QoS in MPLS L3VPN scheitert in der Praxis selten an fehlenden Queues, sondern an inkonsistentem Marking: Ein CE setzt DSCP, der PE mappt falsch auf EXP/TC, der Core behandelt die Bits anders, und am Egress kommt „Best Effort“ an. Sauberes EXP/TC Mapping ist deshalb ein Designproblem: Du definierst wenige, klare Service-Klassen, legst fest, wo klassifiziert…
MPLS Blackholes sind besonders unangenehm, weil sie oft selektiv auftreten: Routing wirkt „gesund“, BGP/OSPF Nachbarn sind up, aber bestimmte Prefixes sind nicht erreichbar oder nur in eine Richtung. Der Grund liegt fast immer in einer Inkonsistenz zwischen Control Plane (RIB/BGP/LDP/SR) und Data Plane (CEF/FIB/LFIB). Ein klassischer Fall: Die IP-Route existiert, aber die Label-Imposition (Push) fehlt…
NAT64 und DNS64 sind Übergangstechniken, mit denen IPv6-only Clients IPv4-only Services erreichen können. NAT64 übernimmt die eigentliche Protokoll- und Adressübersetzung zwischen IPv6 und IPv4, während DNS64 dafür sorgt, dass IPv6-only Clients für IPv4-Hosts eine „synthetische“ AAAA-Antwort erhalten. In der Praxis ist das ein sehr bewährtes Muster für IPv6-only WLANs, neue Campus-Segmente oder Container/Cloud-Umgebungen, in denen…
NPTv6 (Network Prefix Translation) ist eine IPv6-spezifische Präfix-Translation, die nicht wie NAT44/NAT64 mit Ports arbeitet, sondern nur das IPv6-Präfix umschreibt. Damit bleibt die Interface Identifier (Host-Teil) erhalten, und es entsteht keine zustandsbehaftete Port-Translation. In der Praxis nutzt man NPTv6 vor allem für Provider-Wechsel, Multi-Homing oder „renumbering-freundliche“ Designs: Intern verwendest du ein stabiles ULA- oder Unternehmenspräfix,…
IPv6-Routing-Probleme entstehen im Enterprise selten durch „OSPFv3 kaputt“, sondern viel häufiger am Rand: Router Advertisements (RA), Neighbor Discovery (ND) und fehlende Guardrails. Wenn RA falsch gesetzt ist, bekommen Clients den falschen Default Router. Wenn ND gestört ist, brechen On-Link-Kommunikation, SLAAC und Gateway-Auflösung. Und wenn RA/ND ungeschützt sind, können Rogue RAs, ND-Floods oder falsche Neighbor-Caches ganze…
Dual-Stack ist in Enterprise-Netzen oft die stabilste Übergangsstrategie: IPv4 bleibt verfügbar, während IPv6 parallel produktiv genutzt wird. Die Realität im Betrieb ist jedoch: Dual-Stack verdoppelt nicht nur Adressen, sondern auch Fehlerpfade. Stabil wird es nur mit klaren Design-Patterns, die konsequent durchgezogen werden: einheitliche Default-Gateway-Logik, saubere RA/DHCPv6-Strategie, identische Routing-Topologie für v4/v6, konsistente Security-Policies und saubere Observability.…
CGNAT (Carrier-Grade NAT) ist NAT im großen Stil: Viele private IPv4-Clients teilen sich einen begrenzten Pool öffentlicher IPv4-Adressen. In der Praxis ist CGNAT weniger ein „NAT-Feature“ als ein Betriebsprodukt: Skalierung (Sessions/Ports), deterministische Port-Zuteilung, Logging/Compliance und ein Design, das unter Last stabil bleibt. Auf Cisco-Plattformen (typisch IOS XE mit leistungsfähiger Data Plane) sind die wichtigsten Erfolgsfaktoren:…
Advanced NAT Troubleshooting beginnt mit einer unbequemen Wahrheit: NAT ist zustandsbehaftet (State). Solange Hin- und Rückweg denselben NAT-State sehen, funktioniert es. Sobald Routing asymmetrisch wird oder State auf einem anderen Gerät liegt, entstehen „Geisterprobleme“: SYN geht raus, SYN-ACK kommt nie an; UDP funktioniert sporadisch; einzelne Apps brechen bei Failover. In Enterprise- und Provider-Designs ist Asymmetry…
Segment Routing mit MPLS (SR-MPLS) ist ein modernes Traffic-Engineering- und Transport-Konzept, bei dem der Ingress-Router den Pfad als Segment-Liste (Label-Stack) kodiert, statt im Netz per RSVP-TE pro Tunnel State aufzubauen. Auf IOS XE ist SR-MPLS in der Praxis vor allem drei Dinge: ein konsistenter SRGB (Segment Routing Global Block) für Label-Zuweisungen, saubere SIDs (Node/Prefix/Adjacency) im…
PMTUD (Path MTU Discovery) ist der Mechanismus, mit dem Endgeräte die maximale Paketgröße entlang eines Pfads ermitteln, ohne zu fragmentieren. Wenn PMTUD scheitert, bekommst du klassische „Blackhole“-Symptome: kleine Pakete gehen, große nicht; Webseiten laden teilweise; TLS-Handshakes hängen; VPN-Traffic wirkt instabil. Die Ursache ist fast immer eine Kombination aus MTU-Mismatch, blockierten ICMP-Meldungen (IPv4: Fragmentation Needed, IPv6:…
Got questions? Ideas? Fill out the form below & our specialist will contact you.