Dual-Stack ist in Enterprise-Netzen oft die stabilste Übergangsstrategie: IPv4 bleibt verfügbar, während IPv6 parallel produktiv genutzt wird. Die Realität im Betrieb ist jedoch: Dual-Stack verdoppelt nicht nur Adressen, sondern auch Fehlerpfade. Stabil wird es nur mit klaren Design-Patterns, die konsequent durchgezogen werden: einheitliche Default-Gateway-Logik, saubere RA/DHCPv6-Strategie, identische Routing-Topologie für v4/v6, konsistente Security-Policies und saubere Observability. Dieser Artikel zeigt Dual-Stack-Patterns, die sich in der Praxis bewährt haben – inklusive typischer Stolperfallen und konkreter Runbooks.
Grundprinzip: Dual-Stack ist zwei Netze, nicht „ein Netz mit mehr Adressen“
IPv4 und IPv6 teilen sich Links und Hardware, aber sie sind getrennte Control Planes, getrennte RIBs/FIBs und oft unterschiedliche Failure Modes (z. B. ICMPv6/PMTUD). Stabiler Betrieb bedeutet: beide Stacks werden gleich ernst genommen.
- Getrennte Routingtabellen (v4/v6)
- Getrennte Neighbor-Mechanismen (ARP vs. ND)
- Getrennte Security-Policies (ACLs/Firewall-Regeln)
Merker
Pattern 1: „Symmetric Underlay“ – gleiche Topologie für IPv4 und IPv6
Das stabilste Pattern ist, IPv6 exakt über dieselben Links, dieselben Routing-Domänen und dieselben Redundanzmechanismen zu fahren wie IPv4. Wenn IPv6 „anders“ geroutet wird, bekommst du asymmetrische Pfade und schwer reproduzierbare Incidents.
- IPv4 und IPv6 über dieselben Uplinks
- Gleiche IGP-Domänen (OSPF/IS-IS, v4/v6 getrennte AFs)
- Identische Failover-Mechanismen (ECMP, BFD, Tracking)
Verifikation
show ip route <dst-v4>
show ipv6 route <dst-v6>
traceroute <dst-v4>
traceroute ipv6 <dst-v6>Pattern 2: „Single Gateway per VLAN“ – klare Default-Router-Owner
Auf Access-Segmenten muss klar sein, wer Default Gateway ist. Für IPv6 ist das besonders wichtig, weil Router Advertisements Default Router verteilen. „Mehrere Router senden RAs“ ist eine der häufigsten Ursachen für instabile Clients.
- Pro VLAN/Subnet genau ein Gateway-Owner (oder kontrolliertes FHRP)
- RA Guard auf Access-Ports, nur Uplink/Router-Port erlaubt
- Keine „Testrouter“ im Client-VLAN
Pattern 3: SLAAC + DHCPv6 (Other) als pragmatische Standardkombination
In vielen Enterprise-Umgebungen ist SLAAC für Adressen plus DHCPv6 für DNS (O-Flag) am stabilsten: wenig State, schnell, und DNS-Policy bleibt zentral steuerbar. Stateful DHCPv6 ist möglich, aber operativ aufwändiger.
- SLAAC: Adresse automatisch (A-Flag)
- DHCPv6 O-Flag: DNS/Domain zentral
- RDNSS optional, aber nicht überall gleich gut unterstützt
IOS XE Pattern
ipv6 dhcp pool LAN-V6
dns-server 2001:db8:53::53
domain-name example.local
interface GigabitEthernet0/1
ipv6 address 2001:db8:10:10::1/64
ipv6 nd other-config-flag
ipv6 dhcp server LAN-V6
Pattern 4: „IPv6 first, IPv4 fallback“ – ohne Zwang
Viele Betriebsteams wollen kontrolliert „IPv6 hochfahren“, ohne IPv4 abzuschalten. Stabil ist das, wenn DNS und Policy IPv6 bevorzugen, aber IPv4 als Fallback verfügbar bleibt. Dabei ist wichtig: IPv6 muss genauso stabil sein wie IPv4, sonst erzeugst du „Happy Eyeballs“-Chaos und schwer messbare Latenzen.
- DNS AAAA vorhanden, aber nur für stabile Services
- Monitoring von v6-Connectivity separat
- Keine „halb fertigen“ IPv6-Deployments mit blockiertem ICMPv6
Pattern 5: NAT64/DNS64 als Option für IPv6-only Segmente (nicht für alles)
Wenn du echte IPv6-only Segmente betreiben willst, ist NAT64/DNS64 ein stabiles Pattern – aber getrennt von Dual-Stack. Dual-Stack bleibt für viele Legacy-Apps einfacher, NAT64 ist eher ein Zielbild für neue Segmente.
- IPv6-only WLAN/IoT: NAT64/DNS64 am Border
- Dual-Stack für Legacy-Serverlandschaften
- Klare Segmentierung: nicht mischen ohne Plan
Pattern 6: Security Symmetry – gleiche Zonen, gleiche Intention
Eine der größten IPv6-Fallen ist „IPv4 Firewall ist hart, IPv6 ist offen“. Stabiler Betrieb bedeutet: gleiche Zonenmodelle und gleiche Intentionen für v4 und v6. Dabei musst du ICMPv6 bewusst erlauben (ND/PMTUD), sonst wirkt IPv6 „kaputt“.
- IPv6 ACLs/ZBFW analog zu IPv4
- ICMPv6 Allow-List: ND, RA, Packet Too Big
- RA/DHCPv6 Guard auf Switches (Access)
Pattern 7: Observability – doppelte Metriken, aber vereinheitlichte Dashboards
Dual-Stack wird stabil, wenn du Incidents schnell zuordnen kannst: „v4 broken“ vs. „v6 broken“. Dafür brauchst du pro Stack eigene Checks, aber ein gemeinsames Dashboard: Latency, Loss, DNS, MTU, Default Route Health.
- Active Probing: v4 und v6 getrennt (Ping/HTTP)
- DNS Monitoring: AAAA/A-Verfügbarkeit und Antwortzeiten
- Router: CPU, Drops, ND/ARP Table Growth
On-Box Quick Checks
show ip route 0.0.0.0
show ipv6 route ::/0
show ipv6 neighbors
show ip arp
show interfaces | include drops|errorWas im Betrieb häufig schiefgeht (und warum)
Dual-Stack-Probleme sind meistens „menschlich“: unterschiedliche Policies, fehlende Defaults, blockiertes ICMPv6 oder inkonsistente DNS-Records. Diese Pitfalls solltest du als feste Pre-Deployment Checkliste führen.
- IPv6 Default Route fehlt oder RA Lifetime falsch
- ICMPv6 blockiert → PMTUD/ND bricht, „Webseiten laden nicht“
- IPv6 Security vergessen → unerwartete Exposition
- DNS AAAA zeigt auf instabile Pfade → Happy Eyeballs Flaps
- Asymmetrische v4/v6 Topologie → schwer reproduzierbare Tickets
Stabile Betriebsroutine: Pre-Checks vor Changes
Der stabilste Dual-Stack-Betrieb entsteht durch Routine: vor jedem Change prüfst du Default Routes, RA/ND Health und die wichtigsten Service-Targets (DNS, Proxy, DC, Internet). Das reduziert Überraschungen.
show ip route 0.0.0.0
show ipv6 route ::/0
show ipv6 interface <lan-if>
show ipv6 neighbors interface <lan-if>
ping <v4-target> repeat 5
ping ipv6 <v6-target> repeat 5
traceroute <v4-target>
traceroute ipv6 <v6-target>Incident Runbook: Dual-Stack Fault Isolation in 10 Minuten
Dieses Runbook trennt schnell v4/v6 Ursachen und fokussiert auf die häufigsten Bruchstellen: Default, DNS, ND/PMTUD, Pfad.
! 1) Default
show ip route 0.0.0.0
show ipv6 route ::/0
! 2) Edge Health
show ipv6 interface
show ipv6 neighbors interface
show ip arp
! 3) Path/MTU
ping repeat 5
ping ipv6 repeat 5
ping ipv6 size 1400 repeat 5
traceroute
traceroute ipv6
! 4) Drops
show interfaces | include drops|error
Konfiguration speichern
Router# copy running-config startup-configKonfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.
