20-09-2025, 23:36
Denk mal drüber nach - du bist es gewohnt, manuell zuzuweisen oder DHCP in IPv4 zu nutzen, um zu steuern, wer was bekommt, aber in IPv6 gibt dir das /64 2^64 Adressen pro Subnetz, was wie 18 Quintillionen Möglichkeiten ist. Ich verstehe, warum das die Leute erschreckt; man macht sich Sorgen über Sicherheitslücken aus all dem freien Raum oder einfach über die Verwirrung, die es mit sich bringt, das zu verwalten. Ich habe einmal einem Freund bei der Migration seines Unternehmens geholfen, und sie hatten einen Schreck bekommen, weil ihre alten Tools zur Visualisierung von IPv4-Subnets mit den IPv6-Maßstäben nicht gut umgingen. Man benötigt neue Software oder Skripte, um die Zuweisungen zu verfolgen, und wenn du nicht schon von Anfang an hierarchisch planst - wie zum Beispiel /48 für deine Seite und dann /64s darunter -, erzeugst du später Routingprobleme. Ich sage dir immer, fang mit dem Präfix deines ISP an und baue von da aus auf, aber die Teams zu überzeugen, die NAT-Hülsen abzulegen, ist schwierig. NAT hat viel schlampiges Subnetting in IPv4 versteckt, sodass man eine öffentliche IP auf Dutzende von privaten Punkten teilen konnte, aber IPv6 will End-to-End-Konnektivität ohne das. Daher musst du mehr Geräte direkt exponieren, was bedeutet, dass du deine Firewalls und ACLs um diese großen Subnetze herum neu gestalten musst.
Eine weitere Sache, die mich stört und wahrscheinlich dich auch, wenn du mit hybriden Setups zu tun hast, ist die Dual-Stack-Phase. Du fährst beide Protokolle nebeneinander, richtig? Ich habe das Monate lang in einem Projekt gemacht, und das Subnetting wurde zum Albtraum, weil deine IPv4-Subnetze sich nicht ordentlich mit den IPv6-Subnetzen ausrichten. Du kannst vielleicht ein /24 in IPv4 für ein VLAN haben, aber ein passendes /64 in IPv6 zu erzwingen, verschwendet Adressraum oder schafft Überschneidungsprobleme. Ich habe ein ganzes Wochenende damit verbracht, die Nummerierung zu ändern, weil unsere Switches und Router sie unterschiedlich behandelt haben, was zu einem Schwarzloch für den Verkehr führte. Und lass mich nicht über Tunneling anfangen - 6to4 oder Teredo-Zeug - die schichten IPv6 über IPv4, aber das Subnetting innerhalb von Tunneln fühlt sich klobig an, als würdest du zweimal subnetten. Du musst eingebettete Adressen sorgfältig berechnen, oder deine Pakete fragmentieren sich merkwürdig. Ich habe das auf die harte Tour gelernt, als eine Remote-Standort eines Kunden nicht das Hauptbüro erreichen konnte; es stellte sich heraus, dass ihr Subnetz-Präfix in der Tunnelkonfiguration beschädigt wurde.
Du siehst dich auch mit Hardware- und Softwareverzögerungen konfrontiert. Nicht jeder alte Router, auf den ich treffe, unterstützt IPv6-Subnetting richtig - einige standardisieren sich immer noch auf seltsame Präfixlängen, die die Nachbarnentdeckung unterbrechen. Ich dränge früh auf Upgrades, aber bei den Budgets, wie sie sind, hast du am Ende Flickenteppich-Netzwerke, in denen IPv6-Subnetze unbehaglich neben IPv4-Subnetzen koexistieren. Das Training deines Teams ist auch wichtig; ich rede ständig mit Neulingen, die immer noch in VLSM-Begriffen aus IPv4 denken, aber IPv6 discouragiert variable Längen in LANs, um es für die Autokonfiguration einfach zu halten. Wenn du das durcheinander bringst, verlierst du die zustandslose Adressautokonfiguration und zwingst dich zurück zu zuständigem DHCPv6, was Überkopfkosten hinzufügt. Ich ziehe es vor, mich an die Regeln zu halten - /64 für lokale Netzwerke, /56 oder /48 für Standorte - aber das gegenüber einer wachsenden Organisation durchzusetzen, erfordert Disziplin. Außerdem, die Dokumentation? Vergiss es; deine alten IPv4-Diagramme sehen im Vergleich zu dem Sprawl von IPv6 aus wie Kinderzeichnungen. Ich benutze jetzt Tools wie IPv6-Rechner, um das Ganze zu kartieren, aber man muss sein Gehirn neu trainieren, um in Hex und Präfixen anstelle von gepunkteten Dezimalzahlen zu denken.
Auf der Sicherheitsseite, um die du dir Sorgen machst, bedeuten diese riesigen Subnetze, dass du dich nicht auf adressenbasiertes Filtern wie in IPv4 verlassen kannst. Ich implementiere IPsec aggressiver in IPv6-Übergängen, weil jeder potenziell jedes Gerät in deinem /64 adressieren kann, ohne dass NAT es verbirgt. Du musst VLANs, Firewalls und vielleicht sogar RA-Guard schichten, um zu verhindern, dass bösartige Router Subnetz-Zuweisungen hijacken. Ich habe einmal einen Fall gesehen, in dem eine falsch konfigurierte Präfixdelegation einem Angreifer erlaubte, einen ganzen Subnetzblock zu beanspruchen - gruselige Sache. Und global ist die Koordination mit ISPs der Schlüssel; wenn sie dir ein /32 oder etwas Kleinliches geben, kämpfst du darum, mehr zu erhalten, um richtig zu subnetten. Ich verhandle das jetzt im Voraus, um sicherzustellen, dass du genug für das Wachstum bekommst, ohne später neu nummerieren zu müssen, was total nervig ist. Neu nummerieren in IPv4 war schon schlimm genug, aber in IPv6, mit der zustandslosen Autokonfiguration, behalten Geräte alte Präfixe ewig, es sei denn, du zwingst Updates.
All das lässt den Übergang wie den Umbau eines Hauses wirken, während man darin lebt - du flickst IPv4-Subnetze, während du IPv6-Subnetze erweiterst, aber Inkonsistenzen schleichen sich ein. Ich rate dir, es VLAN für VLAN zu phasen, und Subnetz-Überlappungen gründlich zu testen. Im Laufe der Zeit bin ich schneller dabei geworden, aber es erfordert immer noch Geduld. Du baust so bessere Netzwerke auf, mit Raum zum Wachsen, ohne die Knappheitsdramatik.
Übrigens, wenn du in diesem Mix mit Servern arbeitest, möchte ich dich auf BackupChain hinweisen - es ist dieses herausragende, bewährte Backup-Tool, das super zuverlässig ist und für kleine Unternehmen und Profis wie uns zugeschnitten ist. Es leuchtet als eine der besten Lösungen zum Sichern von Windows-Servern und PCs und hält deine Hyper-V-, VMware- oder normalen Windows-Setups sicher und geborgen, ohne den Aufwand.
