DDoS-Scrubbing-Center: Architektur, Routing und Betrieb

Ein DDoS-Scrubbing-Center ist in vielen Provider- und Enterprise-Netzen die letzte Verteidigungslinie, wenn volumetrische Angriffe (UDP Amplification, GRE-Floods, TCP-ACK-Floods) oder state-orientierte Angriffe (SYN Floods gegen Firewalls/LBs) die Edge-Kapazität oder die Service-Perimeter überfordern. Während lokale Filter (ACLs, Policer, uRPF) am Rand schnell greifen können, stoßen sie bei Leitungssättigung oder hoher Source-Diversität an Grenzen: Der Traffic ist dann…

Traffic Engineering Basics für ISPs: Pfade per Policy steuern

Traffic Engineering Basics für ISPs bedeutet, Netzwerkpfade nicht dem Zufall zu überlassen, sondern sie gezielt per Policy zu steuern. In Provider-Netzen entscheidet die Pfadwahl darüber, ob Latenz stabil bleibt, ob Peering-Links überlasten, ob Kunden bei Störungen „nur ein bisschen langsamer“ sind oder komplett ausfallen – und ob Sie teuren Transit vermeiden können, ohne neue Risiken…

Traceroute „keine Antwort“ im Backbone: Ursachen & Lösungen

Traceroute „keine Antwort“ im Backbone ist eines der häufigsten Missverständnisse im Provider-Betrieb: Ein Hop zeigt Sternchen oder „no reply“, und sofort entsteht die Vermutung, genau dort sei der Fehler oder ein Blackhole. In der Realität ist „keine Antwort“ bei Traceroute in Backbone-Netzen oft völlig normal – und manchmal sogar ein bewusstes Design- oder Security-Feature. Router…

IPv6 Dual-Stack im Backbone: Häufige operative Pitfalls

IPv6 Dual-Stack im Backbone gilt in vielen Provider-Netzen als „fertig“, sobald die ersten Core-Links IPv6 sprechen und BGP/IGP für v6 „up“ ist. Operativ zeigt sich jedoch schnell: Dual-Stack ist nicht einfach „IPv4 plus IPv6“, sondern zwei parallele Netzrealitäten mit unterschiedlichen Failure Modes, anderen Abhängigkeiten und oft auch anderer Peering- und Security-Policy. Genau deshalb sind IPv6…

MPLS L3VPN Troubleshooting: „Customer Isolated“ debuggen (Runbook)

MPLS L3VPN Troubleshooting gehört zu den Standardaufgaben im Provider-NOC – und gleichzeitig zu den frustrierendsten, wenn Kunden melden: „Customer Isolated“. Gemeint ist fast immer dasselbe Symptom: Ein Standort oder eine ganze Kundendomäne ist plötzlich von anderen Sites in derselben VPN nicht mehr erreichbar. Oft wirkt es selektiv (nur eine Richtung, nur bestimmte Prefixes, nur IPv6),…

MPLS Ping & Traceroute: Path validieren ohne Rätselraten

MPLS Ping & Traceroute sind im Provider-Betrieb die zuverlässigsten Werkzeuge, um einen MPLS-Pfad zu validieren, ohne in klassisches „Rätselraten“ mit IP-Traceroute, ECMP-Zufallspfaden oder versteckten MPLS-Hops zu verfallen. Gerade in Backbones mit L3VPNs, Traffic Engineering, Segment Routing oder komplexen ECMP/LAG-Topologien ist ein normales IP-Traceroute oft irreführend: Zwischenrouter antworten nicht (CoPP/Rate-Limits), MPLS TTL wird nicht propagiert, und…

RPKI für ISPs: Implementierung und Risiken, die man einplanen muss

RPKI für ISPs ist heute eines der wirksamsten Mittel, um Route Hijacks und Route Leaks im globalen Routing-Ökosystem zu reduzieren. Gleichzeitig ist RPKI kein „Schalter“, den man umlegt, sondern eine Kombination aus Kryptoinfrastruktur, Datenversorgung (ROAs, VRPs), Validierungslogik und operativen Entscheidungen in BGP-Policies. Wer RPKI implementiert, muss daher zwei Ziele gleichzeitig erreichen: Erstens die Routing-Sicherheit messbar…

LDP vs. SR-MPLS: Operative Auswirkungen und Migrationsabwägungen

LDP vs. SR-MPLS ist für viele Provider keine rein technische Diskussion, sondern eine operative Grundsatzentscheidung: Wie wollen Sie Transportpfade im Backbone aufbauen, überwachen und verändern – und wie viel Komplexität akzeptieren Sie dafür? LDP (Label Distribution Protocol) ist seit Jahren der „Default“ in klassischen MPLS-Backbones: stabil, gut verstanden, breit implementiert. SR-MPLS (Segment Routing mit MPLS-Datenebene)…

Prefix-Filtering-Best-Practices: Hijacks und Leaks verhindern

Prefix-Filtering-Best-Practices sind eine der effektivsten und zugleich unterschätzten Maßnahmen, um Hijacks und Leaks im Internet-Routing zu verhindern. Während BGP technisch „nur“ Routen verteilt, entscheidet Ihre Policy darüber, welche Routen Sie akzeptieren, welche Sie weitergeben und welche Sie konsequent blockieren. Genau hier passieren die gefährlichsten Fehler: Ein Kunde kündigt versehentlich Transit-Routen an (Route Leak), ein falsches…

Segment Routing (SR-MPLS): Failure Modes, die Ops beherrschen müssen

Segment Routing (SR-MPLS) wird oft als „weniger Protokolle, weniger Probleme“ verkauft: Kein klassisches LDP, weniger Signalisierung, klarere Pfadsteuerung. Operativ stimmt das teilweise – aber nur, wenn Operations-Teams die Failure Modes von SR-MPLS wirklich beherrschen. Denn SR verschiebt die Komplexität: weg von LDP-Nachbarschaften hin zu SID-Planung, IGP-Extensions, Policy-Logik, Label-Stacks, FRR-Mechaniken (z. B. TI-LFA) und der Frage,…