NPTv6

NPTv6 (Network Prefix Translation) nach RFC 6296 erlaubt die Umsetzung eines IPv6-Präfixes auf ein anderes IPv6-Präfix. Die Umsetzung erfolgt 1:1, d. h. eine Adresse aus Präfix A wird auf eine Adresse aus Präfix B umgesetzt. Es wird dabei nur der Präfix-Teil umgesetzt, der Host-Teil bleibt erhalten. Dieses Verfahren arbeitet somit "Stateless". Mit NPTv6 ist es nicht möglich, wie bei IPv4, ein ganzes Netzwerk hinter einer Adresse zu maskieren.

Anwendungsszenarien für NPTv6 sind z. B. VPNs oder Netzwerke mit dynamischen Präfixen wo Adressunabhängigkeit erreicht werden soll. Teilt der Provider ein dynamisches Präfix zu, so ändert sich in der Regel das Präfix bei jedem Verbindungsaufbau. Dies ist aber nicht gewünscht, wenn bestimmte Ressourcen feste IP-Adressen benötigen. Mit NPTv6 werden dann Adressen aus dem (privaten) ULA-Bereich fd00::/8 an die Clients im Netzwerk vergeben und durch eine NPTv6-Regel diese Adressen auf das Provider-Präfix umgesetzt.

Ein weiterer Anwendungsfall ist ein Load Balancer-Szenario mit mehreren Internetprovidern, wobei jeder Provider ein eigenes Präfix vergibt. Mit NPTv6 werden dann Adressen aus dem ULA-Bereich fd00::/8 an die Clients im Netzwerk vergeben und durch mehrere NPTv6-Regeln diese Adressen auf die Provider-Präfixe umgesetzt.

NPTv6 garantiert Prüfsummenneutralität, d. h. die umgesetzte IPv6-Adresse wird so geändert, dass die Prüfsumme im IPv6-Paket nicht angepasst werden muss. Deshalb wird eine Adresse X nicht exakt 1:1 in Adresse Y umgesetzt, sondern es müssen in der Adresse 16 Bit für die Prüfsummenneutralität beim Umsetzen kodiert werden.

Die Position der 16 Bits ist abhängig von den Präfixen, die umgesetzt werden sollen. Bei Präfixen, die länger als 48 Bit sind, z. B. /56 oder /60, wird aufgrund der Prüfsummenneutralität (16 Bit) auch ein Teil des Interface-Identifier beim Mapping geändert. Dies betrifft den Zugriff von außen auf interne Stationen im LAN. Nur bei Präfixen die 48 Bit oder kürzer sind, z. B. /48 oder /40 können die 16 Bit im Präfix kodiert werden.

Bei dynamischen Präfixen ändern sich die 16 Bit bei jeder neuen Präfix-Zuweisung. Zugriffe von außen auf das interne Netzwerk sind daher nur sinnvoll bei einem statischen Provider-Präfix möglich, da sich durch die Änderung der 16 Bits auch die gesamte Adresse ändert.

Ein Zugriff von außen auf Stationen im LAN ist also nur mit einem statischen /48 Provider-Präfix problemlos möglich aufgrund der gleichbleibenden IPv6-Adressen der internen Station nach der Umsetzung durch den Router.

Eine mögliche Lösung für den Zugriff von außen bei NPTv6 bei dynamischen Präfixen und Präfixen länger als /48, ist die Verwendung eines DynDNS-Clients direkt auf der Station im LAN, die in der Update-URL nicht ihre Adresse selbst einsetzen, sondern der Provider die empfangene IP-Adresse registriert.

Wichtig: Die IPv6-Firewall muss für NPTv6 grundsätzlich aktiviert sein.

In LANconfig erfolgt die Konfiguration unter Firewall/QoS > IPv6-Regeln > NPTv6.

Interface-Name
Name des Netzwerks bzw. der Gegenstelle, auf der NPTv6 gemacht werden soll. Soll ein Präfix für ein dynamisches Provider-Präfix umgesetzt werden, so muss hier der Name der Internet-Verbindung bzw. Gegenstelle, z. B. INTERNET, konfiguriert werden.
Quell-Präfix
Präfix des Quellnetzwerks, z. B. ein explizites Präfix fd00::/64.
Umgesetztes Präfix
Präfix auf das das Quell-Präfix umgesetzt werden soll. Es kann entweder ein explizites Präfix wie 2001:db8::/32 oder der Platzhalter :: mit entsprechender Präfixlänge, falls der Provider ein dynamisches Präfix vergibt, konfiguriert werden.

www.lancom-systems.de

LANCOM Systems GmbH | A Rohde & Schwarz Company | Adenauerstr. 20/B2 | 52146 Würselen | Deutschland | E‑Mail info@lancom.de

LANCOM Logo