IPv6 implementatie met 3 OSPF routers - Netwerken

vrijdag 29 april 2011 15:43

Acties:

Verwijderd

Topicstarter

Wij zijn een school en hebben een netwerk met 3 routers + routing protocol OSPF (er zijn er meer maar voor de vraag doet het er niet toe).

Router1:
ETH0: 192.168.3.0
ETH1: 10.100.225.190

Router2:
ETH0: 172.16.0.0
ETH1: 10.100.225.191

Router3:
ETH0: Externe WAN IP
ETH1: 10.100.225.254

De ETH1 poorten van de routers zijn met elkaar verbonden in een router vlan. Dit is volgens mij een redelijk typische router configuratie. Nu wil ik graag IPv6 implementeren. Mijn eerste idee was om private ranges te gebruiken voor IPv6 (net zoals IPv4) en dan deze te routeren middels de router die verbonden zijn met het internet (router3).

Een foute verouderde IPv4 denkwijze. Dit gaat natuurlijk niet werken doordat de externe (internet) routers niet de routes kunnen weten. Er word immers geen gebruik gemaakt van NAT.

Dit gooit eigenlijk mijn netwerk configuratie overhoop en vergt een andere denkwijze.

Heeft iemand advies voor IPv6 implementatie? Is het handig om de routers allemaal publieke IPv6 adressen te geven? Dit lijkt mij persoonlijk geen goed idee doordat ze dan allemaal directe internet toegang kennen en dus iedere router zijn eigen firewall moet hebben. Daarnaast is het ook niet handig wanneer je bijvoorbeeld van ISP veranderd of in ons geval een 2e internet lijn hebt als zijnde backup.

Vind het hoe dan ook geen fijn idee dat IPv4 via een centrale router werkt en IPv6 niet.

Verschillende boeken die ik gelezen heb wat betreft IPv6 gaat eigenlijk niet echt in op een dual-stack configuratie met meerdere routers.
Wie helpt mij op weg?

vrijdag 29 april 2011 15:46

Acties:

raymonvdm

Je hebt geen andere keuze dan gebruik te maken van publieke ipv6 adressen. Je zult een router dus moeten voorzien van een access-list om hem te beschermen

Verder gaat ipv6 nog verder met her PI space plan waarbij je gewoon voor jezelf een subnet krijgt waardoor je bij een provider alleen nog maar transit afneemt en geen ip adressen meer.

[ Voor 37% gewijzigd door raymonvdm op 29-04-2011 15:47 ]

vrijdag 29 april 2011 15:49

Acties:

itarix

404 soul not found

Dual stack is niks meer dan simpelweg ipv4 ook nog laten draaien. qua IPv6 configuratie zou het niet zoveel uit moeten maken.

Normaalgesproken krijg je van de provider een /48 IPv6 adres toegewezen de volgende 16 bit kan je gebruiken om subnetten te maken. een subnet moet inprincipe altijd /64 groot zijn.

Dat gaat helemaal in tegen de denkwijze van IPv4 aangezien point2point netwerken nu ook miljarden vrije ip adressen hebben. Dit maakt niet uit omdat je zo ontzettend veel subnetten kan maken. (of je bedrijf moet meer als 65xxx adressen hebben)

vrijdag 29 april 2011 15:56

Acties:

Verwijderd

Topicstarter

Ik heb een subnet gekregen van mijn ISP lijkend op 2001:900:2000::1/64 (ik heb vanwege privacy iets aangepast).

Doordat NAT niet word toegepast werkt het IPv6 wellicht precies hetzelfde als IPv4 als het gaat om interne verbindingen maar extern vergt het een andere aanpak.

vrijdag 29 april 2011 15:58

Acties:

TrailBlazer

Karnemelk FTW

als je enkel een /64 hebt gekregen heb je te weinig adressen gekregen om je hele netwerk van IPv6 te voorzien.

vrijdag 29 april 2011 15:58

Acties:

Verwijderd

Topicstarter

itarix schreef op vrijdag 29 april 2011 @ 15:49:
Dual stack is niks meer dan simpelweg ipv4 ook nog laten draaien. qua IPv6 configuratie zou het niet zoveel uit moeten maken.

Normaalgesproken krijg je van de provider een /48 IPv6 adres toegewezen de volgende 16 bit kan je gebruiken om subnetten te maken. een subnet moet inprincipe altijd /64 groot zijn.

Dat gaat helemaal in tegen de denkwijze van IPv4 aangezien point2point netwerken nu ook miljarden vrije ip adressen hebben. Dit maakt niet uit omdat je zo ontzettend veel subnetten kan maken. (of je bedrijf moet meer als 65xxx adressen hebben)

Als ik het goed begrijp kan ik dus

2001:900:2000:1:1/64
2001:900:2000:1:2/64
2001:900:2000:1:3/64

subnetten maken? En de routers van mijn ISP weten waar ze naartoe moeten routeren ?!

Dat kan ik natuurlijk proberen.

vrijdag 29 april 2011 16:00

Acties:

Verwijderd

Topicstarter

TrailBlazer schreef op vrijdag 29 april 2011 @ 15:58:
als je enkel een /64 hebt gekregen heb je te weinig adressen gekregen om je hele netwerk van IPv6 te voorzien.

Hoe dat zo? /64 betekent 18 triljoen IP adressen

vrijdag 29 april 2011 16:02

Acties:

itarix

404 soul not found

Volgens het IPv6 standaard kun je (beter) geen subnetten kleiner dan /64 maken ;-)

You typically want/need a /64 for your home network. This is because /64 is the required size to use for autoconfiguraiton using radvd etc.. Smaller than /64 prefixes simply don't work with IPv6 autoconfiguration.
A /112 prefix (XXXX) or )96 (XXXX:XXXX) are nice sizes to allocate to each server in serverfarms etc.

[ Voor 66% gewijzigd door itarix op 29-04-2011 16:05 ]

vrijdag 29 april 2011 16:11

Acties:

Verwijderd

Topicstarter

itarix schreef op vrijdag 29 april 2011 @ 16:02:
Volgens het IPv6 standaard kun je (beter) geen subnetten kleiner dan /64 maken ;-)

You typically want/need a /64 for your home network. This is because /64 is the required size to use for autoconfiguraiton using radvd etc.. Smaller than /64 prefixes simply don't work with IPv6 autoconfiguration.
A /112 prefix (XXXX) or )96 (XXXX:XXXX) are nice sizes to allocate to each server in serverfarms etc.

Het gaat hier natuurlijk niet om een "home netwerk". Mijn probleem zit hem in routeren tussen verschillende routers.

IPv6 heb ik thuis zonder problemen draaien. Ik heb ook netjes IPv6 internet verbinding op router 3. Het probleem is dat de andere routers alleen naar de IPv6 gateway kunnen pingen. Logisch want de routers na deze gateway kunnen onmogelijk de interne routes weten.

Mijn vraag is dus eigenlijk hoe ik dit het beste implementeer. Ik kan publieke IP adressen geven aan internet routers maar dat vind ik geen goede oplossing. Dat zou betekenen dat er geen centrale beveiliging meer is en ik dus meerdere firewalls moet configureren.

Ik maak vast een denkfout door nu al 15 jaar vastgeroest te zitten in IPv4 denkwijze.

vrijdag 29 april 2011 16:31

Acties:

raymonvdm

Je moet bij ipv6 toch echt elke node voorzien van een ipv6 adres en inderdaad lokaal gaan firewallen. Tenzij je dat op je gateway doet voor het subnet erachter.

vrijdag 29 april 2011 18:18

Acties:

itarix

404 soul not found

Dus je wil met je privé IPv6 adressen naar publieke adressen routeren?
Dat kan alleen met NAT routing (ja ook met IPv6)

Dus of je doet een firewall op de router die verbind met de router naar het internet (reflective ACL heeft infeite dezelfde beveiliging als IPv4 NAT) en dan publieke IPv6 adressen zoals het hoort (NAT is een lelijke hack)

Of je implementeert NAT

Tot hoever Cisco dergelijke dingen op IPv6 ondersteund weet ik niet.

vrijdag 29 april 2011 18:51

Acties:

TrailBlazer

Karnemelk FTW

Je hebt alleen een firewall of acl nodig op de router die direct aan internet hangt. Die beschermt dan ook meteen de andere routers in je netwerk. Lees anders even de TS van het sticky IPv6 topic in NT voor wat meer info over IPv6.
NAT op IPv6 bestaat als ik het goed heb niet op Cisco in ieder geval dat hoop ik.

[ Voor 15% gewijzigd door TrailBlazer op 29-04-2011 18:52 ]

vrijdag 29 april 2011 20:05

Acties:

Verwijderd

Topicstarter

itarix schreef op vrijdag 29 april 2011 @ 18:18:
Dus je wil met je privé IPv6 adressen naar publieke adressen routeren?
Dat kan alleen met NAT routing (ja ook met IPv6)

Dus of je doet een firewall op de router die verbind met de router naar het internet (reflective ACL heeft infeite dezelfde beveiliging als IPv4 NAT) en dan publieke IPv6 adressen zoals het hoort (NAT is een lelijke hack)

Of je implementeert NAT

Tot hoever Cisco dergelijke dingen op IPv6 ondersteund weet ik niet.

Zover ik weet ondersteunen de meeste routers niet NAT voor IPv6 dit omdat het niet logisch is.

Kijk ik kan de volgende subnets maken:

2001:900:2000:1::/64
2001:900:2000:2::/64
2001:900:2000:3::/64

Dat valt dan niet in de private range maar routeren gaat niet werken. Dit omdat de routers na het 2001:900:2000::/64 netwerk niet de route naar bijvoorbeeld 2001:900:2000:2::1 weten.

Ik ben bezig vyatta routers te configureren maar ik zou dus echt niet weten hoe ik deze moet configureren om alles via 1 centrale router te laten lopen.

Zoals ik al zei: Voor iedere router een aparte firewall en interne data tussen deze routers toegankelijk maken is geen oplossing.

vrijdag 29 april 2011 20:06

Acties:

Verwijderd

Topicstarter

TrailBlazer schreef op vrijdag 29 april 2011 @ 18:51:
Je hebt alleen een firewall of acl nodig op de router die direct aan internet hangt. Die beschermt dan ook meteen de andere routers in je netwerk. Lees anders even de TS van het sticky IPv6 topic in NT voor wat meer info over IPv6.
NAT op IPv6 bestaat als ik het goed heb niet op Cisco in ieder geval dat hoop ik.

Ik begrijp prima hoe IPv6 werkt. Alleen ik snap dus niet mijn bovenstaande vraag.

vrijdag 29 april 2011 22:11

Acties:

Dafjedavid

TrailBlazer schreef op vrijdag 29 april 2011 @ 18:51:
Je hebt alleen een firewall of acl nodig op de router die direct aan internet hangt. Die beschermt dan ook meteen de andere routers in je netwerk. Lees anders even de TS van het sticky IPv6 topic in NT voor wat meer info over IPv6.
NAT op IPv6 bestaat als ik het goed heb niet op Cisco in ieder geval dat hoop ik.

Je hebt helemaal geliijk :-)

[ Voor 15% gewijzigd door Dafjedavid op 30-04-2011 09:14 . Reden: domme opm weggehaald,.... ]

Who Needs Windows...

vrijdag 29 april 2011 23:40

Acties:

TrailBlazer

Karnemelk FTW

Verwijderd schreef op vrijdag 29 april 2011 @ 20:06:
[...]

Ik begrijp prima hoe IPv6 werkt. Alleen ik snap dus niet mijn bovenstaande vraag.

als je niet begrijpt dat je aan een /64 niet genoeg hebt voor je hele netwerk begrijp je IPv6 niet volledig in ieder geval. Ook het feit dat je dat denkt dat je op iedere IPv6 router een firewall nodig hebt geeft IMHO aan dat je in ieder geval nog wat kennis mist hier en daar.

Dafjedavid schreef op vrijdag 29 april 2011 @ 22:11:
[...]

Dacht t wel : http://www.cisco.com/en/U...ration_Guide_Chapter.html

dat is om de vertaling van IPv4 naar IPv6 te doen niet binnen IPv6

zondag 1 mei 2011 21:35

Acties:

Verwijderd

Topicstarter

TrailBlazer schreef op vrijdag 29 april 2011 @ 23:40:
[...]

als je niet begrijpt dat je aan een /64 niet genoeg hebt voor je hele netwerk begrijp je IPv6 niet volledig in ieder geval. Ook het feit dat je dat denkt dat je op iedere IPv6 router een firewall nodig hebt geeft IMHO aan dat je in ieder geval nog wat kennis mist hier en daar.

Je opmerking is een beetje jammer en eigenlijk overbodig. je neemt niet de moeite om vragen te beantwoorden en begrijpt me overduidelijk verkeerd. Reageer dan niet

Je kunt natuurlijk ook een poging wagen om de vraag te beantwoorden. We zijn hier allen om te leren, gezien je commentaar zondere verdere uitleg: Jij zeker.

Wanneer je met een centrale firewall gaat werken dan zul je data moeten routeren en dat gaat nogal lastig zonder NAT. De router van mijn ISP weet immers niet de route naar interne subnetten.

Een router is hoe dan ook een probleem. De vraag is hoe werkt dit want ik zie het nergens terug. Ik verwacht dat routers van ISP's een soort systeem zoals OSPF of RIP gebruiken om subnetten van klanten te vinden. De naam van een functie of protocol heb ik genoeg aan. Ik had even hoop dat dit simpel OSPFv3 zou zijn maar dat werkt niet.

zondag 1 mei 2011 21:45

Acties:

timag

Even een opmerking: ik ben zeker geen specialist

Je vraag is hoe je provider om gaat met jouw interne routes. Kort antwoord: niet, maar dat is ook niet nodig

Je provider geeft je een range. Die weet de provider te vinden: alles binnen die range zit namelijk achter jouw router waarop je internetverkeer binnenkomt. Verder hoeft je provider niets van routes intern te weten, je eigen router weet toch waar hij verkeer binnen je netwerk naar toe moet sturen? Of je nu IPv6 of 4 gebruikt maakt niet uit. Een protocol om routes uit te wisselen is eigenlijk alleen maar nodig als er meer paden zijn en in jouw beschrijving zijn die er niet extern.

zondag 1 mei 2011 22:22

Acties:

TrailBlazer

Karnemelk FTW

Verwijderd schreef op zondag 01 mei 2011 @ 21:35:
[...]

Je opmerking is een beetje jammer en eigenlijk overbodig. je neemt niet de moeite om vragen te beantwoorden en begrijpt me overduidelijk verkeerd. Reageer dan niet

Je kunt natuurlijk ook een poging wagen om de vraag te beantwoorden. We zijn hier allen om te leren, gezien je commentaar zondere verdere uitleg: Jij zeker.

Wanneer je met een centrale firewall gaat werken dan zul je data moeten routeren en dat gaat nogal lastig zonder NAT. De router van mijn ISP weet immers niet de route naar interne subnetten.

Een router is hoe dan ook een probleem. De vraag is hoe werkt dit want ik zie het nergens terug. Ik verwacht dat routers van ISP's een soort systeem zoals OSPF of RIP gebruiken om subnetten van klanten te vinden. De naam van een functie of protocol heb ik genoeg aan. Ik had even hoop dat dit simpel OSPFv3 zou zijn maar dat werkt niet.

Providers hebben echt geen zin om met elk klein klantje een dynamisch routeringsprotocol te gaan praten. Die provider routeert gewoon statisch een /64 naar jouw 1e router en jij moet alles gewoon terugrouteren. Echter elk link heeft standaard een /64 subnet dus je hebt al minimaal 2 /64 nodig een voor tussen jou en de provider en 1 /64 voor je lokale subnet.
Lees even de TS van het grote IPv6 topic daar wordt keurig uitgelegd dat NAT op ipv6 niet meer bestaat en dat site local adressen gelukkig niet meer bestaan.

sorry dat ik misschien wat bot overkom maar je lijkt inderdaad wat vastgeroest te zitten in IPv4 denkwijze.

zondag 1 mei 2011 23:00

Acties:

Verwijderd

Topicstarter

TrailBlazer schreef op zondag 01 mei 2011 @ 22:22:
[...]

Providers hebben echt geen zin om met elk klein klantje een dynamisch routeringsprotocol te gaan praten. Die provider routeert gewoon statisch een /64 naar jouw 1e router en jij moet alles gewoon terugrouteren. Echter elk link heeft standaard een /64 subnet dus je hebt al minimaal 2 /64 nodig een voor tussen jou en de provider en 1 /64 voor je lokale subnet.
Lees even de TS van het grote IPv6 topic daar wordt keurig uitgelegd dat NAT op ipv6 niet meer bestaat en dat site local adressen gelukkig niet meer bestaan.

sorry dat ik misschien wat bot overkom maar je lijkt inderdaad wat vastgeroest te zitten in IPv4 denkwijze.

Ik kan beter zeggen: sorry voor mijn ongeduld maar ik vind het altijd lastig om de vraag zo te formuleren dat ik er een duidelijk antwoord op krijg. Dat NAT niet word ondersteunt (het bestaat wel) was me al duidelijk. Dat ik een 2e subnet nodig heb is me ook duidelijk.

De vraag is hoe weet de provider mijn 1e router? Ik kan me vergissen maar ik vind het niet terug in het ipv6 topic. Misschien met Radvd ??

De router van mijn isp zal toch op 1 of andere manier mijn ip adres van mijn router moeten kunnen begrijpen anders gaat het niet werken of er moet een systeem zijn dat anders werkt. Als ik bijvoorbeeld in een IPv4 netwerk een static route maak van pc1 192.168.1.1 naar netwerk 192.168.2.0 via router 192.168.1.2 dan kan ik niet pc2 192.168.2.1 pingen als deze de route naar 192.168.1.0 niet weet. Andersom kan het wel. Pc1 192.168.1.1 geeft netjes antwoord op pc2 omdat deze de route kent.

Doordat je geen invloed hebt op de routingtable van je ISP onstaat er een probleem.
Dit probleem bestaat voor zowel ipv4 als ipv6 maar is voor ipv4 amper een probleen omdat deze meestal via NAT verbinding heeft met het internet.

Een tunnel bijvoorbeeld kent dit probleem niet maar dit wil ik eigenlijk helemaal niet gebruiken en ik ga liever zeuren bij mij ISP als ik weet wat ik nodig heb.

Ik heb al meerdere boeken doorgeworsteld wat betreft ipv6. Ik heb alleen door gebrek aan ervaring niet alle kennis paraat. Je kunt wel hameren op het ipv6 topic maar dat heb ik al vanaf het het begin doorgelezen. Alle informatie juist tot je opnemen is moeilijk wanneer je nog geen praktijk ervaring hebt.

[ Voor 38% gewijzigd door Verwijderd op 01-05-2011 23:48 ]

zondag 1 mei 2011 23:13

Acties:

Verwijderd

Topicstarter

timag schreef op zondag 01 mei 2011 @ 21:45:
Even een opmerking: ik ben zeker geen specialist

Je vraag is hoe je provider om gaat met jouw interne routes. Kort antwoord: niet, maar dat is ook niet nodig

Je provider geeft je een range. Die weet de provider te vinden: alles binnen die range zit namelijk achter jouw router waarop je internetverkeer binnenkomt. Verder hoeft je provider niets van routes intern te weten, je eigen router weet toch waar hij verkeer binnen je netwerk naar toe moet sturen? Of je nu IPv6 of 4 gebruikt maakt niet uit. Een protocol om routes uit te wisselen is eigenlijk alleen maar nodig als er meer paden zijn en in jouw beschrijving zijn die er niet extern.

Een router geeft als source adres het waar het vandaan komt. Wanneer je intern een subnet gebruikt private of niet dan zal het langs je eigen router moeten gaan.

De router van je provider zal dus de route moeten weten naar je interne subnet. Bijvoorbeeld routes 2001::/64 moet naar 2002::1 omdat deze over het interne 2001::/64 beschikt.

Met NAT heb je dit probleem niet omdat dan je source adres word vertaald in je externe IP.

Mijn provider heeft mij niet genoeg gegeven om met IPv6 te werken en ik probeer te achterhalen wat ik van mijn provider nodig heb.

maandag 2 mei 2011 06:45

Acties:

TrailBlazer

Karnemelk FTW

Je hebt van je provider nodig.
1a het subnet wat gebruikt wordt op de link tussen jouw router en zijn router.
1b het adres op zijn interface (ik denk de prefix::1)
1c het adres op jouw interface (ik denk de prefix::2)
2 het subnet voor je interne netwerk.

Pagina: 1

Reageer