RPKI (Resource Public Key Infrastructure) ist heute einer der wichtigsten Sicherheitsbausteine für BGP: Mit Route Origin Validation (ROV) prüfst du kryptografisch, ob der AS, der ein Prefix announced, dafür autorisiert ist. Damit reduzierst du das Risiko von Route Leaks und Hijacks deutlich – ohne komplizierte Filterlisten. In der Praxis ist RPKI kein „Allheilmittel“, sondern ein…
MPLS Traffic Engineering (TE) und Segment Routing (SR) lösen dieselbe Kernaufgabe: du willst deterministische Pfade, schnelle Failover-Mechanismen und steuerbaren Traffic durch den Backbone – unabhängig davon, was das IGP „von allein“ wählt. In der Praxis ist die Entscheidung selten ideologisch, sondern operativ: Welche Control-Plane-Komplexität akzeptierst du, welche Features brauchst du (Fastreroute, Bandbreitenreservierung, Steering), und wie…
BGP ist das Steuerprotokoll für Internet- und WAN-Routing – und damit ein attraktives Ziel für Angriffe, Fehlkonfigurationen und „accidental peering“. Security Hardening bedeutet hier nicht „ein Feature aktivieren“, sondern mehrere Schutzschichten sauber kombinieren: (1) Session-Schutz gegen Spoofing/Off-Path-Angriffe (TTL Security/GTSM), (2) Authentifizierung/Integrität auf der TCP-Sitzung (MD5/TCP-AO je nach Plattform), und (3) Guardrails gegen Routing-Fehlerszenarien (Max-Prefix, Filter,…
Wenn du BGP-Policies änderst (Prefix-Lists, Route-Maps, Communities), willst du die neuen Regeln anwenden, ohne die BGP-Session hart zu resetten. Dafür gibt es zwei Mechanismen: Soft Reconfiguration (Inbound) und Route Refresh. Beide erreichen „Policy neu auswerten“, aber mit sehr unterschiedlichen Nebenwirkungen. Soft Reconfiguration hält eine Kopie der ungefilterten Updates im Speicher – gut für Forensik und…
Ein BGP Route Leak ist einer der teuersten Enterprise-Fehler am Internet-Edge: Plötzlich werden fremde Prefixes weiterannonseriert, Traffic wird über dein Netz gezogen oder du „vergiftest“ Routing-Entscheidungen im Upstream. Das kann zu massiven Ausfällen führen – intern und extern – und ist oft ein reiner Konfigurationsfehler (fehlender Outbound-Filter, falsches Redistribution-Match, „permit any“ in der Route-Map). Die…
Local Preference (LocalPref) ist in Enterprise-BGP das zentrale Steuerinstrument für Outbound-Traffic: Der höchste LocalPref gewinnt und bestimmt, über welchen Exit dein AS das Internet oder ein WAN verlässt. Genau deshalb braucht LocalPref Governance. Ohne Standards entsteht „Policy-Chaos“: unterschiedliche Teams setzen Werte nach Bauchgefühl, Ausnahmen werden nie zurückgebaut, und ein harmloser Change kann global den Exit-Pfad…
MED (Multi-Exit Discriminator) ist eines der am meisten missverstandenen BGP-Attribute. In der Theorie ist MED ein eleganter Hinweis an den Nachbar-AS: „Wenn du mehrere Übergänge zu mir hast, nimm bitte diesen hier bevorzugt.“ In der Praxis scheitert MED oft an drei Realitäten: Es wirkt nur in sehr bestimmten Topologien (meist gleicher Nachbar-AS), es kann durch…
AS-Path Prepending ist das bekannteste Werkzeug für Inbound-Traffic-Engineering bei Multi-Homing: Du machst einen Pfad „unattraktiver“, indem du dein eigenes AS mehrfach an den AS-PATH anhängst. Viele Netzbetreiber wählen bei ansonsten gleichen Bedingungen den kürzeren AS-PATH – aber genau hier liegen die Praxisfallen: Prepending ist ein grober Hebel, wirkt nicht deterministisch, kann durch Provider-Policies übersteuert werden…
Inter-VRF Routing („VRF Leak“) ist im Enterprise-WAN und in Multi-Tenant-Designs oft notwendig: Ein Shared-Services-VRF soll von mehreren Tenant-VRFs erreichbar sein, ein Internet-VRF soll selektiv als Exit dienen oder Management-Netze sollen kontrolliert erreichbar sein. Der gefährliche Teil ist das Wort „Leak“: Ohne strikte Kontrolle entstehen schnell ungewollte Seiteneffekte wie laterale Bewegungen, asymmetrische Pfade oder Route-Leaks in…
In MPLS-Netzen kann ein Router bereits als „routbar“ gelten, obwohl der Label-Switching-Pfad noch nicht steht. Genau hier setzt LDP/IGP Synchronization an: Das IGP (OSPF/IS-IS) soll eine MPLS-Transportstrecke erst dann als bevorzugten Pfad nutzen, wenn LDP auf dem Link up ist und Labels sauber ausgetauscht wurden. Ohne Sync drohen Blackholes, Traffic-Flaps und Microloops – besonders nach…
Got questions? Ideas? Fill out the form below & our specialist will contact you.