Obwohl Linux als freie Software kostenlos verfügbar ist, setzen viele beim Unternehmenseinsatz auf Enterprise-Distributionen mit Support. Wo die Stärken der ... (mehr)

ISATAP – fürs Intranet

Das Intra-Site Automatic Tunnel Addressing Protocol (ISATAP) kommt bei Host-to-Host-, Host-to-Router- und Router-to-Host-Verbindungen zum Einsatz. Router-to-Router-Verbindungen sind nicht vorgesehen. ISATAP wird genutzt, um in einem Organisationsnetzwerk IPv6/IPv4-Knoten über eine IPv4-Infrastruktur miteinander zu verbinden. Es ist nicht für die Verbindung über das Internet konzipiert. ISATAP sollte nicht in produktiven Netzwerken eingesetzt werden sollte, weil es in erster Linie Testzwecken dient (Abbildung 7).

Abbildung 7: Das ISATAP-Protokoll konfiguriert Rechner automatisch. Der Einsatz ist jedoch aufs Intranet beschränkt und dient vorwiegend Testzwecken.

ISATAP ist in RFC 5214 festgelegt und erfordert auf den Hosts keine manuelle Konfiguration. Es wurde von Cisco und Microsoft entwickelt, wird aber auch von Linux unterstützt [4]. Wie auch 6to4 nutzt ISATAP ein virtuelles Tunnel-Interface, das automatisch angelegt und mit einer IPv6-Adresse versehen wird. Dabei kann ein beliebiges Unicast-/64-Präfix genutzt werden (also auch Link-Local). Die IPv4-Adresse des jeweiligen LAN-Interfaces wird am Ende der Interface-ID eingebunden. Je nachdem, ob es sich um eine globale IPv4-Adresse oder eine private IPv4-Adresse nach RFC 1918 handelt, haben ISATAP-Adressen das folgende Format:

  • Globale IPv4-Adressen: 64-Bit-Unicast-Präfix:200:5EFE:w.x.y.z
  • Private IPv4-Adressen: 64-Bit-Unicast-Präfix:0:5EFE:w.x.y.z

Hierbei steht w.x.y.z für eine IPv4-Adresse in normaler Punktnotation. Eine mögliche ISATAP-Adresse wäre dann zum Beispiel 2001:db8:200:5EFE:85.25.66.51. Das ISATAP-Tunneling-Interface betrachtet den IPv4-Teil des Netzwerks übrigens als ein einziges Link-Layer-Segment, analog zu Ethernet. Die Link-Layer-Verkapselung geschieht demnach aus Sicht von ISATAP durch IPv4.

So funktioniert ISATAP

Ein Windows-System erstellt für jedes LAN-Interface, das ein eigenes DNS-Suffix erhält (und damit in einem eigenen Subnetz ist), ein separates ISATAP-Tunneling-Interface. Diese ISATAP-Interfaces befinden sich ab Vista SP1 zunächst im Status "Disconnected", solange der Name ISATAP nicht aufgelöst werden kann. Hinter diesem DNS-Namen verbirgt sich die IPv4-Adresse eines ISATAP-Routers. Kann der Name "ISATAP" aufgelöst werden, geschieht Folgendes:

  • Die ISATAP-Interfaces weisen sich eine Link-local-Adresse zu: FE80::5EFE:w.x.y.z beziehungsweise FE80::200:5EFE:w.x.y.z.
  • Die ISATAP-Hosts senden über das ISATAP-Tunneling-Interface per IPv4 eine Router-Solicitation-Nachricht unicast an die IPv4-Adresse des ISATAP-Routers
  • Der ISATAP-Router antwortet mit einer IPv4-Router-Advertisement-Nachricht unicast an die IPv4-Adresse des ISATAP-Hosts, in der er sich selbst als Standardgateway ankündigt und das Präfix für das ISATAP-Subnetz propagiert. Dies kann ein Global-Unicast- oder ein Unique-Local-Präfix sein.

Die Kommunikation mit dem Router geschieht per IPv4-Unicast, da der normale Weg per IPv6-Multicast nicht zur Verfügung steht, um Router Solicitation- und Router-Advertisement-Nachrichten auszutauschen. IPv4 Multicast kann hier nicht verwendet werden, da dies eine subnetzübergreifende IPv4-Multicast-Infrastruktur erfordern würde.

Der ISATAP-Router ist in einem ISATAP-Netzwerk zur initialen Aktivierung der ISATAP-Tunneling-Interfaces nötig. Er muss aber nicht unbedingt Präfixe zuweisen, da in einem lokalen ISATAP-Segment die ISATAP-Hosts untereinander über ihre Link-Local-Adressen kommunizieren können. Der ISATAP-Router kann darüber hinaus jedoch ISATAP-Hosts mit dem nativen IPv6-Teil des Unternehmens-Netzwerks verbinden. Dazu ist allerdings ein Global-Unicast- oder Unique-Local-Präfix nötig, das über die Router Advertisements zugewiesen werden muss. In diesem Fall können die ISATAP-Hosts über die per Autoconfiguration gebildeten Adressen auch mit IPv6-Knoten außerhalb des eigenen ISATAP-Subnetzes kommunizieren, in dem sie den ISATAP-Router als Standardgateway verwenden. Im Gegensatz zu den ISATAP-Hosts muss der ISATAP-Router entsprechend manuell konfiguriert werden.

ISATAP hat unter Windows den Vorteil, schnell implementiert werden zu können. Der Nachteil besteht darin, dass die Kommunikation auf das Unternehmensnetzwerk beschränkt ist und nicht für die Kommunikation mit Systemen im Internet ausgelegt ist. Weiterhin ist ISATAP in vielen NAT-Szenarien nicht nutzbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019