ICMPv6 und Neighbor Discovery Protocol

ICMPv6 ist in IPv6-Netzen kein optionaler Zusatz – es ist das Fundament. Ohne ICMPv6 funktioniert IPv6 schlicht nicht: keine Adressauflösung, keine Routererkennung, keine Autokonfiguration. Das Neighbor Discovery Protocol (NDP) baut vollständig auf ICMPv6 auf und ersetzt in IPv6 mehrere Protokolle, die in IPv4 getrennt existierten: ARP, ICMP Router Discovery und mehr.

1. ICMPv6 – mehr als nur Ping

ICMPv6 ist in RFC 4443 spezifiziert und deutlich umfangreicher als ICMPv4. Es übernimmt nicht nur die klassischen Diagnose-Aufgaben (Ping, Traceroute), sondern ist auch die Basis für NDP, Multicast Listener Discovery (MLD) und Path MTU Discovery.

Typ	Name	Funktion
1	Destination Unreachable	Ziel nicht erreichbar (verschiedene Codes)
2	Packet Too Big	Paket zu groß für MTU – PMTUD-Basis
3	Time Exceeded	Hop-Limit abgelaufen – Traceroute-Basis
4	Parameter Problem	Fehler im IPv6-Header
128	Echo Request	Ping senden
129	Echo Reply	Ping-Antwort
133	Router Solicitation (RS)	NDP: Client sucht Router
134	Router Advertisement (RA)	NDP: Router kündigt sich an
135	Neighbor Solicitation (NS)	NDP: Adressauflösung anfragen / DAD
136	Neighbor Advertisement (NA)	NDP: Antwort auf NS
137	Redirect	NDP: bessere Route mitteilen

Wichtig: ICMPv6 darf in IPv6-Netzen nicht vollständig geblockt werden – im Gegensatz zu ICMPv4. Ohne ICMPv6 funktioniert NDP nicht, ohne NDP keine Adressvergabe und kein Routing. Firewalls müssen gezielt einschränken, nicht pauschal sperren.

2. NDP – fünf Kernaufgaben

Das Neighbor Discovery Protocol (RFC 4861) löst mit fünf Nachrichtentypen (RS, RA, NS, NA, Redirect) mehrere Aufgaben, die in IPv4 von verschiedenen Protokollen erledigt wurden:

Aufgabe 1Router Discovery

Clients finden automatisch ihren Default-Gateway. Router senden periodisch RAs oder antworten auf RS.

Aufgabe 2Präfix-Discovery

Router teilen im RA mit, welche IPv6-Präfixe im Segment gültig sind – Basis für SLAAC.

Aufgabe 3Adressauflösung

Ersetzt ARP: Ein Host fragt per NS die MAC-Adresse zu einer IPv6-Adresse an. Antwort kommt per NA.

Aufgabe 4DAD

Duplicate Address Detection: Ein Host prüft vor der Aktivierung einer Adresse, ob sie bereits vergeben ist.

Aufgabe 5Redirect

Router teilt einem Host mit, dass ein anderer Router eine bessere Route kennt – direkte Weiterleitung.

3. Adressauflösung: NDP statt ARP

In IPv4 wird ARP (Address Resolution Protocol) genutzt, um zu einer IP-Adresse die MAC-Adresse zu finden: Ein Broadcast wird ins Netz geschickt, wer die IP hat, antwortet mit seiner MAC. IPv6 ersetzt diesen Broadcast-basierten Ansatz durch eine effizientere Multicast-Methode.

Der Trick dabei ist die Solicited-Node-Multicast-Adresse: Für jede Unicast-Adresse wird automatisch eine Multicast-Adresse berechnet – sie endet auf die letzten 24 Bit der Unicast-Adresse, beginnend mit ff02::1:ff. Damit wird nur ein kleiner Teil der Geräte im Segment adressiert, nicht alle.

Adressauflösung: Wer hat 2001:db8::a?

Host A → ff02::1:ff00:000a NS: Wer hat 2001:db8::a? (Solicited-Node Multicast)

Host B → Host A (Unicast) NA: Ich bin 2001:db8::a, MAC: 00:1a:2b:3c:4d:5e (Neighbor Advertisement)

→ Host A speichert Eintrag im Neighbor Cache (äquivalent zu ARP-Cache)

4. DAD – Duplicate Address Detection

Bevor ein Host eine neue IPv6-Adresse aktiviert (ob Link-Local oder Global), führt er DAD durch. Er sendet eine Neighbor Solicitation an die Solicited-Node-Multicast-Adresse der eigenen tentative Adresse:

DAD für neue Adresse 2001:db8::42

Host (tentative) → ff02::1:ff00:0042 NS: Ist 2001:db8::42 schon vergeben?

… warten … Keine Antwort → Adresse ist frei → aktivieren ✓

Alternativ: Ein anderer Host antwortet mit NA → Adresskonflikt → neue Adresse nötig

5. Router Solicitation und Router Advertisement

Wenn ein Gerät neu ans Netz kommt, wartet es nicht passiv auf das nächste periodische Router Advertisement (das kommt alle 200 s). Stattdessen sendet es eine Router Solicitation an ff02::2 (all routers), um sofort eine Antwort zu erhalten.

Der Router antwortet mit einem Router Advertisement, das alle relevanten Netzinformationen enthält: Präfix, Flags (M/O), Standard-Lebensdauer, MTU und optional DNS-Serveradressen (RDNSS-Option). Das Gerät hat damit alles, was es für eine vollständige SLAAC-Konfiguration braucht – ohne einen einzigen DHCP-Server.

6. Neighbor Cache – der Nachfolger des ARP-Cache

Wie IPv4 einen ARP-Cache pflegt, pflegt IPv6 einen Neighbor Cache. Er enthält Zuordnungen von IPv6-Adressen zu MAC-Adressen und den Status der Einträge (REACHABLE, STALE, DELAY, PROBE, INCOMPLETE). NDP erneuert veraltete Einträge durch Unicast Neighbor Solicitations, bevor es sie verwirft.

IPv4 vs. IPv6 Protokollvergleich: ARP wird durch NDP (NS/NA) ersetzt. ICMP Router Discovery wird durch NDP (RS/RA) ersetzt. IGMP für Multicast-Gruppen wird durch MLD (Multicast Listener Discovery) ersetzt.

💡 Querverweise: Wie SLAAC und DHCPv6 auf NDP aufbauen, zeigt IPv6-Autokonfiguration. ICMPv4 und klassisches Ping werden in ICMP: Ping und Fehlermeldungen erklärt.