March 5, 2026

BGP Max-Prefix Protection: Route Leaks verhindern

Die BGP Max-Prefix Protection ist eine wichtige Sicherheitsmaßnahme in Border Gateway Protocol (BGP)-basierten Netzwerken, die dazu dient, Route Leaks zu verhindern. Route Leaks entstehen, wenn Routing-Informationen versehentlich oder absichtlich falsch weitergegeben werden und so zu Suboptimalität oder Instabilität im Netzwerk führen. Mit der Max-Prefix Protection können Administratoren sicherstellen, dass eine bestimmte Anzahl von Routen nicht überschritten wird, was hilft, ungewollte Routen und damit potenzielle Netzwerkausfälle zu vermeiden. In diesem Artikel werden wir die Max-Prefix Protection in BGP näher betrachten, erläutern, wie sie funktioniert, und zeigen, wie sie konfiguriert wird, um das Risiko von Route Leaks zu minimieren.

Was ist BGP Max-Prefix Protection?

BGP Max-Prefix Protection ist ein Mechanismus, der dafür sorgt, dass ein BGP-Router nur eine festgelegte Anzahl von Routen akzeptiert. Wenn diese Anzahl überschritten wird, unterbricht der Router den BGP-Peer und löst damit ein Warnsignal aus, um eine mögliche Fehlkonfiguration oder ein Route Leak zu verhindern. Dieser Schutzmechanismus verhindert, dass ein Router unnötig viele Routen aus einem benachbarten AS akzeptiert, was zu einer Überlastung des Routers und des gesamten Netzwerks führen könnte.

1. Funktionsweise von Max-Prefix Protection

Der Max-Prefix-Mechanismus funktioniert, indem er die Anzahl der Routen überwacht, die von einem bestimmten BGP-Nachbarn empfangen werden. Wird die festgelegte Grenze überschritten, wird die Verbindung zu diesem Nachbarn entweder vollständig heruntergefahren oder es wird nur ein Alarm ausgelöst. Die Max-Prefix Protection hilft dabei, ungewollte oder unerwünschte Routen zu identifizieren und zu verhindern, dass diese das Routing im Netzwerk beeinträchtigen.

  • Beispiel: Ein ISP könnte plötzlich eine große Anzahl von Routen über einen BGP-Peer senden, die nicht zu den legitimen Routen gehören. Der Max-Prefix-Schutz stellt sicher, dass der Router diese Routen nicht akzeptiert, um das Netzwerk vor einer möglichen Überlastung oder Instabilität zu schützen.

Wann sollte BGP Max-Prefix Protection eingesetzt werden?

Max-Prefix Protection ist besonders nützlich in Szenarien, in denen ein Unternehmen mehrere Verbindungen zu verschiedenen ISPs oder Partnern unterhält. Hier sind einige typische Anwendungsfälle:

1. Schutz vor Route Leaks

Route Leaks treten auf, wenn Routing-Informationen versehentlich oder absichtlich von einem benachbarten AS an ein anderes AS weitergegeben werden, was zu einer suboptimalen Routing-Entscheidung führt. Max-Prefix Protection kann verhindern, dass solche Routen akzeptiert werden und somit die Routing-Tabellen des Netzwerks unnötig aufgebläht werden.

  • Beispiel: Ein ISP könnte versehentlich Routen zu einem benachbarten ISP weiterleiten, die überflüssig oder ungültig sind. Max-Prefix Protection hilft dabei, diese Routen zu blockieren.

2. Vermeidung von BGP-Table-Bloat

Ein BGP-Table-Bloat tritt auf, wenn zu viele Routen in die Routing-Tabelle aufgenommen werden, was zu einer Überlastung der BGP-Prozesse führen kann. Die Max-Prefix Protection hilft, dies zu verhindern, indem sie nur eine bestimmte Anzahl von Routen akzeptiert und alle darüber hinausgehenden ablehnt oder eine Warnung ausgibt.

  • Beispiel: Wenn ein BGP-Peer eine unerwartet hohe Anzahl von Routen sendet, kann Max-Prefix verhindern, dass der Router diese Routen in seine Tabelle aufnimmt und somit die Systemleistung beeinträchtigt.

3. Sicherstellung der Netzwerkintegrität

Max-Prefix Protection sorgt dafür, dass das Netzwerk nur mit den erwarteten Routen kommuniziert. Dies trägt zur Sicherheit und Integrität des Netzwerks bei, indem es verhindert, dass Fehler oder fehlerhafte Konfigurationen zu ernsthaften Problemen führen.

Konfiguration von BGP Max-Prefix Protection

Die Konfiguration der Max-Prefix Protection erfolgt auf einem Cisco-Router durch die Angabe der maximalen Anzahl an akzeptierten Präfixen von einem bestimmten BGP-Nachbarn. Wird diese Anzahl überschritten, erfolgt entweder eine Benachrichtigung oder die Verbindung wird vollständig heruntergefahren, je nach den konfigurierten Einstellungen.

1. Konfiguration der Max-Prefix Protection

Um die Max-Prefix Protection auf einem Cisco-Router zu konfigurieren, verwenden Sie den Befehl „maximum-prefix“ im BGP-Konfigurationsmodus. Hier können Sie die Anzahl der maximal akzeptierten Routen und eine Option zur Alarmierung oder zum Herunterfahren der Verbindung festlegen.

router bgp 65001
 neighbor 192.168.1.1 maximum-prefix 1000 90 warning-only

In diesem Beispiel wird die Anzahl der maximal akzeptierten Routen auf 1000 gesetzt. Wenn 90 % dieser Routen erreicht sind, wird eine Warnung ausgegeben. Wenn mehr als 1000 Routen empfangen werden, wird die Verbindung entweder vollständig geschlossen oder eine weitere Aktion durchgeführt, je nach den weiteren Konfigurationen.

2. Erklärung der Konfigurationsparameter

Die Parameter im Befehl „maximum-prefix“ haben folgende Bedeutung:

  • 1000: Dies ist die maximale Anzahl von Routen, die vom Nachbarn akzeptiert werden. Wird diese Zahl überschritten, wird die Verbindung gemäß der nächsten Konfigurationsebene behandelt.
  • 90: Dies gibt den Schwellenwert an, bei dem eine Warnung ausgegeben wird. In diesem Fall wird bei 90 % der maximalen Routenanzahl (900 Routen) eine Benachrichtigung ausgelöst.
  • warning-only: Dieser Modus gibt nur eine Warnung aus, wenn der Schwellenwert überschritten wird. Eine andere Option ist „reload“, bei der die BGP-Verbindung automatisch heruntergefahren wird, wenn die Maximalgrenze erreicht wird.

3. Weitere Optionen für die Max-Prefix Protection

Zusätzlich zu „warning-only“ gibt es noch andere Optionen, die bei der Konfiguration der Max-Prefix Protection verwendet werden können:

  • reload: Wenn dieser Parameter verwendet wird, wird die BGP-Verbindung automatisch neu geladen, wenn die Anzahl der akzeptierten Präfixe die festgelegte Grenze überschreitet.
  • no-accept: Verhindert, dass neue Routen von einem Nachbarn akzeptiert werden, wenn die maximale Präfixanzahl überschritten wird.
router bgp 65001
 neighbor 192.168.1.1 maximum-prefix 1000 90 reload

Dieser Befehl sorgt dafür, dass die Verbindung zu 192.168.1.1 heruntergefahren wird, wenn mehr als 1000 Routen empfangen werden.

Überwachung der BGP Max-Prefix Protection

Nach der Konfiguration der Max-Prefix Protection ist es wichtig, den Status und die Warnungen zu überwachen, um sicherzustellen, dass der Schutzmechanismus ordnungsgemäß funktioniert und keine unerwünschten Routen ins Netzwerk gelangen.

1. BGP-Status überprüfen

Um zu überprüfen, wie viele Präfixe von einem BGP-Nachbarn empfangen wurden, kann der Befehl „show ip bgp neighbors“ verwendet werden. Dieser Befehl gibt detaillierte Informationen zu den BGP-Nachbarn und deren Präfixzahlen aus.

show ip bgp neighbors 192.168.1.1

Mit diesem Befehl können Sie sicherstellen, dass die Anzahl der Routen innerhalb der festgelegten Grenze bleibt oder ob der Max-Prefix-Schutz in Aktion tritt.

2. Alarmprotokolle überwachen

Wenn eine Max-Prefix-Warnung ausgelöst wird, sollten die Logs überwacht werden, um schnell auf Probleme reagieren zu können. Verwenden Sie den Befehl „show logging“, um die entsprechenden Warnmeldungen und Fehler zu überprüfen.

show logging

Mit diesem Befehl können Sie alle Warnungen und Alarme einsehen, die durch die Max-Prefix Protection ausgelöst wurden, und rechtzeitig Maßnahmen ergreifen.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

  • Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

  • Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

  • Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

  • Optional Security: Basic ACLs und SSH-Hardening

  • Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

  • Packet Tracer .pkt Datei

  • ✅ Saubere Konfigurations-Notizen pro Gerät

  • ✅ Verifikations-Checkliste + erwartete Outputs

  • ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.

Related Articles

Hardening für Dual-ISP-Edge: Failover-Risiken in Policies verhindern

Hardening für VPN IPsec: Crypto Baseline, DPD, Rekey und Stabilität

Hardening DMVPN: Control-Plane-Security, NHRP Hygiene und Segmentierung

Hardening für Remote-Access-VPN: User-Segmentierung, Split Tunnel und Logging

Hardening für Multi-Tenant/Partner Links: VRF & sichere Policy Boundaries

Hardening für Remote Branches: OOB-Herausforderungen und operative Guardrails

Case Study: Management Exposure am Edge-Router schließen (Before/After Evidence)

Case Study: Audit findet Route-Leak-Risiko am Cisco-Router (strukturierte Remediation)

Case Study: SNMPv3 + Syslog-SIEM-Migration für Auditability

Cisco Router Security Hardening Service: Scope, Deliverables und Enterprise-Timeline

Exposure Management: „Open Management Ports“ aus dem Internet auditieren

Cisco-Router-Forensik Basics: Evidenzen, die bei Incidents Pflicht sind