March 5, 2026

BGP Inbound Control: Was steuerbar ist – und was nicht (realistisch)

Die Kontrolle des eingehenden BGP-Verkehrs (Inbound Control) ist eine essentielle Technik im Netzwerkdesign, um den Fluss von Routing-Informationen zu steuern und Netzwerke effizienter und sicherer zu machen. BGP bietet zahlreiche Mechanismen, um den eingehenden Traffic zu beeinflussen, jedoch gibt es auch Einschränkungen. In diesem Artikel werden wir die verschiedenen Methoden zur Steuerung des eingehenden BGP-Traffics untersuchen, was realistisch möglich ist und welche Limitationen es gibt.

Was ist BGP Inbound Control?

BGP Inbound Control bezieht sich auf die Steuerung der Routen, die ein Netzwerk von einem benachbarten BGP-Router empfängt. Diese Steuerung ermöglicht es Administratoren, genau zu definieren, welche Routen akzeptiert und weiterverarbeitet werden, was besonders in Netzwerken mit mehreren Verbindungen und ISPs von Bedeutung ist. Dabei geht es nicht nur um das Blockieren oder Zulassen von Routen, sondern auch um die Beeinflussung der Route-Attributwerte, wie Local Preference, AS-Path oder MED.

Methoden zur Steuerung des eingehenden BGP-Traffics

Es gibt mehrere Methoden, mit denen BGP-Inbound-Traffic gesteuert werden kann. Diese Mechanismen bieten verschiedene Ansätze, je nach den Anforderungen und der Netzwerkarchitektur.

1. Prefix-Listen (Prefix Lists)

Eine der einfachsten und gängigsten Methoden zur Steuerung des eingehenden BGP-Traffics sind Prefix-Listen. Mit Prefix-Listen können spezifische IP-Präfixe entweder erlaubt oder blockiert werden, bevor sie in die Routing-Tabelle aufgenommen werden. Diese Technik wird häufig verwendet, um sicherzustellen, dass nur autorisierte Routen von benachbarten Routern akzeptiert werden.

  • Beispiel: Eine Prefix-Liste könnte dazu verwendet werden, nur bestimmte IP-Präfixe von einem benachbarten ISP zu akzeptieren und alle anderen Routen zu verwerfen.
ip prefix-list ALLOWED_PREFIXES seq 5 permit 192.168.1.0/24
ip prefix-list ALLOWED_PREFIXES seq 10 deny 0.0.0.0/0 le 32
router bgp 65001
 neighbor 192.168.2.1 prefix-list ALLOWED_PREFIXES in

2. Route-Maps

Route-Maps bieten eine erweiterte Möglichkeit, Routen zu filtern und Attribute zu ändern. Mit Route-Maps können Administratoren nicht nur Routen basierend auf spezifischen Kriterien zulassen oder blockieren, sondern auch BGP-Attribute wie Local Preference, AS-Path oder MED ändern, um die bevorzugte Routenwahl zu beeinflussen.

  • Beispiel: Eine Route-Map kann verwendet werden, um Routen von einem bestimmten ISP zu bevorzugen, indem der Local Preference-Wert erhöht wird.
route-map PREFER_ISP_A permit 10
 match ip address prefix-list ALLOWED_PREFIXES
 set local-preference 200

router bgp 65001
 neighbor 192.168.2.1 route-map PREFER_ISP_A in

3. BGP Communities

BGP-Communities sind eine leistungsstarke Methode zur Steuerung des eingehenden BGP-Traffics, die es ermöglichen, Gruppen von Routen mit spezifischen Attributen zu kennzeichnen. Mit Communities können Administratoren den Traffic gezielt auf bestimmte Router oder Pfade lenken, ohne Routen individuell filtern zu müssen.

  • Beispiel: Eine Community kann dazu verwendet werden, Routen, die aus bestimmten geographischen Regionen stammen, unterschiedlich zu behandeln.
route-map SET_COMMUNITY permit 10
 set community 65001:100

router bgp 65001
 neighbor 192.168.2.1 route-map SET_COMMUNITY in

4. AS-Path Prepending

AS-Path Prepending ist eine Methode, bei der zusätzliche AS-Nummern zu den AS-Pfaden von Routen hinzugefügt werden, um die Präferenz für den Pfad zu verringern. Diese Methode wird verwendet, um den eingehenden Traffic über weniger bevorzugte Pfade zu leiten, indem das AS-Path-Attribut künstlich verlängert wird.

  • Beispiel: Wenn ein Router einen bestimmten Pfad bevorzugen möchte, kann er bei der Weiterleitung von Routen ein AS-Path Prepending anwenden, um andere Router davon abzuhalten, diesen Pfad zu bevorzugen.
route-map PREPEND_AS_PATH permit 10
 set as-path prepend 65001 65001

router bgp 65001
 neighbor 192.168.2.1 route-map PREPEND_AS_PATH out

Was lässt sich realistisch steuern?

Die Steuerung des eingehenden BGP-Verkehrs bietet Administratoren viele Möglichkeiten, aber es gibt auch Einschränkungen, die in der Praxis beachtet werden müssen. Nicht alle Aspekte des BGP-Verkehrs sind vollständig steuerbar.

1. Routenfilterung und -weiterleitung

Mit Prefix-Listen, Route-Maps und Communities lassen sich Routen effektiv filtern und weiterleiten. Diese Methoden bieten eine große Kontrolle über den eingehenden Traffic, indem sie nur autorisierte Routen in das Netzwerk aufnehmen und unerwünschte Routen blockieren. Allerdings gibt es immer noch einige Einschränkungen, wenn es darum geht, bestimmte Routen zu manipulieren, die über eBGP (External BGP) ankommen.

2. Steuerung von Routenattributen

BGP ermöglicht die Manipulation von Attributen wie Local Preference, MED und AS-Path. Diese Attributmanipulationen haben jedoch ihre Grenzen und hängen von der BGP-Implementierung des benachbarten Routers ab. So kann es vorkommen, dass benachbarte Router bestimmte Attribute ignorieren oder nicht so behandeln, wie es gewünscht ist.

3. Unzureichende Kontrolle über eingehende eBGP-Routen

Obwohl BGP Inbound Control eine präzise Steuerung des internen iBGP-Traffics ermöglicht, bleibt die Kontrolle über eingehende eBGP-Routen oft begrenzt. Während Methoden wie AS-Path Prepending und MED eingesetzt werden können, sind diese Techniken nicht immer effektiv, wenn der benachbarte Router sie nicht berücksichtigt oder die Routen anderweitig priorisiert.

4. Fehlende End-to-End-Kontrolle

Die Steuerung des eingehenden BGP-Verkehrs ist nicht immer perfekt, da sie häufig nur innerhalb des eigenen AS oder bis zu einem bestimmten Punkt im Netzwerk gilt. Einmal über das eigene AS hinausgegangen, können externe Routen nicht mehr beeinflusst werden, was in großen und komplexen Netzwerken zu unerwünschtem Verhalten führen kann.

Best Practices zur Steuerung des Inbound BGP-Traffics

Um den eingehenden BGP-Traffic effektiv zu steuern und dabei mögliche Probleme zu vermeiden, sollten die folgenden Best Practices beachtet werden:

  • Verwendung von Route-Maps und Prefix-Listen: Verwenden Sie für eine gezielte Steuerung des eingehenden BGP-Traffics immer Route-Maps und Prefix-Listen, um sicherzustellen, dass nur autorisierte Routen akzeptiert werden.
  • BGP-Communities einsetzen: BGP-Communities bieten eine flexible Möglichkeit, um Routen zu kennzeichnen und zu steuern, ohne jede Route manuell zu filtern.
  • Richtige Einsatzplanung von AS-Path Prepending: Nutzen Sie AS-Path Prepending, um die Routing-Entscheidungen in externen BGP-Verbindungen zu beeinflussen, aber seien Sie sich der begrenzten Kontrolle bewusst.
  • Regelmäßiges Monitoring: Überwachen Sie regelmäßig den BGP-Verkehr, um unerwünschte Routen oder fehlerhafte Konfigurationen frühzeitig zu erkennen.
  • Vermeidung von fehlerhaften BGP-Attributen: Stellen Sie sicher, dass BGP-Attribute korrekt gesetzt sind, um Routing-Schleifen oder ungewollte Blackholes zu vermeiden.

Durch die Implementierung dieser Best Practices und das Verständnis der Grenzen von BGP Inbound Control können Sie Ihr Netzwerk optimal steuern und verhindern, dass ungewollte Routen in die Routing-Tabelle aufgenommen werden.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

  • Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

  • Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

  • Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

  • Optional Security: Basic ACLs und SSH-Hardening

  • Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

  • Packet Tracer .pkt Datei

  • ✅ Saubere Konfigurations-Notizen pro Gerät

  • ✅ Verifikations-Checkliste + erwartete Outputs

  • ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.

Related Articles

Was ist ein VPN? IPsec Remote Access und Site-to-Site VPN einfach erklärt

ACL auf Cisco-Geräten verstehen: Grundlagen, Funktionen und Einsatzbereiche

Standard ACL vs. Extended ACL: Unterschiede und typische Anwendungsfälle

Port Security auf Cisco Switches: Unbefugten Zugriff im Layer 2 verhindern

DHCP Snooping einfach erklärt: Schutz vor gefälschten DHCP-Servern

Dynamic ARP Inspection verstehen: Schutz vor ARP-Spoofing im Netzwerk

AAA einfach erklärt: Authentication, Authorization und Accounting im Überblick

WLAN-Sicherheit verstehen: WPA, WPA2 und WPA3 im Vergleich

Grundlagen der Netzwerkautomatisierung: Warum Automation heute so wichtig ist

Traditionelles Netzwerk vs. Controller-Based Networking: Unterschiede und Vorteile

QoS-Grundlagen: Classification, Marking, Queuing, Policing und Shaping einfach erklärt

SDN einfach erklärt: Overlay, Underlay, Fabric, Control Plane und Data Plane