Layer-3-VPNs (L3VPNs) sind ein zentraler Baustein in Providernetzen, um Kunden sicher und isoliert über gemeinsame Infrastruktur zu verbinden. Eine saubere Adressierung ist entscheidend, um Skalierung, Konfliktfreiheit und konsistente Routing-Policies zu gewährleisten. Dazu gehören Route Distinguisher (RD), Route Target (RT), CE/PE-Verbindungen und eine konsistente Subnetzplanung. In diesem Artikel lernen Einsteiger, IT-Studierende und Junior Network Engineers praxisnah, wie L3VPN-Adressierung geplant und umgesetzt wird.

Grundlagen von L3VPNs

L3VPNs trennen Kundennetze auf Layer 3 und erlauben die Nutzung identischer IP-Präfixe in unterschiedlichen VPNs. Jeder VPN-Tenant wird durch eine eigene VRF auf den PE-Routern repräsentiert.

• VRF pro Tenant mit eigener Routing-Tabelle
• RD zur eindeutigen Identifikation der VPN-Präfixe
• RTs für kontrollierte Route-Propagation
• CE/PE-Verbindungen zur Anbindung der Kunden

Route Distinguisher (RD)

Der RD sorgt dafür, dass identische IP-Präfixe in verschiedenen VPNs eindeutig bleiben.

• Jede VRF erhält einen eindeutigen RD
• RD besteht aus ASN und eindeutiger Nummer oder IP
• Wichtig für Multi-Tenant-Isolation
• Keine Auswirkung auf die IP-Adresse des Kunden

Beispiel RD-Konfiguration

vrf definition TenantA
 rd 65001:100
 route-target export 65001:100
 route-target import 65001:100
vrf definition TenantB

rd 65001:200

route-target export 65001:200

route-target import 65001:200

Route Target (RT)

RTs steuern die Import- und Exportrichtlinien von Präfixen zwischen VRFs auf verschiedenen PEs.

• Export-RT bestimmt, welche Präfixe von einer VRF exportiert werden
• Import-RT bestimmt, welche Präfixe in eine VRF importiert werden
• Ermöglicht gezieltes Leaking zwischen VPNs
• Basis für Skalierung und Multi-Tenant-Management

CE/PE-Verbindungen

Die Verbindung zwischen Customer Edge (CE) und Provider Edge (PE) bildet das Bindeglied zwischen Kunden- und Provider-Netz.

• CE kann Router oder Layer-3-Switch sein
• PE-Termination erfolgt in der jeweiligen VRF
• IP-Adressen zwischen CE und PE müssen konsistent und eindeutig sein
• Redundanz über mehrere Links und ECMP möglich

CLI-Beispiel CE/PE-Link

interface GigabitEthernet0/1
 vrf forwarding TenantA
 ip address 10.10.10.1/30   ! PE
 no shutdown
CE-Router:

interface GigabitEthernet0/0

ip address 10.10.10.2/30

no shutdown

IP-Adressierung und Subnetting

Eine konsistente Subnetzplanung ist entscheidend für Konfliktfreiheit und Skalierbarkeit in L3VPNs.

• Dedizierte Subnetze pro VRF
• Vermeidung von Overlaps zwischen Tenants
• IPv4 und IPv6 parallel nutzbar
• Dokumentation über IPAM-Systeme

Beispiel Subnetz-Plan

# TenantA
CE/PE-Link: 10.10.10.0/30
Customer LAN: 192.168.10.0/24
IPv6 CE/PE-Link: 2001:db8:10:10::/64
IPv6 Customer LAN: 2001:db8:10:1::/64
TenantB
CE/PE-Link: 10.20.20.0/30

Customer LAN: 192.168.20.0/24

IPv6 CE/PE-Link: 2001:db8:20:20::/64

IPv6 Customer LAN: 2001:db8:20:1::/64

Redundanz und Skalierung

Für L3VPNs ist Redundanz und Skalierbarkeit entscheidend, um Ausfallsicherheit und Wachstum zu gewährleisten.

• Redundante CE/PE-Verbindungen
• ECMP oder Anycast-Gateways für Traffic-Optimierung
• VRF-spezifische Route Targets für kontrollierte Route-Propagation
• Monitoring von VRF-Routing-Tabellen, CE/PE-Links und IP-Auslastung

Best Practices für L3VPN Addressing

• Dedizierte RD pro Tenant für eindeutige VPN-Präfixe
• Saubere RT-Zuweisung für Import/Export von Präfixen
• Konsistente CE/PE-Adressierung ohne Overlaps
• Dokumentation in IPAM-Systemen
• Redundanz und Failover für CE/PE-Links
• Monitoring und Audit der VRF-Routing-Tabellen
• IPv4/IPv6 Parallelbetrieb ermöglichen

Praxisbeispiel POP

• TenantA VRF: RD 65001:100, RT 65001:100
• CE/PE-Link: 10.10.10.0/30, Customer LAN: 192.168.10.0/24
• TenantB VRF: RD 65001:200, RT 65001:200
• CE/PE-Link: 10.20.20.0/30, Customer LAN: 192.168.20.0/24
• Redundante PE-Router und BGP-Peering für Skalierung
• Monitoring über IPAM und Routing-Tables
• Route Leaks verhindern, Tenant-Isolation gewahrt

Skalierung und Governance

Mit konsistentem L3VPN-Addressing lassen sich Provider-Umgebungen skalieren, während Governance, SLA und Security eingehalten werden:

• Neue Tenants erhalten dedizierte RD/RT und Subnetze
• Redundanz und Monitoring sichern stabile Services
• Dokumentation und IPAM sichern Auditfähigkeit
• Multi-Tenant-Isolation bleibt garantiert, Konflikte ausgeschlossen

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

• Professionelle Konfiguration von Routern und Switches

• Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

• Erstellung von Topologien und Simulationen in Cisco Packet Tracer

• Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

• Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

• Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

• Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

• Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.