Die Kombination von VRF (Virtual Routing and Forwarding) mit BGP (Border Gateway Protocol) ist ein etabliertes Muster, um Multi-Tenant-Umgebungen zu segmentieren und gleichzeitig skalierbare Routing-Architekturen zu implementieren. Durch VRFs lassen sich isolierte Routing-Domains schaffen, während BGP die Verteilung von Routen innerhalb und zwischen diesen Domains steuert. Diese Architektur ermöglicht sichere Trennung von Mandanten oder Services bei gleichzeitiger Wiederverwendbarkeit der physischen Infrastruktur.
Grundlagen von VRF und BGP
VRF-Konzepte
VRFs erstellen auf Routern separate Routing-Tabellen, sodass mehrere logische Netzwerke parallel auf derselben Hardware betrieben werden können. Jede VRF hat ihre eigene Forwarding-Domain, wodurch isolierter Datenverkehr zwischen Mandanten gewährleistet wird.
BGP als VRF-Routing-Protokoll
BGP eignet sich hervorragend für VRF-Umgebungen, insbesondere in Multi-Tenant-Szenarien. Es bietet:
- Skalierbare Verteilung von Routen über mehrere VRFs
- Policy-basierte Steuerung von Route-Import und Export
- Unterstützung von Route-Reflectors für große Topologien
Architektur-Muster für Multi-Tenant VRFs
Per-Mandant VRFs
Für jeden Tenant wird eine separate VRF angelegt. Dies isoliert den Datenverkehr und ermöglicht individuelle Policies pro Tenant.
ip vrf Tenant1
rd 65000:100
route-target import 65000:100
route-target export 65000:100
!
ip vrf Tenant2
rd 65000:200
route-target import 65000:200
route-target export 65000:200
BGP-Konfiguration innerhalb der VRFs
Jede VRF kann eigene BGP-Sessions haben, entweder zu lokalen Route-Reflectors oder zu externen Peers:
router bgp 65000
address-family ipv4 vrf Tenant1
neighbor 10.0.0.1 remote-as 65001
neighbor 10.0.0.1 activate
address-family ipv4 vrf Tenant2
neighbor 10.0.1.1 remote-as 65002
neighbor 10.0.1.1 activate
Use Cases für Multi-Tenant Segmentierung
- Cloud- oder SaaS-Umgebungen mit isolierten Kunden
- Unternehmensnetze mit getrennten Abteilungen oder Projekten
- Service-Isolation für Compliance oder Sicherheitsanforderungen
Route-Leaking zwischen VRFs
Selektives Route Leaking
In einigen Szenarien müssen bestimmte Services zwischen VRFs geteilt werden (z.B. DNS oder Management). Dies geschieht selektiv über Route-Maps und BGP Import/Export:
route-map IMPORT_SHARED permit 10
match ip address prefix-list SHARED_SERVICES
set community 65000:999 additive
!
route-map EXPORT_SHARED permit 10
match ip address prefix-list SHARED_SERVICES
set local-preference 200
Sicherheitsaspekte
- Nur ausgewählte Routen leak-en
- Prefix-Listen strikt pflegen
- Audit und Dokumentation aller Leaks
- Monitoring auf unautorisierte Routenänderungen
Skalierbarkeit und BGP-Design
Route Reflector und iBGP innerhalb VRFs
In großen Umgebungen kann ein Route Reflector die iBGP-Mesh-Komplexität reduzieren:
router bgp 65000
address-family ipv4 vrf Tenant1
neighbor 10.0.10.1 remote-as 65000
neighbor 10.0.10.1 route-reflector-client
Policy-Management
Routenexporte und -importe sollten modularisiert sein:
- Routinen für Standarddienste (DNS, NTP)
- Routinen für mandantenspezifische Services
- Einheitliche Tags, Communities und Local Preference
Monitoring und Troubleshooting
- VRF-spezifische Routing-Tabelle prüfen:
show ip route vrf Tenant1 - BGP-Sessions prüfen:
show bgp ipv4 vrf Tenant1 summary - Routen-Filter und Communities validieren
- Traffic-Analyse zwischen VRFs mit NetFlow/sFlow
Best Practices
- Klare Namenskonvention für VRFs und BGP-RD/RTs
- Minimale Anzahl von Route-Leaks, nur für erforderliche Services
- Modulare Route-Maps für Auditierbarkeit
- Monitoring und Alarmierung auf VRF-spezifischen Traffic
- Regelmäßige Review von Policies und BGP-Konfiguration
Zusammenfassung
Die Kombination von VRF und BGP bietet eine robuste Grundlage für Multi-Tenant-Netze und Segmentierung. Durch sorgfältiges Design, selektives Route-Leaking, modulare Policy-Strukturen und kontinuierliches Monitoring lässt sich eine skalierbare, sichere und wartbare Architektur realisieren, die sowohl Management- als auch Produktionsverkehr effizient trennt.
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.
