Hi! Der folgende kurze Entwurf befasst sich damit, wie Adressen in einem ISP-Netz vergeben werden. Ich wuerde mich freuen, wenn erfahrene v6-Admins diesen Entwurf kurz kommentieren koennten.
-----snip------ Addressenverwaltung fuer IPv6 Adressen Referenzen: rfc3513 Internet Protocol Version 6 (IPv6) Addressing Architecture rfc3587 IPv6 Global Unicast Address Format rfc3041 Privacy Extensions for Stateless Address Autoconfiguration in IPv6 rfc3627 Use of /127 Prefix Length Between Routers Considered Harmful Adressverwaltung bedeutet: - Festlegen eines neuen Adressbereichs fuer ein Geraet/Netz/Kunden - Festlegen des Default Gateways in diesem Adressbereich - Eintrag im Routing - Zuordnen des Adressbereichs zu einem Kunden - Eintrag Forward/Reverse Mapping im DNS - Loeschen einer Adresse eines Geraets - Loeschen des Routings - Loeschen der Zuordnung zum Kunden Die Kernidee von IPv6 war, das alles dynamisch bzw. automatisch zu machen. "Renumbering is easy". Problem ist aber: Die derzeit bei v6 verwendeten Adresszuteilungsmechanismen (neighbour-discovery (ND), router-discovery (RD) usw) sind nicht cryptographisch sicher. Sind CGA (crypto-generated adresses) sicher ? http://www.ietf.org/internet-drafts/draft-ietf-send-cga-01.txt A: Nur die naechsten 20 Jahre, weil nur 64bit zur Verfuegung stehen. Hmm. Daher: Vorschlag zur Policy: Also werden auch unter v6 Adressen im Normalfall statisch vergeben. Naechste Frage: Wenn statisch vergeben, wie wird bei einer Vergabe der naechste Adressbereich ausgewaehlt ? Zwei Alternativen stehen zur Wahl: 1) Linear, d.h. aus dem jeweiligen Adressblock wird der naechste freie gewaehlt. 2) Zufaellig, d.h. aus dem jeweiligen Adressblock wird zufaellig ein freier ausgewaehlt. Vorteil von 1) Einfach nachzuvollziehen. Nachteil von 1) Das macht es Angreifern leicht, nach aktiven Geraeten zu scannen. Nachteil von 2) Schwierig in der Handhabung. - Vorschlag zur Adressverteilung: o Ethernetze bekommen zufaellig ausgewaehlte /48 aus dem /32-Fenster o Kunden hinter Leitungen/Dialups bekommen ein zufaellig ausgewaehltes /48 o phys-server bekommen ein zufaellig ausgewaehltes /128 im entsprechenden ethernet und wenn weitere Adressen notwendig werden, ein zufaellig ausgewaehltes /64 aus einem dafuer reservierten und zufaellig ausgesuchten /48. Warum nicht die letzten /64 aus der ethernet-Adresse ? A: Security, keine Infos ueber den Adaptertyp/Geraete verteilen. o Point-to-point Links ? siehe rfc3627 * /128, sehr sparsam, aber vermutlich schwieriger aufzusetzen * /126, sparsam, tut technisch (analog einem /30) * /112, das ist eine 16-bit boundary, daher einfacher zu merken Meine Praeferenz: /126 o Default-Gateway ist jeweils eine zufaellig ausgewaehlte IPs im entsprechend zugeteilten Netz. bei einem /48: 2001:14b0:xxxx:YYYY:ZZZZ:ZZZZ:ZZZZ:ZZZZ/32 bei einem /64: 2001:14b0:XXXX:xxxx:YYYY:YYYY:YYYY:YYYY/32 Problem: wer einen valid host findet, findet sofort alle Hosts als zwischenstation (d.h. vermutl. auch den default gw?) Waere zu testen. -- MfG/Best regards, Kurt Jaeger 16 years to go ! LF.net GmbH fon +49 711 90074-23 [EMAIL PROTECTED] Ruppmannstr. 27 fax +49 711 90074-33 D-70565 Stuttgart mob +49 171 3101372 _______________________________________________ ipv6 mailing list [EMAIL PROTECTED] http://listserv.uni-muenster.de/mailman/listinfo/ipv6
