IPv6 Planung und Segmentierung — Adressierung, Sicherheit & Automatisierung
IPv6 Planung definiert die hierarchische Präfix-Architektur, klare Segmentierungsregeln sowie die Wahl der Konfigurationsmechanismen (SLAAC/DHCPv6). Wir koppeln die IPv6 Planung mit IPAM, ip6.arpa DNS, kontrollierter Veröffentlichung und IaC/GitOps-Automatisierung, damit Rollouts vorhersehbar und auditierbar sind.
IPv6 Planung — warum jetzt wichtig ist
Adressraum
Ein /48 oder /56 pro Standort vereinfacht die IPv6 Planung, Delegationen von /64 pro Segment und künftiges Wachstum.
Hierarchie & Aggregation
Aggregierte Präfixe reduzieren Routen, beschleunigen Konvergenz und stabilisieren Richtlinien.
Weniger NAT, mehr Telemetrie
IPv6 beseitigt viele NAT-Probleme und ermöglicht Richtlinien anhand von Präfixen sowie bessere Observability.
IPv6 Planung — Adressierung & Präfixe
Struktur des Plans
- ✓/48 je Standort oder Geschäftseinheit; Delegationen /56 und /64 je Segment.
- ✓Namenskonventionen & Labels im IPAM (Tags für VRF/VLAN/Region).
Dokumentation
- ✓Vorlage: Präfix, Owner, Zweck, Skalierung, Ausnahmen.
- ✓Abhängigkeiten zu DNS und Netzwerk-Policies.
Reverse DNS
- ✓
ip6.arpa-Zonen, Delegationen und automatische Updates aus IPAM. - ✓TTL-Regeln und Veröffentlichungsprozesse.
IPv6 Segmentierung — VLAN, VRF & Policies
VLAN/VRF
Trennung von Broadcast-Domänen, Inter-VRF-Routing und saubere /64-Zuteilung pro Segment.
ACL/Firewalls
Policies auf Basis von Präfix-Gruppen. Keine „allow any“ — nur minimale Port-Sätze.
Campus & DC
EVPN/VXLAN und applikationsnahe Segmentierung. Mapping auf RBAC in Zugangssystemen.
SLAAC, DHCPv6 & DNS ip6.arpa
SLAAC
Autokonfiguration via Router Advertisement. Einfach in Edge-Netzen; Control-Plane durch RA Guard schützen.
DHCPv6
Zentral verwaltete Optionen und bessere Inventarisierung — ideal bei Compliance-Vorgaben.
Hybrid
SLAAC für Hosts + DHCPv6-Optionen (DNS, NTP). Synchronisation zu DNS und Reverse-Zonen.
IPv6 Sicherheit: RA/NDP Guard, ULA vs. GUA
RA Guard / ND Inspection
Schutz vor Rogue-RA und Spoofing. L2-Filter und Logging von NDP-Anomalien.
ULA & GUA
ULA intern, GUA für externe Dienste. Klare Regeln für DNS-Publikationen und Ausnahmen.
Telemetrie
Flow-Logs, NetFlow/IPFIX für IPv6, Alarme auf Missbrauch & ungenutzte Präfixe.
Dual-Stack, NAT64/DNS64 & Migrationspfad
Dual-Stack
IPv6 parallel zu IPv4 aktivieren. Stufenweise Aktivierung je Segment und Service, Adoption messen.
NAT64/DNS64
IPv6-only auf IPv4-Ressourcen. DNS64-Kontrolle und Ausnahmelisten (no-synthesis).
Tests & KPI
Testpfade, Error-Budget, Rollback. KPI: Verfügbarkeit, Latenz, IPv6-Traffic-Anteil.
Automatisierung der IPv6 Planung im IPAM: IaC & GitOps
Präfix-Pläne, Delegationen und DNS werden deklarativ gepflegt. Änderungen sind versioniert, reviewed und in Pipelines getestet — so bleibt die IPv6 Planung nachvollziehbar.
IPAM API
Provisioning von /64 je Segment, PTR-Sync und Inventar für VRF/VLAN. Webhooks nach Veröffentlichung.
Terraform/Ansible
IPAM-Provider, Module für VLAN/VRF, Präfix-Konflikt-Checks und Integrationstests.
GitOps
Pull Request → Review → Publish. Historie, Audit und schneller Rollback.
Standards & Doku: RFC 8200 (IPv6), RFC 4291 (Addressing), RFC 4862 (SLAAC), RFC 8415 (DHCPv6), NIST IPv6 Leitfaden.
FAQ — IPv6 Planung & Segmentierung
Welches Präfix pro Standort: /48 oder /56?
SLAAC oder DHCPv6 — was passt?
Wie sichere ich Layer-2 unter IPv6?
Braucht es Dual-Stack?
Wie delegiere ich /64 automatisiert?
Pillar & Cluster — verwandte Inhalte
Intelligente IP-Adressverwaltung (IPAM-Pillar)
IPAM-Architektur, Migrationen und Governance für Adressänderungen.
DDI (DNS/DHCP/IPAM)
Anycast-DNS, DHCP-Failover, Automatisierung & Audit.
IPAM API-Automatisierung
IaC/GitOps, Webhooks & Integrationstests für Änderungen.
IPv6 Planung professionell aufsetzen?
Kostenloses 20-min Gespräch — wir kartieren Präfixe, Segmente und den Migrationspfad (Dual-Stack/NAT64).