March 3, 2026

BGP Multi-Homing: Redundanz und Failover in der Praxis

BGP Multi-Homing bedeutet: Du betreibst mindestens zwei unabhängige Internet-Uplinks (z. B. zwei Provider) und steuerst Redundanz, Failover und Traffic Engineering über BGP-Policies. In der Praxis ist Multi-Homing nicht nur „zweite Leitung“, sondern ein Design aus Prefix-Announcements, Filtern, Default/Full Routes, Prioritäten (Local Preference) und Schutzmechanismen (Max-Prefix). Dieser Leitfaden erklärt ein typisches Dual-ISP-Setup und zeigt die wichtigsten Konfigurationsmuster.

Was Multi-Homing in der Praxis leistet

Mit zwei Providern kannst du Ausfälle abfangen und – je nach Design – den Traffic aktiv verteilen. Der Aufwand hängt davon ab, ob du nur Outbound-Failover brauchst oder auch Inbound steuern willst.

  • Redundanz: Internet bleibt bei Provider-Ausfall erreichbar
  • Failover: automatischer Wechsel des Exit-Pfads
  • Optional: Load Sharing (ECMP/Policy) für Outbound
  • Optional: Inbound Traffic Engineering (Communities/Prepend)

Grundentscheidung: Default Route oder Full Routes?

Viele Unternehmen starten mit Default Routes von beiden Providern (weniger Ressourcen), während Full Routes maximale Kontrolle bieten, aber deutlich mehr RAM/CPU und saubere Filter erfordern.

  • Default-Only: einfacher, robust, wenig Betriebslast
  • Partial/Full Routes: mehr Kontrolle über Outbound, mehr Aufwand

Faustregel zur Skalierung

Je mehr Routen du lernst, desto wichtiger sind Filter und Schutzmechanismen. Multi-Homing ohne harte Filter ist ein Betriebsrisiko.

Beispiel-Topologie: Dual-ISP Edge (eBGP)

Ein Router (oder ein Edge-Paar) spricht eBGP zu ISP1 und ISP2. Du announcest dein eigenes öffentliches Präfix und lernst vom Provider mindestens eine Default Route oder eine Route-Sicht.

  • Dein AS: 65001
  • ISP1 AS: 64500, Neighbor 203.0.113.1
  • ISP2 AS: 64501, Neighbor 198.51.100.1
  • Dein Prefix: 203.0.113.0/24 (Beispiel)

Basis-Konfiguration: Zwei eBGP-Neighbors

Die Minimalbasis ist: lokale ASN, zwei Neighbors mit remote-as und ein network-Statement für dein Präfix. In produktiven Netzen kommen Prefix-Filter sofort dazu.

eBGP Grundsetup (Dual Provider)

Router# configure terminal
Router(config)# router bgp 65001
Router(config-router)# neighbor 203.0.113.1 remote-as 64500
Router(config-router)# neighbor 198.51.100.1 remote-as 64501
Router(config-router)# network 203.0.113.0 mask 255.255.255.0
Router(config-router)# end

Wichtig: Network muss im RIB existieren

Router# show ip route 203.0.113.0
Router# show ip bgp 203.0.113.0

Outbound-Failover: Provider priorisieren mit Local Preference

Für Outbound-Steuerung ist Local Preference der Standardhebel: Du setzt inbound von ISP1 eine höhere Local Pref als von ISP2. Fällt ISP1 weg, bleibt nur ISP2 übrig und wird automatisch best.

ISP1 bevorzugen (Local Pref 200), ISP2 Backup (100)

Router# configure terminal
Router(config)# route-map LP-ISP1-IN permit 10
Router(config-route-map)# set local-preference 200
Router(config-route-map)# exit
Router(config)# route-map LP-ISP2-IN permit 10
Router(config-route-map)# set local-preference 100
Router(config-route-map)# end

Router(config)# router bgp 65001

Router(config-router)# neighbor 203.0.113.1 route-map LP-ISP1-IN in

Router(config-router)# neighbor 198.51.100.1 route-map LP-ISP2-IN in

Router(config-router)# end

Verifikation: welcher Exit gewinnt?

Router# show ip bgp 0.0.0.0
Router# show ip bgp
Router# show ip route 0.0.0.0

Inbound-Steuerung: Prepending und Communities (realistisch denken)

Inbound ist schwieriger, weil du Entscheidungen anderer Netze nur indirekt beeinflusst. Am häufigsten nutzt man AS-Path Prepending oder Provider-Communities, um einen Link als weniger attraktiv zu markieren.

  • AS-Path Prepend: macht den Pfad länger (weicher Einfluss)
  • Provider-Communities: häufig stärker, aber provider-spezifisch
  • MED: wirkt meist nur bei mehreren Links zum gleichen Provider-AS

Beispiel: ISP2 weniger attraktiv machen (Prepend outbound zu ISP2)

Router# configure terminal
Router(config)# route-map PREPEND-ISP2-OUT permit 10
Router(config-route-map)# set as-path prepend 65001 65001 65001
Router(config-route-map)# end

Router(config)# router bgp 65001

Router(config-router)# neighbor 198.51.100.1 route-map PREPEND-ISP2-OUT out

Router(config-router)# end

Filter sind Pflicht: Prefix-Lists inbound/outbound

Multi-Homing ohne Filter ist riskant. Outbound darfst du nur dein(e) Präfix(e) announcen. Inbound solltest du mindestens mit maximum-prefix schützen und idealerweise mit Prefix-Lists begrenzen.

Outbound: nur eigenes Präfix erlauben

Router# configure terminal
Router(config)# ip prefix-list OUT-MYNET seq 10 permit 203.0.113.0/24
Router(config)# ip prefix-list OUT-MYNET seq 999 deny 0.0.0.0/0 le 32

Router(config)# router bgp 65001

Router(config-router)# neighbor 203.0.113.1 prefix-list OUT-MYNET out

Router(config-router)# neighbor 198.51.100.1 prefix-list OUT-MYNET out

Router(config-router)# end

Inbound: Max-Prefix Schutz (Beispiel)

Router# configure terminal
Router(config)# router bgp 65001
Router(config-router)# neighbor 203.0.113.1 maximum-prefix 200000 90 restart 5
Router(config-router)# neighbor 198.51.100.1 maximum-prefix 200000 90 restart 5
Router(config-router)# end

Failover „wirklich Internet“: Tracking und Default-Route-Realität

Eine BGP-Session kann established sein, obwohl Upstream-Connectivity eingeschränkt ist. In der Praxis kombiniert man daher oft BGP mit Tracking/Monitoring (z. B. IP SLA) oder nutzt Provider-Designs, die Default nur bei echter Upstream-Erreichbarkeit liefern.

  • Session up ≠ Internet perfekt
  • Monitoring/Tracking wichtig (SLA, NQA, BFD je nach Plattform)
  • Tests mit Traceroute und realen Targets

Operational Checks für Failover

Router# show ip bgp summary
Router# show ip route 0.0.0.0
Router# traceroute 8.8.8.8
Router# show logging | include BGP

Optional: Outbound-Load-Sharing (bewusst, nicht „aus Versehen“)

Wenn beide Provider gleichwertig genutzt werden sollen, kannst du Outbound-Lastverteilung via Policies oder ECMP erreichen. Das erfordert aber saubere Rückwegplanung, weil stateful Firewalls/NAT asymmetrisch reagieren können.

  • Bewusst ECMP nur, wenn NAT/Statefulness berücksichtigt ist
  • Oft besser: per Prefix-Policy Traffic aufteilen (z. B. nach Quellnetzen)
  • Verifikation über BGP Best Path und CEF

ECMP-Indiz (mehrere Next-Hops sichtbar)

Router# show ip bgp 0.0.0.0
Router# show ip cef 0.0.0.0/0

Verifikation: Multi-Homing sauber prüfen

Nach jeder Änderung musst du sehen: Sessions stehen, nur gewünschte Routen werden ausgetauscht, das eigene Präfix wird korrekt announced, und der bevorzugte Exit ist aktiv.

Sessions und Routen prüfen

Router# show ip bgp summary
Router# show ip bgp
Router# show ip route bgp

Advertised/Received prüfen (Filter-Wirkung)

Router# show ip bgp neighbors 203.0.113.1 advertised-routes
Router# show ip bgp neighbors 198.51.100.1 advertised-routes
Router# show ip bgp neighbors 203.0.113.1 received-routes
Router# show ip bgp neighbors 198.51.100.1 received-routes

Typische Stolperfallen im Multi-Homing

Die häufigsten Probleme entstehen durch fehlende Filter, falsche Policy-Reihenfolgen oder unbedachte Asymmetrien bei Firewalls/NAT.

  • Kein Outbound-Filter → Route Leak Risiko
  • Local Pref/Weight falsch gesetzt → unerwarteter Outbound-Exit
  • Inbound-Engineering überschätzt → Provider/Internet ignoriert Prepend
  • Asymmetrischer Verkehr → Sessions brechen (Stateful Firewall/NAT)
  • Max-Prefix zu niedrig → Session fällt bei Full Table ab

Konfiguration speichern

Router# copy running-config startup-config

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

  • Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

  • Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

  • Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

  • Optional Security: Basic ACLs und SSH-Hardening

  • Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

  • Packet Tracer .pkt Datei

  • ✅ Saubere Konfigurations-Notizen pro Gerät

  • ✅ Verifikations-Checkliste + erwartete Outputs

  • ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.

Related Articles

Netzwerkarchitektur-Checkliste mit Cisco-Routern: Von Requirements zu Design

Standardisierung der Management-Plane-Sicherheit für Cisco-Router: Richtlinien und Umsetzung

Professionelle FAQ zu Cisco-Router-Konfigurationsservices: Scope, SLA und Security

AAA-Konfiguration auf Cisco-Routern mit TACACS+/RADIUS: Design und Betrieb

Leitfaden zur Erstellung von BoQ & Projektkalkulation für Cisco-Router (für IT-Manager)

Segmentierung des Admin-Zugriffs auf Cisco-Routern: Management-ACLs, VRF Mgmt und Jump Host

Cisco Router Professional Services: Delivery-Modelle für kritische Projekte

Zentrales Logging für Cisco-Router: Syslog-Architektur und Best Practices

Cisco Router Implementation Playbook: Projektstandard für konsistente Ergebnisse in Production

Cisco Router Network Time (NTP) für Audits: Warum Pflicht und wie implementieren

Backup-Strategie für Cisco-Router: Frequenz, Verschlüsselung und Retention

Cisco-Router-Change-Automation: Von Templates bis Validierung (praktisches Konzept)