DHCPv6 vs SLAAC: Wie Geräte IPv6-Adressen erhalten

Wenn ein Gerät einem IPv6-Netzwerk beitritt, benötigt es eine Adresse. Anders als bei IPv4, wo DHCP der Standard-Ansatz ist, bietet IPv6 zwei Mechanismen: SLAAC (Stateless Address Autoconfiguration) und DHCPv6. Zu verstehen, wann man welchen verwendet, ist essentiell für Netzwerktechniker.

SLAAC: Stateless Address Autoconfiguration#

SLAAC erlaubt Geräten, sich selbst zu konfigurieren, ohne Zustand im Netzwerk zu speichern. Der Router sendet periodisch Router Advertisement (RA)-Nachrichten, die das Netzwerkpräfix enthalten, und Geräte generieren ihre eigenen Adressen.

Wie Router Advertisements funktionieren#

Router senden standardmäßig alle 200 Sekunden RA-Nachrichten per Multicast an ff02::1 (All-Nodes Multicast). Geräte können auch sofort eine RA anfordern, indem sie eine Router Solicitation (RS) an ff02::2 (All-Routers Multicast) senden.

Eine RA enthält:

• Netzwerkpräfix (z.B. 2001:db8::/64)
• Standard-Gateway-Adresse
• Präfix-Lebensdauer (gültig und bevorzugt)
• M- und O-Flags (unten erklärt)

Das Gerät kombiniert das angekündigte Präfix mit einer selbst generierten 64-Bit-Interface-ID, um seine Adresse zu erstellen.

Interface-ID-Generierung#

Zwei gängige Methoden existieren:

EUI-64 (Modified Extended Unique Identifier) Leitet die Interface-ID von der MAC-Adresse ab. Für MAC 00:11:22:33:44:55:

1. Fügen Sie ff:fe in der Mitte ein: 00:11:22:ff:fe:33:44:55
2. Flippen Sie das 7. Bit: 02:11:22:ff:fe:33:44:55
3. Ergebnis: 2001:db8::211:22ff:fe33:4455

Dies ist deterministisch, offenbart aber die Hardware-Identität und schafft Datenschutzbedenken.

Privacy Extensions (RFC 4941) Generiert zufällige Interface-IDs. Moderne Betriebssysteme erstellen temporäre Adressen, die sich regelmäßig ändern (täglich auf den meisten Systemen). Das Gerät behält sowohl eine stabile Adresse (für eingehende Verbindungen) als auch temporäre Adressen (für ausgehende Verbindungen).

# Linux: Adresstypen anzeigen
ip -6 addr show eth0
 
# Sie sehen scope global für stabile Adressen
# und scope global temporary für Privacy-Adressen

Was SLAAC bereitstellt#

SLAAC behandelt:

• IPv6-Adresszuweisung
• Standard-Gateway
• Präfixlänge

Was es standardmäßig nicht bereitstellt:

• DNS-Server
• Domain-Suchliste
• NTP-Server

RDNSS (Recursive DNS Server) Option RFC 8106 erlaubt Routern, DNS-Server in RA-Nachrichten anzukündigen. Die meisten modernen Systeme unterstützen dies und eliminieren die Notwendigkeit für DHCPv6 in einfachen Netzwerken.

DHCPv6: Verwaltete Konfiguration#

DHCPv6 funktioniert ähnlich wie DHCPv4: Clients fordern Konfiguration von einem Server an. Es arbeitet in zwei Modi.

Stateful DHCPv6#

Der Server weist Adressen zu und verfolgt, welcher Client welche Adresse hat. Clients führen einen Vier-Nachrichten-Austausch durch:

1. Solicit: Client fordert Konfiguration an
2. Advertise: Server bietet eine Adresse an
3. Request: Client akzeptiert das Angebot
4. Reply: Server bestätigt Zuweisung

Adressen werden mit bevorzugten und gültigen Lebenszeiten vermietet und erfordern Erneuerung.

Stateless DHCPv6#

Geräte verwenden SLAAC für Adressen, fragen aber DHCPv6 nach zusätzlichen Optionen wie DNS-Servern, Domainnamen oder NTP-Servern. Der Server verfolgt keine Adressen, daher „stateless".

M- und O-Flags#

Router Advertisements enthalten zwei kritische Flags:

M Flag (Managed Address Configuration) Wenn auf 1 gesetzt, sollten Geräte DHCPv6 verwenden, um Adressen zu erhalten. SLAAC-Adressen können dennoch generiert werden, abhängig vom A-Flag in der Präfix-Information.

O Flag (Other Configuration) Wenn auf 1 gesetzt, sollten Geräte DHCPv6 verwenden, um zusätzliche Optionen (DNS, NTP usw.) zu erhalten, aber keine Adressen.

Flag-Kombinationen:

• M=0, O=0: Nur SLAAC (RDNSS für DNS verwenden)
• M=0, O=1: SLAAC + Stateless DHCPv6
• M=1, O=0: DHCPv6 für Adressen (seltene Konfiguration)
• M=1, O=1: DHCPv6 für Adressen und Optionen

SLAAC vs DHCPv6-Vergleich#

Gängige Konfigurationen#

Nur SLAAC (mit RDNSS)#

Am besten für einfache Netzwerke, wo Adressverfolgung nicht erforderlich ist. Beispiel radvd.conf auf Linux:

interface eth0 {
    AdvSendAdvert on;
    prefix 2001:db8:1::/64 {
        AdvOnLink on;
        AdvAutonomous on;
    };
    RDNSS 2001:4860:4860::8888 2001:4860:4860::8844 {
        AdvRDNSSLifetime 300;
    };
};

Diese Konfiguration bietet alles, was die meisten Clients ohne DHCPv6 benötigen.

SLAAC + Stateless DHCPv6#

Verwenden Sie dies, wenn RDNSS nicht unterstützt wird oder wenn zusätzliche Optionen benötigt werden. Setzen Sie das O-Flag in radvd:

interface eth0 {
    AdvSendAdvert on;
    AdvOtherConfigFlag on;  # O=1
    prefix 2001:db8:1::/64 {
        AdvOnLink on;
        AdvAutonomous on;
    };
};

DHCPv6-Server bietet DNS und andere Optionen, weist aber keine Adressen zu.

Nur DHCPv6 (Managed)#

Unternehmen bevorzugen dies oft für Rechenschaftspflicht und Zugriffskontrolle. Setzen Sie das M-Flag:

interface eth0 {
    AdvSendAdvert on;
    AdvManagedFlag on;  # M=1
    AdvOtherConfigFlag on;  # O=1
    prefix 2001:db8:1::/64 {
        AdvOnLink on;
        AdvAutonomous off;  # Verwenden Sie kein SLAAC
    };
};

Hinweis: Einige Clients generieren weiterhin Link-Local-Adressen und können SLAAC-Adressen trotz AdvAutonomous off erstellen. Netzwerksicherheitsrichtlinien sollten sich nicht allein auf das Deaktivieren von SLAAC verlassen.

Welches wann verwenden#

Verwenden Sie SLAAC, wenn:

• Kleine bis mittlere Netzwerke
• Geräte vertrauenswürdig sind
• Adressverfolgung nicht erforderlich ist
• Einfachheit priorisiert wird
• Alle Clients RDNSS unterstützen

Verwenden Sie DHCPv6, wenn:

• Zentrale Adressverwaltung benötigt wird
• Compliance Adressprotokollierung erfordert
• Präfix-Delegation erforderlich ist (ISP zu Kunden-Router)
• Komplexe Optionen über DNS hinaus bereitgestellt werden müssen
• Windows-Netzwerke (historisch bessere DHCPv6-Unterstützung)

Hybrid-Ansatz (SLAAC + Stateless DHCPv6):

• Guter Kompromiss für viele Netzwerke
• Resilient (SLAAC funktioniert, wenn DHCPv6 ausfällt)
• Bietet Flexibilität für zusätzliche Optionen

Fehlerbehebung bei Adresszuweisung#

Gerät hat nur Link-Local (fe80::/10) Keine Router Advertisements empfangen. Prüfen Sie:

# Linux: RAs erfassen
tcpdump -i eth0 'icmp6 && ip6[40] == 134'
 
# Überprüfen, ob Router RAs sendet
radvdump

Gerät hat SLAAC-Adresse, aber kein DNS Router sendet kein RDNSS, oder Client unterstützt es nicht. Prüfen Sie RA-Inhalte:

radvdump | grep RDNSS

Falls fehlend, fügen Sie RDNSS zur Router-Konfiguration hinzu oder aktivieren Sie Stateless DHCPv6.

DHCPv6 funktioniert nicht Überprüfen Sie, ob M- oder O-Flag in RAs gesetzt ist:

radvdump | grep -E "M flag|O flag"

Prüfen Sie, ob DHCPv6-Server läuft und auf UDP-Port 547 erreichbar ist:

# Server-Seite
ss -ulnp | grep 547
 
# Client-Seite
tcpdump -i eth0 port 547

Mehrere Adressen auf Interface Das ist normal. Sie sehen möglicherweise:

• Link-Local-Adresse (immer vorhanden)
• SLAAC stabile Adresse (EUI-64)
• SLAAC temporäre Adressen (Privacy Extensions)
• DHCPv6-Adresse (wenn Stateful DHCPv6 verwendet wird)

Alle sind gültig; das OS wählt die geeignete Quelladresse basierend auf RFC 6724.

Verwandte Artikel#

• IPv6 aktivieren - Schritt-für-Schritt-Anleitung zur Konfiguration von IPv6 auf gängigen Betriebssystemen und Routern
• IPv6-Privacy-Erweiterungen - Schützen Sie Ihre Privatsphäre mit temporären IPv6-Adressen

Häufig gestellte Fragen#