no way to compare when less than two revisions
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen der Seite angezeigt.
Vorherige ÜberarbeitungNächste Überarbeitung | |||
— | ipv6 [2017/09/01 07:42] – [Aktuelle Jahresstatistiken:] Robin Därmann | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
+ | ===== IPv6 an der RUB ===== | ||
+ | Ab sofort ist IPv6 an der RUB flächendeckend verfügbar. | ||
+ | Bereits seit 2012 erproben wir das neue Internetprotokoll im '' | ||
+ | |||
+ | Wir möchten an dieser Stelle Netzbetreuern und anderen interessierten Personen einige Informationen an die Hand geben, die den Einstieg erleichtern sollen. | ||
+ | |||
+ | ====Aktuelle Jahresstatistiken: | ||
+ | ===Folgende Grafik zeigt das Verhältnis von IPv4- zu IPv6-Verkehr von/zum Internet: | ||
+ | |||
+ | {{https:// | ||
+ | |||
+ | ===Folgende Grafik zeigt nur den IPv6-Verkehr von/zum Internet: | ||
+ | |||
+ | {{https:// | ||
+ | |||
+ | Deutlich zu erkennen ist hier in Etwa eine Verdopplung des IPv6-Traffics pro Jahr, wobei der IPv4-Traffic fast stabil bleibt (Die Reduzierung des IPv4-Traffics Anfang 2017 um 50% beruht auf der Tatsache, dass wir zwischen Januar und September 2017 den Wohnheim-Traffic nicht mit gezählt haben). An den Wochenenden ist im Allgemeinen weniger Datenverkehr, | ||
+ | |||
+ | ==== Allgemeines ==== | ||
+ | Seit Anfang 2015 werden neue Subnetze im Datennetz der RUB standardmäßig zusätzlich mit IPv6 ausgestattet. Das bedeutet, dass Computer in diesen Subnetzen IPv4- und IPv6-Adressen bekommen sowie diese im Internet auch direkt erreichen können. | ||
+ | |||
+ | Das ist erforderlich um -- kurz gesagt -- für die Zukunft gerüstet zu sein. | ||
+ | |||
+ | Es gibt inzwischen die ersten Teile des Internets, die mit den an der RUB bisher ausschließlich vergebenen IPv4-Adressen nicht oder zumindest nicht zuverlässig erreichbar sind. Um weiterhin eine bestmögliche Anbindung ans Internet zu erhalten, ist es daher nötig IPv6 einzuführen. | ||
+ | |||
+ | Die Einführung geschieht parallel zu den bereits vorhandenen IPv4-Adressen, | ||
+ | |||
+ | === ACLs === | ||
+ | Es werden zwei ACLs -- eine wie bisher für IPv4 und eine weitere für IPv6 -- benötigt. Da es sich bei IPv4 und IPv6 um vollkommen verschiedene Protokolle handelt, ist die Verarbeitung in der selben ACL nicht möglich. Jedoch unterscheidet sich die ACL-Syntax nicht signifikant von der bereits für IPv4-ACLs bekannten, so dass an dieser Stelle der Einstieg leicht fallen wird. | ||
+ | |||
+ | ==== Aufbau von IPv6-Adressen ==== | ||
+ | === Schreibweise === | ||
+ | IPv6-Adressen sind 128 bit lang und daher erheblich länger als IPv4-Adressen, | ||
+ | |||
+ | 2001: | ||
+ | |||
+ | Die Adressen können mit folgenden Regeln abgekürzt werden: | ||
+ | |||
+ | * __Ein__ Bereich, der lediglich aus Nullen besteht, kann komplett ausgespart und durch ''::'' | ||
+ | * Führende Nullen können pro Block weg gelassen werden | ||
+ | |||
+ | Abgekürzt wäre die o.g. IPv6-Adresse also: | ||
+ | |||
+ | 2001: | ||
+ | |||
+ | Das lässt sich immerhin schon wesentlich einfacher lesen und nach ein bisschen Eingewöhnungszeit auch irgendwie merken. | ||
+ | |||
+ | === Subnetze / Präfixe === | ||
+ | IPv6-Subnetze werden durch Notation der Netzadresse sowie Anhängen der Präfix-Länge mit einem Schrägstrich notiert, z.B.: | ||
+ | |||
+ | 2001: | ||
+ | |||
+ | Abgekürzt ist es wieder viel einfacher: | ||
+ | |||
+ | 2001: | ||
+ | |||
+ | Das bedeutet, dass das Subnetz ein Präfix von 64 Bit (/64) hat, also die beschriebenen 64 Bit ('' | ||
+ | |||
+ | === Stateless Address Autoconfiguration (SLAAC) === | ||
+ | IPv6-fähige Geräte geben sich ihre IPv6-Adresse in der Regel selbst, indem sie die sogenannte //Stateless Address Autoconfiguration// | ||
+ | |||
+ | Es wird die MAC-Adresse (48 Bits) der Netzwerkkarte genommen, in der Mitte wird hexadezimal '' | ||
+ | |||
+ | Aus der MAC-Adresse | ||
+ | |||
+ | 00: | ||
+ | | ||
+ | wird also folgender //Interface Identifier//: | ||
+ | |||
+ | 0211: | ||
+ | |||
+ | Diesen 64 Bits wird das vom Router per Multicast ausgesendete Präfix voran gestellt, um die IPv6-Adresse auf 128 Bits zu komplettieren: | ||
+ | |||
+ | 2001: | ||
+ | |||
+ | === Link-Local-Adressen === | ||
+ | Der per SLAAC erzeugte Interface Identifier wird auch dazu benutzt, eine sogenannte //Link Local Address// auf dem Interface zu binden. Dazu wird das entsprechende Präfix '' | ||
+ | |||
+ | fe80:: | ||
+ | |||
+ | Die Link Local Address funktioniert -- ähnlich wie die bereits von IPv4 bekannten APIPA-Adressen (169.254.x.y) -- nur auf dem Link, d.h. im lokalen Netz (Vlan), in dem sich das Gerät aktuell befindet. | ||
+ | |||
+ | === IPv6 Privacy Extensions === | ||
+ | Es könnte (aus Netzbetreuer-Sicht) alles so einfach sein, wenn nicht die Privatsphäre wäre. Im Allgemeinen wird es nämlich für problematisch gehalten, dass der Interface-Part (rechte Hälfte) einer per SLAAC automatisch zugewiesenen IPv6-Adresse weltweit eindeutig ist, durch das Vorkommen der MAC-Adresse. | ||
+ | |||
+ | Zum Schutz der Privatsphäre gibt es daher die //IPv6 Privacy Extensions// | ||
+ | |||
+ | Das hat zur Folge, dass es schwierig wird, anhand der Absender-Adresse (z.B. in Webserver-Logs) auf das Gerät zu schließen, von dem aus die Anfrage kam. | ||
+ | |||
+ | === Duplicate Address Detection === | ||
+ | Im Anschluss an die SLAAC oder die Neugenerierung einer IPv6-Adresse folgt immer eine //Duplicate Address Detection// (DAD, [[http:// | ||
+ | |||
+ | Dazu fragt das Gerät mit der neuen IPv6-Adresse per //Neighbor Discovery Protocol// (NDP, [[http:// | ||
+ | |||
+ | ==== Vergabe von Subnetzen ==== | ||
+ | Bei der Vergabe von IPv6-Subnetzen unterscheiden wir grundsätzlich zwischen zwei Arten von Subnetzen: | ||
+ | |||
+ | In Client-Vlans werden wir -- falls nicht anders gewünscht -- Router Advertisements senden, so dass die Geräte über den //Stateless Address Autoconfiguration// | ||
+ | |||
+ | In für Server vorgesehenen Subnetzen werden wir keine Router Advertisements senden, so dass SLAAC nicht funktioniert und Server daher von Hand mit der IPv6-Konfiguration ausgestattet werden müssen. Es sei denn, Sie wünschen sich etwas anderes. | ||
+ | |||
+ | === Reverse-DNS === | ||
+ | Alle IPv6-Adressen an der RUB lassen sich rückwärts in etwas auflösen, das mit '' | ||
+ | |||
+ | Für Server hingegen ist auch ein regulärer DNS-Eintrag wichtig, damit man sie unter ihrem Namen per IPv6 erreichen kann. Die Erzeugung von Reverse-DNS Einträgen (PTR-Records) erfolgt in der Regel automatisch, | ||
+ | ==== Eigene Router / Transfernetze ==== | ||
+ | Für den Betrieb von eigenen Routern sind nach wie vor Transfernetze erforderlich. Um IPv6 hinter einem eigenen Router nutzen zu können, benötigen Sie zusätzlich zum eventuell bereits vorhandenen IPv4-Transfernetz auch ein IPv6-Transfernetz. | ||
+ | |||
+ | IPv6-Transfernetze bekommen ganz reguläre / | ||
+ | |||
+ | 2001: | ||
+ | 2001: | ||
+ | 2001: | ||
+ | |||
+ | Alle weiteren Adressen des Transfernetzes bleiben ungenutzt und sind auch in der Regel nicht nutzbar. | ||
+ | |||
+ | Wir routen dann -- je nach Bedarf -- ein /56-Präfix (= 256 Subnetze) oder kleiner (/57, /58, ... /64) aus dem /52-Präfix der entsprechenden Einrichtung statisch auf die entsprechende Adresse im Transfernetz. | ||
+ | |||
+ | ==== Adressierungsplan der RUB ==== | ||
+ | In der RUB werden wir in der Regel mit folgenden Präfix-Längen auskommen: | ||
+ | |||
+ | ^ Präfix ^ Einsatzzweck ^ Größe ^ | ||
+ | | /44 | In der RUB momentan zur Verfügung stehender Adressraum | 16 PoPs bzw. Router | | ||
+ | | /48 | Pro PoP (Gebäude bzw. Router) zur Verfügung stehender Adressraum | 16 Einrichtungen | | ||
+ | | /52 | Pro Einrichtung (Fakultät o.ä.) zur Verfügung stehender Adressraum | 4096 Subnetze | | ||
+ | | /64 | Pro Subnetz / Vlan / Transfernetz | 1, | ||
+ | |||
+ | Folgender Adressraum wird momentan in der RUB verwendet: | ||
+ | |||
+ | 2a05: | ||
+ | |||
+ | Daraus wird jedem PoP (Router) ein /48-Präfix zugewiesen, also: | ||
+ | |||
+ | 2a05: | ||
+ | 2a05: | ||
+ | 2a05: | ||
+ | ... | ||
+ | 2a05: | ||
+ | |||
+ | Aus jedem /48-Präfix weisen wir einzelne / | ||
+ | |||
+ | 2a05: | ||
+ | 2a05: | ||
+ | 2a05: | ||
+ | ... | ||
+ | 2a05: | ||
+ | |||
+ | Institute, Arbeitsgruppen o.ä., die Einrichtungen untergeordnet sind, bekommen dann von uns Subnetze aus dem entsprechenden /52-Präfix zugewiesen: | ||
+ | |||
+ | 2a05: | ||
+ | 2a05: | ||
+ | 2a05: | ||
+ | ... | ||
+ | 2a05: | ||
+ | 2a05: | ||
+ | 2a05: | ||
+ | ... | ||
+ | |||
+ | 12 Bits verbleiben also für die Subnetze, das entspricht maximal 4096 Subnetzen pro Einrichtung. | ||
+ | |||
+ | Somit ist es per ACL bzw. Firewall sehr einfach möglich, den Zugriff für alle Subnetze einer Fakultät zu regeln -- eine Anfrage, mit der wir des öfteren konfrontiert werden. | ||
+ | |||
+ | Aus dem Adressierungsplan geht bei genauerer Betrachtung jedoch auch hervor, dass IPv6-Adressen -- anders als IPv4-Adressen an der RUB -- fest an den Router gekoppelt sind. Das bedeutet, dass eine Einrichtung (z.B. Fakultät) durchaus mehrere / | ||
+ | |||
+ | ==== Literatur ==== | ||
+ | Es gibt inzwischen zahlreiche Literatur zu IPv6. Als erste Quelle dienen natürlich Online-Ressourcen: | ||
+ | |||
+ | * [[https:// | ||
+ | * [[http:// | ||
+ | |||
+ | Auf Papier gibt es z.B.: | ||
+ | |||
+ | * Silvia Hagen: "IPv6. Grundlagen - Funktionalität - Integration" | ||
+ | * erklärt ausführlich Protokolldetails | ||
+ | * hilfreich für Firewall-Administratoren |