Policy-Based Routing (PBR) und VRF (Virtual Routing and Forwarding) sind zwei essenzielle Werkzeuge für die Traffic-Steuerung in modernen Enterprise- und Service-Provider-Netzen. Beide Techniken erlauben die gezielte Kontrolle von Pfaden, unterscheiden sich jedoch stark in ihrer Architektur, Skalierbarkeit und den langfristigen betrieblichen Implikationen. Die Wahl zwischen PBR und VRF sollte daher unter Berücksichtigung von Performance, Wartbarkeit und dem Risiko von Technical Debt erfolgen.
Grundlagen von PBR und VRF
Policy-Based Routing (PBR)
PBR erlaubt es, Routing-Entscheidungen auf Basis von Kriterien jenseits der klassischen Routing-Tabelle zu treffen, z. B. Quell-IP, Ziel-IP, Protokoll oder TCP-Port. Dies ermöglicht granularen Traffic-Steering, unabhängig von der standardmäßigen Routing-Metrik.
ip access-list extended WEB_TRAFFIC
permit tcp any any eq 80
permit tcp any any eq 443
!
route-map WEB_ONLY permit 10
match ip address WEB_TRAFFIC
set ip next-hop 10.1.1.1
!
interface GigabitEthernet0/1
ip policy route-map WEB_ONLY
VRF (Virtual Routing and Forwarding)
VRFs schaffen isolierte Routing-Tabellen auf einem Router, sodass mehrere logische Netzwerke auf derselben physischen Infrastruktur betrieben werden können. Jede VRF ist eine eigene Forwarding-Domain und eignet sich besonders für Multi-Tenant-Umgebungen.
ip vrf TENANT1
rd 65000:100
route-target export 65000:100
route-target import 65000:100
!
interface GigabitEthernet0/1
ip vrf forwarding TENANT1
ip address 192.168.10.1 255.255.255.0
Vergleich von PBR und VRF
Flexibilität vs. Isolation
- PBR: Hohe Flexibilität bei Traffic-Steering, auch zwischen Services oder Ports.
- VRF: Starke Isolation, ideal für Mandanten oder kritische Segmente.
Skalierbarkeit und Performance
- PBR kann CPU-intensiv sein, insbesondere bei vielen Access-Listen oder komplexen Route-Maps.
- VRF skaliert gut mit Hardware-basierten Forwarding-Tabellen und reduziert langfristig Operational Overhead.
Wartbarkeit und Technical Debt
- PBR neigt zu hoher Komplexität bei mehreren Policies, was den Wartungsaufwand erhöht und Fehlerpotenzial steigert.
- VRF bietet eine klar strukturierte Routing-Domain, was Auditierbarkeit und Compliance erleichtert.
Use Cases und Entscheidungsmatrix
PBR geeignete Szenarien
- Selektives Traffic-Steering für bestimmte Anwendungen oder Services
- Temporäre Umleitungen während Maintenance oder Failover
- QoS-Implementierungen, die auf Application-Level basieren
VRF geeignete Szenarien
- Multi-Tenant-Umgebungen
- Trennung von Management- und Produktionsnetz
- Mandanten-spezifische Sicherheitsanforderungen
- Skalierbare, langlebige Architektur mit geringer Komplexität
Hybrid-Szenarien
In einigen Fällen kann die Kombination aus VRF und PBR sinnvoll sein. Beispielsweise können VRFs die Mandanten isolieren, während PBR innerhalb der VRF granularen Traffic für Services lenkt.
ip vrf TENANT1
rd 65000:100
!
route-map WEB_POLICY permit 10
match ip address WEB_TRAFFIC
set ip next-hop 10.1.1.1
!
interface GigabitEthernet0/1
ip vrf forwarding TENANT1
ip policy route-map WEB_POLICY
Operational Considerations
Monitoring und Troubleshooting
- PBR:
show route-map,show ip policy, CPU-Auslastung beobachten - VRF:
show ip route vrf TENANT1, BGP/iBGP-Sessions pro VRF prüfen
Change Management
PBR-Änderungen sollten immer in einer Testumgebung validiert werden, um Side-Effects auf andere Policies zu vermeiden. VRF-Änderungen sind in der Regel risikoärmer, da die Routing-Domains isoliert sind.
Dokumentation
- Klar definierte Policy-Namen und Kommentare in PBR
- Standardisierte VRF-Namen, RD/RT-Dokumentation
- Regelmäßige Review-Meetings zur Validierung gegen Technical Debt
Best Practices für die Entscheidung
- Use Case analysieren: Isolation vs. granularer Traffic
- Langfristige Wartbarkeit prüfen: PBR kann Technical Debt erzeugen
- Hybrid-Design nur wenn notwendig einsetzen
- Monitoring- und Alarmierungsmechanismen einplanen
- Dokumentation und Standardisierung vor der Implementierung
Fazit
PBR und VRF sind mächtige Werkzeuge, aber die Auswahl sollte auf Basis von Skalierbarkeit, Wartbarkeit und Risiko von Technical Debt erfolgen. VRF ist langfristig robust für Isolation und Multi-Tenant-Umgebungen, während PBR punktuell für selektives Traffic-Steering eingesetzt werden kann. Eine kombinierte Strategie erlaubt granulare Kontrolle bei gleichzeitig klarer Struktur und reduziertem Betriebsrisiko.
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.
