RPKI und IPv6: Prefix-Validierung und Policy Hygiene

Die Einführung von RPKI (Resource Public Key Infrastructure) in IPv6-Netzen bietet Providern und Enterprise-Netzwerken eine methodische Möglichkeit, die Herkunft von Präfixen zu validieren und die Routing-Sicherheit zu erhöhen. RPKI erlaubt es, digitale Signaturen für IPv6-Präfixe und zugehörige Autonomous System Numbers (ASNs) zu erstellen, sodass Netzbetreiber eine konsistente Policy-Hygiene durchsetzen können. In diesem Tutorial erfahren Einsteiger, IT-Studierende und Junior Network Engineers praxisnah, wie RPKI implementiert, überwacht und in IPv6-Umgebungen zur Absicherung von Routing-Entscheidungen genutzt wird.

Grundlagen von RPKI

RPKI ist eine PKI-basierte Infrastruktur, die Zertifikate und ROAs (Route Origin Authorizations) nutzt, um die Legitimität von Präfix-Ankündigungen zu prüfen.

• ROA definiert, welches ASN berechtigt ist, ein bestimmtes IPv6-Präfix zu announcen
• Digitale Signaturen gewährleisten Integrität und Authentizität
• RPKI-Prüfung verhindert Route Hijacking und falsche Präfix-Advertisements
• Unterstützt sowohl IPv4 als auch IPv6, mit wachsendem Fokus auf IPv6 für Provider und Edge-Netze

IPv6-spezifische Herausforderungen

Die Größe und Hierarchie von IPv6-Präfixen erfordert besondere Aufmerksamkeit bei der Policy-Gestaltung:

• Große Aggregates (/32 bis /48) vs. kleine Präfixe für Endkunden (/56, /64)
• Multihoming erfordert feingranulare ROAs
• Überlappende Präfixe bei PI- und PA-Adressen
• Notwendigkeit, dynamische Updates in IPAM- und Routing-Systemen zu integrieren

Beispiel ROA für IPv6

prefix 2001:db8:1000::/48
maxLength 48
origin-AS 65001

RPKI-Validierung in BGP

RPKI wird meist in BGP-Umgebungen verwendet, um eingehende Präfixe zu prüfen:

• Valid: Präfix und ASN stimmen mit ROA überein
• Invalid: Präfix wird von einem nicht autorisierten ASN announciert
• NotFound: Kein ROA vorhanden, Policy entscheidet über Annahme oder Drop

CLI-Beispiel: RPKI-Prüfung

router bgp 65000
 address-family ipv6 unicast
  bgp rpki server 192.0.2.1 port 8282
  neighbor 198.51.100.1 remote-as 65001
  neighbor 198.51.100.1 activate
  bgp rpki validate

Policy-Hygiene und Best Practices

Um Routing-Stabilität und Sicherheitsziele zu erreichen, sollten Netzbetreiber konsistente RPKI-Policies implementieren:

• Alle internen Präfixe mit ROAs signieren
• MaxLength konsistent zum zugewiesenen Präfix wählen
• Multihoming und Backup-Routen berücksichtigen
• NotFound-Routen je nach Risikoprofil accept/drop entscheiden
• Regelmäßige Audits der ROAs durchführen

Beispiel Policy für IPv6 RPKI

route-map RPKI-VALIDATE permit 10
 match rpki valid
 set local-preference 200
route-map RPKI-VALIDATE permit 20

match rpki notfound

set local-preference 100
route-map RPKI-VALIDATE permit 30

match rpki invalid

set local-preference 50

set community no-export

Integration in IPAM und Automation

RPKI-Prüfungen sollten mit IPAM-Systemen synchronisiert werden, um Präfix-Ownership, maximale Länge und autorisierte ASNs zu überwachen:

• Automatische ROA-Generierung bei neuen Präfixen
• Updates bei Änderungen der Customer- oder PI-Präfixe
• Alerting bei ROA-Invalideinträgen
• Audit-Reports für Compliance und regulatorische Anforderungen

Überwachung und Troubleshooting

Ein aktives Monitoring ist entscheidend, um Probleme frühzeitig zu erkennen:

• BGP-Lookup auf Valid-/Invalid-Status
• ROA-Expiry und Renewal-Prozesse überwachen
• Integration mit NMS/Monitoring-Systemen für Alerts
• Logs für RPKI-Verifizierungen und Routing Decisions analysieren

Praktisches Beispiel

• Kunde erhält IPv6 PA-Präfix 2001:db8:abcd::/48
• ROA erstellt: origin-AS 65001, maxLength /48
• Provider-Core prüft eingehende BGP-Updates auf RPKI-Status
• Invalid-Updates werden mit Route-Map geblockt oder niedrig priorisiert
• NotFound-Updates erhalten Standard-Preference, Valid-Updates höchste Präferenz

Fazit

RPKI in IPv6-Umgebungen bietet eine methodische Absicherung der Routing-Infrastruktur. Durch ROAs, konsistente Policies und IPAM-Integration können Overlaps, Fehlkonfigurationen und Route Hijacks vermieden werden. Die Kombination aus Validierung, Monitoring und Policy-Hygiene stellt sicher, dass Provider- und Enterprise-Netze robust, skalierbar und auditierbar betrieben werden können.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

• Professionelle Konfiguration von Routern und Switches

• Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

• Erstellung von Topologien und Simulationen in Cisco Packet Tracer

• Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

• Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

• Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

• Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

• Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.