Kommentar: IPv6 testen
So vermeidet man die größten Probleme
Das Testen von Netzwerken beziehungsweise das Testen von neuen Anwendungen in einem Testnetzwerk kann tückisch sein und das IPv6-Protokoll fügt den Testprozeduren eine weitere Dimension der Komplexität hinzu. Wie kann man die häufigsten Probleme beim Testen von IPv6-Netzwerken vermeiden?
Ein ordnungsgemäßer Test der Netzwerke bildet die Grundlage für einen korrekten Betrieb der Anwendungen. Netzwerktests sind manchmal eine Herausforderung und werden durch Bugs, Fehlkonfigurationen und kaputten Geräten verursacht. In Testumgebungen gehören diese Probleme zum Alltag. Was ist jedoch die Ursache, wenn alle Geräte ordnungsgemäß arbeiten und kein offensichtlicher Fehler zu finden ist? Ist die Testprozedur nicht in Ordnung? Hat der Troubleshooter etwas verkehrt gemacht? Wurde das eigentliche Problem bisher nicht erkannt oder wurde nicht gründlich genug nach dessen Ursache geforscht? Seltsame und unvorhergesehene Dinge passieren regelmäßig bei Tests und bei neuen Techniken, wie beispielsweise der IP-Version 6 kommt mancher Techniker nicht mehr aus dem Staunen heraus. Die nachfolgenden Probleme lassen sich in jedem IPv6-Testnetz wiederfinden.
Baut die Hardware eigentlich eine Verbindung auf?
Am Kabel hängt das gesamte Netzwerk! Diese Binsenweisheit gehört seit Anbeginn der Netzwerkerei zu den grundsätzlichen Lehrsätzen der Netzwerker. Natürlich fängt man bei der Netzwerk-Hardware mit der Fehlersuche an. Dies ist auch bei dem neuen IPv6-Protokoll so. Bitte daran denken: Manches frustrierende Problem stellt sich nach stundenlanger Fehleranalyse als ein kaputtes Kabel oder ein defekter Stecker heraus. Die Wahrheit lautet: Kabel brechen, Switches booten neu und manchmal fällt eben die Hardware aus! Diese Dinge können zu einem Verlust der Kommunikation auf der untersten Ebene führen und erhebliche Kopfschmerzen bei der Fehlerfindung verursachen. Durch die Verbreitung von Software-Defined-Networking (SDN), den drahtlosen Netzen und der Virtualisierung lassen sich Hardware-Ausfälle noch mühsamer identifizieren.
Der beste Weg zur Lösung dieses Problems besteht in einem stabilen und richtig konfigurierten Netzwerk für die notwendigen Tests. Ändert sich das Test-Netzwerk nur selten und sind die darin genutzten Komponenten bekannt, dann findet man mögliche Fehler wesentlich schneller. Deshalb gilt: Erst nachdem die neuen IPv6-Protokolle auf Herz und Nieren im Testnetz überprüft wurden, sollten diese im Produktivnetz aktiviert werden.
Natürlich gibt es auch in einem IPv6-Netzwerk eine oder mehrere Firewalls
Firewalls entwickeln sich ebenso wie die IP-Protokolle weiter und gehören zu den Dingen im Netzwerk, die entscheidend zum Schutz der Anwender und der Anwendungen beitragen. Daher ist es wichtig zu wissen, wie die im Netz eingesetzten Firewalls funktionieren, wie diese konfiguriert beziehungsweise wie die Verkehre freigeschalten oder gesperrt werden. Firewalls blockieren oft unbekannte Verkehrstypen. Aus der Sicht der Firewall handelt es sich bei den neuen Datenströmen um eine Denial-of-Service- (DoS-)Attacke oder einen anderen gefährlichen Angriff. Eine zu konservativ konfigurierte Firewall kann alle möglichen Kommunikationsprobleme verursachen und man jagt bei der Fehlersuche nach Geistern.
Die Lösung dieses Problems ist schwierig. In einem reinen Testnetzwerk (welches keine Verbindung zu den anderen Netzen im Unternehmen hat) kann man die Firewalls deaktivierten und so den Fehlerursachen schneller auf die Spur kommen. Im Produktionsnetz hilft dieser Trick jedoch nicht, denn die Firewalls müssen sicherstellen, dass die Nutzer geschützt werden und alle vernetzten Gerät den vorgegebenen Regeln entsprechen. Hier gibt es kein Patentrezept. Bleibt also festzustellen, ob es sich bei der Blockade der Firewall um ein anomales Verhalten oder eine echte Sicherheitslücke handelt.
Multihoming – das unbekannte Wesen
Das Multihoming ist zwar kein neues Konzept, welches mit IPv6 in die Netze einzieht, aber es kann viele neue Probleme verursachen. Das Multihoming ist eine Technik, um die Zuverlässigkeit von Internet-Verbindungen eines IP-Netzwerks zu verbessern. Hierzu erfolgt die Anbindung ans Internet über mindestens zwei Internet-Service-Provider. Fällt einer der Internetprovider aus, so schaltet der Router automatisch alle Routen, die bisher über diesen liefen, auf die anderen Provider um. Die Probleme des IPv6-Multihomings sind der verbesserten Benutzerfreundlichkeit bei der automatischen Konfiguration von IPv6 (Autokonfiguration der Default-Routen) geschuldet. Ein korrekt übermitteltes ICMPv6-Router-Advertisement (RA) führt dazu, dass die Endgeräte ihre Default-Route über diesen Router einrichten.
Das Problem tritt auf, wenn mehr als ein Router ein ICMPv6-Router-Advertisement übermittelt. Die Chance, dass mehr als ein Router diese ICMPv6-Router-Advertisements aussenden ist gering, aber unter Umständen kann ein RA-Paket aus dem Testnetzwerk ins Produktionsnetzwerk oder einem anderen Test-Netzwerk entkommen und verheerende Probleme kreieren. Natürlich besteht dieses Problem nur bei Geräten, die über mehr als eine Netzschnittstelle verfügen. In der Praxis entpuppen sich solche Geräte nicht so selten. Handys (WLAN und Mobilfunk) und Laptops (WLAN und Ethernet) sind nicht nur sehr häufig, sondern verfügen in der Regel mindestens über zwei potentielle Egress-Schnittstellen.
Wie bei klassischen Hardware- und Firewall-Problemen wirkt sich das Multihoming-Problem so aus, wie wenn der Verkehr verloren ginge oder nie übermittelt wurde. Irgendwie funktioniert die Datenübertragung – oder auch nicht – jedenfalls mit erheblichen Unterbrechungen. Diese Probleme haben ihre Ursachen in unterschiedlichen Timern liegen, die eine „Recovery–Periode“ festlegen, in der das System korrekt arbeitet. Dieses Problem ist leicht zu erkennen, denn auf den betreffenden Geräten wurden zwei Standard-Routen eingerichtet. Die Lösung kann jedoch schwierig sein, da man auf die Spur der Sender der „falschen RAs“ kommen muss. Ein Weg zum Ausschalten der „falschen RAs“ könnte im Ausfiltern dieser Messages in einer Firewall bestehen ...
- So vermeidet man die größten Probleme
- IPv6-Adressen sind riesengroß
Lesen Sie mehr zum Thema
