Einkaufsrichtlinien für Netzwerk-Geräte

Der IPv6 Traffic hat sich seit Juni 2012 verdoppelt. Bei der Einführung von IPv4 hat dieselbe Entwicklung 12 Monate gedauert. Wenn sich Unternehmen jetzt entscheiden, ihr Netz-Equipment auszutauschen, sollten sie unbedingt auf IPv6 Readiness achten.

Zürich, 17.12.2012

In Grossbritannien hat 6UK, eine Organisation zur Einführung von IPv6, die 2010 vom britischen Staat mitgegründet wurde, ihre Aktivitäten eingestellt. Der Grund dafür: die versprochene Unterstützung blieb aus. Die Forderungen von 6UK waren vor allem deren zwei: Einkaufsrichtlinien und staatliche Anreize für Unternehmen, IPv6 einzuführen. In der Schweiz hingegen sind nach der soeben beendeten WCIT Konferenz in Dubai einige Dinge angestossen worden. Die NZZ schreibt: „Die Netzpolitik soll gesetzlich verankert werden.“ Balthasar Glättli, grüner Nationalrat und Netzpolitiker hat die Motion 12.4212 auf die Traktandenliste der nächsten Parlamentssession gesetzt.

IPv6 Readiness für Netz-Geräte

Für eine neutrale Netzpolitik braucht es effiziente und performante Netze – und diese sind nur mit IPv6 zu realisieren. Bis zu einer staatlichen Unterstützung für Unternehmen, die IPv6 einführen, ist es noch ein langer Weg.

Was die Einkaufsrichtlinien anbelangt, ist es aus Gründen des Investitionsschutzes wichtig, ab sofort klare Anforderungen zu stellen. Es genügt nicht, dem Hersteller zu sagen, dass seine Geräte oder Applikationen IPv6 unterstützen sollen. Ebenso wenig genügt es, wenn der Hersteller in seiner Marketingbroschüre lediglich behauptet, sein Produkt unterstütze IPv6. Die Anforderungen müssen in Form einer Liste von RFCs (Request for Comment) formuliert sein, die je nach Gerätetyp unterschiedlich ist. Besteht bereits eine IPv6 Strategie, werden die Anforderungen an neue Geräte entsprechend der Strategie formuliert. Besteht noch keine IPv6 Strategie, so kann man sich in einem ersten Schritt auf die Anforderungen gemäss RIPE stützen. Der Kanton Bern ist einer der Vorreiter in der Schweiz und hat bereits allgemeine Einkaufsrichtlinien formuliert. Dabei haben sie die Erfahrung gemacht, dass Hersteller mit diesen Anforderungen noch nicht sehr vertraut sind – selbst wenn sie sagen, dass sie IPv6 schon seit Jahren unterstützen. 

Zusammenfassung der Anforderungen

(Gestützt auf die RIPE Empfehlungen)

Muss-Anforderungen an Hosts:

  • IPv6 Basic specification [RFC2460] 
  • IPv6 Addressing Architecture [RFC4291] 
  • Default Address Selection [RFC3484]
  • Unique Local IPv6 Unicast Addresses (ULA) [RFC4193]
  • ICMPv6 [RFC4443] 
  • DHCPv6 client [RFC3315] 
  • SLAAC [RFC4862] 
  • Path MTU Discovery [RFC1981] 
  • Neighbor Discovery [RFC4861] 
  • If support for tunneling and dual stack is required, the device must support Basic Transition Mechanisms for IPv6 Hosts and Routers [RFC4213]
  • If support for mobile IPv6 is required, the device must support “MIPv6” [RFC6275, RFC5555] and “Mobile IPv6 Operation With IKEv2 and the Revised IPsec Architecture” [RFC4877]
  • DNS protocol extensions for incorporating IPv6 DNS resource records [RFC3596]
  • DNS message extension mechanism [RFC2671]
  • DNS message size requirements [RFC3226]
  • Deprecation of Type 0 Routing Headers in IPv6 [RFC5095] 

Muss-Anforderungen an Enterprise Layer 2-Switch:

  • MLDv2 snooping [RFC4541]
  • DHCPv6 filtering [RFC3315]
  • Router Advertisement (RA) filtering [RFC4862]
  • Dynamic "IPv6 Neighbor solicitation/advertisement" inspection [RFC4861]
  • Neighbor Unreachability Detection [NUD, RFC4861] filtering
  • Duplicate Address Detection [DAD, RFC4429] snooping and filtering.

Muss-Anforderungen an Router oder Layer-3-Switch:

  • IPv6 Basic specification [RFC2460] 
  • IPv6 Addressing Architecture [RFC4291] 
  • Default Address Selection [RFC3484]
  • Unique Local IPv6 Unicast Addresses (ULA) [RFC4193]
  • ICMPv6 [RFC4443] 
  • SLAAC [RFC4862] 
  • MLDv2 snooping [RFC4541]
  • Multicast Listener Discovery version 2 [RFC3810] 
  • Router-Alert option [RFC2711]
  • Path MTU Discovery [RFC1981] 
  • Neighbor Discovery [RFC4861] 
  • Deprecation of Type 0 Routing Headers in IPv6 [RFC5095]
  • If a dynamic interior gateway protocol (IGP) is requested, then RIPng [RFC2080], OSPF-v3 [RFC5340] or IS-IS [RFC5308] must be supported. The contracting authority shall specify the required protocol.
  • If OSPF-v3 is requested, the equipment must comply with "Authentication/Confidentiality for OSPF-v3" [RFC4552]
  • If BGP4 protocol is requested, the equipment must comply with RFC4271, RFC1772, RFC4760, RFC1997, RFC3392 and RFC2545
  • Support for QoS [RFC2474, RFC3140]
  • If support for tunneling and dual stack is required, the device must support Basic Transition Mechanisms for IPv6 Hosts and Routers [RFC4213]
  • If support for tunneling and dual stack is required, the device must support Generic Packet Tunneling and IPv6 [RFC2473]
  • If 6PE is requested, the equipment must support "Connecting IPv6 Islands over IPv4 MPLS Using IPv6 Provider Edge Routers (6PE)” [RFC4798]
  • If mobile IPv6 is requested, the equipment must support MIPv6 [RFC6275, RFC5555] and "Mobile IPv6 Operation With IKEv2 and the Revised IPsec Architecture” [RFC4877]
  • If the IS-IS routing protocol is requested the equipment must support "M-ISIS: Multi-Topology (MT) Routing in Intermediate System to Intermediate Systems (IS-ISs)" [RFC5120]
  • If MPLS functionality (for example, BGP-free core, MPLS TE, MPLS FRR) is requested, the PE-routers and route reflectors must support "Connecting IPv6 Islands over IPv4 MPLS Using IPv6 Provider Edge Routers (6PE)" [RFC4798]
  • If Layer 3 VPN functionality is requested, the PE-routers and route reflectors must support "BGP-MPLS IP Virtual Private Network (VPN) Extension for IPv6 VPN" [RFC4659]
  • If MPLS Traffic Engineering is used in combination with IS-IS routing protocol, the equipment must support "M-ISIS: Multi-Topology (MT) Routing in Intermediate System to Intermediate Systems (IS-ISs)" [RFC5120]

 

Muss-Anforderungen für Firewall
(FW=Firewall, IPS=Intrusion Prevention Device, APFW=Application Firewall)

  • IPv6 Basic specification [RFC2460] (FW, IPS, APFW)
  • IPv6 Addressing Architecture [RFC4291] (FW, IPS, APFW)
  • Default Address Selection [RFC3484] (FW, IPS, APFW)
  • ICMPv6 [RFC4443] (FW, IPS, APFW) 
  • SLAAC [RFC4862] (FW, IPS) 
  • Deprecation of Type 0 Routing Headers in IPv6 [RFC5095] 
  • Inspecting IPv6-in-IPv4 protocol-41 traffic, which is specified in: Basic Transition Mechanisms for IPv6 Hosts and Routers [RFC4213] (IPS)
  • Router-Alert option [RFC2711] (FW, IPS)
  • Path MTU Discovery [RFC1981] (FW, IPS, APFW) 
  • Neighbor Discovery [RFC4861] (FW, IPS, APFW) 
  • If the request is for the BGP4 protocol, the equipment must comply with RFC4271, RFC1772, RFC4760 and RFC2545 (FW, IPS, APFW)
  • If the request is for a dynamic internal gateway protocol (IGP), then the required RIPng [RFC2080], OSPF-v3 [RFC5340] or IS-IS [RFC5308] must be supported. The contracting authority shall specify the required protocol. (FW, IPS, APFW)
  • If OSPF-v3 is requested, the device must support "Authentication/Confidentiality for OSPFv3" [RFC4552] (FW, IPS, APFW)
  • Support for QoS [RFC2474, RFC3140] (FW, APFW)
  • If tunneling is required, the device must support Basic Transition Mechanisms for IPv6 Hosts and Routers [RFC4213] (FW)

 

Muss-Anforderungen für Mobile Geräte:

  • IPv6 basic specification [RFC2460] 
  • Neighbor Discovery for IPv6 [RFC4861] 
  • IPv6 Stateless Address Autoconfiguration [RFC4862] 
  • IPv6 Addressing Architecture [RFC4291] 
  • ICMPv6 [RFC4443] 
  • IPv6 over PPP [RFC2472]
  • Multicast Listener Discovery version 2 [RFC3810]
  • IPv6 Router Alert Option [RFC2711]
  • DNS protocol extensions for incorporating IPv6 DNS resource records [RFC3596]

 

Muss-Anforderungen an Load-Balancer:

  • IPv6 Basic specification [RFC2460] 
  • IPv6 Addressing Architecture [RFC4291] 
  • Default Address Selection [RFC3484]
  • Unique Local IPv6 Unicast Addresses (ULA) [RFC4193]
  • ICMPv6 [RFC4443] 
  • Path MTU Discovery [RFC1981] 
  • Neighbor Discovery [RFC4861] 
  • DNS protocol extensions for incorporating IPv6 DNS resource records [RFC3596]
  • DNS message extension mechanism [RFC2671]
  • DNS message size requirements [RFC3226]
  • Deprecation of Type 0 Routing Headers in IPv6 [RFC5095]

Die vollständige Liste der RIPE-Empfehlung ist auf der Swiss IPv6 Council Webseite aufgeschaltet.

  • English
  • Deutsch
  • Français