Prefix-Lists sind ein zentrales Werkzeug in der Netzwerkadministration, um Routen gezielt zu filtern und Routing Advertisements zu kontrollieren. Eine gut durchdachte Prefix-List-Strategie schützt vor ungewollten Routen, Blackholes und unerwarteten Routing-Entscheidungen. Das Prinzip „Least Privilege“ sorgt dafür, dass nur die wirklich benötigten Routen erlaubt werden, während alles andere blockiert wird. In diesem Tutorial erläutern wir praxisnahe Designprinzipien, Einsatzmuster und konkrete CLI-Beispiele für Cisco-Router.
Grundlagen von Prefix-Lists
Funktionsweise und Einsatzgebiete
Prefix-Lists dienen dazu, IP-Präfixe auf Basis von Adresse und Subnetzmaske zu matchen. Typische Anwendungsfälle:
- Filtern von Routen beim Redistribute zwischen Routing-Protokollen (OSPF, EIGRP, BGP)
- Kontrolle von BGP Advertisements inbound und outbound
- Unterstützung von Route-Maps zur selektiven Attributsetzung
- Schutz vor unerwünschten Routen oder Route Leaks
Least Privilege Prinzip
Beim Least-Privilege-Ansatz werden nur exakt benötigte Präfixe erlaubt, während alle anderen blockiert werden:
- Minimiert ungewollte Routen im Routing-Tabelle
- Reduziert Risiko von Routing-Loops und Blackholes
- Erhöht Auditierbarkeit und Transparenz
Designprinzipien für Prefix-Lists
Segmentierung und Hierarchie
Prefix-Lists sollten modular aufgebaut sein und logisch getrennte Funktionsblöcke enthalten:
- Primary Networks: Alle aktiven Unternehmenspräfixe
- Backup/Failover Präfixe: Redundante Routen oder sekundäre WAN-Pfade
- External Peers: Präfixe von externen ISPs oder Partnernetzen
Beispielstruktur
ip prefix-list PL_PRIMARY seq 5 permit 10.0.0.0/24
ip prefix-list PL_PRIMARY seq 10 permit 10.1.0.0/24
ip prefix-list PL_BACKUP seq 5 permit 10.2.0.0/24
ip prefix-list PL_EXTERNAL seq 5 permit 192.0.2.0/24
Integration in Route-Maps
Trennung von Match- und Set-Logik
Prefix-Lists sollten ausschließlich die Match-Kriterien enthalten. Die Set-Logik wird in der Route-Map definiert:
- Erhöht Auditierbarkeit
- Erlaubt Wiederverwendung der Prefix-Lists in mehreren Policies
- Reduziert Komplexität beim Review und Testing
Beispiel CLI
route-map RM_EXPORT_BGP permit 10
match ip address prefix-list PL_PRIMARY
set local-preference 200
set tag 100
route-map RM_EXPORT_BGP permit 20
match ip address prefix-list PL_BACKUP
set local-preference 150
set tag 101
Prefix-List Sequenzierung und Best Practices
Sequenznummern sinnvoll einsetzen
Die Reihenfolge der Einträge beeinflusst das Matching:
- Specific before General: Zuerst spezifische Präfixe, dann breitere Bereiche
- Fallback-Klauseln für Default oder Catch-All Präfixe
- Klare Sequenznummern für Audit und Dokumentation
Least Privilege Umsetzung
Alle nicht explizit erlaubten Präfixe werden standardmäßig verworfen:
ip prefix-list PL_PRIMARY seq 100 deny 0.0.0.0/0 le 32
Testing und Verifikation
Lab-Test
- Prefix-Lists in einer Labumgebung gegen simulierte Routen testen
- Verifikation von Match-Ergebnissen und Routing-Attributen
- Failover-Szenarien prüfen, um sicherzustellen, dass Backup-Pfade greifen
Audit und Review
- Dokumentation der Prefix-Lists mit Zweck und Gültigkeit
- Regelmäßige Überprüfung vor produktiven Änderungen
- Integration in Change Management Prozesse
Best Practices
- Modulare Prefix-Lists für Primary, Backup und External Networks
- Trennung von Match- und Set-Logik durch Route-Maps
- Least Privilege: nur erlaubte Präfixe explizit definieren, alles andere deny
- Sequenznummern von spezifisch nach allgemein
- Lab-Test, Dokumentation und Audit vor produktiven Änderungen
- Regelmäßiges Review im Rahmen von Change-Management
Eine gut durchdachte Prefix-List-Strategie reduziert Risiken von unerwünschten Routen, Blackholes oder Instabilitäten im Enterprise-Routing. Durch Modularität, klare Sequenzierung und konsequente Anwendung des Least-Privilege-Prinzips lassen sich Routing Policies transparent, wartbar und auditierbar gestalten.
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.
