Zum Inhalt springen

Schlagwort: IPv6

Cisco IOS XE (ISR1100) IPv6 Prefix Delegation

Veröffentlicht am 18. September 2020

Viele Provider verteilen IPv6 Adressen vie Prefix-Delegation (PD). So lernt das Kunden Endgerät (CPE) eine IPv6 Adresse am WAN Port und kann an den LAN Ports IPv6 Adressen aus dem zugeteilten Prefix verteilen.

Fritzboxen oder ähnliche Router erledigen das selbständig ohne grosse Konfiguration.

Ein CISCO ISR 1100 Series Router muss natürlich für diesen Fall speziell konfiguriert werden. So kann auch der genaue IPv6 Prefix an den Ports und VLANs definiert werden.

Mit der folgenden Konfig kann ein IPv6 Prefix vom ISP empfangen werden und einen Teil davon einem VLAN zugeteilt werden.

– IPv6 Routing grundsätzlich einschalten
– WAN Interface konfigurieren
– Prefix Delegation vom empfangen und in Variable MEIN_PREFIX speichern
– Im Client VLAN (VLAN100) einen Teil (:100::) der Adressen weiter verteilen
– Interface am Router ins VLAN 100 nehmen

ipv6 unicast-routing
!
!
interface GigabitEthernet0/0/0
 load-interval 30
 ipv6 address autoconfig default
 ipv6 enable
 ipv6 dhcp client pd MEIN_PREFIX
 ipv6 dhcp client request vendor
!
!
interface Vlan100
 ipv6 address MEIN_PREFIX :100::1/64
 ipv6 enable
!
!
!
interface GigabitEthernet0/1/0
 description *** Gi0/1/0 : Access VLAN100 to Clients ***
 switchport access vlan 100
 switchport mode access
 load-interval 30
end

Ich hoffe die Konfig hilft euch weiter.

Kommentare geschlossen

IPv6 Subnetting

Veröffentlicht am 10. August 2015

Ausgangslage: Eine Firma mit mehreren Aussenstellen möchte gerne IPv6 Adressen verteilen. Jede Aussenstelle hat mehrere VLAN’s (Subnetze) für verschiedne Dienste (LAN, PublicWLAN, Vioce, Video). Aktuell sind alle Geräte, Computer, Drucker und Server mit privaten Adressen (10.x.x.x) adressiert.

Die Firma möchte alle Geräte auch mit IPv6 (dual stack) adressieren. So kann für einige Dienste auf NAT verzichtet werden.

  • Welche Ranges werden empfohlen?
  • Wie gross sollten die Subnetze sein?
  • Welcher Adress-Range soll man benutzen?

    • Ich empfehle folgendes:

    Grössere Firmen sollten bei der zuständigen Stelle Provider unabhängige (PI – Provider Independent) Adressen bestellen. Diese stellen wären:

  • RIPE NCC – Réseaux IP Européens Network Coordination Centre für Europa
  • AfriNIC – African Network Information Centre für Afrika
  • ARIN – American Registry for Internet Numbers für Nordamerika
  • APNIC- Asia-Pacific Network Information Centre für Asien und den pazifischen Raum
  • LACNIC – Latin American and Caribbean Internet Addresses Registry für Südamerika und die Karibik

    • Meistens erhält man von der RIR (Regional Internet Registry) einen /48 Range zugeteilt. Diesen kann man dann wie im unteren Schema gezeigt aufteilen.

    Jede Aussenstelle würde z.B. ein /56 Netz erhalten. Dann können pro Standort 256 Subnetze in maximal 256 Standorten adressieren.
    Oder man wählt das Netz vor Ort etwas kleiner: /60 So können 16 Netze in maximal 4096 Standorten adressiert werden.

    Ich empfehle kein Netz mit Endgeräten (PC, Drucker, Router, usw.) zu erstellen, welches kleiner als /64 ist.
    Man vergeudet leider sehr viele Adressen, da ein /64 Netz immerhin 18’446’744’073’709’551’616 Adressen umfasst. Aber es ist das kleinste Netz bei dem man Autoconfig/SLAAC verwenden kann.

    Will man kleine Netze empfehle ich, die Adressen statisch (von Hand) zu vergeben.

    Jeder IPv6 fähige Gerät richtet automatisch eine eigene link-lokale und globale Adressen ein. So kann ein Endgerät mit anderen Geräten problemlos kommunizieren. Doch bei einem Router oder bei Servern sollten sich die Adressen nicht ändern. Ausser sie haben einen internen dynamischen DNS Server. Aber auch hier empfehle ich statische Adressen zu verwenden. Und für den Zugang zum Internet muss ein Router zwangsläufig eine feste IPv6-Adresse haben. Dem Router und wichtigen Servern (AD, Exchange, File) sollte man die Adresse manuell zuweisen und bei Client Computern oder Applikationsservern kann man die Adressen zentral per DHCPv6 zuweisen (optional mit Reservierung).

    IPv6-Subnet Tabelle
    2a02:1368:0000:0000:0000:0000:0000:0000
    |||| |||| |||| |||| |||| |||| |||| ||||
    |||| |||| |||| |||| |||| |||| |||| |||128 Einzelne Adresse, Endpunkt, Loopback
    |||| |||| |||| |||| |||| |||| |||| |||127 Point2point Links
    |||| |||| |||| |||| |||| |||| |||| ||124
    |||| |||| |||| |||| |||| |||| |||| |120
    |||| |||| |||| |||| |||| |||| |||| 116
    |||| |||| |||| |||| |||| |||| |||112
    |||| |||| |||| |||| |||| |||| ||108
    |||| |||| |||| |||| |||| |||| |104
    |||| |||| |||| |||| |||| |||| 100
    |||| |||| |||| |||| |||| |||96
    |||| |||| |||| |||| |||| ||92
    |||| |||| |||| |||| |||| |88
    |||| |||| |||| |||| |||| 84
    |||| |||| |||| |||| |||80
    |||| |||| |||| |||| ||76
    |||| |||| |||| |||| |72
    |||| |||| |||| |||| 68
    |||| |||| |||| |||64 1 - kleinstes Netz für Autoconfig/SLAAC (Standardzuweisung für ein Enduser Netz)
    |||| |||| |||| ||60
    |||| |||| |||| |56 256 - Standardzuweisung für einen Kunden (so kann man 256 x /64 Netze Adressieren)
    |||| |||| |||| 52 4096 - (so kann man 4096 x /64 Netze Adressieren)
    |||| |||| |||48 65536 - Typisches Netz für Zuweisung von RIPE für PI Adressen oder Firmen (65536 /64)
    |||| |||| ||44
    |||| |||| |40
    |||| |||| 36
    |||| |||32 /32 - Typische Adressierung an einen LIR - z.B. an Arcade
    |||| ||28
    |||| |24
    |||| 20
    |||16
    ||12 Zuteilung an RIPE von der IANA (2a00:0000::/12RIPE NCC)
    |8
    4

    Siehe https://www.iana.org/assignments/ipv6-unicast-address-assignments/ipv6-unicast-address-assignments.xml

    Kommentare geschlossen

    Exchange 2013 IPv6 Probleme

    Veröffentlicht am 10. August 2015

    Ausgehende Mails ab Exchange 2013 werden abgeleht.

    Wer mit einem Microsoft Exchange 2013 Server Mails an GMX oder gMail sendet kennt evtl. diese Meldungen:
    – Sender address rejected: Please see http://www.openspf.org/Why?….

    – The sender does not meet basic guidelines ipv6 sending of authentication and RDNs resolution of sending ip. Please review https://support.google.com/mail/answer/81126for more information. – gsmtp
    Your message was not delivered due to permission problems or safety. She may have been rejected by a moderator, the address only accepts mail from certain senders, or another restriction prevented delivery.

    Obwohl der Server eine fixe IP Adresse hat (IPv4 und IPv6) benutzt Exchange eine dynamische IPv6 Adresse zum Versenden von Mails. Das Problem existiert bei IPv4 nicht, da es dort keine stateless address autoconfiguration, Link-local oder Site-local Adressen gibt.

    Mails werden über die statische IPV6 Adresse empfangen (wie es im DNS erfasst ist).
    Die Mails werden aber nicht über die selbe Adresse wieder versendet (SMTP outgoing). Sondern für ausgehende Verbindungen wird die dynamische IPv6 (stateless address autoconfiguration) verwendet. Diese IPv6 Konfiguration macht an einem PC Sinn, da so die ausgehende Adresse immer wieder ändert und so das Tracking von Informationen eingeschränkt wird.

    Beim Versenden von e-Mails macht das allerdings wenig Sinn, da genau hier der Absender eindeutig identifizierbar sein sollte.

    Mittels der Exchange Shell kann man die abgehende Adresse aber festlegen:
    Beim „Send-Connector“ gibt es die Variable „SourceIPAddress“.

    Achten sie wie bei IPv4 darauf, dass die Adresse einen korrekten DNS Reverse Eintrag hat und, falls vorhanden, beim SPF Record korrekt erfasst ist.

    Weitere Infos auf der Microsoft Technet Seite:
    http://technet.microsoft.com/de-de/library/gg144561%28v=exchg.150%29.aspx

    Kommentare geschlossen

    Barracuda SPAM Firewall – IPv6 aktivieren

    Veröffentlicht am 7. November 2012

    Die Barracuda SPAM Firewalls können seit der Firmware Version 5.x auch mit IPv6 Adressen umgehen. Leider kann man die IPv6 Unterstürzung nicht einfach im WebGUI in einem Menu aktivieren.

    Doch ist die Aktivierung sehr einfach. Sie muss in einem versteckten, erweiterten Konfig-Modus gemacht werden.

    1) Login im WebGUI der Barracuda SPAM Firewall

    2) Menu ADVANCED (oder ERWEITERT) anwählen

    3) URL um &expert=1  ergänzen
    ( https://gw.antispam.url/cgi-mod/index.cgi?&user=admin&password=xxx&auth_type=Local&locale=de_DE&primary_tab=ADVANCED&expert=1 )

    4) nun erscheint ein neuer, roter Menupunkt „Expert Settings“

    5) hier kann man unter „IPv6-Unterstützung aktivieren:“ die IPv6 Konfigurationsmöglichkeiten aktivieren

    Kommentare geschlossen
    Wir benutzen Cookies um die Funktionalität der Webseite zu gewährleisten. Durch Deinen Besuch stimmst Du dem zu.
    -