In Enterprise- und Service-Provider-Netzwerken ist BGP das zentrale Protokoll für die Steuerung des Routings über autonome Systeme hinweg. Die Fähigkeit, eingehende und ausgehende Routen gezielt zu steuern, hängt stark von einer konsistenten Policy-Implementierung ab. Dazu gehören Prefix-Lists, Route-Maps und Communities. In diesem Artikel werden praxisnahe Ansätze zur Definition und Umsetzung von BGP-Policies vorgestellt, die sowohl Stabilität als auch Flexibilität im Netzwerk gewährleisten.
Grundlagen von BGP-Policy-Mechanismen
BGP-Policies dienen dazu, Routen selektiv zu akzeptieren, zu modifizieren oder weiterzugeben. Die wichtigsten Mechanismen sind:
- Prefix-Lists: Filter auf Basis von IP-Präfixen
- Route-Maps: Flexibles Werkzeug für Bedingungen und Aktionen
- Communities: Markierungen für Routing-Entscheidungen über AS-Grenzen hinweg
Prefix-Lists
Prefix-Lists sind die erste Verteidigungslinie in BGP. Sie erlauben das gezielte Zulassen oder Verwerfen von IP-Präfixen anhand ihrer Länge und Adresse.
ip prefix-list PL-ACCEPT permit 10.0.0.0/8 le 24
ip prefix-list PL-REJECT deny 192.168.0.0/16
Beispiel: PL-ACCEPT erlaubt alle Subnets von 10.0.0.0/8 mit einer Subnetzmaske bis /24, PL-REJECT verweigert den gesamten 192.168.0.0/16 Bereich.
Route-Maps: Logik für Policy Enforcement
Route-Maps arbeiten auf Basis von Bedingungen (Match-Kriterien) und Aktionen (Set-Anweisungen). Sie bieten die Flexibilität, Präfix-Filter, Communities oder lokale Präferenzen dynamisch anzuwenden.
route-map RM-OUT permit 10
match ip address prefix-list PL-ACCEPT
set local-preference 200
route-map RM-OUT deny 20
match ip address prefix-list PL-REJECT
In diesem Beispiel wird Traffic, der in PL-ACCEPT enthalten ist, mit Local Preference 200 markiert, während Präfixe in PL-REJECT verworfen werden.
Typische Anwendungsfälle von Route-Maps
- Setzen von Local Preference für bevorzugte Ausgänge
- Filtern unerwünschter Routen
- Modifikation von MED (Multi-Exit Discriminator) für ISP-Optimierung
- Anwenden von AS-Prepends für gezieltes Traffic Engineering
BGP Communities
Communities sind Tags, die Routen markieren, um Entscheidungen in anderen Routern zu beeinflussen. Sie erlauben eine zentrale Policy-Steuerung über mehrere Router oder AS hinweg.
route-map RM-COM permit 10
match ip address prefix-list PL-ACCEPT
set community 65001:100 additive
Beispiel: Alle akzeptierten Präfixe erhalten die Community 65001:100, die bei Peers oder Upstream-Providern bestimmte Behandlungen auslösen kann, wie das Zurücksetzen der Präferenz oder das Vermeiden bestimmter Pfade.
Standard Communities und konventionelle Patterns
- No-Advertise: Route wird nicht weiter angekündigt
- No-Export: Route wird nicht an externe BGP-Partner weitergegeben
- Internet: Standard-Community für globale Bekanntgabe
- Eigene Enterprise-Communities zur Steuerung von Inbound- und Outbound-Policies
Praxisnahe Design Patterns
Für stabile und auditierbare BGP-Policies sollten folgende Grundprinzipien beachtet werden:
- Klare Trennung zwischen Inbound- und Outbound-Filterung
- Prefix-Lists als primäre Filterebene, Route-Maps für komplexe Policy-Logik
- Communities für skalierbare Markierungen über mehrere Router und AS hinweg
- Dokumentation aller Policies für Audit und Troubleshooting
Beispiel: Inbound-Policy mit Prefix-List und Community
ip prefix-list PL-IN permit 203.0.113.0/24
route-map RM-IN permit 10
match ip address prefix-list PL-IN
set community 65001:200 additive
router bgp 65001
neighbor 198.51.100.1 route-map RM-IN in
Diese Konfiguration erlaubt nur das Präfix 203.0.113.0/24 vom Nachbarn 198.51.100.1 und markiert es mit der Community 65001:200.
Operational Considerations
- Regelmäßige Überprüfung der angewendeten Prefix-Lists und Route-Maps
- Monitoring von BGP Updates, um unerwartete Routenänderungen zu erkennen
- Testen neuer Policies zuerst in Lab oder Wartungsfenster
- Beachtung der Reihenfolge in Route-Maps (Permit/Deny) und Prefix-Lists
Typische Fehlerquellen
- Fehlende Konsistenz zwischen Route-Maps und Prefix-Lists
- Unbeabsichtigtes Blocken legitimer Präfixe
- Übermäßige Verwendung von „permit any“ in Route-Maps
- Vergessen von „additive“ bei Community-Anwendungen, wodurch bestehende Communities überschrieben werden
Fazit
Prefix-Lists, Route-Maps und Communities bilden die Basis für ein strukturiertes, sicheres und skalierbares BGP-Policy-Management. Durch klare Trennung von Inbound- und Outbound-Logik, dokumentierte Standards und systematisches Testing lassen sich Fehlkonfigurationen vermeiden und gleichzeitig flexible Traffic-Steuerung realisieren. Diese Praxisansätze gewährleisten sowohl Betriebssicherheit als auch einfache Erweiterbarkeit für wachsende Netzwerkinfrastrukturen.
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.
