Anti-Route-Leak: Policy-Checkliste für Prefix-List/Route-Map in BGP

Route-Leaks in BGP können den Datenverkehr in Unternehmens- oder Provider-Netzen erheblich stören, indem nicht autorisierte Routen weitergegeben werden. Eine konsequente Policy zur Filterung von Routen über Prefix-Listen und Route-Maps ist daher essenziell. Dieser Leitfaden beschreibt praxisnah, wie Prefix-Listen und Route-Maps kombiniert werden, um Route-Leaks zu verhindern und BGP-Peering sicher zu gestalten.

Grundprinzipien der Anti-Route-Leak-Strategie

Anti-Route-Leak-Maßnahmen beschränken die Weitergabe von Routen an autorisierte Peers und verhindern, dass interne oder fremde Netze unbeabsichtigt exportiert werden.

• Nur autorisierte Netzbereiche exportieren
• Import-Filter verhindern unautorisierte Routen
• Route-Maps zur Kombination von Prefix-Listen und Attribut-Prüfung
• Monitoring und Logging zur Nachvollziehbarkeit

Prefix-Listen für BGP-Filter

Prefix-Listen definieren die erlaubten IP-Netze, die ein Peer empfangen oder senden darf.

Router(config)# ip prefix-list ALLOWED_IN seq 5 permit 10.0.0.0/8 le 24
Router(config)# ip prefix-list ALLOWED_IN seq 10 permit 192.168.0.0/16 le 24
Router(config)# ip prefix-list ALLOWED_OUT seq 5 permit 172.16.0.0/12 le 24

• „le“ definiert die maximale Präfixlänge
• Nur bekannte und autorisierte Netze zulassen
• Regelmäßige Überprüfung und Aktualisierung

Route-Maps zur gezielten Kontrolle

Route-Maps ermöglichen die Kombination von Prefix-Listen mit zusätzlichen BGP-Attributen wie AS-Path oder Community.

Router(config)# route-map BGP_IN_FILTER permit 10
Router(config-route-map)# match ip address prefix-list ALLOWED_IN
Router(config-route-map)# match as-path 10
Router(config-route-map)# set local-preference 200

Router(config)# route-map BGP_OUT_FILTER permit 10
Router(config-route-map)# match ip address prefix-list ALLOWED_OUT
Router(config-route-map)# set community 65001:100 additive

• AS-Path Filter verhindern, dass externe AS-Routen intern propagiert werden
• Communities zur Klassifizierung und Weitergabe nutzen
• Lokale Präferenz zur Priorisierung von Routen setzen

Integration in BGP-Peering

Die Prefix-Listen und Route-Maps werden auf BGP-Peers angewendet, um Ein- und Ausgangsrouten abzusichern.

Router(config)# router bgp 65001
Router(config-router)# neighbor 203.0.113.2 remote-as 65002
Router(config-router)# neighbor 203.0.113.2 prefix-list ALLOWED_IN in
Router(config-router)# neighbor 203.0.113.2 prefix-list ALLOWED_OUT out
Router(config-router)# neighbor 203.0.113.2 route-map BGP_IN_FILTER in
Router(config-router)# neighbor 203.0.113.2 route-map BGP_OUT_FILTER out

• Ein- und Ausgangsrouten separat absichern
• Redundante Policies für kritische Peers
• Dokumentation der Policy-Maps und Prefix-Listen führen

Monitoring und Audit

Regelmäßiges Monitoring stellt sicher, dass keine Route-Leaks auftreten und die Policies wirksam sind.

Router# show ip bgp neighbors
Router# show ip bgp
Router# show ip bgp community
Router# show access-lists

• Alle Routenupdates prüfen
• Unerwartete Prefixe sofort analysieren
• Audit-Reports zur Compliance erstellen

Best Practices für produktiven Einsatz

• Nur autorisierte Netzbereiche in Prefix-Listen aufnehmen
• Route-Maps für zusätzliche Filterkriterien wie AS-Path und Community nutzen
• Max-Prefix-Limits pro Peer konfigurieren
• MD5/TCP-AO für BGP-Peers aktivieren
• Monitoring, Logging und AAA für administrative Zugriffe aktivieren
• Management VRFs für administrative Sessions einsetzen
• Regelmäßige Überprüfung der Prefix-Listen und Route-Maps
• Backup der BGP-Konfiguration inklusive Filter und Policies

Zusätzliche Empfehlungen

• Temporäre Änderungen an Prefix-Listen und Route-Maps in Lab-Umgebung testen
• Dokumentation aller Policies für interne Audits führen
• Redundante BGP-Peers regelmäßig auf Konsistenz prüfen
• Integration von Route-Filterung in Change-Management-Prozesse
• Schulung der Netzwerkadministratoren zur konsequenten Policy-Anwendung

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

• Professionelle Konfiguration von Routern und Switches

• Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

• Erstellung von Topologien und Simulationen in Cisco Packet Tracer

• Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

• Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

• Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

• Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

• Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.