MPLS TE vs. Segment Routing: Entscheidungsleitfaden für Router-Backbones

MPLS Traffic Engineering (TE) und Segment Routing (SR) lösen dieselbe Kernaufgabe: du willst deterministische Pfade, schnelle Failover-Mechanismen und steuerbaren Traffic durch den Backbone – unabhängig davon, was das IGP „von allein“ wählt. In der Praxis ist die Entscheidung selten ideologisch, sondern operativ: Welche Control-Plane-Komplexität akzeptierst du, welche Features brauchst du (Fastreroute, Bandbreitenreservierung, Steering), und wie…

BGP Security Hardening: TTL Security, MD5, Max-Prefix, GTSM sauber umsetzen

BGP ist das Steuerprotokoll für Internet- und WAN-Routing – und damit ein attraktives Ziel für Angriffe, Fehlkonfigurationen und „accidental peering“. Security Hardening bedeutet hier nicht „ein Feature aktivieren“, sondern mehrere Schutzschichten sauber kombinieren: (1) Session-Schutz gegen Spoofing/Off-Path-Angriffe (TTL Security/GTSM), (2) Authentifizierung/Integrität auf der TCP-Sitzung (MD5/TCP-AO je nach Plattform), und (3) Guardrails gegen Routing-Fehlerszenarien (Max-Prefix, Filter,…

BGP Soft Reconfiguration vs. Route Refresh: Betrieb und Memory-Impact

Wenn du BGP-Policies änderst (Prefix-Lists, Route-Maps, Communities), willst du die neuen Regeln anwenden, ohne die BGP-Session hart zu resetten. Dafür gibt es zwei Mechanismen: Soft Reconfiguration (Inbound) und Route Refresh. Beide erreichen „Policy neu auswerten“, aber mit sehr unterschiedlichen Nebenwirkungen. Soft Reconfiguration hält eine Kopie der ungefilterten Updates im Speicher – gut für Forensik und…

BGP Route Leaks verhindern: Filter-Strategie für Enterprise Edge

Ein BGP Route Leak ist einer der teuersten Enterprise-Fehler am Internet-Edge: Plötzlich werden fremde Prefixes weiterannonseriert, Traffic wird über dein Netz gezogen oder du „vergiftest“ Routing-Entscheidungen im Upstream. Das kann zu massiven Ausfällen führen – intern und extern – und ist oft ein reiner Konfigurationsfehler (fehlender Outbound-Filter, falsches Redistribution-Match, „permit any“ in der Route-Map). Die…

Local Preference Governance: Unternehmensweite Policy ohne Chaos

Local Preference (LocalPref) ist in Enterprise-BGP das zentrale Steuerinstrument für Outbound-Traffic: Der höchste LocalPref gewinnt und bestimmt, über welchen Exit dein AS das Internet oder ein WAN verlässt. Genau deshalb braucht LocalPref Governance. Ohne Standards entsteht „Policy-Chaos“: unterschiedliche Teams setzen Werte nach Bauchgefühl, Ausnahmen werden nie zurückgebaut, und ein harmloser Change kann global den Exit-Pfad…

MED richtig nutzen: Grenzen, Fallstricke und Provider-Realität

MED (Multi-Exit Discriminator) ist eines der am meisten missverstandenen BGP-Attribute. In der Theorie ist MED ein eleganter Hinweis an den Nachbar-AS: „Wenn du mehrere Übergänge zu mir hast, nimm bitte diesen hier bevorzugt.“ In der Praxis scheitert MED oft an drei Realitäten: Es wirkt nur in sehr bestimmten Topologien (meist gleicher Nachbar-AS), es kann durch…

AS-Path Prepend: Dos & Don’ts im echten Internet

AS-Path Prepending ist das bekannteste Werkzeug für Inbound-Traffic-Engineering bei Multi-Homing: Du machst einen Pfad „unattraktiver“, indem du dein eigenes AS mehrfach an den AS-PATH anhängst. Viele Netzbetreiber wählen bei ansonsten gleichen Bedingungen den kürzeren AS-PATH – aber genau hier liegen die Praxisfallen: Prepending ist ein grober Hebel, wirkt nicht deterministisch, kann durch Provider-Policies übersteuert werden…

VRF-leak per MP-BGP: Controlled Inter-VRF Routing designen

Inter-VRF Routing („VRF Leak“) ist im Enterprise-WAN und in Multi-Tenant-Designs oft notwendig: Ein Shared-Services-VRF soll von mehreren Tenant-VRFs erreichbar sein, ein Internet-VRF soll selektiv als Exit dienen oder Management-Netze sollen kontrolliert erreichbar sein. Der gefährliche Teil ist das Wort „Leak“: Ohne strikte Kontrolle entstehen schnell ungewollte Seiteneffekte wie laterale Bewegungen, asymmetrische Pfade oder Route-Leaks in…

BGP-LU (Label Unicast): Grundlagen und Einsatzfälle im MPLS-Core

BGP-LU (Label Unicast) ist ein Mechanismus, um Transport-Labels für IPv4/IPv6-Präfixe direkt über BGP zu verteilen – ohne LDP als separaten Label-Distributor. In MPLS-Kernen ist das besonders interessant, wenn du LDP reduzieren oder komplett ersetzen willst, z. B. bei Inter-AS-Transport, bei MPLS-Backbones mit klarer iBGP-Architektur oder als Schritt in Richtung Segment Routing (SR-MPLS). Der Kern der…

BGP Troubleshooting mit show bgp neighbors: Checkliste für Profis

show bgp neighbors (bzw. show ip bgp neighbors) ist das wichtigste Einzelkommando für BGP-Troubleshooting auf Cisco: Es zeigt dir Session-Zustand, Capabilities, Timer, Fehlermeldungen, Policy-Anwendung und Statistiken – also genau die Daten, die du brauchst, um „Session down“, „Routen fehlen“ oder „BGP flapt“ systematisch zu lösen. Der Profi-Workflow lautet: erst Transport (TCP/Reachability), dann BGP-State und Notifications,…