Zum Hauptinhalt springen

4. Richtlinien zur Verhinderung potenzieller ND-Probleme

Durch das Wissen über potenzielle ND-Probleme und zugehörige Minderungslösungen können Netzwerkadministratoren bestehender IPv6-Deployments bewerten, ob diese Probleme in ihren Netzwerken wahrscheinlich auftreten, und wenn ja, ob Minderungslösungen proaktiv eingesetzt werden sollten. Die Bereitstellung dieser Lösungen kann Zeit und zusätzliche Ressourcen erfordern. Daher wird Planung empfohlen.

Netzwerkadministratoren, die ein IPv6-Deployment starten möchten, können die Problem-Lösungs-Informationen verwenden, um ihre Deployment-Planung zu unterstützen. Darüber hinaus können sie proaktive Maßnahmen ergreifen, um potenzielle ND-Probleme zu verhindern.

4.1. Host-Isolierung aus bestehenden Lösungen lernen

Die verschiedenen ND-Lösungen mögen zunächst unzusammenhängend erscheinen, aber ihre Klassifizierung in vier verschiedene Gruppen offenbart eine wichtige Beobachtung: Host-Isolierung ist eine effektive Strategie zur Minderung ND-bezogener Probleme.

  • Gruppe 1: L3- und L2-Isolierung

    Diese Gruppe umfasst MBBv6 und FBBv6, die Hosts sowohl in L3 als auch in L2 isolieren, indem sie jeden Host in sein eigenes Subnetz und seinen eigenen Link platzieren. Dies verhindert ND-Probleme, die durch Multicast und Vertrauen in alle Knoten verursacht werden, da jeder Host in einer isolierten Domäne arbeitet. Darüber hinaus kann der Router Pakete basierend auf eindeutigen Präfixen an Hosts weiterleiten, wodurch auch die Notwendigkeit von Router-NCE-on-Demand eliminiert wird. Daher verhindert L3- und L2-Isolierung alle ND-Probleme.

  • Gruppe 2: L3-Isolierung

    Diese Gruppe umfasst UPPH-Lösungen wie [RFC8273] und [RFC9663], die Hosts in separate Subnetze isolieren, während sie möglicherweise auf demselben gemeinsam genutzten Medium bleiben. Dieser Ansatz mildert ND-Probleme, die durch Router-zu-Host-Multicast verursacht werden, und eliminiert die Notwendigkeit von Router-NCE-on-Demand, wie in Abschnitt 3.3 detailliert beschrieben.

  • Gruppe 3: Partielle L2-Isolierung

    Diese Gruppe umfasst Lösungen wie WiND, SARP, TRILL ND-Optimierung und Proxy ND in EVPN. Diese Lösungen verwenden Proxy-Geräte, um die Hosts dahinter zu repräsentieren und diese Hosts effektiv in separate Multicast-Domänen zu isolieren. Die Hosts bleiben im selben Subnetz, aber die Trennung in verschiedene Multicast-Domänen reduziert den Umfang der ND-Probleme im Zusammenhang mit multicast-basierter Adressauflösung.

  • Gruppe 4: Nicht-isolierende Lösungen

    Die letzte Gruppe umfasst die verbleibenden Lösungen, die keine Host-Isolierung implementieren. Diese Lösungen verhindern keine ND-Probleme, sondern konzentrieren sich stattdessen auf die Behandlung spezifischer ND-Probleme.

Die Analyse zeigt, dass je stärker die Host-Isolierung ist, desto mehr ND-Probleme gemildert werden können. Diese Korrelation ist intuitiv, da die Isolierung von Hosts den Multicast-Bereich reduziert, die Anzahl der Knoten minimiert, denen vertraut werden muss, und die Notwendigkeit von Router-NCE-on-Demand eliminieren kann - die drei Hauptursachen von ND-Problemen.

Dieses Verständnis kann zur Vermeidung von ND-Problemen verwendet werden.

4.2. Anwendbarkeit verschiedener Isolierungsmethoden

4.2.1. Anwendbarkeit der L3+L2-Isolierung

Vorteile:

  • Mildert effektiv alle ND-Probleme (Abschnitt 2.4).

Einschränkungen:

  1. L2-Isolierung: Es müssen Maßnahmen ergriffen werden, um Hosts in L2 zu isolieren. Der erforderliche Aufwand variiert je nach gewählter Methode und Deployment-Kontext. Beispielsweise ist der P2P-Ansatz [RFC7066] schwergewichtig, während der Private-VLAN-Ansatz [RFC5517] besser handhabbar ist.

  2. Eindeutige Präfix-Zuweisung: Eine große Anzahl von Präfixen ist erforderlich, wobei jedem Host ein Präfix zugewiesen wird. Dies ist im Allgemeinen keine Einschränkung in IPv6. Beispielsweise können Mitglieder von Regional Internet Registries (RIRs) /29-Präfix-Zuweisungen erhalten [RIPE738], die 32 Milliarden /64-Präfixe bereitstellen - ausreichend für alle vorhersehbaren Deployment-Szenarien.

  3. Datenschutzproblem durch eindeutige Präfix-Identifizierbarkeit: Die Zuweisung eines eindeutigen Präfixes an jeden Host kann theoretisch die Privatsphäre verringern, da Hosts direkt durch ihr zugewiesenes Präfix identifiziert werden können. Allerdings werden alternative Host-Identifizierungsmethoden wie Cookies häufig verwendet.

  4. Router-Unterstützung für L3-Isolierung: Router MÜSSEN L3-Isolierungslösungen wie [RFC8273] oder [RFC9663] unterstützen.

  5. Eine große Anzahl von Router-Schnittstellen kann erforderlich sein: Bei Verwendung des P2P-Ansatzes muss der Router für jeden verbundenen Host eine separate logische Schnittstelle instanziieren.

  6. Router als Engpass: Alle Kommunikation zwischen Hosts wird über den Router geleitet, was ihn in Szenarien mit hohem Verkehr zu einem Leistungsengpass machen kann.

  7. Inkompatibilität mit Host-basierten Multicast-Diensten: Dienste, die auf Multicast-Kommunikation zwischen Hosts angewiesen sind, wie Multicast Domain Name System [RFC6762], werden unterbrochen.

4.2.2. Anwendbarkeit der L3-Isolierung

Vorteile:

  • Alle ND-Probleme (Abschnitt 2.4) werden gemildert, außer:

    • LLA DAD-Multicast verschlechtert die Performance
    • LLA DAD ist in drahtlosen Netzwerken nicht zuverlässig
    • On-Link-Sicherheit

    Diese verbleibenden Probleme hängen von den Eigenschaften des gemeinsam genutzten Mediums ab:

    • Wenn das gemeinsam genutzte Medium Ethernet ist, sind die Probleme im Zusammenhang mit LLA DAD-Multicast vernachlässigbar.
    • Wenn Knoten vertrauenswürdig sind, wie in privaten Netzwerken, sind On-Link-Sicherheitsbedenken nicht wichtig.

  • L2-Isolierung ist nicht erforderlich. Infolgedessen ist dieser Ansatz auf eine breite Palette von Szenarien anwendbar und wahrscheinlich die praktischste Host-Isolierungsmethode.

Einschränkungen (wie in Abschnitt 4.2.1 besprochen):

  1. Eindeutige Präfix-Zuweisung
  2. Router-Unterstützung für L3-Isolierung
  3. Router als Engpass
  4. Datenschutzproblem durch eindeutige Präfix-Identifizierbarkeit

4.2.3. Anwendbarkeit der partiellen L2-Isolierung

Vorteil:

  • Reduzierter Multicast-Verkehr: Dieser Ansatz reduziert den Multicast-Verkehr, insbesondere für die Adressauflösung, indem das Subnetz in mehrere Multicast-Domänen unterteilt wird.

Einschränkung:

  • Router-Unterstützung für partielle L2-Isolierung: Router MÜSSEN Lösungen für partielle L2-Isolierung wie WiND, SARP, TRILL ND-Optimierung oder Proxy ND in EVPN implementieren, um diese Methode zu unterstützen.

4.3. Richtlinien für die Anwendung von Isolierungsmethoden

Basierend auf der Anwendbarkeitsanalyse im vorherigen Abschnitt können Netzwerkadministratoren bestimmen, ob Isolierungsmethoden implementiert werden sollen, und wenn ja, welche für ihr spezifisches Deployment am besten geeignet ist.

Eine einfache Richtlinie besteht darin, Isolierungsmethoden in der im vorherigen Abschnitt aufgeführten Reihenfolge zu betrachten, von der stärksten zur schwächsten Isolierung:

  • Stärkere Isolierungsmethoden können mehr ND-Probleme verhindern, können aber auch höhere Eintrittsanforderungen stellen.

  • Schwächere Isolierungsmethoden haben geringere Eintrittsanforderungen, können aber einige ND-Probleme ungemildert lassen.

Die Wahl zwischen L3+L2-Isolierung und L3-Isolierung hängt oft von den Kosten für die Implementierung der L2-Isolierung ab:

  • Wenn die Kosten akzeptabel sind, ist L3+L2-Isolierung vorzuziehen, da sie alle in Abschnitt 2.4 aufgeführten ND-Probleme beseitigt.

  • Andernfalls behandelt L3-Isolierung die meisten dieser Probleme, während der Implementierungsaufwand angemessen bleibt.

Die Wahl einer zu starken oder zu schwachen Isolierungsmethode führt nicht zu schwerwiegenden Folgen:

  • Die Wahl einer übermäßig starken Isolierungsmethode kann erfordern, dass Netzwerkadministratoren zunächst höhere Eintrittsanforderungen erfüllen, wie L2-Isolierungsmaßnahmen, zusätzliche Präfixe oder zusätzliche Router-Funktionen.

  • Die Wahl einer schwächeren Isolierungsmethode kann die Bereitstellung komplementärer ND-Minderungstechniken erfordern, um ungelöste ND-Probleme zu behandeln.

In beiden Fällen kann die resultierende Lösung funktional und effektiv sein.

Letztes Update am