IPv4 Exhaustion: Topologische Optionen (CGNAT, IPv6, Dual Stack)

IPv4 Exhaustion ist im Provider- und Telco-Umfeld kein theoretisches Zukunftsthema mehr, sondern eine operative Realität: öffentliche IPv4-Adressen sind knapp, teuer und oft nur noch über Transfers verfügbar. Gleichzeitig erwarten Kunden und Services weiterhin „IPv4 funktioniert überall“. Für Netzarchitekten entsteht daraus eine topologische Kernfrage: Wie gestaltet man ein Netz so, dass IPv4-Funktionalität erhalten bleibt, Wachstum möglich ist und der Übergang zu IPv6 nicht in Routing-Chaos, Support-Aufwand oder Security-Risiken endet? In der Praxis gibt es drei Hauptoptionen, die selten exklusiv sind, sondern häufig kombiniert werden: CGNAT (Carrier-Grade NAT) als Kapazitäts- und Adresssparmaßnahme, IPv6 als langfristiger Zielzustand und Dual Stack als Übergangsstrategie, um beide Protokollwelten parallel zu betreiben. Entscheidend ist dabei weniger die einzelne Technologie als die Topologie: Wo platzieren Sie BNG/BRAS, CGNAT und Firewalls? Wie segmentieren Sie Retail/Wholesale/Enterprise? Wie stellen Sie Logging und Compliance sicher? Und wie verhindern Sie, dass NAT- und Dual-Stack-Übergänge neue Failure Domains oder Engpässe erzeugen? Dieser Artikel zeigt die wichtigsten topologischen Optionen bei IPv4 Exhaustion, die typischen Architekturpattern und die praktischen Trade-offs, damit Sie einen belastbaren Migrationspfad planen können – von kurzfristiger Entlastung bis zur nachhaltigen Modernisierung.

Was IPv4-Knappheit in der Netzplanung wirklich bedeutet

IPv4-Knappheit ist nicht nur „wir haben zu wenige Adressen“, sondern ein Problem, das sich durch mehrere Ebenen zieht: Adressierung, Servicearchitektur, Kapazität, Security und Betrieb. Wenn öffentliche IPv4-Adressen knapp werden, steigen die Kosten pro Kunde, und jede neue Region, jeder neue PoP oder jedes neue Produkt verschärft den Druck. Gleichzeitig verschiebt sich die Komplexität: NAT-State, Logging und Troubleshooting werden wichtiger als „einfach routen“.

• Adressdruck: Öffentliche IPv4-Pools reichen nicht mehr, Wachstum braucht Alternativen.
• State und Logging: CGNAT erzeugt Zustände (Sessions, Ports) und erfordert saubere Logpipelines.
• Servicequalität: Manche Anwendungen reagieren empfindlich auf NAT (z. B. Peer-to-Peer, VoIP, Games).
• Security: Shared IPv4 kann Abuse-Handling und Forensik erschweren, wenn Logging nicht robust ist.
• Operative Komplexität: Dual Stack verdoppelt nicht automatisch alles, aber erweitert Fehlerbilder.

Leitprinzip: Topologie entscheidet über OPEX

IPv4 Exhaustion ist beherrschbar, wenn die Topologie die Komplexität kapselt: klare Servicekanten, definierte Domains, Guardrails und Observability-by-Design.

Die drei Grundoptionen im Überblick: CGNAT, IPv6, Dual Stack

In der Praxis wählen Provider selten nur eine Option. Häufig ist es eine Sequenz: kurzfristig CGNAT zur Entlastung, mittelfristig Dual Stack für kontrollierten Übergang, langfristig IPv6-first (mit IPv4 as a Service). Wichtig ist, die Optionen nicht als Dogma zu betrachten, sondern als Bausteine, die je nach Kundensegment, Access-Technologie und Produktportfolio unterschiedlich gewichtet werden.

• CGNAT: Mehr Kunden teilen wenige öffentliche IPv4-Adressen; benötigt NAT-State, Logging, Kapazitätsplanung.
• IPv6: End-to-End-Routing ohne NAT-Zwang; erfordert IPv6-fähige CPEs, Systeme und Betriebsprozesse.
• Dual Stack: IPv4 und IPv6 parallel; verringert Risiko für Legacy-Anwendungen, erhöht aber Betriebsbreite.

Designregel: Nicht „entweder oder“, sondern „wann und wo“

Die zentrale Frage lautet: In welcher Topologieebene (Access, Aggregation, Core, Edge) setzen Sie welche Technik ein, und wie kapseln Sie deren Nebenwirkungen?

CGNAT als topologischer Baustein: Platzierung und Architekturpattern

CGNAT (Carrier-Grade NAT) wird häufig als „IPv4-Retter“ betrachtet, ist aber in Wirklichkeit eine eigene Servicekette. Topologisch müssen Sie entscheiden, wo der NAT-State liegt und wie Traffic durch diese Kette geführt wird. Die Platzierung beeinflusst Latenz, Ausfallszenarien, Skalierung und insbesondere Logging- und Lawful-Access-Anforderungen. Ein robustes Design trennt NAT-Funktionalität in klare Domains und vermeidet, dass der Core „stateful“ wird.

• Zentraler CGNAT-Pool: Wenige große Standorte, einfache Verwaltung, aber Risiko von Hairpinning und größeren Failure Domains.
• Regionaler CGNAT: NAT in mehreren Regionen/PoPs, bessere Latenz, weniger Backhaul, mehr Betriebskomplexität.
• BNG-nahe Platzierung: NAT nahe am Subscriber Edge, kurze Pfade, aber höhere Anforderungen an Edge-Kapazität.
• Service-Chaining: CGNAT kombiniert mit Firewalls, DDoS-Schutz oder DPI; erfordert Symmetrie und klare Steering-Regeln.

Anti-Pattern: CGNAT „irgendwo im Core“

Wenn NAT-State tief im Core landet, vergrößern Sie Blast Radius und erschweren Wartung. CGNAT gehört in eine definierte Service-Edge-Domain mit kontrollierten Pfaden.

CGNAT-Kapazität topologisch planen: State, Ports und Headroom

Die Kapazitätsplanung für CGNAT ist multidimensional: Bandbreite, PPS, Sessions (State) und Port-Allocation. Topologisch hängt das stark von der Kundendichte pro Region, dem Trafficprofil und den Peaks ab. Besonders wichtig ist Headroom im Failover: Wenn ein CGNAT-Cluster ausfällt, muss der verbleibende Cluster nicht nur Traffic, sondern auch Session-Churn verkraften.

• State/Session Budget: Wie viele gleichzeitige NAT-Sessions pro Subscriber und insgesamt?
• Port-Strategie: Port-Blocks pro Subscriber (port block allocation) reduzieren Logvolumen und vereinfachen Forensik.
• PPS/CPS: Neue Verbindungen pro Sekunde (CPS) sind oft limitierend, nicht nur bps.
• N-1 Planung: Failover darf keine Kapazitätsklippe erzeugen; sonst wird Ausfall zu Congestion.

Praktischer Grundsatz für Failover-Headroom

$\mathrm{Headroom}\ge \mathrm{Peak\_Load}+\mathrm{Failover\_Surge}$

Der Failover_Surge umfasst nicht nur mehr Traffic, sondern auch erhöhte Connection-Rate und Re-Establishment von Sessions.

Logging und Nachvollziehbarkeit: CGNAT ohne Betriebs- und Compliance-Regressions

Shared IPv4 bedeutet, dass viele Nutzer dieselbe öffentliche Adresse nutzen. Für Abuse-Handling, Incident Response und regulatorische Anforderungen ist deshalb Logging kritisch. Topologisch wirkt sich das auf Telemetry- und Logpfade aus: Wo werden Logs gesammelt? Wie werden sie transportiert (bandbreitenschonend, resilient)? Und wie stellen Sie sicher, dass Logging selbst keine Engpässe oder Security-Risiken erzeugt?

• Logpfad als eigene Domain: Dedizierte Logpipeline, getrennt von Kundentraffic, mit Backpressure und Buffering.
• Port-Block-Logging: Reduziert Logvolumen gegenüber per-flow Logging, wenn es zum Produktmodell passt.
• Time Sync: NTP/PTP-Strategie, damit Zeitstempel für Forensik konsistent sind.
• Auditability: Änderungen an Port-Policies, Pools und CGNAT-Placement müssen nachvollziehbar sein.

Designregel: Logging darf nie „best effort“ sein

Wenn Logging im Incident ausfällt oder inkonsistent ist, haben Sie ein Betriebs- und Compliance-Problem. Planen Sie Logging wie einen kritischen Service.

IPv6 als Zielzustand: Topologische Vorteile und häufige Hürden

IPv6 löst die Adressknappheit grundsätzlich, weil der Adressraum groß genug ist, um End-to-End-Routing zu ermöglichen. Topologisch ist das ein großer Vorteil: weniger State im Netz, weniger Abhängigkeit von zentralen NAT-Cluster-Pfaden, und klarere Servicepfade. Die Hürden sind meist praktisch: CPE-Fähigkeit, OSS/BSS-Systeme, Security Policies, Monitoring und Know-how.

• End-to-End: Weniger Zwang zu NAT-State; vereinfacht Pfade und reduziert bestimmte Fehlerbilder.
• Adressaggregation: Sauberes Prefix-Design passend zur Topologie (Region/PoP/Access) unterstützt Summarization und Betrieb.
• Security-Umstellung: Firewalling und Segmentierung müssen IPv6 gleichwertig abbilden (nicht „IPv6 ist offen“).
• Tooling: Telemetry, Flow-Visibility und Troubleshooting müssen IPv6-first funktionieren.

Anti-Pattern: IPv6 „nur anschalten“

IPv6 ist kein zusätzlicher Haken im Interface-Menü. Es erfordert ein konsistentes Policy- und Monitoringmodell, sonst entstehen stille Sicherheitslücken oder schwer erklärbare Teilstörungen.

Dual Stack als Übergang: Topologie, Betriebsimpact und typische Fehlerbilder

Dual Stack ist häufig die praktikabelste Übergangslösung, weil er Kompatibilität erhält: IPv4 bleibt verfügbar, IPv6 wird parallel eingeführt. Topologisch bedeutet das, dass Access, Aggregation, Core und Services beide Protokolle tragen. Der Trick ist, Dual Stack nicht als „doppelt so viel von allem“ zu betreiben, sondern als kontrollierten Übergang mit klaren Defaults: IPv6 bevorzugen, IPv4 über CGNAT oder knappe Pools als Service.

• Adressierung: IPv6-Prefixe sauber aggregiert, IPv4-Pool restriktiv und zentral gemanagt.
• Routing: IGP/BGP für IPv6 konsistent zum IPv4-Modell, aber mit eigenem Policy-Check (Leaks vermeiden).
• Security Policies: Gleichwertige Regeln in IPv4 und IPv6; keine „Policy Lücken“ durch Copy-Paste.
• Operational Drift: Dual Stack erhöht die Chance, dass Teams IPv4 fixen und IPv6 vergessen (oder umgekehrt).

Designregel: Dual Stack braucht symmetrische Betriebsstandards

Wenn Monitoring, Logging, ACLs oder QoS nur für IPv4 sauber sind, wird IPv6 zur Schattenwelt. Definieren Sie Standards, die beide Protokolle gleich behandeln.

Topologische Optionen im Access: FTTH/DSL/HFC und die Rolle des BNG/BRAS

Im Access entscheidet sich, wie Adressen an Endkunden verteilt werden und wo Session-State lebt. In vielen Telco-Designs ist der BNG/BRAS die zentrale Servicekante für Subscriber-Management. Dort werden Policies, QoS, AAA und oft auch IPv6 Prefix Delegation umgesetzt. Topologisch ist wichtig, ob IPv4 als öffentliche Adresse, als private Adresse hinter CGNAT oder als „best effort“ Service angeboten wird.

• Public IPv4 pro Kunde: Für Premium/Business-Produkte, aber teuer und begrenzt.
• Private IPv4 + CGNAT: Für Mass-Market, skaliert besser, erfordert robustes Logging/Abuse-Handling.
• IPv6 PD als Standard: Prefix Delegation pro Haushalt/Standort, passend zum CPE-Modell und zur Aggregationshierarchie.
• Dual Stack am BNG: Übergangsmodell, das IPv6 sofort nutzbar macht, während IPv4 kontrolliert bleibt.

Anti-Pattern: IPv6 ohne sauberes Prefix-Design

Wenn IPv6-Prefixe nicht topologisch aggregierbar sind, wird Routing unnötig groß und Betrieb teuer. Planen Sie Prefixe nach Region/PoP/Access, nicht nach Zufall.

Edge- und Interconnect-Topologie: Peering, Transit und IPv6-Routing-Hygiene

Auch wenn IPv6 intern eingeführt ist, entscheidet die Interconnect-Topologie darüber, wie „gut“ IPv6 im Alltag ist. Wenn IPv6 nur über wenige Transits läuft, kann Latenz steigen oder Resilienz sinken. Topologisch sollten IPv6-Peering-Policies mindestens so sauber sein wie IPv4: Max-Prefix, Default-deny, no-transit, und klare Communities. Gleichzeitig müssen DDoS- und Abuse-Mechanismen auch für IPv6 funktionieren.

• Symmetrisches Peering: IPv6-Peering dort anbieten, wo IPv4-Peering existiert, wenn wirtschaftlich sinnvoll.
• Guardrails: Max-Prefix, Leak-Prevention, Routenfilter und konsistente LocalPref-Strategien.
• DDoS-Fähigkeit: Scrubbing/RTBH/FlowSpec-Modelle müssen IPv6 abdecken, sonst entsteht eine Schutzlücke.
• Observability: Flow-Visibility und Path-KPIs getrennt für IPv4/IPv6, um Degradations zu erkennen.

Designregel: IPv6 ist ein gleichwertiger Internet-Service

Wenn IPv6 im Interconnect weniger redundant oder schlechter überwacht ist als IPv4, wird es nicht akzeptiert. Das ist kein Protokollproblem, sondern ein Topologie- und Betriebsproblem.

Wann CGNAT unvermeidlich ist und wie man es „sauber“ macht

Viele Provider kommen kurzfristig an CGNAT nicht vorbei, vor allem im Mass-Market. Entscheidend ist, CGNAT als Produkt- und Topologiebestandteil zu behandeln: klare Erwartungssteuerung (z. B. kein eingehendes Portforwarding), Premium-Optionen (public IPv4), und technische Hygiene (Logging, Security, Capacity). Außerdem sollte CGNAT ein Übergangsbeschleuniger sein, nicht die Ausrede, IPv6 zu verschieben.

• Produktsegmentierung: Public IPv4 als Option, CGNAT als Default, IPv6 als Standard.
• Topologische Kapselung: CGNAT als Service-Edge-Domain, nicht als Core-Funktion.
• Abuse-Handling: Prozesse und Tools für Shared IP, inklusive schneller Zuordnung via Logs.
• Migration Support: IPv6-Rollout parallel vorantreiben, um NAT-Last langfristig zu reduzieren.

Anti-Pattern: CGNAT als Endzustand

CGNAT kann funktionieren, aber es bleibt stateful und operativ teuer. Langfristig ist IPv6 der nachhaltigere Weg; CGNAT ist idealerweise eine Übergangsbrücke.

Migrationspfad in der Praxis: Von IPv4-lastig zu IPv6-first

Ein praktikabler Pfad ist stufenweise und topologisch begrenzt: zuerst IPv6 im Core/Interconnect stabilisieren, dann Access und CPE-Fähigkeit erhöhen, dann Dual Stack als Standard im Mass-Market, und schließlich IPv4 stärker als Service (über CGNAT oder knappe Pools) behandeln. Wichtig ist dabei, jede Stufe mit Messkriterien zu versehen und progressive Rollouts (Canary, Wellen) zu nutzen.

• Stufe 1: IPv6 im Backbone/Interconnect auf „Parity“ zu IPv4 bringen (Routing, Peering, DDoS, Monitoring).
• Stufe 2: IPv6 im Access standardisieren (Prefix Delegation, BNG Policies, CPE-Compatibility).
• Stufe 3: Dual Stack breit ausrollen, IPv6 bevorzugen, IPv4 über CGNAT/pools kontrollieren.
• Stufe 4: IPv6-first Services, IPv4 als Zusatzdienst; Reduktion von NAT-Last durch steigenden IPv6-Anteil.

Designregel: Fortschritt messen, nicht vermuten

Der Erfolg einer Migration zeigt sich in messbaren Anteilen: IPv6-Traffic-Anteil, Incident-Raten, SLOs, CGNAT-Session-Last und Supporttickets. Ohne Metriken bleibt der Übergang stehen.

Erfolgsmetriken und Betriebskennzahlen für IPv4 Exhaustion Strategien

• Adressmetriken: Öffentliche IPv4 pro Kunde/Serviceklasse, Pool-Auslastung, Wachstum pro Monat.
• CGNAT-KPIs: Sessions, CPS, Port-Exhaustion Events, Logging-Drop-Rate, Cluster-Headroom (N-1).
• IPv6-Adoption: Anteil IPv6-Traffic, Anteil IPv6-fähiger CPEs, IPv6-Peering-Abdeckung.
• SLOs: p95/p99 RTT und Loss getrennt für IPv4 und IPv6, besonders zu Referenzzielen/Content.
• Support/OPEX: Ticketvolumen zu NAT/Portforwarding/IPv6, MTTR, Change-Failure-Rate im Dual-Stack-Betrieb.

Typische Fallstricke und wie man sie topologisch vermeidet

• CGNAT zu zentral: Lösung: regionales Placement oder klare Steering-Strategien, um Hairpinning und DCI-Engpässe zu vermeiden.
• Logging unzureichend: Lösung: dedizierte Logpipeline, Port-Block-Strategien, Time Sync und Backpressure.
• IPv6 ohne Security-Parität: Lösung: gleichwertige ACLs/Firewalling, Monitoring und DDoS-Schutz für IPv6.
• Dual Stack Drift: Lösung: Standards, Templates, Intent Validation für Policies und Observability in beiden Stacks.
• MTU/Overhead-Probleme: Lösung: End-to-End MTU-Plan, PMTUD/MSS-Design, Tests in Failoverpfaden.
• Interop-Lücken im Edge: Lösung: IPv6-Peering und Routing-Guardrails konsistent ausrollen, nicht nur „Core kann IPv6“.

Praktische Leitlinien: Topologische Optionen bei IPv4 Exhaustion richtig kombinieren

• CGNAT als Domain designen: Platzierung (zentral/regional/BNG-nah) bewusst wählen, Servicekette und Symmetrie sicherstellen.
• IPv6 als Ziel priorisieren: Prefix-Design nach Topologie, Security- und Monitoring-Parität, Peering/Transit für IPv6 ausbauen.
• Dual Stack kontrolliert einführen: Standards, Templates und Guardrails; IPv6 bevorzugen, IPv4 kontrollieren.
• BNG/BRAS strategisch nutzen: Als zentrale Servicekante für PD, Policies, QoS und saubere Segmentierung (Retail/Wholesale/Enterprise).
• Capacity multidimensional planen: bps/pps/state/logging; N-1 Headroom für CGNAT und Interconnects sicherstellen.
• Observability-by-Design: Getrennte KPIs für IPv4/IPv6, Flow-Visibility, Queue-Drops an Engpässen, Service-KPIs.
• Progressive Rollouts: Canary, Wellen, Stop/Go Gates; Rollback als Teil des Plans, nicht als Hoffnung.
• Produktmodelle klar machen: CGNAT-Default für Mass-Market, public IPv4 als Option, IPv6 als Standard – reduziert Supportlast.
• Intent Validation einsetzen: Leaks/Max-Prefix, VRF-Isolation, Security-Policies und MTU vor Changes prüfen.