Zum Hauptinhalt springen

RFC 9898 - Neighbor Discovery-Überlegungen in IPv6-Bereitstellungen

Veröffentlichungsdatum: November 2025
Status: Informational
Autoren:

  • X. Xiao (Huawei Technologies)
  • E. Vasilenko (Huawei Technologies)
  • E. Metz (KPN N.V.)
  • G. Mishra (Verizon Inc.)
  • N. Buraglio (Energy Sciences Network)

Zusammenfassung (Abstract)

Das Neighbor Discovery (ND)-Protokoll ist ein kritischer Bestandteil der IPv6-Architektur. Das Protokoll verwendet Multicast in vielen Nachrichten. Es geht auch von einem Sicherheitsmodell aus, bei dem alle Knoten auf einem Link vertrauenswürdig sind. Ein solches Design kann in einigen Szenarien ineffizient sein (z. B. Verwendung von Multicast in drahtlosen Netzwerken) oder wenn Knoten nicht vertrauenswürdig sind (z. B. öffentliche Zugangsnetze). Diese Sicherheits- und Betriebsprobleme sowie die zugehörigen Minderungslösungen sind in über zwanzig RFCs dokumentiert. Es besteht die Notwendigkeit, diese Probleme und Lösungen in einem einzigen Dokument zu verfolgen.

Zu diesem Zweck fasst dieses Dokument die veröffentlichten ND-Probleme zusammen und beschreibt dann, wie all diese Probleme aus drei Ursachen entstehen. Die Problemlösung wird vereinfacht, indem die Ursachen behandelt werden. Dieses Dokument analysiert auch Minderungslösungen und zeigt, dass die Isolierung von Hosts in verschiedenen Subnetzen und Links helfen kann, die drei Ursachen zu behandeln. Es werden Richtlinien zur Auswahl einer geeigneten Isolierungsmethode bereitgestellt, um potenzielle ND-Probleme zu verhindern.

Inhaltsverzeichnis (Contents)

  • 1. Einleitung
    • 1.1 Terminologie
  • 2. Überprüfung der inventarisierten ND-Probleme
    • 2.1 Multicast kann Performance- und Zuverlässigkeitsprobleme verursachen
    • 2.2 Vertrauen in alle Knoten kann On-Link-Sicherheitsprobleme verursachen
    • 2.3 Router-NCE-on-Demand kann Weiterleitungsverzögerung, NCE-Erschöpfung und Adressverantwortlichkeitsprobleme verursachen
    • 2.4 Zusammenfassung der ND-Probleme
  • 3. Überprüfung der ND-Minderungslösungen
    • 3.1 Mobiles Breitband-IPv6 (MBBv6)
    • 3.2 Festes Breitband-IPv6 (FBBv6)
    • 3.3 Eindeutiges Präfix pro Host (UPPH)
    • 3.4 Drahtloses ND (WiND)
    • 3.5 Skalierbares Adressauflösungsprotokoll (SARP)
    • 3.6 ND-Optimierung für TRILL
    • 3.7 ND-Proxy in Ethernet Virtual Private Networks (ND EVPN)
    • 3.8 Reduzierung von Router-Advertisements gemäß RFC 7772
    • 3.9 Gratuitous Neighbor Discovery (GRAND)
    • 3.10 Source Address Validation Improvement (SAVI) und Router Advertisement Guard (RA-Guard)
    • 3.11 Umgang mit NCE-Erschöpfungsangriffen gemäß RFC 6583
    • 3.12 Registrierung selbstgenerierter IPv6-Adressen mit DHCPv6 gemäß RFC 9686
    • 3.13 Enhanced DAD
    • 3.14 ND-Vermittlung für IP-Interworking von Layer-2-VPNs
    • 3.15 ND-Lösungen, die vor den neuesten ND-Versionen definiert wurden
  • 4. Richtlinien zur Verhinderung potenzieller ND-Probleme
    • 4.1 Host-Isolierung aus bestehenden Lösungen lernen
    • 4.2 Anwendbarkeit verschiedener Isolierungsmethoden
    • 4.3 Richtlinien für die Anwendung von Isolierungsmethoden
  • 5. Sicherheitsüberlegungen
  • 6. IANA-Überlegungen
  • 7. Referenzen
    • 7.1 Normative Referenzen
    • 7.2 Informative Referenzen

Anhänge (Appendices)

Verwandte Ressourcen

Letztes Update am