Netzwerkgrundlagen

Autokonfiguration von IPv6-Adressen

LinkedIn Learning kostenlos und unverbindlich testen!

Jetzt testen Alle Abonnements anzeigen
Die Stateless Address Autoconfiguration stellt in Netzwerken ein Verfahren zur automatischen Konfiguration von IPv6-Adressen auf Clients mit Hilfe von Präfixen zur Verfügung.

Transkript

Für die Autokonfiguration von Clients nutzen wir in IPv4 in aller Regel die HCP. Das funktioniert auch bei IPv6, aber wir haben noch eine andere Möglichkeit und die schauen wir uns jetzt an. Wie gesagt, die HCPv6 funktioniert auch mit IPv6, aber es gibt noch die Möglichkeit der sogenannten Stateless Address Autoconfiguration (SLAAC). Das ist also die Autokonfiguration für einen IPv6-Client und das Ganze tickt so: Ich habe ein Gerät, im Normalfall ist es der Router und dieser Router, auf dem trage ich ein IPv6-Prefix ein. Und dieses v6-Prefix das publiziert er, das kündigt er dann im Netzwerk an und ein Client, der dieses Router-Advertisement dann bekommt, der generiert sich aus dem Prefix eine IP-Adresse. Das Ganze basiert also auf ICMPv6, diese Advertisements, und natürlich führt der Client vorher mit Hilfe von einer sogenannten Duplicate Address Detection eine Kollisionserkennung durch, ob also nicht schon jemand diese Adresse hat, und dann generiert er sich entsprechend eine IP und ist fertig zur Kommunikation. Und das wollen wir uns jetzt mal anschauen. Dazu begebe ich mich hier mal auf meinen Router im Übungsnetzwerk Das ist die "192.168.100.254" -- das ist jetzt im Augenblick noch mit IPv4. Das ist also diese Monowall hier und wir gehen in den Abschnitt General setup. Und da haben wir hier schon an dritter Stelle Enable IPv6 support. Das funktioniert natürlich auf jeder Firewall, auf jedem Gerät irgendwo anders, da muss man dann halt die Dokumentation durchlesen. Gut. Ich möchte das jetzt hier mal abspeichern. Wunderbar. Und dann begeben wir uns aufs Interface. Und an welchem Interface möchte ich dieses Router-Advertisement raushauen? Ich möchte es am LAN-Interface raushauen. Wir haben jetzt hier auch diverse Einstellungsmöglichkeiten, auch IPv6-bezogen und ich möchte jetzt hier also eine statische IPv6-Adresse vergeben, und zwar möchte ich eine aus dem Unique Local Unicast-Bereich vergebene "fd00::1" von mir aus "/64". Jetzt kann ich hier unten festlegen, mit diesem Häkchen hier, Send IPv6 router advertisements. Soll er tun, wunderbar. Die Flags, die ich hier setzen kann, zu denen kommen wir gleich zurück. Ich möchte jetzt erst mal kucken, ob's funktioniert und klicke Save. So, das war's jetzt an der Stelle hier auch schon. Im besten Fall sollte er das jetzt publizieren und das wollen wir mal nachprüfen mit dem Wireshark. Ich kucke natürlich auch gleich in die IP-Konfiguration rein. Öffnen wir mal unseren Netzwerk-Monitor, damit wir uns so ein Router-Advertisement vielleicht mal aufschnappen können und klicke Start. Und hier ist ja einiges los auf dem Netz und ich hatte ja bereits erwähnt, dass so ein Router-Advertisement aus einem ICMPv6-Paket besteht und deswegen möchte ich das jetzt hier auch gerade mal filtern. Mit ein bisschen Glück kriegen wir auch ein Router-Advertisement zu Gesicht. Wunderbar, habe hier schon zwei drauf. Reicht mir auch schon. Und dieses Advertisement wird jetzt an eine bestimmte IP-Adresse geschickt. Das ist hier die ff02::1 und diese Adresse ist eine Multicast-Adresse, und zwar eine vordefinierte Multicast-Adresse. Die entspricht dem sogenannten All-Notes-Bereich. Also damit werden alle Clients adressiert und jeder IPv6-fähige Client kennt eben auch diese Multicast-Adresse. Wollen wir mal ins Paket reinschauen. So ein Router-Advertisement, einige Optionen, mich interessiert jetzt hier die Prefix information. Und hier tatsächlich den Prefix, den wir gerade eben definiert haben, der wird jetzt hier auch in diesem Advertisement verbreitet. Und wenn jetzt alles gut gegangen ist, dann sollte sich dieser Client hier, sollte sich dann so ein Interface-Identifier aus diesem Prefix generiert haben. Kucken wir mal an. Holen wir uns eine Kommandozeile und geben mal ipconfig ein, (Tippen) Netzwerk-Konfiguration auszulesen. Und wir sehen tatsächlich, dass wir jetzt mehrere Adressen haben. Die fd00:: und hier hinten ein Interface-Identifier, den hat er sich jetzt automatisch generiert. Außerdem haben wir noch eine zweite Adresse und was hat es mit der auf sich? Die IPv6-Adresse, die wurde ja früher aus der MAC-Adresse generiert über das EUI-64-Verfahren und der Punkt ist der, dass erstens die MAC-Adresse global eindeutig ist und damit einfach nachvollziehbar und dass sich globale Adressen eben auch im lokalen Netzwerk befinden können und dürfen. Es soll ja das Ende-zu-Ende Prinzip nicht verletzt werden. Und wenn man sich mal kurz überlegt, dann ist das natürlich datenschutztechnisch nicht besonders klug hier mit ein und derselben Adresse über die gesamte Laufzeit hier im Internet zu surfen und deswegen hat man die sogenannten Privacy Extensions definiert. Die Privacy Extensions, das ist jetzt ein Zusatz und dort steht drin, dass man also eine IPv6-Adresse und ein Interface-Identifier hier auch zufällig erzeugen kann, dass es also jetzt nicht mehr auf der MAC-Adresse basiert und dass ich zusätzlich auch temporäre Adressen verwenden kann für eine Kommunikation zum Beispiel hier ins Netzwerk oder ins Internet. Und diese temporären IP-Adressen, die haben eine sehr kurze Laufzeit. So eine IPv6-Adresse kann auch ablaufen, dann muss eine neue generiert werden. Und es kann auch durchaus sein, dass da nochmal eine temporäre Adresse dazukommt. Während also eine neue angefangen wird, dann ist die alte noch unter Umständen eine Weile gültig, kann also noch ein paar Daten empfangen, aber es muss schon mit der neuen gesendet werden. Und das ist die temporäre IP-Adresse. Die Privacy Extensions, die sind hier jetzt auf Windows-Systeme standardmäßig aktiv. Auf anderen Systemen sind sie unter Umständen auch standardmäßig aktiv, aber vielleicht auch nicht, vielleicht muss man die dort erst einschalten. Was sehen wir noch? Der Standardgateway, also die Link-Lokale-Adresse vom Router, der ist hier auch vollautomatisch eingetragen worden. Denkt man sich, warum jetzt die fe80- und nicht diese fd00-Adresse, die ich am Router eingetragen habe? Ganz einfach, die fd00, die kann sich am Router jederzeit ändern, die fe80, die bleibt jetzt über die gesamte Laufzeit gleich. Deswegen nimmt man die fe80-Adresse als Standardgateway. Dann möchte ich gerade nochmal ein ipconfig/all aufrufen. (Tippen) Und was fehlt uns denn jetzt noch zu einer grundlegenden Netzwerk-Konfiguration? Die Namensauflösung, der DNS-Server. Und tatsächlich habe ich hier bereits einen DNS-Server eingetragen bekommen, aber ich kann mich gar nicht entsinnen, dass ich den irgendwo eingetragen habe. Die 2001db8::1, das stimmt, das ist mein Domainkontroller, das ist ein DNS-Server drauf. Und ich möchte das jetzt hier gerade nochmal überprüfen, nicht dass ich es irgendwo eingetragen habe Nein, ist tatsächlich nicht der Fall. Also wo kommt um Himmelswillen die DNS-Server-Adresse her? Ich hatte vorhin erwähnt, dass wir nochmal zurückkommen zur Firewall, und das möchte ich jetzt hier machen, und zwar geht es um dieses Flag hier im Router-Advertisement. Dieses Flag kann zwei Zustände annehmen: Managed und Other stateful. Und was bedeutet das jetzt? Ich habe im Router hier ja im Augenblick noch überhaupt keine Möglichkeit, den DNS-Server in das Router-Advertisement einzutragen. Und wo bekommt der Client den DNS-Server her? Na ja, entweder er trägt ihn manuell ein, also statisch, oder er geht zu einem DHCP-Server und dieser DHCP-Server kann eben auch im statuslosen Modus laufen, das heißt, er braucht überhaupt noch nicht mal IP-Adressen anzubieten, sondern nur noch die Optionen. Und genau so einen DHCP-Server habe ich bereits im Vorfeld eingerichtet, kucken wir uns gleich an. Also wenn ich hier auf den Flags Other stateful stehen habe, dann kuckt der Client im Netzwerk nach einem DHCP, möchte aber nur die Optionen von ihm haben und bei der Managed Option, dann versucht der Client seine IP-Adresse also auch direkt vom DHCP-Server zu bekommen. Andernfalls nur die Optionen. Gehen wir kurz zum DHCP, den habe ich hier auf einem anderen Server konfiguriert. Das ist hier der Server 1. Und wie man sieht, IPv4-technisch ist ein Bereich drin, da wird dann IPv4 rausgegeben, aber bei IPv6, der ist zwar wohl aktiv, aber eben ohne Adressbereich. Und hier habe ich nur die IPv6 Optionen definiert. Und hier ganz konkret, die IPv6-Adresse ist für den DNS-Server, für rekursive Namensauflösung und da kommt auch der Eintrag her. Jetzt fragt sich bestimmt der eine oder andere, hätte man jetzt nicht diesen DNS-Server auch noch in das Router-Advertisement reinschreiben können, dann wäre alles in einem Abwasch und ich bräuchte jetzt hier nicht nochmal extra einen DHCP-Server betreiben. Ja, finde ich auch. Finden viele andere auch, deswegen gibt es auch schon einen neuen RFC-Standard. Der ist noch gar nicht so alt und der ermöglicht es dem Administrator, auf den entsprechenden Geräten dann auch einen DNS-Server im Router-Advertisement mitzugeben. Allerdings ist das hier auf meinem Router derzeit, jetzt gerade im Augenblick noch nicht implementiert.

Netzwerkgrundlagen

Lassen Sie sich die grundlegenden Netzwerktechniken erklären und erfahren Sie anhand vieler Beispiele, wie Netzwerke in der Praxis aufgebaut werden und wie sie funktionieren.

6 Std. 38 min (63 Videos)
Derzeit sind keine Feedbacks vorhanden...

Dieser Online-Kurs ist als Download und als Streaming-Video verfügbar. Die gute Nachricht: Sie müssen sich nicht entscheiden - sobald Sie das Training erwerben, erhalten Sie Zugang zu beiden Optionen!

Der Download ermöglicht Ihnen die Offline-Nutzung des Trainings und bietet die Vorteile einer benutzerfreundlichen Abspielumgebung. Wenn Sie an verschiedenen Computern arbeiten, oder nicht den ganzen Kurs auf einmal herunterladen möchten, loggen Sie sich auf dieser Seite ein, um alle Videos des Trainings als Streaming-Video anzusehen.

Wir hoffen, dass Sie viel Freude und Erfolg mit diesem Video-Training haben werden. Falls Sie irgendwelche Fragen haben, zögern Sie nicht uns zu kontaktieren!