Route Targets (RTs) sind der Policy-Schlüssel in MPLS L3VPN und MP-BGP: Sie bestimmen, welche VRF welche VPN-Routen importiert und exportiert. In kleinen Umgebungen kann man RTs „per Gefühl“ vergeben. In großen Flotten mit hunderten oder tausenden VRFs führt das jedoch schnell zu Chaos: ungewollte Leaks, schwer auditierbare Abhängigkeiten und Change-Risiken bei jeder neuen VRF. Eine skalierbare RT-Strategie behandelt RTs wie einen IP-Adressplan: mit Namenskonzept, reservierten Bereichen, klaren Patterns (Hub-and-Spoke, Shared Services) und automatisierbaren Governance-Regeln. Dieser Artikel zeigt praxistaugliche RT-Designs, die langfristig wartbar bleiben.
RT Basics: Policy, nicht Eindeutigkeit
RD (Route Distinguisher) sorgt für eindeutige Prefixes, RT (Route Target) steuert die Policy. Für Skalierung ist das entscheidend: Du kannst RD beliebig wählen, aber RT muss semantisch konsistent sein, sonst leakst du Routen.
Merker
RD = Unique , RT = Policy
- RT import entscheidet, was eine VRF sieht
- RT export entscheidet, was eine VRF „anbietet“
- Mehr RTs = mehr Policy-Komplexität
Skalierungsproblem: RT-Matrix explodiert ohne Pattern
Wenn jede VRF individuell mit jeder anderen sprechen soll, entsteht eine Import/Export-Matrix, die operativ nicht mehr beherrschbar ist. Skalierbare Designs reduzieren die Anzahl Beziehungen durch wiederverwendbare RT-Patterns.
Denkmodell
Policy-Komplexität ↗ mit Anzahl VRFs und individuellen Beziehungen
- Vollmeshing (VRF↔VRF) skaliert schlecht
- Shared Services und Hub-and-Spoke skaliert gut
- „Least Import“ ist die wichtigste Sicherheitsregel
Governance: RTs wie einen Adressplan behandeln
Eine skalierbare RT-Strategie besteht aus klaren Regeln, die du dokumentieren und automatisieren kannst. Ziel: Neue VRFs lassen sich hinzufügen, ohne bestehende VRFs anzufassen.
- Namens- und Nummernkonzept (Registry)
- Reservierte Bereiche pro Domäne (Tenant, Services, Transit)
- Pattern-Katalog (Hub-Spoke, Shared Services, Internet VRF)
- Change-Regeln: wer darf RTs vergeben/ändern?
Pattern 1: „One VRF – One RT“ (Baseline für Mandanten)
Für echte Mandantentrennung ist „one VRF – one RT“ der Standard: Jede VRF exportiert und importiert nur ihre eigene RT. Das minimiert Leaks und macht VRFs unabhängig.
Beispiel
vrf definition TENANT_201
rd 65000:201
route-target export 65000:2001
route-target import 65000:2001Pattern 2: Shared Services (Hub-RT) – viele VRFs, eine definierte Abhängigkeit
Shared Services ist das wichtigste Skalierungspattern: Eine Services-VRF stellt DNS/AD/PKI/Logging bereit. Viele Tenant-VRFs importieren genau diesen Services-RT. Tenants importieren sich nicht gegenseitig.
- SERVICES exportiert RT_SVC
- Alle Tenants importieren RT_SVC
- Optional: Services importiert selektiv Tenant-RTs (nur wenn nötig)
Konzept
VRF SERVICES: RT export 65000:1000
VRF TENANT_X: RT import 65000:1000Cisco Beispiel
vrf definition SERVICES
rd 65000:100
route-target export 65000:1000
route-target import 65000:1000
vrf definition TENANT_201
rd 65000:201
route-target export 65000:2001
route-target import 65000:2001
route-target import 65000:1000
Pattern 3: Hub-and-Spoke (Spokes sprechen nur mit Hub)
Für SD-WAN-ähnliche Topologien, Branch-to-DC oder zentrale Internet-Exits ist Hub-and-Spoke ideal: Spokes importieren nur den Hub-RT, der Hub importiert alle Spoke-RTs. Dadurch sprechen Spokes nicht untereinander.
- HUB exportiert RT_HUB
- SPOKE importiert RT_HUB
- HUB importiert RT_SPOKE_* (oder einen zusammenfassenden Spoke-RT)
Konzept
HUB: export 65000:3000, import 65000:3xxx
SPOKE: export 65000:3xxx, import 65000:3000Pattern 4: „Service-Chaining“ über mehrere Shared VRFs
Große Unternehmen haben nicht nur „Services“, sondern mehrere Service-Domänen (z. B. Security, Monitoring, Internet, Management). Ein skalierbares RT-Design nutzt dann mehrere „Hub-RTs“ mit klarer Bedeutung und möglichst wenigen Imports pro Tenant.
- RT_SVC: Shared Services
- RT_SEC: Security Stack (FW/Proxy/DNS Security)
- RT_MGMT: Management/OOB
- RT_INET: Internet Exit (nur wer es braucht)
RT-Schema: Nummernbereiche für Skalierung (Praxisvorschlag)
Ein bewährtes Schema reserviert Bereiche, die du auch in Automatisierung abbilden kannst. Wichtig ist nicht die konkrete Zahl, sondern die konsistente Logik.
- 65000:1xxx = Shared Services/Infra
- 65000:2xxx = Tenant-VRFs (one VRF – one RT)
- 65000:3xxx = Hub-and-Spoke (Hub 3000, Spokes 3xxx)
- 65000:9xxx = Test/Lab (niemals in Prod importieren)
Merker
Wenige, klar benannte Hubs + viele isolierte Tenants → skalierbar
Controlled Leaks: RTs allein sind nicht genug
RTs steuern Sichtbarkeit, aber nicht automatisch Sicherheit. Zusätzlich brauchst du Export-Whitelists (Route-Maps) und Traffic-Controls (ACL/ZBFW), damit „Route sichtbar“ nicht automatisch „Traffic erlaubt“ bedeutet.
- Export Route-Maps: nur definierte Prefixes exportieren
- Import-Reduktion: so wenig RTs wie möglich importieren
- Security: ACL/Zonen zwischen VRFs oder an Service-Endpunkten
Export-Whitelist Pattern
ip prefix-list PL_SERVICES seq 10 permit 10.10.10.0/24
ip prefix-list PL_ANY seq 5 permit 0.0.0.0/0 le 32
route-map RM_EXPORT_SERVICES permit 10
match ip address prefix-list PL_SERVICES
route-map RM_EXPORT_SERVICES deny 100
match ip address prefix-list PL_ANY
vrf definition SERVICES
route-target export 65000:1000 route-map RM_EXPORT_SERVICES
Skalierbarkeit im Betrieb: RT-Drift vermeiden
In großen Umgebungen ist nicht die Ersteinrichtung das Problem, sondern Drift: jemand fügt „temporär“ einen RT import hinzu und vergisst ihn. Deshalb brauchst du Compliance: „Golden RT Sets“ pro VRF-Klasse und regelmäßige Audits.
- Golden Config: erwartete RTs pro VRF-Kategorie
- Audit: Abweichungen automatisch melden
- Change-Prozess: RT-Änderungen sind sicherheitsrelevant
Audit-Commands (On-Box)
show running-config | section vrf definition
show bgp vpnv4 unicast all | include RT:Verifikation: Beweisen, dass RTs korrekt wirken
Du verifizierst in drei Schritten: (1) VPNv4/VPNv6 Routes existieren, (2) RTs sind an den Routen, (3) VRF-RIB enthält nur erwartete Prefixes.
VPNv4 Route + RT prüfen
show ip bgp vpnv4 all
show ip bgp vpnv4 all | include 65000:1000VRF-Routing prüfen
show ip route vrf SERVICES
show ip route vrf TENANT_201Counts als Drift-Indiz
show ip route vrf TENANT_201 summaryTypische Pitfalls bei vielen VRFs
Die häufigsten Probleme entstehen durch zu breite Imports oder unkontrollierte Hubs. Besonders gefährlich sind „Super-Hubs“, die plötzlich alles sehen und damit lateral movement erleichtern.
- Zu viele RT imports in einer Tenant-VRF → ungewollte Sichtbarkeit
- Ein Hub importiert alle Tenant-RTs ohne Filter → „Zentraler Leak-Punkt“
- Kein Export-Filter → Services exportiert mehr als beabsichtigt
- Test-RTs in Prod importiert → Überraschungsrouten
Quick-Template: Skalierbares RT-Design (Tenant + Shared Services)
Dieses Template ist ein stabiler Startpunkt: jeder Tenant ist isoliert, alle Tenants importieren nur Shared Services. Passe RD/RTs und Prefixes an.
ip prefix-list PL_ANY seq 5 permit 0.0.0.0/0 le 32
ip prefix-list PL_SERVICES seq 10 permit 10.10.10.0/24
route-map RM_EXPORT_SERVICES permit 10
match ip address prefix-list PL_SERVICES
route-map RM_EXPORT_SERVICES deny 100
match ip address prefix-list PL_ANY
vrf definition SERVICES
rd 65000:100
route-target export 65000:1000 route-map RM_EXPORT_SERVICES
route-target import 65000:1000
vrf definition TENANT_201
rd 65000:201
route-target export 65000:2001
route-target import 65000:2001
route-target import 65000:1000
Konfiguration speichern
Router# copy running-config startup-configKonfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)
Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.
Was ich (je nach Paket) umsetze
-
Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)
-
Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)
-
Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation
-
Optional Security: Basic ACLs und SSH-Hardening
-
Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)
Sie erhalten
-
✅ Packet Tracer .pkt Datei
-
✅ Saubere Konfigurations-Notizen pro Gerät
-
✅ Verifikations-Checkliste + erwartete Outputs
-
✅ Kurze Dokumentation (wie die Topologie funktioniert)
Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.
Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.