komponente wieder in den Standardzustand zurückversetzt.

Bestimmen Sie den Namen oder den Schnittstellenindex der ISATAP-Tunnelschnittstelle anhand der Ausgabe dieses Befehls:

netsh interface ipv6 show interfaces

Deaktivieren Sie mithilfe dieses Befehls die Weiterleitung und Ankündigung auf der ISATAP-Schnittstelle:

netsh interface ipv6 set interface ISATAPInterfaceNameOrIndex forwarding=disabled advertise=disabled

Entfernen Sie mithilfe dieses Befehls die ISATAP-Subnetzpräfixroute vom ISATAP-Routercomputer:

netsh interface ipv6 delete route ISATAPSubnetPrefix ISATAPInterfaceNameOrIndex

ISATAPSubnetPrefix ist das ISATAP-Subnetzpräfix.

Weitere Informationen zur ISATAP-Bereitstellung, darunter auch zu redundanten ISATAP-Routern und Firewallüberlegungen, finden Sie im Bereitstellungshandbuch für Intra-Site Automatic Tunnel Addressing Protocol unter go.microsoft.com/fwlink/?LinkId=106926.

Joseph Davies ist technischer Redakteur bei Microsoft und lehrt und schreibt seit 1992 über Themen im Bereich der Windows-Netzwerke. Er hat acht Bücher für Microsoft Press verfasst und ist Autor des monatlich erscheinenden TechNet-Artikels „The Cable Guy“. Weitere Informationen über „The Cable Guy“ finden Sie unter microsoft.com/technet/community/columns/cableguy/about.mspx.

© 2008 Microsoft Corporation und CMP Media, LLC. Alle Rechte vorbehalten. Die nicht genehmigte teilweise oder vollständige Vervielfältigung ist nicht zulässig.