4
IPv6 - multi WAN - multi VLAN
Hallo Freunde,
ich hätte mal eine konzeptionelle Frage. Die von mir betreute Infrastruktur besteht aus ca. 60 VLANs und wir haben eine 8-fache WAN-Redunadnaz, aus LWL, Kabel, DSL und LTE. IPv6 ist kein Thema bei uns, aber ich interessiere mich grundsätzlich schon dafür.
So wie ich v6 verstehe, bekommt man vom ISP einen IP-Prefix zugewiesen, den man dann selbst nach gutdünken verwenden kann. Wenn ich mir jetzt vorstelle, ich bekomme 8 Prefixe, welchen weise ich dann den Clients zu? Vor dem Hintergrund, der Anschuss des dem Client zugewiesen Prefixes/Adresse fällt aus. Das Failover geht auch den nächsten Anschluss, jetzt passt die IP des Clients ja nicht mehr zum zweiten Anschluss?! Denn ein SNAT fällt ja bei v6 weg.
Oder kann ich den Clients mehrere v6-Adressen pro Interface zu weisen? Aber wie steuere ich dann welcher Client über welchen Anschluss raus geht?
Und wie splittet ihr die Adressen pro VLAN auf? Wie gesagt, ich mange die IP-Adressierung für ca. 60 VLANs. Vergebe ich die öffentlichen Prefixe dann an die VLANs? Was wenn sich ein Anschluss/ISP mal ändert? Der IP-Prefix ist ja vermutlich nicht auf ewig und über jeden ISP-Wechsel immer "unser"? Das heißt, bei jedem ISP-Wechsel müsste ich immer den Geräten (die eine feste IP bekommen sollen) neue Adressen geben?
Das alles wirkt unglaublich umständlich auf mich? Wird ähnliches überhaupt irgendwo in einer Infrastruktur dieser Größe eingesezt? Ich lasse mir das in einem typischen topologisch flachem Fritzbox-Heimnetz eingehen. Auch das inter-VLAN-Routing, ich müsste ja für jeden öffentlichen Prefix separate Firewall-Regelwerk erstellen und die wieder bei jedem ISP-Wechsel ändern?
VG
ich hätte mal eine konzeptionelle Frage. Die von mir betreute Infrastruktur besteht aus ca. 60 VLANs und wir haben eine 8-fache WAN-Redunadnaz, aus LWL, Kabel, DSL und LTE. IPv6 ist kein Thema bei uns, aber ich interessiere mich grundsätzlich schon dafür.
So wie ich v6 verstehe, bekommt man vom ISP einen IP-Prefix zugewiesen, den man dann selbst nach gutdünken verwenden kann. Wenn ich mir jetzt vorstelle, ich bekomme 8 Prefixe, welchen weise ich dann den Clients zu? Vor dem Hintergrund, der Anschuss des dem Client zugewiesen Prefixes/Adresse fällt aus. Das Failover geht auch den nächsten Anschluss, jetzt passt die IP des Clients ja nicht mehr zum zweiten Anschluss?! Denn ein SNAT fällt ja bei v6 weg.
Oder kann ich den Clients mehrere v6-Adressen pro Interface zu weisen? Aber wie steuere ich dann welcher Client über welchen Anschluss raus geht?
Und wie splittet ihr die Adressen pro VLAN auf? Wie gesagt, ich mange die IP-Adressierung für ca. 60 VLANs. Vergebe ich die öffentlichen Prefixe dann an die VLANs? Was wenn sich ein Anschluss/ISP mal ändert? Der IP-Prefix ist ja vermutlich nicht auf ewig und über jeden ISP-Wechsel immer "unser"? Das heißt, bei jedem ISP-Wechsel müsste ich immer den Geräten (die eine feste IP bekommen sollen) neue Adressen geben?
Das alles wirkt unglaublich umständlich auf mich? Wird ähnliches überhaupt irgendwo in einer Infrastruktur dieser Größe eingesezt? Ich lasse mir das in einem typischen topologisch flachem Fritzbox-Heimnetz eingehen. Auch das inter-VLAN-Routing, ich müsste ja für jeden öffentlichen Prefix separate Firewall-Regelwerk erstellen und die wieder bei jedem ISP-Wechsel ändern?
VG
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 4446916000
Url: https://administrator.de/contentid/4446916000
Printed on: April 28, 2024 at 06:04 o'clock
4 Comments
Latest comment
Das ist ein Problem, welches sich mit einem Portable Prefix (früber "Provider Independent") erschlagen lässt.
Das Präfix gehört dir und wird dann von dir per BGP über die jeweiligen Zugänge advertised. Fällt ein Zugang weg oder es werden Anbieter gewechselt, bleiben alle Adressen erhalten.
Bei der Menge an unterschiedlichen WAN-Zugängen muss man sich auch die Frage stellen, ob man es nicht einmal "richtig und ordentlich" machen will, das hört sich für mich aktuell auch ziemlich nach Murks an — mit dem Geld was da für 8 Zugänge ausgegeben wird, kann man lieber 2-3 ordentliche buchen und darüber dann BGP mit dem eigenen IPv6-Präfix machen.
Das Präfix gehört dir und wird dann von dir per BGP über die jeweiligen Zugänge advertised. Fällt ein Zugang weg oder es werden Anbieter gewechselt, bleiben alle Adressen erhalten.
Bei der Menge an unterschiedlichen WAN-Zugängen muss man sich auch die Frage stellen, ob man es nicht einmal "richtig und ordentlich" machen will, das hört sich für mich aktuell auch ziemlich nach Murks an — mit dem Geld was da für 8 Zugänge ausgegeben wird, kann man lieber 2-3 ordentliche buchen und darüber dann BGP mit dem eigenen IPv6-Präfix machen.
1
Nachtrag dazu:
Firewall-Regeln kann man mit Wildcards statt mit starren Präfixen anlegen (zumindest bei ordentlichen Geräten).
Da kannst du dann auch einfach auf die Bits 56-64 matchen und hast unabhängig vom Präfix gleichbleibende Firewall-Regeln (gesetzt dem Fall, du bekommst immer wenigstens ein /56 zugewiesen).
Und Präfixe kann man dynamisch per RA verteilen, auch mehrere, und bei Bedarf eines aus dem RA automatisch zurückziehen, wenn der zugehörige Zugang wegfällt.
Firewall-Regeln kann man mit Wildcards statt mit starren Präfixen anlegen (zumindest bei ordentlichen Geräten).
Da kannst du dann auch einfach auf die Bits 56-64 matchen und hast unabhängig vom Präfix gleichbleibende Firewall-Regeln (gesetzt dem Fall, du bekommst immer wenigstens ein /56 zugewiesen).
Und Präfixe kann man dynamisch per RA verteilen, auch mehrere, und bei Bedarf eines aus dem RA automatisch zurückziehen, wenn der zugehörige Zugang wegfällt.
1
Es gibt mittlerweile immer mehr Router und Firewalls, die NPTv6 beherrschen, also ein Prefix-NAT können. Ebenso ist IPv6 auf Autoadressierung ausgerichtet. Sprich ändert sich das Prefix, wird dieses per NDP RA bekannt gemacht.
Multi-WAN könnte man auch über NPTv6 realisueren, aber auch über mehrere bekanntgegebene Prefixe per NSP RA.
Firewalls können damit auch umgehen. Der Hostanteil bleibt beim Prefixwechsel identisch und kann damit für Vergleichzwecke genutzt werden.
Und ja, für jedes VLAN ist ein Prefix nötig. Dafür bekommt man auch entsprechend viele. Mein Privatanschluss bekommt ein /59 delegiert, also 32 Prefixe. Damit ist VF-West sehr kniepig. Normal ist ein /56, also 256 Prefixe.
Es dauert sehr lange, bis man im Kopf die ganzen IPv4-Pfuschtechniken wieder losgeworden ist, aber es funktioniert.
Multi-WAN könnte man auch über NPTv6 realisueren, aber auch über mehrere bekanntgegebene Prefixe per NSP RA.
Firewalls können damit auch umgehen. Der Hostanteil bleibt beim Prefixwechsel identisch und kann damit für Vergleichzwecke genutzt werden.
Und ja, für jedes VLAN ist ein Prefix nötig. Dafür bekommt man auch entsprechend viele. Mein Privatanschluss bekommt ein /59 delegiert, also 32 Prefixe. Damit ist VF-West sehr kniepig. Normal ist ein /56, also 256 Prefixe.
Es dauert sehr lange, bis man im Kopf die ganzen IPv4-Pfuschtechniken wieder losgeworden ist, aber es funktioniert.
Deine 8 WAN Anschlüsse sind wie viele Provider?
Ich glaube hier fängt ein Denkfehler im Denkfehler an.
Ich glaube hier fängt ein Denkfehler im Denkfehler an.
