March 3, 2026

IPv6 Routing Expert Guide: RA, ND, Guarding & Troubleshooting

IPv6-Routing-Probleme entstehen im Enterprise selten durch „OSPFv3 kaputt“, sondern viel häufiger am Rand: Router Advertisements (RA), Neighbor Discovery (ND) und fehlende Guardrails. Wenn RA falsch gesetzt ist, bekommen Clients den falschen Default Router. Wenn ND gestört ist, brechen On-Link-Kommunikation, SLAAC und Gateway-Auflösung. Und wenn RA/ND ungeschützt sind, können Rogue RAs, ND-Floods oder falsche Neighbor-Caches ganze Segmente lahmlegen. Dieses Expert-Guide erklärt RA und ND praxisnah, zeigt typische Guarding-Mechanismen und liefert eine systematische Troubleshooting-Checkliste für Cisco-Umgebungen.

RA und ND: Warum IPv6 „am Edge“ entscheidet

IPv6 ersetzt ARP durch Neighbor Discovery (ICMPv6) und verteilt Default Router sowie Prefix-Infos über Router Advertisements. Dadurch ist L2/L3 enger gekoppelt als viele Admins erwarten: Ohne sauberes RA/ND funktioniert selbst perfektes Routing im Core nicht für Endgeräte.

  • RA: Default Gateway + Prefix-Informationen für SLAAC
  • ND: Neighbor Solicitation/Advertisement für L2-Next-Hop-Auflösung
  • ICMPv6 ist Pflicht: ohne ICMPv6 ist IPv6 instabil

Merker

IPv6 Edge Health RA korrekt + ND stabil + ICMPv6 erlaubt

Router Advertisements (RA): Inhalte und Flags verstehen

Ein RA enthält u. a. Router Lifetime (Default Router), Prefix Information Options (PIO) und Flags, die steuern, wie Clients Adressen und DNS beziehen. Für Betrieb sind die M- und O-Flags entscheidend.

  • M-Flag (Managed): DHCPv6 liefert Adresse (stateful)
  • O-Flag (Other): DHCPv6 liefert „andere Infos“ (z. B. DNS)
  • PIO A-Flag: Prefix ist für SLAAC nutzbar
  • PIO L-Flag: Prefix ist On-Link (Neighbor muss nicht geroutet werden)

RA-Modell (vereinfacht)

Client Config = SLAAC(A) + DHCPv6(M/O) + Default Router(Lifetime)

Typische RA-Designs in Enterprise-Netzen

Du solltest einen konsistenten Modus pro Segment wählen. Mischbetrieb ist möglich, aber fehleranfälliger. Entscheide bewusst, ob du SLAAC, DHCPv6 oder beides kombinierst.

  • SLAAC + RDNSS (wenn unterstützt): wenig State, schnell
  • SLAAC + DHCPv6 (O-Flag): Adresse via SLAAC, DNS via DHCPv6
  • Stateful DHCPv6 (M-Flag): zentrale Adressvergabe, mehr State

Neighbor Discovery (ND): ARP-Ersatz mit mehr Verantwortung

ND ist nicht nur „ARP für IPv6“. Es nutzt ICMPv6, beinhaltet Duplicate Address Detection (DAD) und pflegt Neighbor Caches. Wenn ND instabil ist, ist die gesamte IPv6-Kommunikation instabil.

  • NS/NA: Auflösung von IPv6→MAC (Next-Hop)
  • DAD: Prüft Adresskollisionen beim Address Assignment
  • Neighbor Cache: dynamische Einträge mit States (REACHABLE/STALE/DELAY)

Guarding: Warum RA/ND-Schutz Pflicht ist

IPv6 ist ohne Guardrails anfällig für Layer-2-nahe Angriffe und Fehlkonfigurationen: Rogue Router Advertisements, ND-Floods und „Fake Gateways“ sind realistische Ausfallursachen. Der Schutz sitzt typischerweise auf Switch-Layer (RA Guard, DHCPv6 Guard, ND Inspection) und ergänzt sich mit Router- und Host-Firewalls.

  • RA Guard: blockt unerlaubte Router Advertisements
  • DHCPv6 Guard: erlaubt nur legitime DHCPv6-Server/Relays
  • ND Inspection/Binding: verhindert bestimmte Spoofing-Varianten
  • Control-Plane Schutz (CoPP): schützt Router vor ICMPv6-Floods

ICMPv6 Allow-List: Was du nicht blockieren darfst

Ein häufiger Betriebsfehler ist „ICMPv6 wird geblockt wie ICMPv4“. Das führt zu kaputtem PMTUD, ND-Problemen und instabilen Sessions. Stattdessen definierst du eine Allow-List der notwendigen ICMPv6-Typen (mindestens lokal und auf kritischen Interfaces).

  • Neighbor Solicitation/Advertisement (ND)
  • Router Solicitation/Advertisement (RA)
  • Packet Too Big (PMTUD)
  • Time Exceeded / Destination Unreachable (Diagnose)

Router-Konfiguration: RA bewusst steuern (Cisco Pattern)

Auf Cisco-Interfaces steuerst du RA indirekt über IPv6 Interface-Konfiguration und ggf. ND-Parameter. Wichtig ist: Prefix, Lifetime und Flags müssen zum gewünschten Betriebsmodell passen.

IPv6 Interface + RA Default (Pattern)

ipv6 unicast-routing

interface GigabitEthernet0/1

description USER-LAN

ipv6 address 2001:db8:10:10::1/64

no shutdown

DHCPv6 „Other Config“ (O-Flag) (Pattern)

ipv6 dhcp pool LAN-V6
 dns-server 2001:db8:53::53
 domain-name example.local

interface GigabitEthernet0/1

ipv6 nd other-config-flag

ipv6 dhcp server LAN-V6

ND Troubleshooting: Der Neighbor Cache ist dein erster Blick

Bei IPv6-Problemen auf einem Segment prüfst du zuerst den Neighbor Cache: Gibt es den Neighbor? In welchem State? Passt die MAC? Viele Probleme zeigen sich hier sofort (z. B. Rogue Neighbor, flapping MAC, falsche VLANs).

Neighbor Cache prüfen

show ipv6 neighbors
show ipv6 neighbors interface gigabitEthernet0/1

ND Counter/ICMPv6 Traffic

show ipv6 traffic
show interfaces gigabitEthernet0/1 | include drops|error

RA Troubleshooting: Default Router und Prefix-Infos prüfen

Wenn Clients „kein IPv6 Internet“ haben, ist der häufigste Grund ein falscher Default Router (Rogue RA) oder ein fehlender Router Lifetime. Du prüfst daher, ob dein Router überhaupt RA sendet und ob du unerwartete RAs im Segment hast.

RA-Indizien auf dem Router

show ipv6 interface gigabitEthernet0/1
show ipv6 traffic | include Router

Rogue RA erkennen und eingrenzen

Rogue RAs äußern sich typischerweise als „Clients wählen falsches Gateway“. Der Router selbst wirkt dann „korrekt“, aber Clients haben einen anderen Default. In der Praxis korrelierst du das mit Switch-Port-Events und sperrst RA auf Access-Ports.

  • Symptom: wechselnde Default Router auf Clients
  • Symptom: IPv6 geht sporadisch, IPv4 stabil
  • Fix: RA Guard am Access, nur Uplink/Router-Port erlauben

PMTUD und „Packet Too Big“: Häufig übersehen

Wenn Webseiten nicht laden oder große Transfers brechen, ist PMTUD oft der Grund. IPv6 fragmentiert nicht im Netz, sondern am Sender. Der Sender braucht dafür ICMPv6 „Packet Too Big“. Wenn dieses ICMPv6 geblockt ist, entstehen Blackholes.

  • IPv6: Fragmentierung am Sender, nicht im Router
  • ICMPv6 Packet Too Big muss durchkommen
  • MTU-Mismatch zeigt sich als „selektive“ Störung

Routing-Troubleshooting: Von Edge nach Core

Wenn RA/ND ok sind, prüfst du Routing. Wichtig: in IPv6 ist Default Route plus korrekte Next-Hop-Reachability entscheidend. Prüfe zuerst das lokale Subnet, dann Default, dann IGP/BGP.

Routing Checks

show ipv6 route
show ipv6 route ::/0
show ipv6 cef <dst-v6> detail
ping ipv6 <upstream-v6> source <lan-v6-interface>

Guardrails auf Router-Seite: Control Plane und ND-Rate kontrollieren

Auch wenn RA Guard auf Switches sitzt, musst du Router schützen: ND-Floods und ICMPv6-Floods können CPU und Control Plane belasten. CoPP und sinnvolle ICMPv6-Policer sind in kritischen Umgebungen Pflicht.

  • CoPP für ICMPv6/ND/RA dimensionieren
  • Logging begrenzen (kein Log-Flood)
  • Monitoring: CPU, Drops, Neighbor Table Growth

Typische Fehlerbilder und schnelle Fixes

Diese Fehlerbilder treten im Betrieb häufig auf. Wenn du sie erkennst, sparst du sehr viel Zeit.

  • Clients haben Adresse, aber kein Default → RA fehlt/Rogue RA
  • Default ok, aber On-Link Hosts nicht erreichbar → ND/Neighbor Cache Problem
  • Kleine Pings ok, große Transfers fail → MTU/PMTUD/Packet Too Big
  • Nur manche Clients betroffen → RA Guard/DHCPv6 Guard falsch oder VLAN-Mismatch

Quick-Runbook: IPv6 Edge Fault Isolation in 10 Minuten

Diese Checkliste ist für produktive Incidents gedacht und vermeidet invasive Debugs.

show ipv6 interface gigabitEthernet0/1
show ipv6 neighbors interface gigabitEthernet0/1
show ipv6 traffic
show ipv6 route ::/0
show ipv6 cef <dst-v6> detail
show interfaces gigabitEthernet0/1 | include drops|error

Konfiguration speichern

Router# copy running-config startup-config

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

  • Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

  • Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

  • Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

  • Optional Security: Basic ACLs und SSH-Hardening

  • Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

  • Packet Tracer .pkt Datei

  • ✅ Saubere Konfigurations-Notizen pro Gerät

  • ✅ Verifikations-Checkliste + erwartete Outputs

  • ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.

Related Articles

Netzwerkarchitektur-Checkliste mit Cisco-Routern: Von Requirements zu Design

Standardisierung der Management-Plane-Sicherheit für Cisco-Router: Richtlinien und Umsetzung

Professionelle FAQ zu Cisco-Router-Konfigurationsservices: Scope, SLA und Security

AAA-Konfiguration auf Cisco-Routern mit TACACS+/RADIUS: Design und Betrieb

Leitfaden zur Erstellung von BoQ & Projektkalkulation für Cisco-Router (für IT-Manager)

Segmentierung des Admin-Zugriffs auf Cisco-Routern: Management-ACLs, VRF Mgmt und Jump Host

Cisco Router Professional Services: Delivery-Modelle für kritische Projekte

Zentrales Logging für Cisco-Router: Syslog-Architektur und Best Practices

Cisco Router Implementation Playbook: Projektstandard für konsistente Ergebnisse in Production

Cisco Router Network Time (NTP) für Audits: Warum Pflicht und wie implementieren

Backup-Strategie für Cisco-Router: Frequenz, Verschlüsselung und Retention

Cisco-Router-Change-Automation: Von Templates bis Validierung (praktisches Konzept)