March 6, 2026

Subnetting für VRFs: IP-Plan pro Tenant ohne Overlap-Risiko

In Multi-Tenant- und Provider-Umgebungen ist eine konsistente und konfliktfreie IP-Planung für VRFs entscheidend. Jede VRF repräsentiert eine isolierte Routing-Instanz für einen Tenant, sodass die gleiche IP-Adresse in unterschiedlichen VRFs existieren kann, ohne dass Routing-Konflikte entstehen. Ein sauberes Subnetting verhindert Overlap-Risiken, erleichtert das Troubleshooting und unterstützt Skalierbarkeit. In diesem Artikel lernen Einsteiger, IT-Studierende und Junior Network Engineers praxisnah, wie IP-Pläne pro Tenant umgesetzt werden.

Grundlagen von VRF-Subnetting

VRFs ermöglichen mehrere Routing-Tabelle auf demselben Gerät. Jede Tenant-VRF kann identische IP-Subnets nutzen, die Isolation wird durch die VRF-Instanz gewährleistet.

  • Dedizierte Routing-Tabelle pro Tenant
  • IP-Subnetze innerhalb einer VRF eindeutig
  • Reduzierung von Overlap-Risiken durch klar definierte Subnetze
  • Integration mit MPLS, EVPN oder klassischen L3-Designs

Designprinzipien für Tenant-Subnetze

Bei der IP-Planung für VRFs sollten folgende Aspekte berücksichtigt werden:

  • Jede Tenant-VRF erhält dedizierte IPv4- und IPv6-Subnetze
  • Subnetze sollten konsistent dokumentiert und versioniert werden
  • Wiederverwendung von Subnetzen nur in verschiedenen VRFs erlaubt
  • Integration in IPAM-Systeme zur Verwaltung und Auditierung

Beispiel VRF-Subnetz-Plan

# TenantA VRF
VLAN100 → 10.16.100.0/24
IPv6 → 2001:db8:1000::/64

TenantB VRF


VLAN200 → 10.16.101.0/24

IPv6 → 2001:db8:1001::/64


TenantC VRF


VLAN300 → 10.16.102.0/24

IPv6 → 2001:db8:1002::/64

Interface- und SVI-Zuordnung

SVIs oder dedizierte Interfaces terminieren die Subnetze innerhalb der Tenant-VRFs. Jedes SVI dient als Default-Gateway für die Hosts im Subnetz.

  • SVI pro VLAN innerhalb der Tenant-VRF
  • IP-Adressen konsistent dokumentiert
  • Redundante SVIs auf mehreren Switches für High Availability
  • Optional Anycast-Gateways für L3-Failover

CLI-Beispiel SVI-Konfiguration

interface Vlan100
 vrf forwarding TenantA
 ip address 10.16.100.1/24
 ipv6 address 2001:db8:1000::1/64

interface Vlan200

vrf forwarding TenantB

ip address 10.16.101.1/24

ipv6 address 2001:db8:1001::1/64


interface Vlan300

vrf forwarding TenantC

ip address 10.16.102.1/24

ipv6 address 2001:db8:1002::1/64

Redundanz und Failover

Tenant-Subnetze profitieren von Redundanz und Failover-Mechanismen:

  • Redundante Trunks und LAGs
  • Anycast- oder ECMP-Gateways für Low-Latency Failover
  • VRF-spezifische Route-Targets zur kontrollierten Route-Propagation
  • Monitoring von MAC-Tables, ARP/NDP-Tabellen und Routing

Best Practices für VRF-Subnetting

  • Dedizierte Subnetze pro Tenant-VRF
  • IPAM-Systeme zur konsistenten Dokumentation
  • Wiederverwendung von Subnetzen nur innerhalb isolierter VRFs
  • Redundante SVIs und Trunks für Ausfallsicherheit
  • Route-Targets sauber dokumentiert für Import/Export
  • Monitoring von Subnetzen, Gateways und Routing-Instanzen
  • Regelmäßige Auditierung der VRF-Subnetze

Praxisbeispiel POP

  • POP Core: TenantA VLAN100 → SVI 10.16.100.1/24, IPv6 2001:db8:1000::1
  • TenantB VLAN200 → SVI 10.16.101.1/24, IPv6 2001:db8:1001::1
  • TenantC VLAN300 → SVI 10.16.102.1/24, IPv6 2001:db8:1002::1
  • Redundante Trunks und LAGs zu Aggregation Layer
  • Monitoring via SNMP/IPAM für Subnetze und SVI-Adressen
  • Isolation der Tenant-VRFs garantiert, Overlap-Risiken ausgeschlossen

Skalierung und Governance

Mit sauberem VRF-Subnetting lassen sich neue Tenants problemlos integrieren, während Governance, Compliance und SLA-Einhaltung gewährleistet bleiben:

  • Neue Tenant-VRFs erhalten dedizierte Subnetze nach IP-Plan
  • Redundanz, Monitoring und Failover sichern stabile Services
  • IPAM und Dokumentation sichern Auditfähigkeit
  • Multi-Tenant-Isolation bleibt garantiert, Overlap-Risiken ausgeschlossen

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

  • Professionelle Konfiguration von Routern und Switches

  • Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

  • Erstellung von Topologien und Simulationen in Cisco Packet Tracer

  • Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

  • Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

  • Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

  • Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

  • Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.

Related Articles

Cost-Aware Operations: Image Pull Policies, Cache und Bandbreite

Registry Mirror Setup: Pulls beschleunigen und Ausfälle überleben

Air-Gapped Deployments: Images, Dependencies und Updates offline managen

Compose Migration zu Swarm: Wann der Schritt Sinn macht

Compose Migration zu Kubernetes: Mapping von Services, Volumes, Secrets

Kubernetes vs. Compose: Betriebsaufwand, Resilienz und Komplexität

Multi-Host Networking ohne Kubernetes: Optionen und Grenzen

Security Posture Reviews: Threat Modeling für Compose Stacks

Incident Response für Container: Forensik, Artefakte, Evidence

Observability: OpenTelemetry Collector in Compose integrieren

Debugging ohne Shell: Distroless Container in Produktion analysieren

Metrics Pipeline: Prometheus + exporters für Container und Host