Konfiguration von Tunneln zur Unterstützung von IPv6

IPv6-Netzwerke stellen in der großen IPv4-Welt häufig isolierte Entitäten dar. Knoten in Ihrem IPv6-Netzwerk müssen mit Knoten in isolierten IPv6-Netzwerken (innerhalb Ihres Unternehmens oder remote) kommunizieren können. In der Regel konfigurieren Sie einen Tunnel zwischen den IPv6-Routern, obwohl auch IPv6-Hosts als Endpunkte für Tunnel fungieren können. Informationen zur Tunnelplanung finden Sie unter Planung für Tunnel in der Netzwerktopologie.

Sie können automatisch oder manuell konfigurierte Tunnel für das IPv6-Netzwerk einrichten. Die Oracle Solaris IPv6-Implementierung unterstützt die folgenden Arten von Tunnel-Kapselungen:

• IPv6-über-IPv4-Tunnel

• IPv6-über-IPv6-Tunnel

• IPv4-über-IPv6-Tunnel

• 6to4-Tunnel

Konzeptuelle Beschreibungen der Tunnel finden Sie unter IPv6-Tunnel.

So konfigurieren Sie einen IPv6-über-IPv4-Tunnel

In diesem Verfahren wird beschrieben, wie Sie einen Tunnel von einem IPv6-Knoten über ein IPv4-Netzwerk zu einem remoten IPv6-Knoten einrichten.

1. Melden Sie sich beim lokalen Tunnelendpunkt als Primäradministrator oder als Superuser an.

   Die Rolle des Primäradministrators enthält das Primary Administrator-Profil. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Kapitel 2, Working With the Solaris Management Console (Tasks) in System Administration Guide: Basic Administration.

2. Erstellen Sie die /etc/hostname6.ip.tunn-Datei.

   dabei steht n für die Tunnelnummer, beginnend mit null für den ersten Tunnel. Dann fügen Sie Einträge für die folgenden Unterschritte hinzu:

   1. Fügen Sie die Ursprungsadresse des Tunnels und die Zieladresse hinzu.

      tsrc IPv4-source-address tdst IPv4-destination-address up

   2. (Optional) Fügen Sie eine logische Schnittstelle für die IPv6-Quell- und -Zieladresse hinzu.

      addif IPv6-source-address IPv6-destination-address

      Lassen Sie diesen Unterschritt aus, wenn die Adresse für diese Schnittstelle automatisch konfiguriert werden soll. Sie müssen keine Link-lokalen Adressen für Ihren Tunnel konfigurieren.

3. Starten Sie das System neu.

4. Wiederholen Sie diese Aufgabe am anderen Endpunkt des Tunnels.

Beispiel 7–7 Eintrag in der /etc/hostname6.ip.tun-Datei für einen manuellen IPv6-über-IPv4-Tunnel

Diese /etc/hostname6.ip.tun-Beispieldatei zeigt einen Tunnel, für den globale Ursprungs- und Zieladressen manuell konfiguriert wurden.

tsrc 192.168.8.20 tdst 192.168.7.19 up
addif 2001:db8:3c4d:8::fe12:528 2001:db8:3c4d:7:a00:20ff:fe12:1234 up

So konfigurieren Sie einen IPv6-über-IPv6-Tunnel

In diesem Verfahren wird beschrieben, wie Sie einen Tunnel von einem IPv6-Knoten über ein IPv6-Netzwerk zu einem remoten IPv6-Knoten einrichten

1. Melden Sie sich beim lokalen Tunnelendpunkt als Primäradministrator oder als Superuser an.

   Die Rolle des Primäradministrators enthält das Primary Administrator-Profil. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Kapitel 2, Working With the Solaris Management Console (Tasks) in System Administration Guide: Basic Administration.

2. Erstellen Sie die /etc/hostname6.ip6.tun n-Datei.

   Verwenden Sie für n die Werte 0, 1, 2 usw.. Dann fügen Sie Einträge für die folgenden Unterschritte hinzu.

   1. Fügen Sie die Ursprungsadresse des Tunnels und die Zieladresse hinzu.

      tsrc IPv6-source-address tdst IPv6-destination-address IPv6-packet-source-address IPv6-packet-destination-address up

   2. (Optional) Fügen Sie eine logische Schnittstelle für die IPv6-Quell- und -Zieladresse hinzu.

      addif IPv6-source-address IPv6-destination-address up

      Lassen Sie diesen Schritt aus, wenn die Adresse für diese Schnittstelle automatisch konfiguriert werden soll. Sie müssen keine Link-lokalen Adressen für Ihren Tunnel konfigurieren.

3. Starten Sie das System neu.

4. Wiederholen Sie dieses Verfahren am anderen Endpunkt des Tunnels.

Beispiel 7–8 Eintrag in der /etc/hostname6.ip6.tun-Datei für einen IPv6-über-IPv6-Tunnel

Das folgende Beispiel zeigt den Eintrag für einen IPv6-über-IPv6-Tunnel.

tsrc 2001:db8:3c4d:22:20ff:0:fe72:668c tdst 2001:db8:3c4d:103:a00:20ff:fe9b:a1c3
fe80::4 fe80::61 up

So konfigurieren Sie einen IPv4-über-IPv6-Tunnel

In diesem Verfahren wird beschrieben, wie Sie einen Tunnel zwischen zwei IPv4-Hosts über ein IPv6-Netzwerk konfigurieren. Sie sollten dieses Verfahren anwenden, wenn das Netzwerk Ihrer Organisation heterogen ist und IPv6-Teilnetze enthält, die IPv4-Teilnetze voneinander trennen.

1. Melden Sie sich beim lokalen IPv4-Tunnelendpunkt als Primäradministrator oder als Superuser an.

   Die Rolle des Primäradministrators enthält das Primary Administrator-Profil. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Kapitel 2, Working With the Solaris Management Console (Tasks) in System Administration Guide: Basic Administration.

2. Erstellen Sie die /etc/hostname.ip6.tunn-Datei.

   Verwenden Sie für n die Werte 0, 1, 2 usw.. Dann fügen Sie Einträge für die folgenden Schritte hinzu:

   1. Fügen Sie die Ursprungsadresse des Tunnels und die Zieladresse hinzu.

      tsrc IPv6-source-address tdst IPv6-destination-address

   2. (Optional) Fügen Sie für die IPv6-Quell- und -Zieladresse eine logische Schnittstelle hinzu.

      addif IPv6-source-address IPv6-destination-address up

3. Starten Sie den lokalen Host neu.

4. Wiederholen Sie dieses Verfahren am anderen Endpunkt des Tunnels.

Beispiel 7–9 Eintrag in der /etc/hostname6.ip6.tun-Datei für einen IPv4-über-IPv6-Tunnel

Das folgende Beispiel zeigt den Eintrag für einen IPv4-über-IPv6-Tunnel.

tsrc 2001:db8:3c4d:114:a00:20ff:fe72:668c tdst 2001:db8:3c4d:103:a00:20ff:fe9b:a1c3
10.0.0.4 10.0.0.61 up

So konfigurieren Sie einen 6to4-Tunnel

Muss Ihr IPv6-Netzwerk mit einem remoten IPv6-Netzwerk kommunizieren können, sollten Sie die Verwendung von automatischen 6to4-Tunneln ein Betracht ziehen. Bei der Konfiguration eines 6to4-Tunnels muss der Grenzrouter als ein 6to4-Router konfiguriert werden. Der 6to4-Router fungiert als Endpunkt eines 6to4-Tunnels zwischen Ihrem Netzwerk und einem Endpunkt-Router im remoten IPv6-Netzwerk.

Bevor Sie beginnen

Bevor Sie das 6to4-Routing in einem IPv6-Netzwerk konfigurieren, müssen die folgenden Aufgaben abgeschlossen sein:

• Konfiguration von IPv6 auf allen entsprechenden Knoten am künftigen 6to4-Standort gemäß der Beschreibung unter Modifizieren einer IPv6-Schnittstellenkonfiguration für Hosts und Server.

• Mindestens einen Router mit einer Verbindung zu einem IPv6-Netzwerk muss als 6to4-Router ausgewählt sein.

• Konfiguration einer global einmaligen IPv4-Adresse für die Schnittstelle des künftigen 6to4-Routers zum IPv4-Netzwerk. Die IPv4-Adresse muss statisch sein.

  ---

  Hinweis –

  Verwenden Sie keine der in Kapitel 12Einführung in Oracle Solaris DHCP beschriebenen dynamisch zugewiesenen IPv4-Adressen. Global dynamisch zugewiesene Adressen können sich mit der Zeit ändern, was sich negativ auf ihren IPv6-Adressierungsplan auswirkt.

  ---

1. Melden Sie sich auf dem künftigen 6to4-Router als Primäradministrator oder als Superuser an.

   Die Rolle des Primäradministrators enthält das Primary Administrator-Profil. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Kapitel 2, Working With the Solaris Management Console (Tasks) in System Administration Guide: Basic Administration.

2. Konfigurieren Sie eine 6to4-Pseudoschnittstelle auf dem Router, indem Sie die /etc/hostname6.ip.6to4tun0-Datei erstellen.

   • Wenn Sie beabsichtigen, die empfohlene Konvention von Teilnetz-ID=0 und Host-ID=1 beizubehalten, verwenden Sie das Kurzformat für /etc/hostname6.ip.6to4tun0:

     tsrc IPv4-address up

   • Wenn Sie andere Konventionen für die Teilnetz-ID und Host-ID planen, verwenden Sie das Langformat für /etc/hostname6.ip.6to4tun0:

     tsrc IPv4-address 2002:IPv4-address:subnet-ID:interface-ID:/64 up

   Die erforderlichen Parameter für /etc/hostname6.ip.6to4tun0 sind:

   tsrc

   Gibt an, dass diese Schnittstelle als Tunnelquelle verwendet wird.

   IPv4-Adresse

   Gibt die im getrennten dezimalen Format auf der physikalischen Schnittstelle konfigurierte IPv4-Adresse an, die als 6to4-Pseudoschnittstelle verwendet werden soll.

   Die übrigen Parameter sind optional. Wenn Sie jedoch einen der folgenden optionalen Parameter angeben, müssen Sie alle optionalen Parameter angeben.

   2002

   Gibt das 6to4-Präfix an.

   IPv4-Adresse

   Gibt die IPv4-Adresse der Pseudoschnittstelle in hexadezimaler Notation an.

   Teilnetz-ID

   Gibt eine andere Teilnetz-ID als 0 in hexadezimaler Notation an.

   Schnittstellen-ID

   Gibt eine andere Schnittstellen-ID als 1 an.

   /64

   Gibt an, dass das 6to4-Präfix eine Länge von 64 Bit aufweist.

   up

   Konfiguriert eine 6to4-Schnittstelle als “up.”

   ---

   Hinweis –

   Zwei IPv6-Tunnel in Ihrem Netzwerk dürfen nicht die gleiche Ursprungs- und Zieladresse aufweisen, andernfalls werden Pakete abgeworfen. Dieses Szenario kann auftreten, wenn ein 6to4-Router nebenbei ein Tunneling über den atun-Befehl ausführt. Informationen zum atun-Befehl finden Sie in der Manpage tun(7M).

   ---

3. (Optional) Erstellen Sie zusätzliche 6to4-Pseudoschnittstellen auf dem Router.

   Jede künftige 6to4-Pseudoschnittstelle muss über eine bereits konfigurierte, global einmalige IPv4-Adresse verfügen.

4. Starten Sie den 6to4-Router neu.

5. Prüfen Sie den Status der Schnittstelle.

   # ifconfig ip.6to4tun0 inet6

   Wenn die Schnittstelle korrekt konfiguriert wurde, erhalten Sie eine Ausgabe ähnlich der Folgenden:

   ip.6to4tun0: flags=2200041<UP,RUNNING,NONUD,IPv6>mtu 1480 index 11 inet tunnel src 111.222.33.44 tunnel hop limit 60 inet6 2002:6fde:212c:10:/64

6. Bearbeiten Sie die /etc/inet/ndpd.conf-Datei, um das 6to4-Routing bekannt zu geben.

   Ausführliche Informationen finden Sie in der Manpage ndpd.conf(4).

   1. Geben Sie das Teilnetz an, das die Advertisement-Nachrichten zuerst empfangen soll.

      Erstellen Sie einen if-Eintrag im folgenden Format:

      if subnet-interface AdvSendAdvertisements 1

      Um das 6to4-Routing beispielsweise in dem mit der Schnittstelle hme0 verbundenen Teilnetz bekannt zu geben, ersetzen Sie Teilnetzschnittstelle durch hme0.

      if hme0 AdvSendAdvertisements 1

   2. Fügen Sie das 6to4-Präfix der Advertisement-Nachrichten als zweite Zeile hinzu.

      Erstellen Sie einen prefix-Eintrag im folgenden Format:

      prefix 2002:IPv4-address:subnet-ID::/64 subnet-interface

7. Starten Sie den Router neu.

   Alternativ können Sie ein sighup an den /etc/inet/in.ndpd-Daemon ausgeben, um das Senden der Router-Advertisement-Nachrichten zu beginnen. Die IPv6-Knoten in jedem Teilnetz, das das 6to4-Präfix empfängt, beginnen mit der automatischen Konfiguration der neuen 6to4-abgeleiteten Adressen.

8. Fügen Sie die neuen 6to4-abgeleiteten Adressen der Knoten zu dem Namen-Service hinzu, der an dem 6to4-Standort verwendet wird.

   Anweisungen finden Sie unter Konfiguration der Namen-Services-Unterstützung für IPv6.

Beispiel 7–10 6to4-Routerkonfiguration (Kurzform)

Das Folgende ist ein Beispiel der Kurzform von /etc/hostname6.ip.6to4tun0:

# cat /etc/hostname6.ip.6to4tun0
tsrc 111.222.33.44 up

Beispiel 7–11 6to4-Routerkonfiguration (Langform)

Das Folgende ist ein Beispiel der Langform von /etc/hostname6.ip.6to4tun0:

# cat /etc/hostname6.ip.6to4tun0
tsrc 111.222.33.44 2002:6fde:212c:20:1/64 up

Beispiel 7–12 ifconfig-Ausgabe zeigt 6to4-Pseudoschnittstelle

Das folgende Beispiel zeigt die Ausgabe des ifconfig-Befehls für eine 6to4-Pseudoschnittstelle:

# ifconfig ip.6to4tun0 inet6
ip.6to4tun0: flags=2200041<UP,RUNNING,NONUD,IPv6> mtu 1480 index 11
        inet tunnel src 192.168.87.188
        tunnel hop limit 60 
        inet6 2002:c0a8:57bc::1/64 

Beispiel 7–13 6to4-Advertisement-Nachrichten in /etc/inet/ndpd.conf

Die folgende /etc/inet/ndpd.conf-Beispieldatei gibt das 6to4-Routing in zwei Teilnetzen bekannt:

if qfe0 AdvSendAdvertisements 1
prefix  2002:c0a8:57bc:10::/64 qfe0 

if qfe1 AdvSendAdvertisements 1
prefix  2002:c0a8:57bc:2::/64 qfe1

Konfiguration von mehreren Routern am 6to4-Standort

Bei einem Standort mit mehreren Routern müssen die Router hinter dem 6to4-Router für die Unterstützung von 6to4 konfiguriert werden. Wenn an Ihrem Standort RIP verwendet wird, müssen Sie die statischen Routen zum 6to4-Router auf jedem nicht-6to4-Router konfigurieren. Wenn Sie ein kommerzielles Routing-Protokoll verwenden, müssen Sie keine statischen Routen zum 6to4-Router erstellen.

So konfigurieren Sie einen 6to4-Tunnel zu einem 6to4-Relay-Router

Aufgrund schwerwiegender Sicherheitsprobleme ist die Unterstützung von 6to4-Relay-Routern in Oracle Solaris standardmäßig deaktiviert. Lesen Sie dazu Sicherheitsbetrachtungen beim Tunneling zu einem 6to4-Relay-Router.

Bevor Sie beginnen

Bevor Sie einen Tunnel zu einem 6to4-Relay-Router aktivieren, müssen die folgenden Aufgaben vollständig abgeschlossen sein:

• Konfiguration eines 6to4-Routers an Ihrem Standort gemäß der Beschreibung unter So konfigurieren Sie einen 6to4-Tunnel

• Prüfung aller Sicherheitspunkte beim Tunneling zu einem 6to4-Relay-Router

1. Melden Sie sich auf dem 6to4-Router als Primäradministrator oder als Superuser an.

   Die Rolle des Primäradministrators enthält das Primary Administrator-Profil. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Kapitel 2, Working With the Solaris Management Console (Tasks) in System Administration Guide: Basic Administration.

2. Aktivieren Sie einen Tunnel zu einem 6to4-Relay-Router, indem Sie eines der folgenden Formate verwenden:

   • Aktivieren Sie einen Tunnel zu einem Anycast-6to4-Relay-Router.

     # /usr/sbin/6to4relay -e

     Die Option -e stellt einen Tunnel zwischen dem 6to4-Router und einem Anycast-6to4-Relay-Router her. Anycast-6to4-Relay-Router haben die bekannte IPv4-Adresse 192.88.99.1. Der Anycast-Relay-Router, der Ihrem Standort am nächsten ist, wird zum Endpunkt für den 6to4-Tunnel. Dieser Relay-Router wickelt dann die Paketweiterleitung zwischen Ihrem 6to4-Standort und einem nativen IPv6-Standort ab.

     Ausführliche Informationen zu Anycast-6to4-Relay-Routern finden Sie in RFC 3068, „An Anycast Prefix for 6to4 Relay Routers“.

   • Aktivieren Sie einen Tunnel zum angegebenen 6to4-Relay-Router.

     # /usr/sbin/6to4relay -e -a relay-router-address

     Die Option -a gibt an, dass einer bestimmten Routeradresse gefolgt werden muss. Ersetzen Sie Relay-Router-Adresse durch die IPv4-Adresse des 6to4-Relay-Routers, zu dem Sie einen Tunnel einrichten möchten.

   Der Tunnel zum 6to4-Relay-Router bleibt aktiv, bis Sie die 6to4-Pseudoschnittstelle des Tunnels entfernen.

3. Löschen Sie dem Tunnel zum 6to4-Relay-Router, wenn er nicht mehr benötigt wird:

   # /usr/sbin/6to4relay -d

4. (Optional) Sorgen Sie dafür, dass der Tunnel zum 6to4-Relay-Router auch nach einem Neustart beibehalten wird.

   An Ihrem Standort kann es einen zwingenden Grund geben, warum der Tunnel zum 6to4-Relay-Router nach jedem Neustart des 6to4-Routers wiederhergestellt werden soll. Für dieses Szenario müssen Sie Folgendes ausführen:

   1. Bearbeiten Sie die /etc/default/inetinit-Datei.

      Die zu ändernde Zeile befindet sich am Ende der Datei.

   2. Ändern Sie den Wert „NO“ in der Zeile ACCEPT6TO4RELAY=NO zu „YES”.

   3. (Optional) Erstellen Sie einen Tunnel zu einem bestimmten 6to4-Relay-Router, der auch nach einem Neustart beibehalten wird.

      Für den Parameter RELAY6TO4ADDR ändern Sie die Adresse 192.88.99.1 in die IPv4-Adresse des zu verwendenden 6to4-Relay-Routers.

Beispiel 7–14 Abrufen von Statusinformationen zur Unterstützung von 6to4-Relay-Routern

Mit dem Befehl /usr/bin/6to4relay können Sie prüfen, ob die Unterstützung für 6to4-Relay-Router aktiviert wurde. Das nächste Beispiel zeigt die Ausgabe, wenn die Unterstützung für 6to4-Relay-Router deaktiviert wurde (dies ist die Standardeinstellung in Oracle Solaris):

# /usr/sbin/6to4relay
6to4relay: 6to4 Relay Router communication support is disabled.

Wenn die Unterstützung für 6to4-Relay-Router aktiviert wurde, erhalten Sie die folgende Ausgabe:

# /usr/sbin/6to4relay
6to4relay: 6to4 Relay Router communication support is enabled.
IPv4 remote address of Relay Router=192.88.99.1