Prefix-List-Strategie: Least Privilege für Routing Advertisements

Prefix-Lists sind ein zentrales Werkzeug in der Netzwerkadministration, um Routen gezielt zu filtern und Routing Advertisements zu kontrollieren. Eine gut durchdachte Prefix-List-Strategie schützt vor ungewollten Routen, Blackholes und unerwarteten Routing-Entscheidungen. Das Prinzip „Least Privilege“ sorgt dafür, dass nur die wirklich benötigten Routen erlaubt werden, während alles andere blockiert wird. In diesem Tutorial erläutern wir praxisnahe Designprinzipien, Einsatzmuster und konkrete CLI-Beispiele für Cisco-Router.

Grundlagen von Prefix-Lists

Funktionsweise und Einsatzgebiete

Prefix-Lists dienen dazu, IP-Präfixe auf Basis von Adresse und Subnetzmaske zu matchen. Typische Anwendungsfälle:

• Filtern von Routen beim Redistribute zwischen Routing-Protokollen (OSPF, EIGRP, BGP)
• Kontrolle von BGP Advertisements inbound und outbound
• Unterstützung von Route-Maps zur selektiven Attributsetzung
• Schutz vor unerwünschten Routen oder Route Leaks

Least Privilege Prinzip

Beim Least-Privilege-Ansatz werden nur exakt benötigte Präfixe erlaubt, während alle anderen blockiert werden:

• Minimiert ungewollte Routen im Routing-Tabelle
• Reduziert Risiko von Routing-Loops und Blackholes
• Erhöht Auditierbarkeit und Transparenz

Designprinzipien für Prefix-Lists

Segmentierung und Hierarchie

Prefix-Lists sollten modular aufgebaut sein und logisch getrennte Funktionsblöcke enthalten:

• Primary Networks: Alle aktiven Unternehmenspräfixe
• Backup/Failover Präfixe: Redundante Routen oder sekundäre WAN-Pfade
• External Peers: Präfixe von externen ISPs oder Partnernetzen

Beispielstruktur

ip prefix-list PL_PRIMARY seq 5 permit 10.0.0.0/24
ip prefix-list PL_PRIMARY seq 10 permit 10.1.0.0/24
ip prefix-list PL_BACKUP seq 5 permit 10.2.0.0/24

ip prefix-list PL_EXTERNAL seq 5 permit 192.0.2.0/24

Integration in Route-Maps

Trennung von Match- und Set-Logik

Prefix-Lists sollten ausschließlich die Match-Kriterien enthalten. Die Set-Logik wird in der Route-Map definiert:

• Erhöht Auditierbarkeit
• Erlaubt Wiederverwendung der Prefix-Lists in mehreren Policies
• Reduziert Komplexität beim Review und Testing

Beispiel CLI

route-map RM_EXPORT_BGP permit 10
  match ip address prefix-list PL_PRIMARY
  set local-preference 200
  set tag 100
route-map RM_EXPORT_BGP permit 20

match ip address prefix-list PL_BACKUP

set local-preference 150

set tag 101

Prefix-List Sequenzierung und Best Practices

Sequenznummern sinnvoll einsetzen

Die Reihenfolge der Einträge beeinflusst das Matching:

• Specific before General: Zuerst spezifische Präfixe, dann breitere Bereiche
• Fallback-Klauseln für Default oder Catch-All Präfixe
• Klare Sequenznummern für Audit und Dokumentation

Least Privilege Umsetzung

Alle nicht explizit erlaubten Präfixe werden standardmäßig verworfen:

ip prefix-list PL_PRIMARY seq 100 deny 0.0.0.0/0 le 32

Testing und Verifikation

Lab-Test

• Prefix-Lists in einer Labumgebung gegen simulierte Routen testen
• Verifikation von Match-Ergebnissen und Routing-Attributen
• Failover-Szenarien prüfen, um sicherzustellen, dass Backup-Pfade greifen

Audit und Review

• Dokumentation der Prefix-Lists mit Zweck und Gültigkeit
• Regelmäßige Überprüfung vor produktiven Änderungen
• Integration in Change Management Prozesse

Best Practices

• Modulare Prefix-Lists für Primary, Backup und External Networks
• Trennung von Match- und Set-Logik durch Route-Maps
• Least Privilege: nur erlaubte Präfixe explizit definieren, alles andere deny
• Sequenznummern von spezifisch nach allgemein
• Lab-Test, Dokumentation und Audit vor produktiven Änderungen
• Regelmäßiges Review im Rahmen von Change-Management

Eine gut durchdachte Prefix-List-Strategie reduziert Risiken von unerwünschten Routen, Blackholes oder Instabilitäten im Enterprise-Routing. Durch Modularität, klare Sequenzierung und konsequente Anwendung des Least-Privilege-Prinzips lassen sich Routing Policies transparent, wartbar und auditierbar gestalten.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

• Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

• Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

• Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

• Optional Security: Basic ACLs und SSH-Hardening

• Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

• ✅ Packet Tracer .pkt Datei

• ✅ Saubere Konfigurations-Notizen pro Gerät

• ✅ Verifikations-Checkliste + erwartete Outputs

• ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.