IPv6-Bereitstellung: Checkliste für Netzwerkadministratoren
Eine praktische Checkliste für die Bereitstellung von IPv6 in der Produktion. Von Adressplanung bis Überwachung, verpassen Sie diese kritischen Schritte nicht.
IPv6 bereitzustellen bedeutet nicht nur, ein Protokoll zu aktivieren. Es bedeutet, ein Adressierungsschema zu planen, das skaliert, Sicherheitsrichtlinien zu konfigurieren, die Ihren IPv4-Regeln entsprechen, und sicherzustellen, dass Ihre Überwachung Probleme erfasst, bevor Benutzer es tun.
Diese Checkliste deckt ab, was Sie tatsächlich tun müssen, basierend auf echten Bereitstellungen. Schritte auf eigene Gefahr überspringen.
TL;DR - Kurzübersicht
Wichtige Punkte:
- Adressplanung kommt zuerst: Holen Sie ein /48 (nicht /64), entwerfen Sie ein hierarchisches Subnetzschema
- Sicherheit ist nicht optional: Firewall-Regeln müssen IPv6 abdecken, ICMPv6 kann nicht vollständig blockiert werden
- Dual-Stack ist der empfohlene Ansatz: IPv4 und IPv6 parallel betreiben während der Migration
- Überwachung und Protokollierung aktualisieren: Stellen Sie sicher, dass Tools IPv6 erfassen und melden
- Schulen Sie Ihr Team: IPv6-Notation, essentielles ICMPv6 und neue Debugging-Techniken
Direkt zu: Adressplanung | Sicherheits-Checkliste | Überwachung | Häufige Fallstricke
Bevor Sie beginnen#
Bestandsaufnahme#
Listen Sie jedes Gerät, jede Anwendung und jeden Service auf, der Netzwerkkonnektivität benötigt. Nehmen Sie nicht an, dass alles IPv6 unterstützt – testen Sie es. Dieser Legacy-Drucker oder SCADA-System könnte der Blocker sein, den Sie nicht erwarteten.
Prüfen Sie Ihre Anbieter-Unterstützung. OS-Unterstützung ist jetzt fast universell, aber proprietäre Software und eingebettete Systeme können hinterherhinken. Wissen Sie, was funktioniert und was nicht, bevor Sie sich verpflichten.
Holen Sie Ihre Zuteilung#
Fordern Sie IPv6-Raum von Ihrem ISP oder Regional Internet Registry an. Die meisten ISPs bieten mindestens ein /48 an Geschäftskunden, was Ihnen 65.536 /64-Subnetze gibt. Falls Sie Multihomed sind oder ein Rechenzentrum betreiben, holen Sie Ihre eigene Provider Independent (PI)-Zuteilung.
Begnügen Sie sich nicht mit einem /64, es sei denn, Sie sind ein Single-Subnet-Shop. Sie benötigen Raum zum Wachsen.
Entwerfen Sie Ihr Adressierungsschema#
Planen Sie Ihre Adressierung, bevor Sie etwas zuweisen. Ein /48 gibt Ihnen ein 16-Bit-Subnetzfeld – verwenden Sie es weise. Gruppieren Sie Subnetze nach Standort, Funktion oder Sicherheitszone.
Beispielschema:
2001:db8::/48 Ihre Zuteilung
2001:db8:0001::/64 HQ-Büronetzwerk
2001:db8:0002::/64 HQ-Server-VLAN
2001:db8:0100::/64 Zweigstelle 1
2001:db8:0200::/64 Zweigstelle 2
2001:db8:1000::/64 DMZ-WebserverReservieren Sie Bereiche für zukünftige Nutzung. Lassen Sie Lücken. Sie werden nicht bereuen, zusätzlichen Raum zu haben.
Schulen Sie Ihr Team#
IPv6 sieht anders aus. Hexadezimal-Notation, Adresskürzungsregeln und die schiere Größe von Adressen bringen Leute durcheinander. Führen Sie Schulungssitzungen durch. Stellen Sie sicher, dass jeder die Grundlagen versteht, bevor der Bereitstellungstag kommt.
Behandeln Sie ICMPv6 – es ist nicht optional wie ICMP in IPv4. Es zu blockieren bricht Neighbor Discovery und Path MTU Discovery.
Adressplanung#
Verwenden Sie volle /64-Subnetze#
Weisen Sie immer /64 für Endbenutzer-Netzwerke zu. SLAAC erfordert es, und der Versuch, /127 oder /126 auf LANs zu verwenden, verursacht operative Kopfschmerzen. Der Adressraum ist riesig – nutzen Sie ihn.
Für Point-to-Point-Links ist /127 in Ordnung und empfohlen (RFC 6164). Es verhindert Ping-Pong-Angriffe und spart eine vernachlässigbare Menge an Raum, den Sie nicht sparen müssen.
Dokumentieren Sie alles#
Beginnen Sie Dokumentation am Tag eins. Zeichnen Sie Ihre Zuteilung, Subnetz-Zuweisungen und die Logik dahinter auf. Das zukünftige Sie – oder Ihr Nachfolger – wird dies benötigen.
Verwenden Sie IPAM-Tools. Tabellenkalkulationen funktionieren für kleine Netzwerke, aber dedizierte Tools wie NetBox oder phpIPAM skalieren besser und reduzieren Fehler.
Reservieren Sie Raum für Wachstum#
Weisen Sie Subnetze nicht sequenziell ohne Planung zu. Lassen Sie Raum zwischen logischen Gruppen. Falls Ihr Büronetzwerk 2001:db8:100::/64 ist, setzen Sie das nächste Büro nicht auf :101::/64. Verwenden Sie :200::/64 und geben Sie sich 256 Subnetze Atemraum.
Randomisieren Sie Server-Adressen#
Nummerieren Sie Server nicht sequenziell (::1, ::2, ::3). Verwenden Sie zufällige oder semantisch bedeutungsvolle Adressen innerhalb Ihres /64. Sequenzielle Adressierung macht Scanning einfacher und exponiert Ihre Netzwerkgröße.
Generieren Sie zufällige Adressen oder verwenden Sie EUI-64, aber deaktivieren Sie Privacy Extensions auf Servern – Sie wollen stabile Adressen für DNS.
DNS Best Practices#
AAAA-Records für alles hinzufügen#
Jeder Service mit IPv6-Konnektivität benötigt einen AAAA-Record. Führen Sie keine Halb-Bereitstellung durch, indem Sie IPv6 aktivieren, aber DNS überspringen. Clients versuchen zuerst IPv6 und schlagen fehl, was Verbindungsverzögerungen verursacht.
Für Dual-Stack-Services veröffentlichen Sie sowohl A als auch AAAA. Lassen Sie Happy Eyeballs (RFC 6555) Failover handhaben.
Reverse DNS konfigurieren#
Richten Sie PTR-Records in ip6.arpa ein. Reverse DNS ist nicht nur für Mail-Server – es wird für Logging, Sicherheitstools und Fehlerbehebung verwendet. Fehlende PTR-Records sehen schlampig aus und können Spam-Filter auslösen.
Delegieren Sie Ihre Reverse-Zone ordentlich. Falls Ihr RIR oder ISP Delegation handhabt, reichen Sie die Records ein. Falls Sie sie kontrollieren, automatisieren Sie Updates.
Stellen Sie Dual-Stack-Resolver sicher#
Ihre DNS-Resolver müssen Anfragen über beide IPv4 und IPv6 beantworten. Konfigurieren Sie IPv6-Transport, selbst wenn Ihr Netzwerk noch nicht vollständig Dual-Stack ist. Clients bevorzugen zunehmend IPv6-Transport für DNS.
Testen Sie mit dig oder nslookup von IPv6-only-Clients. Nehmen Sie nicht an, dass es funktioniert.
Testen Sie mit IPv6-only-Clients#
Starten Sie eine Test-VM oder Container mit nur IPv6 – keine IPv4-Adresse. Versuchen Sie, auf Ihre Services zuzugreifen. Sie finden Lücken, die Sie verpasst haben: fest codierte IPv4-Adressen, defekte AAAA-Records oder Anwendungen, die Dual-Stack nicht korrekt handhaben.
Routing-Überlegungen#
IPv6 auf allen Routern aktivieren#
Aktivieren Sie IPv6-Routing global. Selbst wenn ein Segment IPv6 noch nicht verwendet, verhindert es bereit zu haben gehetzt Konfiguration später.
Konfigurieren Sie Link-Local-Adressen auf allen Interfaces. Sie werden für Routing-Protokolle benötigt und erfordern keine globale Adressierung.
Wählen Sie Ihr Interior-Routing-Protokoll#
OSPFv3 und IS-IS unterstützen beide IPv6. Falls Sie OSPFv2 für IPv4 betreiben, ist OSPFv3 die natürliche Wahl. IS-IS handhabt beide Adressfamilien in einer einzelnen Protokollinstanz, was Dinge vereinfacht, wenn Sie neu anfangen.
Betreiben Sie kein RIPng. Es ist veraltet und begrenzt.
BGP für externe Konnektivität konfigurieren#
Falls Sie Multihomed sind, betreiben Sie BGP für IPv6 genau wie IPv4. Verwenden Sie MP-BGP (Multiprotocol BGP), um beide Adressfamilien über eine Session zu tragen, oder betreiben Sie separate Sessions – beides funktioniert.
Kündigen Sie Ihr Präfix von allen Upstreams an. Konfigurieren Sie Routen-Filter, um Lecks zu verhindern.
Bogon-Präfixe filtern#
Blockieren Sie reservierte und Bogon-Präfixe an Ihrem Edge. Die Bogon-Liste ist kleiner als IPv4, aber dennoch notwendig. Filtern:
- ::/8 (außer ::/128 und ::1/128)
- 0100::/64 (Discard-Präfix)
- 2001:db8::/32 (Dokumentation)
- fc00::/7 (ULA – am Internet-Edge blockieren)
- fe80::/10 (Link-Local)
- ff00::/8 (Multicast, kontextabhängig)
Team Cymru veröffentlicht aktualisierte Bogon-Listen. Verwenden Sie sie.
Sicherheits-Best Practices#
Firewall-Regeln an IPv4-Richtlinie anpassen#
Ihre IPv6-Firewall-Richtlinie sollte IPv4 spiegeln. Falls Sie eingehenden Verkehr außer spezifischen Services in IPv4 blockieren, tun Sie dasselbe für IPv6. Lassen Sie IPv6 nicht offen, weil es „neu" ist.
Prüfen Sie sorgfältig. Viele Firewalls erlauben standardmäßig alles für IPv6, wenn es zum ersten Mal aktiviert wird.
Wesentliches ICMPv6 erlauben#
ICMPv6 ist nicht optional. Sie müssen erlauben:
- Typ 1 (Destination Unreachable)
- Typ 2 (Packet Too Big) — bricht PMTUD, falls blockiert
- Typ 3 (Time Exceeded)
- Typ 4 (Parameter Problem)
- Typ 128/129 (Echo Request/Reply) — optional aber nützlich
- Typ 133-137 (Neighbor Discovery) — nur auf lokalen Segmenten
ICMPv6 zu blockieren bricht Dinge. Tun Sie es nicht.
RA Guard auf Switches aktivieren#
Rogue Router Advertisements sind ein einfacher Angriffsvektor. Aktivieren Sie RA Guard auf Access-Switches, um RAs von nicht vertrauenswürdigen Ports zu blockieren. Erlauben Sie nur RAs von Ihren Router-Ports.
Die meisten Enterprise-Switches unterstützen dies. Konfigurieren Sie es während der Bereitstellung, nicht nach einem Vorfall.
Auf Rogue RAs überwachen#
Selbst mit RA Guard überwachen Sie auf unerwartete RAs. Tools wie NDPmon oder RAmond erkennen Rogue-Advertisements. Protokollieren Sie sie und untersuchen Sie.
Rogue RAs können Verkehr umleiten, Ausfälle verursachen oder Man-in-the-Middle-Angriffe ermöglichen.
Überwachung und Logging#
Überwachungstools für IPv6 aktualisieren#
SNMP, NetFlow, Syslog – alle benötigen IPv6-Unterstützung. Aktualisieren Sie Ihre Kollektoren, um IPv6-Verkehr zu erfassen. Konfigurieren Sie Ihre Netzwerkgeräte, um Logs über IPv6-Transport zu senden.
Testen Sie, dass Graphen, Alarme und Dashboards IPv6-Metriken anzeigen. Viele Tools unterstützen es, aktivieren es aber nicht standardmäßig.
IPv6-Quelladressen protokollieren#
Stellen Sie sicher, dass Ihre Webserver, Anwendungslogs und Sicherheitstools vollständige IPv6-Adressen erfassen. Abgeschnittene oder fehlende Adressen verkrüppeln Forensik.
Prüfen Sie Log-Formate. Einige Anwendungen protokollieren IPv6-Adressen falsch oder gar nicht.
IPv6-Verkehr separat verfolgen#
Überwachen Sie IPv6-Verkehrsvolumen und Prozentsatz. Verfolgen Sie Akzeptanz über die Zeit. Ihr IPv6-Verkehrsverhältnis zu kennen hilft, Kapazität zu planen und Probleme zu identifizieren.
Setzen Sie Alarme für plötzliche Abfälle – das bedeutet normalerweise, dass etwas kaputt ging.
Alarme für IPv6-spezifische Probleme#
Erstellen Sie Alarme für:
- Routing-Protokoll-Adjacency-Fehler
- Unerreichbare IPv6-Gateways
- Hohe ICMPv6-Fehlerraten
- IPv6-Verkehrsabfälle oder Blackholing
Warten Sie nicht darauf, dass Benutzer Probleme melden.
Bereitstellungs-Checkliste#
Verwenden Sie diese Checkliste, um Ihren Bereitstellungsfortschritt zu verfolgen:
- Vollständige Netzwerkbestandsaufnahme (Geräte, Apps, Services)
- IPv6-Unterstützung von Anbietern für alle kritischen Systeme verifizieren
- IPv6-Zuteilung von ISP oder RIR erhalten
- Adressierungsschema entwerfen und dokumentieren
- Team auf IPv6-Grundlagen und Fehlerbehebung schulen
- IPAM-Tool für Adressverwaltung einrichten
- IPv6 auf Core-Routern und Switches konfigurieren
- OSPFv3/IS-IS für Interior-Routing aktivieren
- BGP für externe Konnektivität konfigurieren (falls zutreffend)
- Bogon-Präfix-Filter am Edge implementieren
- AAAA-Records für alle Services erstellen
- Reverse DNS (ip6.arpa) konfigurieren
- IPv6-Transport auf DNS-Resolvern aktivieren
- Auflösung von IPv6-only-Clients testen
- Firewall-Regeln bereitstellen, die IPv4-Richtlinie entsprechen
- Wesentliche ICMPv6-Typen erlauben
- RA Guard auf Access-Switches aktivieren
- Rogue RA-Überwachung bereitstellen
- Überwachungstools für IPv6-Unterstützung aktualisieren
- IPv6-Logging auf allen Systemen konfigurieren
- IPv6-Verkehrs-Dashboards erstellen
- IPv6-spezifische Alarme einrichten
- Konnektivität von IPv6-only-Test-Clients testen
- Bereitstellung und gewonnene Erkenntnisse dokumentieren
Stellen Sie methodisch bereit. Testen Sie gründlich. Dokumentieren Sie alles. IPv6 ist nicht schwierig – es ist nur anders.
Verwandte Artikel#
- IPv6-Sicherheits-Best-Practices - Sichern Sie Ihr IPv6-Netzwerk gegen Bedrohungen
- IPv6-Migrationsstrategien - Planen und führen Sie Ihre IPv6-Bereitstellung durch
Planen Sie Ihr Netzwerk
Verwenden Sie unseren Subnet Calculator, um Ihr IPv6-Adressierungsschema zu entwerfen.