Die Einführung von RPKI (Resource Public Key Infrastructure) in IPv6-Netzen bietet Providern und Enterprise-Netzwerken eine methodische Möglichkeit, die Herkunft von Präfixen zu validieren und die Routing-Sicherheit zu erhöhen. RPKI erlaubt es, digitale Signaturen für IPv6-Präfixe und zugehörige Autonomous System Numbers (ASNs) zu erstellen, sodass Netzbetreiber eine konsistente Policy-Hygiene durchsetzen können. In diesem Tutorial erfahren Einsteiger, IT-Studierende und Junior Network Engineers praxisnah, wie RPKI implementiert, überwacht und in IPv6-Umgebungen zur Absicherung von Routing-Entscheidungen genutzt wird.
Grundlagen von RPKI
RPKI ist eine PKI-basierte Infrastruktur, die Zertifikate und ROAs (Route Origin Authorizations) nutzt, um die Legitimität von Präfix-Ankündigungen zu prüfen.
- ROA definiert, welches ASN berechtigt ist, ein bestimmtes IPv6-Präfix zu announcen
- Digitale Signaturen gewährleisten Integrität und Authentizität
- RPKI-Prüfung verhindert Route Hijacking und falsche Präfix-Advertisements
- Unterstützt sowohl IPv4 als auch IPv6, mit wachsendem Fokus auf IPv6 für Provider und Edge-Netze
IPv6-spezifische Herausforderungen
Die Größe und Hierarchie von IPv6-Präfixen erfordert besondere Aufmerksamkeit bei der Policy-Gestaltung:
- Große Aggregates (/32 bis /48) vs. kleine Präfixe für Endkunden (/56, /64)
- Multihoming erfordert feingranulare ROAs
- Überlappende Präfixe bei PI- und PA-Adressen
- Notwendigkeit, dynamische Updates in IPAM- und Routing-Systemen zu integrieren
Beispiel ROA für IPv6
prefix 2001:db8:1000::/48
maxLength 48
origin-AS 65001
RPKI-Validierung in BGP
RPKI wird meist in BGP-Umgebungen verwendet, um eingehende Präfixe zu prüfen:
- Valid: Präfix und ASN stimmen mit ROA überein
- Invalid: Präfix wird von einem nicht autorisierten ASN announciert
- NotFound: Kein ROA vorhanden, Policy entscheidet über Annahme oder Drop
CLI-Beispiel: RPKI-Prüfung
router bgp 65000
address-family ipv6 unicast
bgp rpki server 192.0.2.1 port 8282
neighbor 198.51.100.1 remote-as 65001
neighbor 198.51.100.1 activate
bgp rpki validate
Policy-Hygiene und Best Practices
Um Routing-Stabilität und Sicherheitsziele zu erreichen, sollten Netzbetreiber konsistente RPKI-Policies implementieren:
- Alle internen Präfixe mit ROAs signieren
- MaxLength konsistent zum zugewiesenen Präfix wählen
- Multihoming und Backup-Routen berücksichtigen
- NotFound-Routen je nach Risikoprofil accept/drop entscheiden
- Regelmäßige Audits der ROAs durchführen
Beispiel Policy für IPv6 RPKI
route-map RPKI-VALIDATE permit 10
match rpki valid
set local-preference 200
route-map RPKI-VALIDATE permit 20
match rpki notfound
set local-preference 100
route-map RPKI-VALIDATE permit 30
match rpki invalid
set local-preference 50
set community no-export
Integration in IPAM und Automation
RPKI-Prüfungen sollten mit IPAM-Systemen synchronisiert werden, um Präfix-Ownership, maximale Länge und autorisierte ASNs zu überwachen:
- Automatische ROA-Generierung bei neuen Präfixen
- Updates bei Änderungen der Customer- oder PI-Präfixe
- Alerting bei ROA-Invalideinträgen
- Audit-Reports für Compliance und regulatorische Anforderungen
Überwachung und Troubleshooting
Ein aktives Monitoring ist entscheidend, um Probleme frühzeitig zu erkennen:
- BGP-Lookup auf Valid-/Invalid-Status
- ROA-Expiry und Renewal-Prozesse überwachen
- Integration mit NMS/Monitoring-Systemen für Alerts
- Logs für RPKI-Verifizierungen und Routing Decisions analysieren
Praktisches Beispiel
- Kunde erhält IPv6 PA-Präfix 2001:db8:abcd::/48
- ROA erstellt: origin-AS 65001, maxLength /48
- Provider-Core prüft eingehende BGP-Updates auf RPKI-Status
- Invalid-Updates werden mit Route-Map geblockt oder niedrig priorisiert
- NotFound-Updates erhalten Standard-Preference, Valid-Updates höchste Präferenz
Fazit
RPKI in IPv6-Umgebungen bietet eine methodische Absicherung der Routing-Infrastruktur. Durch ROAs, konsistente Policies und IPAM-Integration können Overlaps, Fehlkonfigurationen und Route Hijacks vermieden werden. Die Kombination aus Validierung, Monitoring und Policy-Hygiene stellt sicher, dass Provider- und Enterprise-Netze robust, skalierbar und auditierbar betrieben werden können.
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3
Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.
Meine Leistungen umfassen:
-
Professionelle Konfiguration von Routern und Switches
-
Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen
-
Erstellung von Topologien und Simulationen in Cisco Packet Tracer
-
Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG
-
Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible
-
Erstellung von Skripten für wiederkehrende Netzwerkaufgaben
-
Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege
-
Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting
Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.
