IPv6-Readiness auf Cisco-Routern ist kein „Big Bang“, sondern eine schrittweise Roadmap: zuerst Plattform- und Betriebsfähigkeit (OS, Lizenzen, Monitoring, Security), dann Dual-Stack in kontrollierten Segmenten, anschließend Routing/VPN und schließlich Optimierung (Policies, KPIs, Automatisierung). In Enterprise-Umgebungen scheitert IPv6 selten an der Adressierung, sondern an operativen Lücken: fehlende Logs, unklare ACL-Strategie, nicht getestete Provider-Übergaben oder unvollständige UATs. Dieser Leitfaden zeigt eine pragmatische Roadmap für Cisco-Router – mit Checklisten, typischen Deliverables und CLI-Verifikationen.
Roadmap-Logik: Phasen statt Big Bang
Die Einführung von IPv6 sollte als Programm mit Gates geplant werden. Jede Phase endet mit messbaren Kriterien (Pass/Fail), sodass Sie sicher weiter ausrollen können.
- Phase 0: Readiness (Plattform, Governance, Operability)
- Phase 1: Dual-Stack auf Management und Pilot-VLANs
- Phase 2: IPv6-Routing intern (OSPFv3/BGP), Summaries
- Phase 3: WAN/Internet und Security-Policies (ACLs, RA, Monitoring)
- Phase 4: VPN/Remote Access und Segmentierung end-to-end
- Phase 5: Optimierung und Standardisierung (Templates, KPIs)
Phase 0: Geräte- und Feature-Readiness (Gate 0)
Bevor Sie IPv6 aktivieren, muss die Plattform bereit sein: IOS/IOS XE Versionen, benötigte Features, Ressourcen und ein Betriebsmodell (NTP/Syslog/Monitoring). Ohne diese Basis wird IPv6 ein Incident-Treiber.
- OS/Version: freigegebene Images, stabile Feature-Sets
- Ressourcen: CPU/Memory Headroom (Routing/ACLs/Telemetry)
- Management: SSH-only, AAA/Accounting (Enterprise), Zugriff aus MGMT-Netz
- Logging: NTP synchronized, Syslog zentral, Retention geregelt
- Monitoring: Interfaces, CPU/Memory, Routing/VPN Events sichtbar
CLI: Readiness-Snapshot
show version
show inventory
show license summary
show processes cpu sorted
show processes memory sorted
show ntp status
show logging | last 50IPv6-Adressierungsstrategie: Prefix-Plan und Standards
IPv6 wird beherrschbar, wenn Sie einen konsistenten Prefix-Plan definieren. Im Enterprise ist ein hierarchisches Schema üblich: globaler Prefix → Standortprefix → VLAN-/Segmentprefix. Für LAN-Segmente ist /64 Standard.
- Globaler Prefix: vom Provider oder PI (je nach Design)
- Standortprefix: pro Site ein fester Block (z. B. /48 oder /56)
- Segmentprefix: pro VLAN ein /64
- Gateway-Regel: konsistente Interface-ID (z. B. ::1)
Subnetting-Orientierung: /64 pro Segment
Ein /64 bietet einen sehr großen Hostraum. Das ist normal und vorgesehen für SLAAC/NDP.
264 = sehr groß
Phase 1: Dual-Stack im Management und Pilot-Segment (Gate 1)
Starten Sie mit einem Pilot: Management-Plane und ein begrenztes User-/Lab-Segment. Ziel ist, Betrieb und Security zu validieren, bevor Sie breit ausrollen.
- MGMT Dual-Stack: Router erreichbar via IPv4 und IPv6 (SSH)
- Pilot-VLAN: DNS, HTTP/HTTPS, Basis-Apps via IPv6 testen
- Dokumentation: Prefix-Zuweisungen, Gateway-IPs, UAT-Protokoll
CLI: IPv6 global aktivieren (Basis)
ipv6 unicast-routingCLI: Interface IPv6 (Beispiel)
interface GigabitEthernet0/1.10
description VLAN10-MGMT
encapsulation dot1Q 10
ip address 10.10.10.1 255.255.255.0
ipv6 address 2001:db8:10:10::1/64Verifikation IPv6 am Interface
show ipv6 interface brief
show ipv6 neighborsPhase 1 Security: IPv6-ACLs und Managementzugriff
Ein häufiger Fehler ist, IPv6 zu aktivieren, aber nur IPv4 zu filtern. IPv6 braucht eigene ACLs und klare Regeln für Managementzugriff. Im Pilot muss das als Gate geprüft werden.
- MGMT-ACL: SSH nur aus MGMT-Netzen (IPv6 + IPv4)
- Segmentierung: Guest/IoT Regeln auch für IPv6 definieren
- RA/NDP: kontrolliert, keine ungewollten Router Advertisements
CLI: IPv6 ACL (Beispiel, konzeptionell)
ipv6 access-list V6-MGMT-IN
permit tcp 2001:db8:10:10::/64 any eq 22
deny ipv6 any any logPhase 2: Internes IPv6-Routing (Gate 2)
Nach dem Pilot wird IPv6-Routing intern aufgebaut. Typische Optionen sind OSPFv3 oder iBGP (je Enterprise-Design). Wichtig sind Summaries, passive-interface und saubere Neighbor-Kontrolle.
- OSPFv3: strukturiert, geeignet für interne Domänen
- BGP: policy-getrieben, sinnvoll bei komplexen Domänenkopplungen
- Stabilität: passive-interface default, definierte Neighbor-Links
CLI: OSPFv3 Verifikation (ohne Detailkonfig)
show ipv6 ospf neighbor
show ipv6 route
show ipv6 protocolsPhase 3: WAN/Internet IPv6 (Gate 3)
Für Internet-IPv6 müssen Provider-Handover, Default-Handling und Security klar sein. Planen Sie Path-Qualitätsmessung und Failover (bei Dual-ISP) gleich mit.
- Provider-Handover: Prefix, Gateway, VLAN/Tagging, MTU
- Default-Route IPv6: Primary/Backup, Tracking (wenn nötig)
- Security: Ingress-Filter, Management-Exposition, Logging
- Monitoring: RTT/Loss Targets für IPv6 (separat)
CLI: IPv6 Default und Reachability-Checks
show ipv6 route ::/0
ping ipv6 2001:4860:4860::8888
traceroute ipv6 2001:4860:4860::8888Phase 4: VPN und Remote Access mit IPv6 (Gate 4)
IPv6 in VPN/Remote Access ist oft der komplexeste Schritt, weil Segmentierung, Policies und Traffic-Nachweis end-to-end funktionieren müssen. Starten Sie mit Site-to-Site und erweitern Sie dann Remote Access.
- Site-to-Site: definierte IPv6-Selektoren/Policies, Traffic-Nachweis
- No-NAT Themen: IPv6 typischerweise ohne NAT, aber Policies müssen sitzen
- Remote Access: eigenes IPv6-Segment, Least Privilege, Logging
- UAT: Zugriff nur auf erlaubte Segmente, keine MGMT-Exposition
CLI: VPN- und IPv6 Routing-Checks (Auszug)
show ipv6 route
show crypto ikev2 sa
show crypto ipsec saPhase 5: Standardisierung und Continuous Improvement (Gate 5)
Nach dem Rollout muss IPv6 in Governance und Betrieb verankert werden: Templates, Standards, Runbooks, Alarmkatalog und KPI-Reporting. Sonst driftet IPv6 und wird zum „Sonderfall“.
- Templates: Dual-Stack Baseline, IPv6 ACLs, Standard-Gateway ::1
- Runbooks: IPv6 Checks (Neighbors, Routes, RA-Indikatoren)
- Monitoring: IPv6 RTT/Loss, Routing/VPN Events, NTP/Syslog
- KPIs: IPv6-Uptime, Degradation-Events, MTTR bei IPv6-Incidents
CLI: IPv6 Operability-Snapshot (Copy/Paste)
show ipv6 interface brief
show ipv6 neighbors
show ipv6 route
show ipv6 ospf neighbor
show ntp status
show logging | last 100Acceptance (ATP/UAT) für IPv6: Minimaltests pro Phase
Jede Phase braucht Pass/Fail-Tests. So wird IPv6 planbar und auditfähig, statt „nebenbei aktiviert“. Dokumentieren Sie Ergebnisse und Evidence.
- Phase 1: Management via IPv6 (SSH), Pilot-Client erreicht DNS/HTTPS
- Phase 2: IPv6-Routing stabil, erwartete Routen, keine unerwarteten Neighbors
- Phase 3: IPv6 Internet erreichbar, Default stabil, Security-Regeln wirken
- Phase 4: VPN/Remote Access IPv6 traffic-fähig, Segmentierung wirksam
- Phase 5: Monitoring/Alerting aktiv, Runbooks getestet
Evidence-Set (Copy/Paste)
show ipv6 interface brief
show ipv6 route
show ipv6 neighbors
show ipv6 ospf neighbor
show ipv6 access-list
ping ipv6 2001:4860:4860::8888
traceroute ipv6 2001:4860:4860::8888
show ntp status
show logging | last 50Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.