| Navigationslinks �berspringen | |
| Druckansicht beenden | |
|
Systemverwaltungshandbuch: IP Services |
Teil I Einführung in die Systemverwaltung: IP Services
1. Oracle Solaris TCP/IP-Protokollfamilie (Übersicht)
Teil II Administration von TCP/IP
2. Planen Ihres TCP/IP-Netzwerks (Vorgehen)
3. Einführung in IPv6 (Überblick)
4. Planen eines IPv6-Netzwerks (Aufgaben)
Planung der Einführung von IPv6 (Übersicht der Schritte)
Szenario einer IPv6-Netzwerktopologie
Vorbereiten eines bestehenden Netzwerks zur Unterstützung von IPv6
Vorbereiten der Netzwerktopologie auf die Unterstützung von IPv6
Vorbereiten der Netzwerkservices auf die Unterstützung von IPv6
Vorbereiten von Servern auf die Unterstützung von IPv6
So bereiten Sie Netzwerkservices auf die Unterstützung von IPv6 vor
So bereiten Sie das DNS auf die Unterstützung von IPv6 vor
Vorbereiten eines IPv6-Adressierungsplans
Erstellen eines IPv6-Nummerierungsschemas
Erstellen eine Nummerierungsschemas für Teilnetze
Erstellen eines IPv6-Adressierungsplans für Knoten
5. Konfiguration der TCP/IP-Netzwerkservices und IPv4-Adressierung (Aufgaben)
6. Verwalten von Netzwerkschnittstellen (Aufgaben)
7. Konfigurieren eines IPv6-Netzwerks (Vorgehen)
8. Verwaltung eines TCP/IP-Netzwerks (Aufgaben)
9. Fehlersuche bei Netzwerkproblemen (Aufgaben)
10. TCP/IP und IPv4 im Detail (Referenz)
12. Einführung in DHCP (Übersicht)
13. Planungen für den DHCP-Service (Aufgaben)
14. Konfiguration des DHCP-Services (Aufgaben)
15. Verwalten von DHCP (Aufgaben)
16. Konfiguration und Verwaltung des DHCP-Clients
17. DHCP-Fehlerbehebung (Referenz)
18. DHCP - Befehle und Dateien (Referenz)
19. IP Security Architecture (Übersicht)
20. Konfiguration von IPsec (Aufgaben)
21. IP Security Architecture (Referenz)
22. Internet Key Exchange (Übersicht)
23. Konfiguration von IKE (Aufgaben)
24. Internet Key Exchange (Referenz)
25. IP Filter in Oracle Solaris (Übersicht)
28. Verwalten von Mobile IP (Aufgaben)
29. Mobile IP-Dateien und Befehle (Referenz)
30. Einführung in IPMP (Übersicht)
31. Verwaltung von IPMP (Aufgaben)
Teil VII IP Quality of Service (IPQoS)
32. Einführung in IPQoS (Übersicht)
33. Planen eines IPQoS-konformen Netzwerks (Aufgaben)
34. Erstellen der IPQoS-Konfigurationsdatei (Aufgaben)
35. Starten und Verwalten des IPQoS (Aufgaben)
36. Verwenden von Flow Accounting und Erfassen von Statistiken (Aufgaben)
Hinweis - Das Dual-Stack-Protokoll von Oracle Solaris unterstützt gleichzeitig IPv4- und IPv6-Vorgänge. Während und nach dem Deployment von IPv6 in Ihrem Netzwerk können IPv4–bezogene Operationen weiterhin erfolgreich durchgeführt werden.
IPv6 fügt einem bestehenden Netzwerk neue Funktionen hinzu. Aus diesem Grund müssen Sie bei der ersten Einführung von IPv6 sicherstellen, dass Sie keine Vorgänge unterbrechen, die mit IPv4 ausgeführt werden. In den Themen in diesem Abschnitt wird beschrieben, wie Sie IPv6 schrittweise in ein bestehendes Netzwerk integrieren.
Der erste Schritt bei der Einführung von IPv6 besteht darin, festzustellen, ob die vorhandenen Entitäten in Ihrem Netzwerk IPv6 unterstützen. In den meisten Fällen kann die Netzwerktopologie – Kabel, Router und Hosts – nach der Einführung von IPv6 unverändert weiterverwendet werden. Eventuell müssen Sie jedoch vorhandene Hardware und Anwendungen für IPv6 vorbereiten, bevor Sie die IPv6-Adressen für die Netzwerkschnittstellen konfigurieren.
Überprüfen Sie, ob die Hardware in Ihrem Netzwerk auf IPv6 aufgerüstet werden kann. Lesen Sie beispielsweise die Dokumentation der Hersteller zur IPv6-Konformität der folgenden Hardwareklassen:
Router
Firewalls
Server
Switches
Hinweis - Alle Vorgänge in diesem Teil gehen davon aus, dass Ihre Netzwerkausrüstung (insbesondere die Router) auf IPv6 aufgerüstet werden können.
Einige Router-Modelle können nicht auf IPv6 aufgerüstet werden. Weitere Informationen und eine Lösungsmöglichkeit finden Sie unter IPv4-Router kann nicht auf IPv6 aufgerüstet werden.
Die folgenden typischen IPv6-Netzwerkservices in der aktuellen Oracle Solaris-Version sind IPv6-konform:
sendmail
NFS
HTTP (Apache 2.x oder Orion)
DNS
LDAP
Der IMAP-Mailservice kann nur unter IPv4 ausgeführt werden.
Knoten, die für IPv6 konfiguriert wurden, können IPv4-Services ausführen. Wenn Sie IPv6 aktivieren, akzeptieren nicht alle Services IPv6-Verbindungen. Services, die zu IPv6 portiert wurden, akzeptieren eine Verbindung. Services, die nicht zu IPv6 portiert worden, arbeiten mit der IPv4-Hälfte des Protokollstapel weiter.
Nach dem Aufrüsten von Services auf IPv6 können eventuell Probleme auftreten. Ausführliche Informationen finden Sie unter Probleme beim Aufrüsten von Services auf IPv6.
Da Server als IPv6-Hosts betrachtet werden, werden ihre IPv6-Adressen vom Neighbor Discovery-Protokoll automatisch konfiguriert. Viele Server sind jedoch mit mehreren Netzwerkschnittstellenkarten (NICs) ausgestattet, die im Rahmen von Wartungs- oder Reparaturarbeiten ausgetauscht werden können. Wenn Sie eine NIC austauschen, erzeugt das Neighbor Discovery-Protokoll automatisch eine neue Schnittstellen-ID für diese NIC. Dieses Verhalten ist für bestimmte Server nicht akzeptabel.
Aus diesem Grund sollten Sie die Schnittstellen-ID-Komponente der IPv6-Adresse jeder Schnittstelle auf dem Server manuell konfigurieren. Anweisungen finden Sie unter So konfigurieren Sie ein benutzerdefiniertes IPv6-Token. Wenn Sie später eine vorhandene NIC austauschen müssen, wird die bereits konfigurierte IPv6-Adresse automatisch für die neue NIC übernommen.
Mail-Server
NIS-Server
NFS
Hinweis - LDAP unterstützt IPv6, ohne dass IPv6-spezifische Konfigurationsschritte durchgeführt werden müssen.
Anweisungen finden Sie in der jeweiligen Firewall-bezogenen Dokumentation.
Weitere Informationen finden Sie in den Marketingsunterlagen und der jeweiligen Softwaredokumentation.
Firewalls
Verstärken Sie die für IPv4 angewendeten Richtlinien, sodass sie IPv6 unterstützen. Weitere Informationen zu den Sicherheitsbetrachtungen finden Sie unter Sicherheitsbetrachtungen bei der Einführung von IPv6.
Erwägen Sie das Hinzufügen der IPv6-Adresse Ihres Mail-Servers zu den MX-Einträgen für das DNS.
DNS
Überlegungen zum DNS finden Sie unter So bereiten Sie das DNS auf die Unterstützung von IPv6 vor.
IPQoS
Verwenden Sie die gleichen Diffserv-Richtlinien auf einem Host, die für IPv4 eingesetzt wurde. Weitere Informationen finden Sie unter Classifier-Modul.
Die aktuelle Oracle Solaris-Version unterstützt die DNS-Auflösung sowohl auf der Client- als auch auf der Serverseite. Zur Vorbereitung der DNS-Services auf IPv6 führen Sie die folgenden Schritte aus.
Weitere Informationen zur DNS-Unterstützung für IPv6 finden Sie im Systemverwaltungshandbuch: Naming Services und Directory Services (DNS, NIS und LDAP).
Hinweis - Server, die mehrere kritische Services ausführen, erfordern besondere Berücksichtigung. Stellen Sie sicher, dass das Netzwerk ordnungsgemäß arbeitet. Achten Sie darauf, dass alle kritischen Services zu IPv6 portiert wurden. Dann fügen Sie die IPv6-Adresse des Servers zur DNS-Datenbank zu.
Die IPv6-Implementierung unterstützt als Übergangslösung zahlreiche Tunnel-Konfigurationen, während Ihr Netzwerk zu einer Mischung aus IPv4 und IPv6 migriert. Mithilfe von Tunneln können isolierte IPv6-Netzwerke miteinander kommunizieren. Da der größte Teil des Internet IPv4 ausführt, müssen IPv6-Pakete von Ihrem Standort das Internet über Tunnel zum IPv6-Zielnetzwerk überbrücken.
Im Folgenden sind einige Szenarios für die Verwendung von Tunneln in der IPv6-Netzwerktopologie aufgeführt:
Der ISP, von dem Sie IPv6-Services erwerben, ermöglicht es Ihnen, einen Tunnel vom Grenzrouter Ihres Standorts zum ISP-Netzwerk zu erzeugen. In Abbildung 4-1 ist ein solcher Tunnel dargestellt. In diesem Fall würden Sie einen manuellen IPv6-über-IPv4-Tunnel ausführen.
Sie verwalten ein großes verteiltes Netzwerk mit IPv4-Konnektivität. Um verteilte Standorte, die IPv6 verwenden, miteinander zu verbinden, können Sie einen automatischen 6to4-Tunnel vom Grenzrouter jedes Teilnetzes ausführen.
Manchmal kann ein Router in Ihrer Infrastruktur nicht auf IPv6 aufgerüstet werden. In diesem Fall können Sie einen manuellen Tunnel über den IPv4-Router mit zwei IPv6-Routern als Endpunkte erzeugen.
Anweisungen zur Konfiguration von Tunneln finden Sie unter Aufgaben bei der Konfiguration von Tunneln zur Unterstützung von IPv6 (Übersicht der Schritte). Konzeptuelle Informationen zu Tunneln finden Sie unter IPv6-Tunnel.
Bei der Einführung von IPv6 in einem vorhandenes Netzwerk müssen Sie darauf achten, die Sicherheit des Standorts nicht zu beeinträchtigen. Beachten Sie bei der Umsetzung Ihrer IPv6-Lösung die folgenden Sicherheitsaspekte:
Für IPv6-Pakete und IPv4-Pakete ist der gleiche Filteraufwand erforderlich.
IPv6-Pakete durchlaufen eine Firewall häufig durch einen Tunnel. Aus diesem Grund sollten Sie eines der folgenden Szenarios verwenden:
Sorgen Sie dafür, dass die Firewall den Inhalt des Tunnels inspiziert.
Richten Sie eine IPv6-Firewall mit ähnlichen Regeln am anderen Tunnelendpunkt ein.
Einige Übergangslösungen verwenden IPv6-über-UDP-über-IPv4-Tunnel. Diese Lösungen sind eventuell gefährlich, da sie die Firewall kurzschließen.
IPv6-Knoten sind global von Punkten außerhalb des Unternehmensnetzwerks aus erreichbar. Wenn Ihre Sicherheitsrichtlinie öffentlichen Zugriff verbietet, müssen Sie strengere Richtlinien für die Firewall einrichten. Eventuell sollten Sie die Firewall als eine statusbehaftete Firewall konfigurieren.
Dieses Buch beschreibt Sicherheitsmerkmale, die innerhalb einer IPv6-Implementierung verwendet werden können.
Die IP-Sicherheitsarchitektur (IPsec) ermöglicht Ihnen, einen kryptografischen Schutz für IPv6-Pakete einzurichten. Weitere Informationen hierzu finden Sie in Kapitel 19IP Security Architecture (Übersicht).
Der Internet Key Exchange (IKE) ermöglicht Ihnen, öffentliche Schlüsselauthentifizierung für IPv6-Pakete zu verwenden. Weitere Informationen hierzu finden Sie in Kapitel 22Internet Key Exchange (Übersicht).
|