Fotolia

Warum es beim IPv6-Renumbering zu Problemen kommen kann

IPv6-Renumbering kann zur Herausforderung werden. Das gilt insbesondere, wenn ein Host, der SLAAC nutzt, abgelaufene Präfixe erhält. Doch Sie können Gegenmaßnahmen ergreifen.

Stateless Address Autoconfiguration (kurz SLAAC) ist der vorgeschriebene und häufigste Mechanismus, der genutzt wird, um IPv6-Netzwerke automatisch zu konfigurieren. In einigen Szenarien für das IPv6-Netzwerk-Renumbering allerdings laufen Hosts, die SLAAC verwenden, Gefahr, abgelaufene Netzwerkpräfixe zu verwenden. Das führt dann zu Konnektivitätsproblemen. Dazu vorab einige Hintergrundinformationen.

Die IPv6-Protokollsuite unterstützt zwei unterschiedliche Mechanismen für die automatische Netzwerkkonfiguration: SLAAC und Dynamic Host Configuration Protocol (DHCP) für IPv6 (DHCPv6).

Die Unterstützung für SLAAC ist zwingend, die für DHCPv6 hingegen optional. Dabei ist Android eine der bekanntesten Plattformen, die DHCPv6 nicht unterstützt. Infolgedessen ist SLAAC der gängigste und am weitesten verbreitete Mechanismus für die automatische Netzwerkkonfiguration von Hosts.

SLAAC funktioniert im Allgemeinen folgendermaßen:

  • IPv6-Hosts, die einem Netzwerk beitreten, fordern per Broadcast Informationen zur Netzwerkkonfiguration an. Genau genommen wird die Anfrage an eine spezielle IPv6-Multicast-Adresse gesendet.
  • Mit dem Netzwerk verbundene IPv6-Router werden üblicherweise mit den angeforderten Informationen für die Netzwerkkonfiguration antworten. Dazu zählen auch Netzwerkpräfixe, die zur Adresskonfiguration genutzt werden sollen.
  • Beim Empfang dieser Informationen konfigurieren die Hosts eine oder mehrere Adressen für das bekannt gegebene Präfix. Einzige Bedingung hierbei: Die daraus resultierende Adresse darf noch nicht genutzt werden.
  • Von Zeit zu Zeit übertragen lokale Router die gleichen Informationen zur Netzwerkkonfiguration per Broadcast auch im lokalen Netzwerk, um die Informationen aktuell zu halten. Andernfalls könnten die Informationen möglicherweise als veraltet angesehen und entsprechend verworfen werden.

Gegenüber IPv4 gibt es eine wichtige Änderung: Wenn SLAAC eingesetzt wird, erfolgt die Adresszuweisung nicht zentral – wie in der DHCP-basierten IPv4-Welt. Doch Hosts können jede nicht verwendete Adresse frei wählen und nutzen, ganz ohne jede Art von Registrierung oder Lease von einem anderen System.

IPv6-Renumbering und wie es funktioniert

Netzwerk-Renumbering besteht in der Regel darin, ein Netzwerkpräfix, das in einem Netzwerk genutzt wird, durch ein anderes zu ersetzen. Bei IPv6 soll ein geplantes Renumbering für Netzwerke mit SLAAC auf folgende Weise ablaufen:

  • Lokale Router geben die vorhandenen Präfixe mit geringer Gültigkeitsdauer bekannt. Damit sind lokale Hosts in der Lage, diese Präfixe auslaufen zu lassen.
  • Gleichzeitig wird im lokalen Netzwerk ein neues Präfix mit langer Gültigkeitsdauer bekannt gegeben, sodass Hosts Adressen für das neue Präfix konfigurieren können.
  • Am Ende verwenden Hosts die alten Präfixe nicht mehr, sondern nutzen lediglich die neuen.

Dies wird üblicherweise als ordnungsgemäßes oder geplantes Renumbering bezeichnet. Es ist dadurch gekennzeichnet, dass lokale Router bestehende Präfixe auslaufen lassen und neue einführen, wobei die lokalen Hosts rechtzeitig Informationen erhalten, um die Verwendung der für das bestehende Präfix konfigurierten Adressen zu beenden und die Adressen für das neu eingeführte Präfix zu konfigurieren.

Problematische Szenarien beim IPv6-Renumbering

Ein Netzwerk-Renumbering kann auf viele verschiedene Weisen erfolgen, ohne dass die lokalen Router imstande sind, den Hosts zu signalisieren, dass die vorhandenen Präfixe nicht mehr genutzt werden sollen. In Abbildung 1 sehen Sie ein häufig vorkommendes Szenario.

In dieser Situation übernimmt der lokale Router zwei verwandte, aber separate Funktionen. Auf der LAN-Seite fungiert er als SLAAC-Router und überträgt Informationen zur Netzwerkkonfiguration an die lokalen Hosts.

Auf der WAN-Seite fungiert er als DHCPv6-PD-Client (DHCPv6 Prefix Delegation), um vom Upstream-ISP (Internet Service Provider) dynamisch ein IPv6-Präfix zu erhalten. Der ISP wird typischerweise ein /48-Präfix an den Router leasen, das der lokale Router als ein /64-Subpräfix im lokalen Netzwerk über SLAAC bekannt gibt.

Abbildung 1: Konnektivitätsprobleme können auftreten, wenn lokale Router mehrere Präfixe erhalten.
Abbildung 1: Konnektivitätsprobleme können auftreten, wenn lokale Router mehrere Präfixe erhalten.

Sobald vom Upstream-ISP ein Präfix geleast wurde, kommuniziert der lokale Router nur kurz vor dem Ablauf des geleasten Präfixes mit dem Upstream-DHCPv6-Server. Dadurch kann er das Lease erneuern, bevor es abläuft. Abgesehen davon kommt es zu keiner weiteren Kommunikation zwischen dem DHCPv6-PD-Client auf dem Router und dem DHCPv6-PD-Server beim ISP.

In Situationen, in denen zum Beispiel der lokale Router abstürzt und neu startet, fordert der Router in der Regel ein neues IPv6-Präfix vom Upstream-Netzwerk an. Somit kann sich das geleaste Präfix vom zuvor geleasten Präfix unterscheiden. In diesen Fällen gibt der lokale Router das neue Präfix im lokalen Netzwerk bekannt, so dass lokale Hosts IPv6-Adressen für das neue Präfix konfigurieren.

Aber Hosts im lokalen Netzwerk werden zusätzlich zu den neu konfigurierten Adressen auch weiterhin solche verwenden, die zum abgelaufenen Präfix gehören. Das geschieht solange, bis der lokale Router auch das alte Präfix mit geringer Gültigkeitsdauer bekannt gibt.

Das führt üblicherweise zu Problemen in puncto Netzwerkkonnektivität, bis für das alte Präfix konfigurierte Adressen ablaufen. Da jedoch die Gültigkeitsdauer von Präfixen durchschnittlich einen Monat beträgt, bedeutet dies, dass das Problem möglicherweise unzumutbar lange bestehen bleibt.

Die meisten Router für Privatanwender und kleinere Unternehmen halten nicht dauerhaft fest, welche Präfixe sie geleast haben. Infolgedessen kommt es nach einem Crash und anschließendem Neustart mit neu geleastem Präfix im lokalen Netzwerk zum gleichen Problem.

Wie sich Konnektivitätsprobleme vermeiden lassen

Es bieten sich mehrere Möglichkeiten, um derartige Probleme zu verhindern. Beachten Sie aber, dass einige davon auf Protokoll- und/oder Implementierungs-Updates basieren und deshalb nicht ohne Weiteres zur Verfügung stehen. Die folgenden Punkte versprechen Verbesserungspotenzial:

  • Verwenden Sie keine dynamischen Präfixe. Dies würde zum Beispiel bedeuten, dass ein ISP immer die gleichen Präfixe an jeden Home- oder Enterprise-Router leasen würde, um den IPv6-Renumbering-Vorgang zu vermeiden. Diese Methode kann umsetzbar oder gewünscht sein oder auch nicht. Dauerhafte Netzwerkpräfixe kollidieren womöglich mit dem Datenschutz, so dass diese Auswirkungen ebenfalls berücksichtigt werden müssen.
  • Router, die DHCPv6-PD nutzen, sollten geleaste Präfixe auf nicht flüchtigem Speicher protokollieren. Falls es zu einem Crash mit anschließendem Neustart kommt, lassen sich zuvor geleaste Präfixe von der weiteren Nutzung ausschließen.
  • SLAAC sollte dergestalt verbessert werden, dass es abgelaufene Präfixe erkennen und Netzwerkadressressourcen eine geringere Gültigkeitsdauer zuweisen kann. Dadurch wäre SLAAC in der Lage, schneller auf veraltete Netzwerkinformationen zu reagieren. Die Internet Engineering Task Force (IETF) arbeitet kontinuierlich daran, einige dieser möglichen Verbesserungen zu implementieren, um Konflikte beim IPv6-Renumbering zu reduzieren.

Nächste Schritte

IPv4 und IPv6: Probleme mit den Sicherheitsrichtlinien

DNS-Konfigurationsprobleme bei IPv6-Netzwerken

Mehr Sicherheit durch die richtige IPv6-Adressierung

Erfahren Sie mehr über Software-defined Networking

ComputerWeekly.de

Close