Cisco-Router-Konfiguration für IPv6: Vorbereitung und schrittweise Umsetzung

Eine IPv6-Einführung auf Cisco-Routern gelingt am sichersten schrittweise: erst Vorbereitung und Sichtbarkeit (Adressplan, Routing-Design, Logging), dann Dual-Stack an ausgewählten Interfaces, anschließend DNS/Clients und zuletzt Policies, Monitoring und Betrieb. So vermeiden Sie „Big Bang“-Risiken und können IPv6-Verkehr kontrolliert aktivieren, messen und bei Bedarf zurücknehmen. Dieser Leitfaden zeigt ein praxisorientiertes Vorgehen von der Planung bis zur produktiven Umsetzung – inklusive typischer CLI-Bausteine und verifizierbarer Zwischenschritte.

Vorbereitung: IPv6-Ziele und Scope sauber festlegen

IPv6 ist nicht nur „eine weitere Adresse“, sondern beeinflusst Adressierung, Routing, DNS und Security. Definieren Sie daher vorab, was Sie erreichen wollen und welche Bereiche zunächst bewusst ausgeschlossen sind.

• Zielbild: Dual-Stack (IPv4+IPv6) statt IPv6-only als Standardstart
• Scope: WAN, LAN/VLANs, VPN, Remote Access, Filialen (ja/nein)
• Abnahme: welche Tests gelten als „IPv6 erfolgreich“ (Ping, DNS, App-Flow)?
• Rollback: wie wird IPv6 wieder deaktiviert, falls Nebenwirkungen auftreten?

Adressplan: Präfixe, Subnetting und Standortlogik

IPv6-Adressierung wird in der Praxis über Präfixe geplant. Üblich sind /64 pro VLAN und ein zusammenhängender Block pro Standort. Dadurch sind Summarization und Betrieb deutlich einfacher.

Praxisregel: /64 pro VLAN

Ein /64 liefert $2^{64}$ Adressen und ist der Standard für SLAAC und viele IPv6-Mechanismen. Für Büro-/Filial-VLANs ist /64 daher die typische Wahl.

Beispiel: Standortblock und VLAN-Subnets (Schema)

• Standortpräfix: 2001:db8:12::/48 (Beispielpräfix für Site 12)
• Users VLAN20: 2001:db8:12:20::/64, Gateway ::1
• Guest VLAN50: 2001:db8:12:50::/64, Gateway ::1
• IoT VLAN40: 2001:db8:12:40::/64, Gateway ::1

Phase 1: IPv6 auf dem Router aktivieren und Baseline schaffen

Die erste Phase verändert noch keine Client-Kommunikation. Sie schafft die technische Basis: IPv6-Routing aktivieren, Management/Logging vorbereiten und einen kontrollierten Startpunkt definieren.

Beispiel: IPv6 Routing global aktivieren

ipv6 unicast-routing

Beispiel: Logging-Baseline für IPv6-Einführung

service timestamps log datetime msec
ntp server 192.0.2.10 prefer
logging host 192.0.2.20
logging trap informational

Phase 2: Dual-Stack am WAN (Provider) oder Transit aktivieren

Am WAN hängt die Umsetzung von Ihrem ISP ab: statisches IPv6, DHCPv6-PD (Prefix Delegation) oder ein bereitgestelltes /64-/56-Präfix. Ziel ist, dass der Router selbst IPv6-Konnektivität hat, bevor Sie LANs aktivieren.

Beispiel: Statisches IPv6 am WAN (konzeptionelles Muster)

interface GigabitEthernet0/0
 description WAN-ISP
 ipv6 address 2001:db8:100:1::2/64
 no shutdown
ipv6 route ::/0 2001:db8:100:1::1

Verifikation WAN-IPv6

show ipv6 interface brief
show ipv6 route
ping ipv6 2001:4860:4860::8888
traceroute ipv6 2001:4860:4860::8888

Phase 3: Dual-Stack auf ausgewählten VLANs (Pilot) aktivieren

Starten Sie mit einem Pilot-VLAN (z. B. IT/Admin oder Test-Users), nicht mit Guest oder kritischen Produktionsnetzen. So können Sie DNS, Policies und Client-Verhalten kontrolliert prüfen.

Beispiel: IPv6 Gateway auf einem VLAN-Interface

interface GigabitEthernet0/1.20
 description VLAN20-USERS
 encapsulation dot1Q 20
 ip address 10.12.20.1 255.255.255.0
 ipv6 address 2001:db8:12:20::1/64

Erwartete Ergebnisse im Pilot

• Client erhält IPv6-Adresse (SLAAC oder DHCPv6, je Design)
• Default-Gateway ist erreichbar (Ping auf ::1)
• IPv6-Ping zu externen Zielen funktioniert

Phase 4: DNS (AAAA), Namensauflösung und Dual-Stack-Verhalten

IPv6 wird erst im Alltag nutzbar, wenn DNS korrekt ist. Viele Anwendungen bevorzugen IPv6, wenn AAAA-Records existieren. Ohne saubere DNS-Strategie entstehen „gefühlt langsame“ Verbindungen durch Timeouts.

• Interne DNS-Server müssen AAAA-Records und Reverse-Lookups unterstützen
• Split-DNS: interne Namen intern, externe Namen extern
• Test: IPv6 vs. IPv4 Pfade vergleichen (RTT/Loss)

Routerseitige DNS-Auflösung (nur wenn benötigt)

ip domain-name example.local
ip name-server 10.10.10.10

Phase 5: Security-Policies für IPv6 (nicht „vergessen“)

Ein häufiger Fehler ist „IPv6 aktiviert, aber nur IPv4-ACLs existieren“. IPv6 braucht eigene Policies. Starten Sie mit Managementschutz und Segmentierung (Guest/IoT) und erweitern Sie dann schrittweise.

Beispiel: Managementzugriff (SSH) weiterhin nur aus MGMT-Netz

ip ssh version 2
ip access-list standard MGMT_ONLY
 permit 10.10.10.0 0.0.0.255
 deny any
line vty 0 4

transport input ssh

access-class MGMT_ONLY in

exec-timeout 10 0

Praxisregel: IPv6-Policy-Matrix spiegeln

Wenn Guest in IPv4 intern blockiert ist, muss das für IPv6 ebenfalls gelten. Führen Sie Policies pro Segment konsequent als Dual-Stack-Regelwerk.

Phase 6: IPv6 Routing intern (OSPFv3 oder statisch) standardisieren

Sobald mehrere Standorte/VLANs beteiligt sind, benötigen Sie ein Routingkonzept für IPv6. In Enterprise-Netzen ist OSPFv3 üblich, in kleinen Netzen reichen oft statische Routen. Wichtig ist einheitliches Design.

• Klein: statische IPv6-Routen + klare Summaries
• Enterprise: OSPFv3 für Skalierung und automatische Verteilung
• Vermeiden: ungeplante Redistribution zwischen IPv4/IPv6-Domänen

Monitoring und Betrieb: IPv6 sichtbar machen

Nach dem Pilot müssen Sie IPv6 in Monitoring und Runbooks aufnehmen: Interface-Status, Routing, Logs und Pfadtests. Ohne Sichtbarkeit wird IPv6 im Incident „unsichtbar“ und schwer supportbar.

IPv6-Runbook-Checks (SOP)

show ipv6 interface brief
show ipv6 route
ping ipv6 2001:4860:4860::8888 repeat 10
traceroute ipv6 2001:4860:4860::8888
show logging | last 50

Abnahme: Schrittweise Go/No-Go Kriterien

Jede Phase sollte ein klares Abnahmekriterium haben. So vermeiden Sie, dass IPv6 „halb“ live ist und später schwer zu debuggen wird.

• WAN-IPv6: Router erreicht externe IPv6-Ziele stabil
• Pilot-VLAN: Clients erhalten IPv6, Gateway erreichbar, DNS ok
• Policies: Segmentierung wirkt auch für IPv6
• Routing: interne IPv6-Routen stabil, keine Flaps
• Monitoring: Alarme/Logs erfassen IPv6-relevante Events

Typische Fehlerbilder und schnelle Ursachen

Die häufigsten IPv6-Probleme sind nicht exotisch: fehlende Default-Route, DNS/AAAA-Timeouts, Policies nicht gespiegelt oder unerwartete Präfixdelegation. Mit klaren Checks lassen sie sich schnell eingrenzen.

• IPv6 geht am Router, nicht am Client: fehlendes VLAN-Gateway oder RA/DHCPv6-Design
• „Manche Seiten langsam“: DNS/AAAA-Timeouts, ungleiches Routing, PMTUD-Probleme
• IPv6 umgeht Security: IPv4-ACLs vorhanden, IPv6-Policies fehlen
• Kein Internet: Default ::/0 fehlt oder ISP-PD/Prefix falsch
• Routing instabil: OSPFv3/Link-Probleme, fehlende Standards

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

• Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

• Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

• Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

• Optional Security: Basic ACLs und SSH-Hardening

• Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

• ✅ Packet Tracer .pkt Datei

• ✅ Saubere Konfigurations-Notizen pro Gerät

• ✅ Verifikations-Checkliste + erwartete Outputs

• ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.