Die Verwaltung von IT-Landschaften wird immer komplexer - die explosionsartige Vermehrung mobiler Clients ist nur eine der vielen Erschwernisse. Zeit also für ... (mehr)

Präfix-Policy – Die Qual der Wahl

Analog zur Routing-Tabelle legt die Präfix-Policy eines IPv6-Hosts fest, mit welcher Priorität er welche Art von Adressen verwendet. Damit wird sichergestellt, dass zum Beispiel IPv6- vor IPv4-Adressen verwendet und Tunneladressen und andere behelfsmäßige Adresstypen geringer priorisiert werden. Die Präfix-Policy lassen Sie sich mit dem Befehl »netsh interface ipv6 show prefixpolicies« anzeigen.

In der ersten Spalte mit der irreführenden Bezeichnung “Vorgänger” steht die Priorität – je höher, desto wichtiger. Während das Präfix ::/0 für eine beliebige IPv6-Adresse steht, bezeichnet ::/96 eine IPv4-Adresse. Hier wird deutlich, warum eine IPv4-Adresse mit dem Prioritätswert von 20 nachrangig gegenüber einer IPv6-Adresse mit dem Prioritätswert 40 verwendet wird. 6to4-Tunneladressen mit dem Präfix 2002::/16 werden erst dann eingesetzt, wenn keine native IPv6-Adresse zur Verfügung steht. Teredo-Adressen mit dem Präfix 2001::/32 kommen der Präfix-Policy gemäß nur dann zum Einsatz, wenn gar keine andere Adresse genutzt werden kann.

Bild 8: Der Aufruf von “show dnsservers” zeigt die IPv6-Nameserver an.

Dieses Verhalten kann unter Umständen suboptimal sein. So gibt es zum Beispiel inzwischen diverse Sites, die automatisch einen IPv6-Tunnel zu einem Tunnelbroker (Hurricane Electric oder SiXXs) aufbauen, sobald eine Internet-Anbindung vorhanden ist. Da diverse Internet-Dienstanbieter wie Google bereits über IPv6 erreichbar sind und die DNS-Server daher IPv6-Adressen zurückliefern, werden die Broker-Tunnel genutzt, um derartige Dienste im Internet anzusprechen. Dies wirkt sich teilweise dramatisch auf die Performance aus.

In diesem Fall kann es wünschenswert sein, dass die Tunnel-Broker-Adressen eine geringere Präferenz haben als IPv4-Adressen. Ist das verwendete Tunnel-Broker-Präfix zum Beispiel 2001:db8:1234::/48, kann es mit Hilfe des folgenden Befehls geringer priorisiert werden:

netsh interface ipv6 add prefixpolicy 2001:db8:1234::/48 3 6

Dabei gibt die Zahl 3 die Priorität an (die damit sehr gering ist), während die Zahl 6 eine formelle ID für den Eintrag erstellt, die in der Präfix-Policy “Label” genannt wird. Nun stehen die IPv4-Adressen in der Priorität über den Tunnel-Broker-Adressen.

Weitere IPv6-Datenstrukturen

IPv6 nutzt Cache-artige Tabellen, um einzelne Prozesse zu optimieren. Hierzu gehört der bereits erwähnte Neighbor-Cache. Ein weiterer Cache ist der Destination-Cache, auch als Route-Cache bezeichnet. Er zeigt die Adressen an, die zur Zustellung beziehungsweise Weiterleitung von IPv6-Paketen an bestimmte Ziele dienen. Dies sind entweder die Zieladressen selbst, wenn diese sich im lokalen Subnetz befinden, oder es handelt sich um die Next-Hop-Adressen. Außerdem wird die Path-MTU (PMTU) angezeigt, die die kleinste ermittelte Maximum Transmission Unit (MTU) auf dem Weg zum Ziel darstellt. Den Destination-Cache zeigt der Befehl »netsh interface ipv6 show destinationcache« .

Ein weiterer Cache ist die Liste mit verwendbaren Routern. Sie zeigt der folgende Befehl an:

netsh interface ipv6 show potentialrouters

Diese Liste enthält alle IPv6-Router-Adressen, von denen Router-Advertisements empfangen wurden. Diese Router sind potenzielle Wege aus dem eigenen Subnetz heraus.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019