274 Milliarden Netze …

… kann mensch aus einem /26-Bereich von zugewiesenen IPv6-Adressen bauen. Der Bundesregierung reicht das nicht.

IPv6 ist … anders. Bei IPv4 hatte man einen Netzbereich, in den soundsoviele Adressen paßten, das Ganze mußte auch noch an bestimmten Byte-Grenzen starten/enden, und der größte Bereich für private Netze (10.0.0.0/8) bietet gerade einmal Platz für 16.777.214 Rechner — 16 Millionen, bei hierarchischer Gliederung ggf. deutlich weniger.

IPv6 spezifiziert die minimale Größe eines Netzes auf ein sog. /64 (64 Bit Netz- und 64 Bit Hostadresse; siehe RFC4291, RFC7421). Das »halbiert« auf den ersten Blick den Adressraum von 128 Bit auf »nur« 64 Bit (IPv4 umfaßt komplett nur 32 Bit oder 4 Milliarden Adressen — mit großen Ausschlüssen), allerdings passen in ein /64-IPv6-Netz jeweils alle Geräte mit einer sog. MAC-Adresse, kurz gesagt: jedes internetfähige Gerät auf diesem Planeten wird durch den 64-Bit-Adressraum nur eines /64 abgedeckt. Und die Bundesregierung könnte aktuell 274 Milliarden(!) solcher Netze konfigurieren. Oder 4.194.304 – 4 Millionen(!) – Routen zu /48-Subnetzen, der aktuell kleinsten Einheit im globalen Routing, propagieren — worunter jeweils 65.536 /64er Netze zusammengefaßt würden. (Zum Vergleich, die globale(!) IPv6-Routingtabelle umfaßt Ende Oktober 2016 unter 40.000 Einträge, die von IPv4 liegt IIRC irgendwo bei 600.000 Einträgen.)

Diese Zahlen sollen verdeutlichen, wie unwahrscheinlich groß der Adressraum von IPv6 ist; und wie unwahrscheinlich groß schon der der Bundesregierung (bzw. der deutschen Local Internet Registry namens »Bundesministerium des Innern« aka de.government) aktuell zugewiesene Adressraum (2a02:1000::/26) ist. 4 Millionen Routingeinträge aber sind den Planungen des BMI nach zu wenig, berichtet heise.de bezugnehmend auf das jüngste RIPE-Meeting:

Wegen der föderalen Struktur und des Plans, die gesamte Verwaltung vom Bund über die Länder bis zu den Kommunen aus einem eigenen IPv6-Adressblock zu versorgen, reiche der vom RIPE NCC zugeteilte /26-Block nicht aus.

Hmm. 274.877.906.944 – über 274 Milliarden(!!) – verschiedene IPv6-Netze könnte das Innenministerium heute schon vergeben, oder »nur« 4 Millionen /48er Bereiche mit je Platz für 65.000 Netze. Gibt es tatsächlich in einem Land mit 80 Millionen Einwohnern den Bedarf für 4 Millionen einzelner Verwaltungsinstitutionen mit je 65 Tausend Computernetzen?

Screenshot

Aufteilung des Bundes-/26 in /32-Teile.

Aufgeteilt hat das BMI seinen Adressraum in 64 Teilbereiche der Größe /32 (daraus kann man dann zum Beispiel je 65 Tausend /48-Subnetze machen, die jeweils wieder 65 Tausend /64er Netze umfaßten) — Details finden sich im IPv6-Referenzhandbuch. Aus dem Dokument geht auch hervor, daß an die Nutzer (also Verwaltungen) wohl tatsächlich /48er Prefixe zugewiesen werden sollen, wie es auch sonst gängige Praxis ist.

Etwas befremdlich ist dort die folgende Passage:

De.government hat von RIPE NCC einen sehr großen IP v6 Adressraum erhalten, der für eine sehr lange Zeitdauer als ausreichend angesehen werden kann. Der de.government Adressraum ist „Provider Independent“ (PI) und somit langfristig stabil.

Nunja, die Zuweisung ist eher an die Existenz der LIR »de.government« gebunden; PI-Space im eigentlichen Sinne ist es nicht:

inet6num:       2a02:1000::/26
netname:        DE-GOVERNMENT-20091116
country:        de
org:            ORG-BdI1-RIPE
admin-c:        DA4092-RIPE
tech-c:         DT3995-RIPE
status:         ALLOCATED-BY-RIR
remarks:        Received 11/16/09
mnt-by:         RIPE-NCC-HM-MNT
mnt-by:         DE-GOV-MNT
mnt-lower:      DE-GOV-MNT
mnt-routes:     DE-GOV-MNT
created:        2009-11-16T15:54:30Z
last-modified:  2016-05-19T14:31:04Z
source:         RIPE # Filtered

Kurzum: so ganz nachvollziehen, warum man mehr Adressraum zu benötigen glaubt, kann ich zumindest aktuell nicht. Andererseits dürfte das RIPE NCC bis auf weiteres den Erweiterungsbereich (also auf ein /25) freihalten, außerdem kann ja auch später ein weiteres /26 oder /25 oder gar /19 hinzugefügt werden: es ist ja generell nicht vorgesehen, den gesamten Bereich as-is an einen Ort zu routen …
Ich beziehe übrigens rein militärisch genutzte Netze der Bundeswehr nicht in »die öffentliche Verwaltung« ein; hierfür würde ich in der Tat einen separaten Adressblock erwarten, und nicht 8 /32 abgeknabst vom zivilen Netzblock. (Ob die Bundeswehr überhaupt mehr als ein /32 sinnvoll nutzen kann, nunja; aber zivile und militärische Netze gehören für mich getrennt.)

Andererseits: Die Deutsche Telekom hat alleine schon ein /19 (2003::/19 — 128facher Adressraum dessen, was dem Innenministerium zugestanden wurden, oder Platz für 35.184.372.088.832, 35 Billionen(!!!), IPv6-Netze) zugewiesen bekommen. Allerdings vergibt die Deutsche Telekom auch pro Einwahl ein /64 sowie ein /56 (256 /64-Netze), in /56ern reicht der Adressraum für 137 Milliarden parallel eingewählte Kunden, rein theoretisch. Bei 80 Millionen Einwohnern ist da also durchaus Luft für zwei oder auch drei Telekom-Zugänge pro Einwohner … oder auch moderates Bevölkerungswachstum. Um den Faktor 1000.

Wie gesagt, IPv6 ist … anders. Adressmangel ist erst einmal nicht zu befürchten. Eher Anfälle geistiger Umnachtung, wenn man sich den Adressraum vorzustellen versucht ;-) Andererseits geht der Adressenreichtum auch mit unglaublicher Adressverschwendung einher. Um meine Handvoll Kisten zuhause mit IPv6 zu versorgen, ist mindestens eines dieser besagten /64-Netze notwendig — dies hat Platz für 18.446.744.073.709.551.616 Adressen. Mehr als ein paar Hundert Rechner würde man zwar nie in ein lokales Netz packen, aber da man die Adressierung automatisiert hat (aus den 48 Bit der Hardwareadresse eines Ethernet- oder WLAN-Interfaces wird automatisch eine 64-Bit-Nummer erzeugt, und somit ist jeder Rechner ein-eindeutig adressierbar, zumindest in der Theorie), »braucht« man diesen wahnsinnig großen Adressbereich. Damit ich das /64 aber nach Hause routen kann, muß ich einen /48-Bereich von IPv6-Adressen zugewiesen bekommen — 65535 /64 verschenkt, um ein /64 zu nutzen …

Andererseits, müßten die Router heute schon neben den ~600.000 IPv4-Routen auch noch ebensoviele IPv6-Routen verarbeiten, wäre der Kollaps von IPv6 wohl schon eingetreten, bevor das Protokoll richtig abhebt. (Eine interessante Untersuchung zur Qualität von IPv6 im Vergleich zu IPv4 hat Geoff Huston auf dem vergangenen RIPE Meeting vorgestellt.)