IP-Plan Review: Checkliste für Design und Audit

Ein IP-Plan Review ist im Telco-Umfeld eine der effizientesten Maßnahmen, um Betriebssicherheit, Skalierbarkeit und Auditierbarkeit gleichzeitig zu verbessern. Anders als in kleineren Netzen ist ein IP-Adressplan bei Providern nicht nur „Adressvergabe“, sondern ein Fundament für Routing-Policies, IGP/BGP-Stabilität, VRF-/Tenant-Isolation, Subscriber-Management (DHCP/PD), Security-Zonen, Monitoring, Logging, DNS/rDNS und Automatisierung. Wenn der Plan sauber ist, werden Änderungen planbar und schnell. Wenn er unsauber ist, entstehen typische Symptome: ständig wachsende Prefix-Listen, schwer erklärbare Reachability-Probleme, Adresskonflikte, Scope-Drift zwischen Regionen, inkonsistente MTUs, unklare Zuständigkeiten und ein Change-Prozess, der nur noch mit Hotfixes funktioniert. Ein guter Review ist deshalb keine „PowerPoint-Übung“, sondern eine strukturierte Prüfung mit klaren Kriterien, die sowohl Design (Architektur) als auch Audit (Nachvollziehbarkeit, Governance, Sicherheit) abdeckt. Dieser Artikel liefert eine praxistaugliche Checkliste für Telcos: von Container-Design und Aggregation über Loopbacks und P2P-Links bis zu DHCP/PD-Pools, VRFs, Dokumentation und Versionierung. Sie können die Punkte als internes Review-Template verwenden, als Audit-Standard für neue PoPs und Services oder als regelmäßigen Health-Check für gewachsene Netze.

Was ein IP-Plan Review leisten muss: Designprüfung und Auditprüfung

Ein IP-Plan Review hat zwei Perspektiven, die sich ergänzen. Die Designprüfung fragt: „Ist der Plan technisch sinnvoll, skalierbar, konsistent?“ Die Auditprüfung fragt: „Ist der Plan nachvollziehbar, governance-fähig und sicher betreibbar?“ In Telco-Netzen sind beide gleich wichtig.

• Design: Hierarchie, Aggregation, Routing-Stabilität, Kapazität, Standards, Dual Stack, Service-Modelle.
• Audit: Source of Truth, Ownership, Change-Historie, Konfliktvermeidung, Scope-Regeln, Compliance-Anforderungen.

Vorbereitung: Welche Unterlagen und Daten Sie für ein Review brauchen

Ein Review scheitert häufig daran, dass man nur „ein paar Subnetze“ betrachtet. Für Telcos ist die Datenbasis entscheidend, weil viele Abhängigkeiten außerhalb der reinen Prefix-Liste liegen. Idealerweise ziehen Sie die Informationen aus einer Source of Truth (IPAM/NetBox) und ergänzen sie um reale Betriebsdaten (Konfigauszüge, Monitoring).

• Adressplan-Export: Prefixe, Subnetze, Reserven, Rollenblöcke, VRF-Zuordnungen, Status/Lifecycle.
• Geräte-/Rollenmodell: Core P, PE, RR, BNG/BRAS, Firewalls, Load Balancer, VTEPs, Services.
• Routing-Design: IGP-Topologie, BGP-Design (RRs), Summaries, Leak-Policies.
• Subscriber-Design: DHCPv4 Pools, IPv6-PD/RA-Strategie, CGNAT-Pools, Logging-Anforderungen.
• Security-Design: Zonen, VRFs, Policy-Punkte (Firewalls/ACLs), Management/OAM-Trennung.
• Change- und Ticketdaten: letzte relevante Änderungen, geplante Migrationen, bekannte Pain Points.

Checkliste: Hierarchisches Container-Design und Aggregierbarkeit

Das wichtigste Strukturmerkmal eines telco-tauglichen IP-Plans ist die Hierarchie: Region → Metro/Cluster → PoP → Rolle/Funktion. Ohne diese Hierarchie sind Summarisierung und Governance teuer, und Konflikte werden wahrscheinlicher.

• Container vorhanden: gibt es klare Prefix-Container je Region/PoP/Cluster?
• Rollenblöcke getrennt: Loopbacks, P2P, MGMT, Services/DMZ, Customer Pools, Transport getrennt?
• Aggregierbarkeit: lassen sich Prefixe sinnvoll zusammenfassen (Summaries), ohne viele Ausnahmen?
• Reserveblöcke: sind Reserven explizit vorgesehen (statt „zufällig frei“)?
• Scope-Disziplin: sind Prefixe an die richtige Failure Domain gebunden (PoP/BNG-Cluster)?

Checkliste: Loopback-Adressierung für IGP, BGP und Services

Loopbacks sind Identitäten. Ein Review sollte prüfen, ob Loopbacks konsistent, rollenbasiert und konfliktarm geplant sind – und ob das IGP die richtigen Loopbacks trägt.

• Standards: IPv4 Loopbacks als /32, IPv6 als /128?
• Rollenbereiche: getrennte Bereiche für RR, Core P, PE, BNG, VTEP, Services?
• Router-ID-Strategie: Router-IDs stabil und dokumentiert?
• IGP-Policy: werden Loopbacks konsistent im IGP verteilt, ohne unnötige „Noise“-Prefixe?
• Monitoring/Source-IP: nutzen Telemetry/NetFlow/Syslog stabile Loopbacks als Source-IP?

Checkliste: P2P-Links und Transitnetze (Backbone, Metro, Interconnects)

P2P-Netze sind in Telcos sehr zahlreich. Schon kleine Ineffizienzen oder Inkonsistenzen multiplizieren sich. Gleichzeitig sind P2P-Präfixe häufig Teil von Routing-Policies und sollten klar erkennbar sein.

• IPv4 P2P Standard: wird /31 genutzt, wo möglich (oder /30 mit klarer Begründung)?
• IPv6 P2P Standard: werden /127 genutzt und konsistent umgesetzt?
• Eigene P2P-Container: sind Linknetze getrennt von MGMT/Services/Customer Pools?
• Link-Dokumentation: Gegenstellen, Link-ID, IGP-Kontext, MTU, ggf. BFD-Policy dokumentiert?
• Interconnects: Transitnetze zu Firewalls/NAT/LB sauber separiert und symmetrische Pfade berücksichtigt?

Checkliste: VRF-Design und Multi-Tenant-Isolation

VRFs sind die harte Layer-3-Trennung. Ein IP-Plan Review sollte prüfen, ob VRFs sauber definiert sind, ob Overlapping IPs kontrollierbar sind und ob Inter-VRF-Kommunikation bewusst und auditierbar erfolgt.

• VRF-Taxonomie: klare VRF-Namen, Purpose, Owner, Scope (z. B. MGMT/OAM/DMZ/RES/BIZ/WHSL)?
• Prefix-Container pro VRF: gibt es VRF-spezifische Prefix-Container (IPv4/IPv6)?
• Route Leaks: sind Leaks als Allow-List definiert (nicht als „alles 10/8“)?
• Policy-Punkte: Inter-VRF Traffic läuft über definierte Firewalls/Policy-Gateways?
• Overlapping RFC1918: ist das Overlap-Handling konsequent VRF-aware (inkl. IPAM/Monitoring)?

Checkliste: Subscriber-Adressierung (DHCPv4, IPv6 PD, CGNAT)

Subscriber-Pools sind häufig die größte IP-Ressource und ein häufiger Root Cause für Großstörungen. Ein Review muss hier Kapazität, Scope, Logging und Betrieb berücksichtigen – nicht nur die Prefixgröße.

• Pool-Scope: Pools sind pro BNG/Cluster/Region geshardet, keine Überlappungen?
• Kapazitätsplanung: Reserven, Wachstum, Alarm-Schwellen, Auslastungs-KPIs vorhanden?
• Lease-Policy: Lease-Zeiten, Stickiness, Failover-Verhalten dokumentiert und konsistent?
• IPv6 PD-Standard: klare Strategie (/56, /48, /64 intern), konsistente Delegation und Option-Sets?
• CGNAT Pools: Egress-Pools getrennt, Logging-Anforderungen (Zeit/IP:Port) erfüllt, Dokumentation vollständig?

Checkliste: Management, OAM und Security-Zonen

In Telco-Netzen ist die Trennung von Management/OAM und Kundendomänen ein Sicherheits- und Betriebsstandard. Ein Review prüft, ob diese Trennung im IP-Plan sichtbar ist und ob Zugriffe kontrolliert sind.

• Management-VRF: existiert eine eigene MGMT-Domäne (VRF oder strikt getrennte Netze)?
• OAM getrennt: Telemetry/Syslog/NetFlow-Collector-Pfade klar separiert, nicht „quer durch Kundennetze“?
• DNS/NTP/AAA: Shared Services in definierter Zone, Zugriff über Allow-List?
• DMZ-Struktur: DMZ Frontend/Backend getrennt, klare Gateways und Policies?
• Trust Boundaries: welche Netze sind untrusted/semtrusted/trusted und ist das dokumentiert?

Checkliste: IPv6-Design, Dual Stack und Aggregation

IPv6 ist nicht „IPv4 mit größeren Adressen“. Ein Review sollte prüfen, ob IPv6-Design konsistent, aggregierbar und betrieblich sauber ist. Besonders wichtig: Prefix-Hierarchie und Aggregation, damit Routing-Policies nicht explodieren.

• IPv6 Container: klare Prefix-Container pro Region/PoP/VRF (z. B. /48-/56-Container)?
• Segmentgröße: /64 pro L2-Segment, /127 für P2P, /128 für Loopbacks konsistent?
• Aggregation: Summaries/Locator-Strukturen (wo relevant) sauber geplant?
• Adressvergabe: SLAAC vs. DHCPv6 Strategie dokumentiert (inkl. RDNSS/Optionen)?
• ICMPv6 Policies: funktional korrekt, keine „blind block“ Anti-Patterns?

Checkliste: MTU und Encapsulation (QinQ, MPLS, VXLAN)

Viele Telco-Incidents wirken wie Routing- oder Subnetting-Probleme, sind aber MTU/Overhead-Probleme. Ein IP-Plan Review sollte daher prüfen, ob MTU-Standards dokumentiert und end-to-end konsistent sind, insbesondere bei QinQ und VXLAN.

• Service-MTU definiert: pro Domäne/Serviceklasse dokumentiert (Access, Transport, PoP-Fabric)?
• Overhead berücksichtigt: QinQ, MPLS, VXLAN – kleinste MTU im Pfad bekannt?
• PMTUD funktionsfähig: ICMP/ICMPv6 Policies unterstützen Path MTU Discovery?
• MTU in Doku/SoT: MTU als Feld in Service-/Link-/VLAN-Templates enthalten?

Checkliste: Dokumentation, Versionierung und Nachvollziehbarkeit

Ein Audit-Teil des Reviews prüft nicht „wie viele Seiten“ Doku existieren, sondern ob Daten aktuell, vollständig und revisionssicher sind. In Telcos ist Versionierung des Adressplans ein entscheidender Faktor für Betriebssicherheit.

• Source of Truth: ein führendes System für VLAN/VRF/IP/Pools, keine parallelen Wahrheiten?
• Pflichtfelder: Owner, Status, Scope, Change-Referenz für Prefixe/VLANs/IPs vorhanden?
• Versionierung: Change-Historie/Diffs nachvollziehbar, Releases/Snapshots für große Umbauten?
• Lifecycle-Management: deprecated/retired Netze sauber markiert, Quarantäne fürs Recycling definiert?
• Drift Detection: regelmäßiger Abgleich Config↔SoT, Abweichungen werden behandelt?

Checkliste: Operative Tests und Validierung (Preflight und Post-Change)

Ein Review sollte nicht nur Struktur prüfen, sondern auch die Mechanismen, die Fehler früh finden. Besonders wirksam sind Preflight-Checks (bevor etwas live geht) und Post-Change-Validierung (nach Rollout).

• Overlap-Checks: keine unbeabsichtigten Prefix-Überschneidungen (VRF-aware).
• Conflict-Checks: Duplicate IP Detection (ARP/ND-Anomalien), Ping-Probes wo sinnvoll.
• Reachability-Checks: Gateways, Loopbacks, Collector-Endpunkte, DNS/NTP erreichbar aus richtigen VRFs.
• Pool-Health: DHCP/PD-Pools korrekt, keine Overlaps, Kapazität im grünen Bereich.
• Routing-Policy Checks: Summaries und Filter korrekt, keine ungewollten Route Leaks.

Typische Findings in Telco-IP-Plan Reviews und wie man sie priorisiert

In der Praxis tauchen bestimmte Probleme immer wieder auf. Eine gute Review liefert nicht nur eine Liste, sondern priorisiert nach Risiko und Aufwand.

• Hohes Risiko: Overlaps in Pools, unkontrollierte Route Leaks, doppelte Loopbacks, MGMT in Kundendomänen, fehlende Scope-Disziplin.
• Mittleres Risiko: fehlende Reserven, inkonsistente /31-/127-Standards, unklare Ownership, unvollständige Dokumentation.
• Niedrigeres Risiko: Naming-Inkonsistenzen, fehlende Tags/Metadaten (sofern Betrieb noch stabil), vereinzelte Legacy-Ausnahmen.

Praxis-Checkliste: IP-Plan Review für Design und Audit

• Hierarchie & Container: Region→PoP→Rolle, getrennte Rollenblöcke, Reserven, Aggregierbarkeit.
• Loopbacks: /32 und /128 Standards, Rollenbereiche, IGP-Verteilung, Monitoring-Source-IP Konsistenz.
• P2P/Transit: /31 und /127 Standards, eigene Container, Link-Metadaten, symmetrische Pfade zu stateful Geräten.
• VRFs & Multi-Tenant: VRF-Taxonomie, Container pro VRF, kontrollierte Leaks, Policy-Gateways.
• Subscriber Pools: DHCP/PD/CGNAT Pools ohne Overlap, Kapazitätsplanung, Lease-Policies, Logging-Anforderungen.
• Management/OAM/Security: klare Zonen, MGMT-VRF, OAM-Pfade, DMZ-Frontend/Backend, Trust Boundaries.
• IPv6 & Dual Stack: /64-/127-/128 Konsistenz, Aggregation, SLAAC/DHCPv6 Strategie, ICMPv6 funktional.
• MTU/Encapsulation: Service-MTU Standards, Overhead berücksichtigt, PMTUD funktionsfähig.
• Doku & Versionierung: Source of Truth, Pflichtfelder, Change-Historie, Lifecycle/Quarantäne, Drift Detection.
• Validierung: Preflight- und Post-Change-Checks, Overlap-/Conflict-Tests, Routing- und Reachability-Prüfungen.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

• Professionelle Konfiguration von Routern und Switches

• Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

• Erstellung von Topologien und Simulationen in Cisco Packet Tracer

• Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

• Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

• Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

• Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

• Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.