IPv6 mit mehreren Uplinks, Addressierung von Netzwerkkomponenten und Routing
Hallo Leute,
die Einführung von IPv6 haben wir zugunsten einiger anderer Projekte seit langem etwas schleifen lassen. Mittlerweile würde wir die Implementation gerne angehen . Nach einigen Seiten in Sachbüchern, Foren und Online-Artikeln dachte ich mir: "Versuchs doch einfach mal - am 'lebenden Objekt' lernst du am besten". Kurzum habe ich die IPv6-Unterstützung an unserer Firewall aktiviert und losgelegt.
Es gab grundsätzlich keine Probleme. Aufgrund der mangelnden Erfahreungen hätte ich aber dennoch ein paar Fragen die sich auf die Verwendung von zwei ISP-Uplinks, die Server/Router-Addressierung und das Routing im "internen Netz" beziehen.
1) Mehrere ISP-Uplinks
Seit eh und je haben wir zwei Anschlüsse der Telekom. Es ging hier weniger um Redundanz sondern viel eher um Performance. Begonnen hat der "Spaß" mit der steigenden vernetzung der IT und dem mangelden Ausbaugrad der Internetanschlüsse an unserem Standort. Zunächst konnte die Telekom nur 16.000/2.000 ADSL liefern, später dann 50.000/10.000 VDSL und jetzt schließlich 250/40.000 SVDSL. Zu den 16.000er-Zeiten haben wir uns einfach zwei Leitungen bestellt. Durch Policy-Based-Routing haben wir ausgehenden Traffic auf die einzelnen Uplinks verteilt. IPSec-VPNs haben wir ebenfalls händisch entweder über den einen oder den anderen Anschluss laufen lassen. Diesem "Konzept" sind wir bis heute treu geblieben. Ich weiß, die Sache hätte man auch automatisiert machen können, aber die Aufteilung von Hand hat uns damals ebenfalls zum Ziel gebracht - durch PAT/NAT in Zusammenspiel mit privater/öffentlicher Adressierung ist diese "Multi-Uplink-Konfig" im IPv4 Zeitalter relativ einfach umzusetzen (finde ich zumindest).
IPv6 lässt PAT/NAT verschwinden und führt zu transparentem Routing und direkter Adressierung. Die ISPs weisen /56 Präfixe zu die dann in eigene Subnetze gegliedert werden können. Un unserem Fall erhalten wir, durch die beiden Uplinks, auch zwei Präfixe zugewiesen. Uplink1=2003:b:16:b300::/56 und Uplink2=2003:b:200b:7600::/56.
Schön und gut. Zwar können bei IPv6 einem Adapter mehrere Adressen zugewiesen werden, aber unsere Firewall lässt auf dem internen Interface nur eine Präfix-Bekanntmachung zu - Ich muss also wählen: Lasse ich den Präfix von Uplink1 verteilen oder den von Uplink2.
Gehen wir davon aus, dass ich mich für den Präfix von Uplink1 entschieden habe und meine Firewall lässt dieses Präfix bekannt machen. Im Policy-Based-Routing habe ich definiert, dass HTTP-Traffic aber über Uplink2 "rausgeschossen" wird. Sofern die Telekom diese Pakete überhaupt routet, müsste die Rückantwort ja aufgrund der Absendeadresse am anderen Anschluss wieder ankommen. Sofern diese Kommunikation überhaupt zustande kommt, finde ich diese Konstellation etwas unglücklich denn der Uplink1 ist ja trotzdem immer involviert.
Habe ich hier was grundlegend nicht verstanden und kann mich jemand des besseren belehren?
2) Server/Router-Adressierung
Bleiben wir beim genannten Beispiel mit der Firewall und den beiden Uplinks. Die Firewall sitzt am Rand des Netzwerks und sichert die Kommunikation mit der Außenwelt ab. Intern ist diese Firewall über ein Transfer-Netz mit einem Layer3-Switch verbunden. Dieses Switch übernimmt das interne Routing (die FW ist das Standardgateway für das Switch). Das Switch gliedert das Netz in die VLANs Clients A, Server B, Sonstige C. Der zugwiesene Präfix lässt 8 Bit zum Subnetting übrig. Das Transfernetz erhält die Subnetzadresse 2003:b:16:b301::/64 wobei das FW-Interface die ::1 und das Switch-Interface die ::2 erhält. Im Switch lasse ich das IPv6 Std-Gateway auf ebendiese, vom Präfix abgeleitete, Global-Unicast-Adresse der FW zeigen. Den übrigen VLAN-Interfaces des Switchs werden ebenfalls mit, vom Präfix abgeleiteten, Subnetzen und dazu passenden festen IP-Adressen versehen. In den jeweiligen VLANs würde dann per SLAAC und DHCPv6 die Adressierung der Clients vollzogen werden. SLAAC konfiguriert das Std-GW der Clients Standardmäßig mit der Link-Local-Adresse des Routers bzw. in diesem Fall des VLAN-Interfaces.
Wie sieht es bei der Adressierung von Servern aus? AD, Exchange und so weiter -> Manuell/Fest vergebene Global-Unicast-Adressen oder SLAAC mit DHCPv6? Bei manueller vergabe muss das Standardgateway dabei auch, wie bei SLAAC, die Link-Local-Adresse sein oder gebe ich dort ebenfalls die Global-Unicast-Adresse des Routers ein?
Die Verwendung von Global-Unicast-Adressen und die manuelle/feste Vergabe von Adressen an Routern/VLAN-Interfaces ist aber an sich korrekt, oder?
3) Routing
Auch hier: bleiben wir beim in 2) geschilderten Szenario. Allerdings kommt hier noch eine dritte Instanz dazu. Konkret: Wir haben ein Tochterunternehmen über eine eigene Glasfaser-Leitung an uns angeschlossen. Das Tochterunternehmen hat einen eigenen Internet-Anschluss mit eigener Firewall. Die Firewall des Tochterunternehmens hat ebenfalls noch ein "Bein" im Transfernetz. In der IPv4-Welt haben wir einfach eine Route auf deren privates IPv4 Netz gesetzt. In IPv6 wird ja auch deren Netz über Global-Unicast-Adressen von überall erreichbar sein (Sofern die FW mitspielt). Allerdings macht es ja wenig Sinn über das Internet zu routen, wenn eine direkte Glasfaser-Verbindung vorhanden ist.
Gehe ich richtig in der Annahme, dass man in so einem Fall am Router (hier das Switch) einfach eine feste Route für den IPv6-Präfix des Tochternuternehmens setzt, der dann alles über das Transfernetz direkt zur Firewall des Tochternuternehmens schickt?
---
Ich hoffe ich konnte meine Probleme nachvollziehbar rüber bringen und bin gespannt auf eure Antworten...
Vielen Dank im Voraus!
die Einführung von IPv6 haben wir zugunsten einiger anderer Projekte seit langem etwas schleifen lassen. Mittlerweile würde wir die Implementation gerne angehen . Nach einigen Seiten in Sachbüchern, Foren und Online-Artikeln dachte ich mir: "Versuchs doch einfach mal - am 'lebenden Objekt' lernst du am besten". Kurzum habe ich die IPv6-Unterstützung an unserer Firewall aktiviert und losgelegt.
Es gab grundsätzlich keine Probleme. Aufgrund der mangelnden Erfahreungen hätte ich aber dennoch ein paar Fragen die sich auf die Verwendung von zwei ISP-Uplinks, die Server/Router-Addressierung und das Routing im "internen Netz" beziehen.
1) Mehrere ISP-Uplinks
Seit eh und je haben wir zwei Anschlüsse der Telekom. Es ging hier weniger um Redundanz sondern viel eher um Performance. Begonnen hat der "Spaß" mit der steigenden vernetzung der IT und dem mangelden Ausbaugrad der Internetanschlüsse an unserem Standort. Zunächst konnte die Telekom nur 16.000/2.000 ADSL liefern, später dann 50.000/10.000 VDSL und jetzt schließlich 250/40.000 SVDSL. Zu den 16.000er-Zeiten haben wir uns einfach zwei Leitungen bestellt. Durch Policy-Based-Routing haben wir ausgehenden Traffic auf die einzelnen Uplinks verteilt. IPSec-VPNs haben wir ebenfalls händisch entweder über den einen oder den anderen Anschluss laufen lassen. Diesem "Konzept" sind wir bis heute treu geblieben. Ich weiß, die Sache hätte man auch automatisiert machen können, aber die Aufteilung von Hand hat uns damals ebenfalls zum Ziel gebracht - durch PAT/NAT in Zusammenspiel mit privater/öffentlicher Adressierung ist diese "Multi-Uplink-Konfig" im IPv4 Zeitalter relativ einfach umzusetzen (finde ich zumindest).
IPv6 lässt PAT/NAT verschwinden und führt zu transparentem Routing und direkter Adressierung. Die ISPs weisen /56 Präfixe zu die dann in eigene Subnetze gegliedert werden können. Un unserem Fall erhalten wir, durch die beiden Uplinks, auch zwei Präfixe zugewiesen. Uplink1=2003:b:16:b300::/56 und Uplink2=2003:b:200b:7600::/56.
Schön und gut. Zwar können bei IPv6 einem Adapter mehrere Adressen zugewiesen werden, aber unsere Firewall lässt auf dem internen Interface nur eine Präfix-Bekanntmachung zu - Ich muss also wählen: Lasse ich den Präfix von Uplink1 verteilen oder den von Uplink2.
Gehen wir davon aus, dass ich mich für den Präfix von Uplink1 entschieden habe und meine Firewall lässt dieses Präfix bekannt machen. Im Policy-Based-Routing habe ich definiert, dass HTTP-Traffic aber über Uplink2 "rausgeschossen" wird. Sofern die Telekom diese Pakete überhaupt routet, müsste die Rückantwort ja aufgrund der Absendeadresse am anderen Anschluss wieder ankommen. Sofern diese Kommunikation überhaupt zustande kommt, finde ich diese Konstellation etwas unglücklich denn der Uplink1 ist ja trotzdem immer involviert.
Habe ich hier was grundlegend nicht verstanden und kann mich jemand des besseren belehren?
2) Server/Router-Adressierung
Bleiben wir beim genannten Beispiel mit der Firewall und den beiden Uplinks. Die Firewall sitzt am Rand des Netzwerks und sichert die Kommunikation mit der Außenwelt ab. Intern ist diese Firewall über ein Transfer-Netz mit einem Layer3-Switch verbunden. Dieses Switch übernimmt das interne Routing (die FW ist das Standardgateway für das Switch). Das Switch gliedert das Netz in die VLANs Clients A, Server B, Sonstige C. Der zugwiesene Präfix lässt 8 Bit zum Subnetting übrig. Das Transfernetz erhält die Subnetzadresse 2003:b:16:b301::/64 wobei das FW-Interface die ::1 und das Switch-Interface die ::2 erhält. Im Switch lasse ich das IPv6 Std-Gateway auf ebendiese, vom Präfix abgeleitete, Global-Unicast-Adresse der FW zeigen. Den übrigen VLAN-Interfaces des Switchs werden ebenfalls mit, vom Präfix abgeleiteten, Subnetzen und dazu passenden festen IP-Adressen versehen. In den jeweiligen VLANs würde dann per SLAAC und DHCPv6 die Adressierung der Clients vollzogen werden. SLAAC konfiguriert das Std-GW der Clients Standardmäßig mit der Link-Local-Adresse des Routers bzw. in diesem Fall des VLAN-Interfaces.
Wie sieht es bei der Adressierung von Servern aus? AD, Exchange und so weiter -> Manuell/Fest vergebene Global-Unicast-Adressen oder SLAAC mit DHCPv6? Bei manueller vergabe muss das Standardgateway dabei auch, wie bei SLAAC, die Link-Local-Adresse sein oder gebe ich dort ebenfalls die Global-Unicast-Adresse des Routers ein?
Die Verwendung von Global-Unicast-Adressen und die manuelle/feste Vergabe von Adressen an Routern/VLAN-Interfaces ist aber an sich korrekt, oder?
3) Routing
Auch hier: bleiben wir beim in 2) geschilderten Szenario. Allerdings kommt hier noch eine dritte Instanz dazu. Konkret: Wir haben ein Tochterunternehmen über eine eigene Glasfaser-Leitung an uns angeschlossen. Das Tochterunternehmen hat einen eigenen Internet-Anschluss mit eigener Firewall. Die Firewall des Tochterunternehmens hat ebenfalls noch ein "Bein" im Transfernetz. In der IPv4-Welt haben wir einfach eine Route auf deren privates IPv4 Netz gesetzt. In IPv6 wird ja auch deren Netz über Global-Unicast-Adressen von überall erreichbar sein (Sofern die FW mitspielt). Allerdings macht es ja wenig Sinn über das Internet zu routen, wenn eine direkte Glasfaser-Verbindung vorhanden ist.
Gehe ich richtig in der Annahme, dass man in so einem Fall am Router (hier das Switch) einfach eine feste Route für den IPv6-Präfix des Tochternuternehmens setzt, der dann alles über das Transfernetz direkt zur Firewall des Tochternuternehmens schickt?
---
Ich hoffe ich konnte meine Probleme nachvollziehbar rüber bringen und bin gespannt auf eure Antworten...
Vielen Dank im Voraus!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 400437
Url: https://administrator.de/contentid/400437
Ausgedruckt am: 22.11.2024 um 12:11 Uhr
6 Kommentare
Neuester Kommentar
Versuchs doch einfach mal - am 'lebenden Objekt' lernst du am besten".
Ist auch so... erhalten wir, durch die beiden Uplinks, auch zwei Präfixe zugewiesen.
Bedenke immer das das KEINE festen Prefixe sind ! Die ändern sich zyklisch. Es sei denn ihr habt einen Business Anschluss und bekommt per Prefix Delegation immer einen festen /56er Prefix, was aber ungewöhnlich ist.PD machen die Provider in der Regel auf Consumer Anschlüssen, da diese ja nicht mit festen IPv6 Netzen arbeiten müssen. Haben sie bei IPv4 ja auch nicht durch die wechselnden v4 Provider IPs.
Kurzum ist in einem Firmenumfeld eine IPv6 Adressierung mit dynamischen v6 Netzen per PD unbrauchbar sofern du auch von außen erreichbar sein willst ! Siehe dazu auch hier:
https://www.heise.de/select/ct/2018/19/1536650923067816
für den Präfix von Uplink1 entschieden habe und meine Firewall lässt dieses Präfix bekannt machen.
Etwa statisch ?? Das wird dann in die Hose gehen wenn dein Provider dir per PD einen neuen Prefix zuweist.Du musst über weitere DHCP Prefix Delegation selber diesen dir dynamisch zugewiesenen Bereich weitergeben. Klar, denn der Provider routet immer nur das Subnetz zu dir was er dir dynmiasch per PD gegeben hat.
Wenn du das mit etwas statischem "übermangelst" jast du irgendwann v6 IP Adressen die nicht mehr stimmen, das klappt also nicht.
Sofern die Telekom diese Pakete überhaupt routet,
Wie kommst du da drauf das sie das NICHT machen würde ?? Mit deinen IPv4 Paketen macht sie das ja auch...?!Dieses Switch übernimmt das interne Routing
Der Switch ist ein Mann !Klassisches, stinknormales Layer 3 Konzept auf dem Core Switch also...
Deinen IPv6 Adressierung ist vom Prinzip aus absolut korrekt und richtig. Allerdings hast du vermutlich hier wieder die PD Dynamik übersehen. Denn hast du diese Netze statisch eingetragen, hast du ein Problem wenn der Provider diese ändert ! Du müsstest alles neu konfigurieren auf den dann neuen per PD zugewiesenen Prefix.
Mal ganz davon abgesehen, das der Prefix der vom anderen Link kommt routingtechnisch ins Nirwana geht. Auch nicht besonders gut...
Wie sieht es bei der Adressierung von Servern aus?
Warum sollte es hier anderes sein als bei IPv4 ?Auch hier gilt das Server, und Infrastruktur immer feste statische IPs bekommen sollte. Das gilt dann auch für beide IP Versionen.
und die manuelle/feste Vergabe von Adressen an Routern/VLAN-Interfaces ist aber an sich korrekt, oder?
Ja, das ist korrekt.Allerdings kommt hier noch eine dritte Instanz dazu.
Auch hier hast du Adress technisch alles richtig gemacht. Auch die statische Route ist richtig sofern du intern immer statisch routest und keine dynamischen Routing Protokolle wie OSPFv6 oder RIPng benutzt.Dein Konzept krankt daran das du von deinem Provider keinen festen IPv6 Prefix beantragt hast. Dadurch bekommst du und das Tochterunternhemen immer wechselnde IP Prefixe per PD.
Man muss dich sicher nicht fragen wie du sowas auf einer Firewall abbilden willst ??
Gut es gibt mittlerweile FW und auch Router Firewalls die damit umgehen können. Siehe hier:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Aber ein granulares Regelwerk auf einer Firewall ist mit dynamschen sich ändernden Netzen so schwer umzusetzen.
Fazit:
Feste IPv6 Adressen für euch und das Tochterunternehmen vom Provider beantragen. So wie sich das anhört arbeitest du da ja mit Consumer v6 Anschlüssen.
und laut Telekom auch feste Prefixe
OK, dann nehme ich oben alles zurück mit den dynamischen PDs und behaupte das Gegenteil ! Das solltest du allerdings absolut wasserdicht klären, da deine v6 Connectivity davon abhängt !
Dann sind natürlich deine v6 Adressierungen absolut korrekt oben.
Wie bekomme ich denn das Policy Based Routing mit zwei ISP-Uplinks hin?
Guckst du hier:Cisco Router 2 Gateways für verschiedene Clients
Das gilt natürlich identisch so auch für IPv6.
Man könnte beide Prefix announcen
Du meinst intern, im internen Netz ??denn die Entscheidung was wie geroutet wird, trifft logischerweise die Firewall
So ist es. Dann entscheide dich für einen Prefix und nutze den. Besser wäre natürlich dann ein Balancing Router oder Firewall mit 2 WAN Ports und entsprechenden PBR bzw. Balancing Regeln.
Oh man ist ja schon langer her aber ich habe diesen Beitrag völlig vergessen...Schande über mein Haupt, sorry! Hoffe du/ihr könnt mir noch weiterhelfen, weil ich mir auch endlich mal wieder Gedanken darüber machen kann...
Okay, aber so ganz blicke ich da bei ipv6 nicht durch. Bei IPv4 wird ja nach der Routing-Entscheidung durch das PBR (z.B. Schicke http über Uplink2 raus) mittles NAT die interne IP durch die öffentliche IP des ausgehenden Uplink2 getauscht. Das heißt ja, dass diese „genattete“ Adresse auch als Antwortadresse vom Ziel verwendet wird. Es geht am Uplink2 raus und kommt auch genau dort wieder an…
Bei IPv6 ist das ja alles transparent...entscheide ich mich beispielsweise für den Prefix von Uplink1 (und verteile auch nur diesen im Netz; im Prinzip so wie du unten angemerkt hast) und definiere auch hier im PBR, dass z.B. http über uplink2 raus soll, so steht ja mangels NAT immer noch die Absende-Adresse aus dem Prefix-Bereich von Uplink1 im IP-Header, sodass die Rückantwort ja theoretisch auch über Uplink1 wieder rein kommt. Das widerspricht ja so ein wenig dem Sinn des PBR...so wäre ja Uplink1 bei jeder Kommunikation irgendwie im Boot (anders wie bei ipv4)...das ist doch irgendwie blöd wenn’s um Lastenausgleich etc. geht
Jap…
Siehe oben...
P.S.: Sorry für die Verwirrung mit den Accounts...ich habe auf den Beitrag meines Kollegen geantwortet (wir haben den damals zusammen geschrieben) und gedacht es wäre meiner...
Zitat von @aqui:
.
Cisco Router 2 Gateways für verschiedene Clients
Das gilt natürlich identisch so auch für IPv6.
.
Wie bekomme ich denn das Policy Based Routing mit zwei ISP-Uplinks hin?
Guckst du hier:Cisco Router 2 Gateways für verschiedene Clients
Das gilt natürlich identisch so auch für IPv6.
Okay, aber so ganz blicke ich da bei ipv6 nicht durch. Bei IPv4 wird ja nach der Routing-Entscheidung durch das PBR (z.B. Schicke http über Uplink2 raus) mittles NAT die interne IP durch die öffentliche IP des ausgehenden Uplink2 getauscht. Das heißt ja, dass diese „genattete“ Adresse auch als Antwortadresse vom Ziel verwendet wird. Es geht am Uplink2 raus und kommt auch genau dort wieder an…
Bei IPv6 ist das ja alles transparent...entscheide ich mich beispielsweise für den Prefix von Uplink1 (und verteile auch nur diesen im Netz; im Prinzip so wie du unten angemerkt hast) und definiere auch hier im PBR, dass z.B. http über uplink2 raus soll, so steht ja mangels NAT immer noch die Absende-Adresse aus dem Prefix-Bereich von Uplink1 im IP-Header, sodass die Rückantwort ja theoretisch auch über Uplink1 wieder rein kommt. Das widerspricht ja so ein wenig dem Sinn des PBR...so wäre ja Uplink1 bei jeder Kommunikation irgendwie im Boot (anders wie bei ipv4)...das ist doch irgendwie blöd wenn’s um Lastenausgleich etc. geht
Man könnte beide Prefix announcen
Du meinst intern, im internen Netz ??Jap…
denn die Entscheidung was wie geroutet wird, trifft logischerweise die Firewall
So ist es. Dann entscheide dich für einen Prefix und nutze den. Besser wäre natürlich dann ein Balancing Router oder Firewall mit 2 WAN Ports und entsprechenden PBR bzw. Balancing Regeln.Siehe oben...
P.S.: Sorry für die Verwirrung mit den Accounts...ich habe auf den Beitrag meines Kollegen geantwortet (wir haben den damals zusammen geschrieben) und gedacht es wäre meiner...
Hui, vielen Dank!
Verstehe ich das richtig, dass mir mein ISP (z.B. Telekom) dann für beide Anschlüsse einen identischen Präfix zuweisen bzw. routen muss?
Was meinst du in dem verlinkten Beitrag mit „Präfix Delegation ist das Problem“? -> Sofern meine Annahme mit der Anweisung an den ISP über beide Anschlüsse einen Präfix zu Routen richtig wäre, würde dieses Präfix dann nicht vom ISP per PD an meinen Router verteilt, sondern müsste fest per Hand vergeben werden?