Subnetting-Fehlerdiagnose: Wenn Routen “verschwinden” oder blackholen

Die Subnetting-Fehlerdiagnose gehört im Telco- und Provider-Betrieb zu den wichtigsten Skills, weil ein scheinbar kleiner Adressierungsfehler ganze Services „verschwinden“ lassen kann. Typische Symptome wirken auf den ersten Blick wie Routing- oder Hardwareprobleme: Routen tauchen nicht in der Tabelle auf, Prefixe werden nicht mehr announced, Traffic endet im Blackhole, oder nur bestimmte Ziele sind nicht erreichbar, während andere funktionieren. In der Praxis steckt sehr häufig eine Subnetting-Ursache dahinter: falsche Präfixlängen, überschneidende Netze, fehlerhafte Summarisierung, inkonsistente Masken auf beiden Seiten eines Links oder ein unbewusst gesetztes Null-Route-Summary. Gerade in Provider-Netzen multiplizieren sich solche Fehler, weil Adressierung direkt mit Policies verknüpft ist: IGP-Filter, BGP-Import/Export, VRF-Leaks, Aggregation-Design, FIB-Programmierung und Security-Regeln basieren auf Prefixen. Wenn ein Prefix nicht so aussieht, wie die Policy es erwartet, wird es stillschweigend verworfen – und aus Sicht des NOC „verschwindet“ es. Dieser Artikel zeigt eine praxistaugliche Vorgehensweise, um Subnetting-Fehler systematisch zu finden: von den häufigsten Ursachen über Checklisten und Denkmodelle (Longest Prefix Match, Summaries, Route-Leaks) bis zu konkreten Diagnosepfaden, wenn Routen nicht installiert werden oder Traffic blackholed. Ziel ist ein Troubleshooting-Workflow, der auch unter Incident-Druck zuverlässig funktioniert.

Was bedeutet „Route verschwindet“ vs. „Traffic blackholed“?

Bevor Sie analysieren, sollten Sie das Symptom präzisieren. Im Betrieb werden beide Fälle oft gleich beschrieben („Route weg“), haben aber unterschiedliche Ursachen.

• Route verschwindet: Der Prefix ist nicht (mehr) in der RIB/FIB des Routers vorhanden oder wird nicht mehr weitergegeben (IGP/BGP). Typisch: Policy filtert, Summarisierung ersetzt, Ursprung nicht aktiv, Next-Hop unerreichbar.
• Traffic blackholed: Die Route existiert (oft sogar korrekt), aber Pakete erreichen das Ziel nicht. Typisch: falscher Next-Hop, Null-Route/Summary, asymmetrischer Rückweg, ARP/ND-Probleme, MTU/Fragmentation, ACL/Firewall.

Die beste Diagnose beginnt daher immer mit der Frage: Ist die Route im Routing (Control Plane) vorhanden? Und ist sie im Forwarding (Data Plane) wirksam?

Das wichtigste Denkmodell: Longest Prefix Match und „wer gewinnt?“

Im IP-Routing gilt das Longest Prefix Match: Von mehreren passenden Routen wird die Route mit der längsten Präfixlänge gewählt (also die spezifischste). Dieses Prinzip ist die häufigste Ursache für „plötzliche“ Blackholes nach Subnetting-Änderungen, Summarisierungen oder neuen Leaks.

• Beispiel: Existieren 10.10.0.0/16 und zusätzlich 10.10.20.0/24, gewinnt für Ziele in 10.10.20.0/24 immer das /24.
• Konsequenz: Eine neu eingeführte spezifischere Route kann bestehenden Traffic umleiten – auch wenn das Summary weiterhin korrekt aussieht.
• Fehlerbild: Nach „kleiner“ Änderung erreichen manche Ziele das Ziel nicht mehr, andere schon – oft exakt entlang einer neuen Präfixgrenze.

Häufigste Subnetting-Ursachen, wenn Routen „verschwinden“

Viele „verschwundene“ Routen sind nicht weg, sondern werden nicht installiert oder nicht propagiert. In Provider-Netzen passiert das besonders oft durch Policies und Aggregation.

• Falsche Präfixlänge in Policy: Filter erlauben z. B. nur /24, aber Sie announcen /25 oder /23.
• Summarisierung ersetzt Details: Summary wird announced, Details werden unterdrückt oder nicht mehr benötigt – oder umgekehrt.
• Überlappende Prefixe: Ein neues Subnetz überschneidet ein bestehendes; Geräte reagieren je nach Plattform unterschiedlich (Warnung, Reject, stilles Verhalten).
• Falsche Maske auf Interface/SVI: Ein Gerät glaubt, ein Netz sei /24, das andere /25 – Neighboring/ARP wird inkonsistent.
• Origin nicht aktiv: Route wird nur announced, wenn Interface/Loopback up ist oder wenn ein „network“-Statement exakt passt.
• VRF-Kontext falsch: Prefix liegt in VRF A, wird aber in VRF B erwartet; im globalen Table sieht alles „leer“ aus.

Häufigste Subnetting-Ursachen für Blackholing

Blackholes sind besonders gefährlich, weil „Routing sieht gut aus“, aber Pakete verschwinden. Subnetting spielt hier häufig über Summaries, Null-Routes und Next-Hop-Fehler hinein.

• Summary mit Null-Route: Ein /16 wird summarisiert und zusätzlich als Null-Route gesetzt; spezifische /24 fehlen oder sind nicht überall vorhanden → Traffic fällt in die Null-Route.
• Falscher Next-Hop für spezifische Route: Route existiert, zeigt aber auf einen Next-Hop, der das Zielnetz nicht hat.
• Asymmetrischer Rückweg durch neue Präfixe: Hinweg nutzt /24, Rückweg nutzt nur /16 oder eine andere Route → stateful Firewalls/NAT brechen.
• ARP/ND Instabilität wegen falscher Masken: Hosts glauben „on-link“, senden ARP, aber das Gateway routet – oder umgekehrt.
• MTU/Fragmentation (indirekt): nach Subnetting/Encapsulation ändern sich Pfade; PMTUD ist gebrochen; große Pakete blackholen „gefühlt wie Routing“.

Ein strukturierter Troubleshooting-Workflow in 10 Minuten

Diese Reihenfolge ist praxistauglich, weil sie schnell zwischen Control Plane und Data Plane trennt und Subnetting-Fehler sichtbar macht.

• 1) Ziel exakt definieren: betroffene IP, erwartetes Prefix, erwartete VRF, betroffene Standorte/PoPs.
• 2) Longest Prefix Match prüfen: gibt es ein neues, spezifischeres Prefix, das den Traffic umleitet?
• 3) Route in RIB prüfen: existiert der Prefix im richtigen Routing-Kontext (VRF) und mit erwarteter Präfixlänge?
• 4) Route in FIB prüfen: ist sie tatsächlich im Forwarding aktiv, oder nur „im Control Plane“?
• 5) Next-Hop prüfen: ist der Next-Hop erreichbar und korrekt (Adjacency/ARP/ND)?
• 6) Summary/Null-Route prüfen: existiert ein Summary, das Ziele abdeckt, aber nicht vollständig geroutet ist?
• 7) Policy/Filter prüfen: Import/Export-Limits, Prefix-Listen, Max-Prefix, Route-Maps – insbesondere auf Präfixlänge.
• 8) Rückweg prüfen: ist Return Path symmetrisch? Gibt es Leaks oder Summaries, die Rückwege verändern?
• 9) ARP/ND-/Maskenprüfung: stimmen Netzmasken an beiden Enden? Gibt es Duplicate IPs oder Flapping?
• 10) MTU/ACL als Ausschluss: wenn Routing korrekt ist, prüfen Sie Drops, ACLs, Fragmentation/PMTUD.

Subnetting-Fallen bei BGP: „Network“-Statement, Aggregates und Präfixfilter

Viele „verschwundene“ Routen in BGP sind Subnetting-Probleme, weil BGP sehr strikt ist: Ein Prefix wird nur announced, wenn er exakt „passt“ – je nach Plattform entweder exakt im Routing Table existiert oder durch eine Policy erzeugt wird.

• Exakte Prefix-Matches: Wenn Sie 192.0.2.0/24 announcen wollen, muss genau dieses /24 im RIB vorhanden sein (oder eine Policy muss es erzeugen). Ein vorhandenes 192.0.2.0/23 reicht nicht.
• Aggregate-Adressierung: Aggregates können spezifische Routen unterdrücken oder ersetzen – je nach Konfiguration. Das kann gewollt sein, erzeugt aber Blackholes, wenn Details fehlen.
• Prefix-Filter nach Länge: Viele Provider akzeptieren z. B. IPv4 nur zwischen /8 und /24. Announcen Sie /25, verschwindet es bei Peers.
• Max-Prefix Limits: Wenn zu viele Prefixe kommen, wird die Session gedrosselt oder zurückgesetzt; danach fehlen „plötzlich“ Routen. Subnetting, das zu viele spezifische Prefixe erzeugt, kann das triggern.

Subnetting-Fallen bei IGP: Summaries, Areas/Levels und Redistribution

In IGPs (OSPF/IS-IS) sind Subnetting-Probleme oft indirekt: nicht die Route selbst ist falsch, sondern die Verteilung, Summarisierung oder die Inter-Area/Inter-Level-Logik.

• OSPF Area Summaries: Summaries an ABRs können Details verdecken. Wenn das Summary existiert, aber nicht alle Teilnetze erreichbar sind, blackholt Traffic innerhalb der Area-Struktur.
• IS-IS Levels: Level-1/Level-2-Übergänge können Summaries und Reachability beeinflussen.
• Redistribution: falsch gesetzte Präfixlisten bei Redistribution (z. B. nur /24 erlaubt) lassen Netze verschwinden.
• Passive Interfaces/Advertisement: ein Interface wird nicht advertised; das Subnetz existiert lokal, aber niemand kennt es.

Der Klassiker: Überlappende Netze und inkonsistente Masken

Subnetting-Fehler sind besonders gemein, wenn zwei Netze überlappen oder wenn Masken nicht übereinstimmen. Das führt selten zu einem klaren Fehler, sondern zu „wackeliger“ Erreichbarkeit.

• Überlappung: Ein neues 10.10.10.0/24 wird eingeführt, aber irgendwo existiert bereits 10.10.0.0/16 als „catch-all“ mit falschem Next-Hop.
• Masken-Mismatch: Seite A konfiguriert 192.0.2.0/24, Seite B 192.0.2.0/25. Hosts in der oberen Hälfte werden unterschiedlich behandelt.
• On-link Verwirrung: Hosts senden ARP statt zu routen, oder routen statt ARP zu senden. Ergebnis: Teilweise Erreichbarkeit, ARP-Timeouts, scheinbare Blackholes.

Null-Routes und Summaries: Sinnvoller Schutz, häufige Blackhole-Quelle

Viele Provider nutzen Null-Routes für Summaries bewusst: Sie verhindern, dass Traffic für „nicht existierende“ Teilnetze irgendwohin wandert. Das ist grundsätzlich richtig. Problematisch wird es, wenn die spezifischen Routen nicht überall vorhanden sind oder wenn ein Teilnetz gerade migriert wird.

• Gutes Pattern: Summary /16 plus spezifische /24s existieren überall dort, wo Traffic hin muss. Null-Route fängt nur „Lücken“ ab.
• Schlechtes Pattern: Summary /16 wird breit verteilt, aber spezifische /24s existieren nur in einem Teil des Netzes. Dann blackholt das /16 außerhalb dieses Teils.
• Migration-Risiko: Wenn Sie Teilnetze verschieben, muss die Verteilung der spezifischen Routen synchron mit der Null-Route-Logik bleiben.

VRF, Leaks und Subnetting: Wenn das Netz im falschen Kontext landet

Im Multi-Tenant-Telco ist „Route weg“ häufig „Route in der falschen VRF“. Subnetting verstärkt das, weil viele Policies VRF-spezifische Container erwarten und Overlaps bewusst zulassen.

• VRF-aware Prüfung: Existiert das Prefix in VRF-A, aber Sie testen aus VRF-B? Dann wirkt es „weg“.
• Leak-Listen nach Präfixlänge: Route-Leaks werden oft über Prefixlisten kontrolliert. Ein Wechsel von /24 auf /23 kann Leaks brechen.
• Default Leaks sind gefährlich: Wenn „alles 10/8“ geleakt wird, kann ein neues Subnetz plötzlich in fremden Kontexten auftauchen und dort zu Longest-Prefix-Effekten führen.

Diagnose von Blackholes: Rückweg und Stateful Geräte

Wenn Traffic blackholed, aber Routen vorhanden sind, prüfen Sie sehr früh den Rückweg. Besonders bei Firewalls, CGNAT und Load Balancern sind asymmetrische Pfade ein häufiger Effekt von Subnetting-Änderungen (neue Summaries, neue spezifische Prefixe).

• Symptom: Ping klappt manchmal, TCP bricht, Sessions flappen.
• Ursache: Hinweg nimmt Route A, Rückweg Route B (oft wegen unterschiedlicher Summaries oder fehlender spezifischer Prefixe).
• Fix-Ansatz: Routing-Policy so gestalten, dass Hin- und Rückweg durch denselben stateful Knoten laufen (oder stateful aus dem Pfad nehmen).

Praktische Prüfungen, die Subnetting-Fehler sichtbar machen

• Präfixgrenzen prüfen: Betroffene IPs in welchem Subnetz? Stimmen Netzwerkadresse und Broadcast/Range?
• Überlappungen suchen: Gibt es Container oder Leaks, die das neue Subnetz schneiden?
• Longest Prefix testweise nachvollziehen: Welche Route würde für das Ziel gewählt werden, wenn mehrere Prefixe passen?
• Nachbarprüfung (ARP/ND): Ist der Next-Hop in der gleichen L2-Domäne und stabil auflösbar?
• Control vs Data Plane trennen: Route im RIB vorhanden, aber nicht im FIB → Hardware/Policy/FIB-Limit möglich.

Prävention: Subnetting-Standards, die „Verschwinden“ verhindern

Viele Subnetting-Fehlerdiagnosen sind wiederkehrend. Telcos reduzieren sie deutlich durch Standards, die Policies und Automatisierung vereinfachen.

• Standardpräfixe: /32 und /128 für Loopbacks, /31 und /127 für P2P; klare Segmentgrößen für VLANs.
• Hierarchische Container: Region→PoP→Rolle, damit Summaries und Filter konsistent sind.
• Prefixlisten nach klaren Regeln: Filter nicht „zufällig“, sondern nach Container/Role; Präfixlängen bewusst festlegen.
• Versionierung und Preflight-Checks: Overlap-Checks, Präfixlängen-Checks, Leak-Checks vor dem Rollout.
• Quarantäne bei Recycling: verhindert, dass alte Summaries/Null-Routes neue Netze blackholen.

Checkliste: Wenn Routen verschwinden oder blackholen

• Symptom klassifizieren: Route weg (RIB/FIB) oder Traffic weg (Blackhole)?
• Prefix exakt bestimmen: richtige Netzadresse und Präfixlänge, richtige VRF.
• Longest Prefix Match prüfen: existiert ein spezifischeres Prefix, das Traffic umleitet?
• Policies prüfen: Import/Export/Redistribution nach Präfixlänge und Container; Max-Prefix/Route-Limits.
• Summaries und Null-Routes prüfen: decken Summaries Ziele ab, ohne dass Details überall vorhanden sind?
• Next-Hop und Adjacency prüfen: ARP/ND stabil, Next-Hop erreichbar, keine Masken-Mismatches.
• Rückweg prüfen: asymmetrische Pfade, besonders bei Firewalls/NAT/Load Balancern.
• MTU/ICMP ausschließen: wenn Routing korrekt, prüfen Sie MTU/PMTUD und Drops.
• Dokumentation/SoT gegen Realität: stimmt der geplante Adressplan mit der Live-Konfiguration überein?

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

• Professionelle Konfiguration von Routern und Switches

• Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

• Erstellung von Topologien und Simulationen in Cisco Packet Tracer

• Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

• Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

• Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

• Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

• Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.