BGP Policy Fundamentals: Prefix-Lists, Route-Maps und Communities (praxisnah)

In Enterprise- und Service-Provider-Netzwerken ist BGP das zentrale Protokoll für die Steuerung des Routings über autonome Systeme hinweg. Die Fähigkeit, eingehende und ausgehende Routen gezielt zu steuern, hängt stark von einer konsistenten Policy-Implementierung ab. Dazu gehören Prefix-Lists, Route-Maps und Communities. In diesem Artikel werden praxisnahe Ansätze zur Definition und Umsetzung von BGP-Policies vorgestellt, die sowohl Stabilität als auch Flexibilität im Netzwerk gewährleisten.

Grundlagen von BGP-Policy-Mechanismen

BGP-Policies dienen dazu, Routen selektiv zu akzeptieren, zu modifizieren oder weiterzugeben. Die wichtigsten Mechanismen sind:

• Prefix-Lists: Filter auf Basis von IP-Präfixen
• Route-Maps: Flexibles Werkzeug für Bedingungen und Aktionen
• Communities: Markierungen für Routing-Entscheidungen über AS-Grenzen hinweg

Prefix-Lists

Prefix-Lists sind die erste Verteidigungslinie in BGP. Sie erlauben das gezielte Zulassen oder Verwerfen von IP-Präfixen anhand ihrer Länge und Adresse.

ip prefix-list PL-ACCEPT permit 10.0.0.0/8 le 24
ip prefix-list PL-REJECT deny 192.168.0.0/16

Beispiel: PL-ACCEPT erlaubt alle Subnets von 10.0.0.0/8 mit einer Subnetzmaske bis /24, PL-REJECT verweigert den gesamten 192.168.0.0/16 Bereich.

Route-Maps: Logik für Policy Enforcement

Route-Maps arbeiten auf Basis von Bedingungen (Match-Kriterien) und Aktionen (Set-Anweisungen). Sie bieten die Flexibilität, Präfix-Filter, Communities oder lokale Präferenzen dynamisch anzuwenden.

route-map RM-OUT permit 10
  match ip address prefix-list PL-ACCEPT
  set local-preference 200
route-map RM-OUT deny 20

match ip address prefix-list PL-REJECT

In diesem Beispiel wird Traffic, der in PL-ACCEPT enthalten ist, mit Local Preference 200 markiert, während Präfixe in PL-REJECT verworfen werden.

Typische Anwendungsfälle von Route-Maps

• Setzen von Local Preference für bevorzugte Ausgänge
• Filtern unerwünschter Routen
• Modifikation von MED (Multi-Exit Discriminator) für ISP-Optimierung
• Anwenden von AS-Prepends für gezieltes Traffic Engineering

BGP Communities

Communities sind Tags, die Routen markieren, um Entscheidungen in anderen Routern zu beeinflussen. Sie erlauben eine zentrale Policy-Steuerung über mehrere Router oder AS hinweg.

route-map RM-COM permit 10
  match ip address prefix-list PL-ACCEPT
  set community 65001:100 additive

Beispiel: Alle akzeptierten Präfixe erhalten die Community 65001:100, die bei Peers oder Upstream-Providern bestimmte Behandlungen auslösen kann, wie das Zurücksetzen der Präferenz oder das Vermeiden bestimmter Pfade.

Standard Communities und konventionelle Patterns

• No-Advertise: Route wird nicht weiter angekündigt
• No-Export: Route wird nicht an externe BGP-Partner weitergegeben
• Internet: Standard-Community für globale Bekanntgabe
• Eigene Enterprise-Communities zur Steuerung von Inbound- und Outbound-Policies

Praxisnahe Design Patterns

Für stabile und auditierbare BGP-Policies sollten folgende Grundprinzipien beachtet werden:

• Klare Trennung zwischen Inbound- und Outbound-Filterung
• Prefix-Lists als primäre Filterebene, Route-Maps für komplexe Policy-Logik
• Communities für skalierbare Markierungen über mehrere Router und AS hinweg
• Dokumentation aller Policies für Audit und Troubleshooting

Beispiel: Inbound-Policy mit Prefix-List und Community

ip prefix-list PL-IN permit 203.0.113.0/24
route-map RM-IN permit 10
  match ip address prefix-list PL-IN
  set community 65001:200 additive
router bgp 65001
  neighbor 198.51.100.1 route-map RM-IN in

Diese Konfiguration erlaubt nur das Präfix 203.0.113.0/24 vom Nachbarn 198.51.100.1 und markiert es mit der Community 65001:200.

Operational Considerations

• Regelmäßige Überprüfung der angewendeten Prefix-Lists und Route-Maps
• Monitoring von BGP Updates, um unerwartete Routenänderungen zu erkennen
• Testen neuer Policies zuerst in Lab oder Wartungsfenster
• Beachtung der Reihenfolge in Route-Maps (Permit/Deny) und Prefix-Lists

Typische Fehlerquellen

• Fehlende Konsistenz zwischen Route-Maps und Prefix-Lists
• Unbeabsichtigtes Blocken legitimer Präfixe
• Übermäßige Verwendung von „permit any“ in Route-Maps
• Vergessen von „additive“ bei Community-Anwendungen, wodurch bestehende Communities überschrieben werden

Fazit

Prefix-Lists, Route-Maps und Communities bilden die Basis für ein strukturiertes, sicheres und skalierbares BGP-Policy-Management. Durch klare Trennung von Inbound- und Outbound-Logik, dokumentierte Standards und systematisches Testing lassen sich Fehlkonfigurationen vermeiden und gleichzeitig flexible Traffic-Steuerung realisieren. Diese Praxisansätze gewährleisten sowohl Betriebssicherheit als auch einfache Erweiterbarkeit für wachsende Netzwerkinfrastrukturen.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

• Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

• Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

• Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

• Optional Security: Basic ACLs und SSH-Hardening

• Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

• ✅ Packet Tracer .pkt Datei

• ✅ Saubere Konfigurations-Notizen pro Gerät

• ✅ Verifikations-Checkliste + erwartete Outputs

• ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.