Automatisiertes BGP Policy Testing: Pre-Deployment Checks für Route-Maps

Automatisiertes BGP Policy Testing verhindert die häufigsten und teuersten Edge-Fehler: Route Leaks durch fehlende Outbound-Filter, falsche LocalPref/Community-Maps, ungewolltes Announcen von „more specifics“ oder das versehentliche Droppen kritischer Prefixes. Gerade Route-Maps sind anfällig, weil Reihenfolge zählt und ein einzelnes „permit“ an der falschen Stelle globale Auswirkungen haben kann. Ein guter Pre-Deployment Check ist daher keine einzelne…

MPLS Grundlagen für Experten: LDP, Labels, LFIB und Forwarding-Pfade

MPLS ist im Kern ein Forwarding-Mechanismus: Pakete werden nicht primär anhand der IP-Destination weitergeleitet, sondern anhand eines (oder mehrerer) Labels. Für den Betrieb zählt dabei nicht „MPLS ist an“, sondern ob Label-Signaling (z. B. LDP), Label-Information (LFIB) und Data-Plane-Forwarding (Push/Swap/Pop) konsistent zusammenspielen. Dieser Artikel erklärt MPLS aus Expertensicht: Wie LDP Labels verteilt, wie aus IGP-Routen…

eBGP mit mehreren Providern: Traffic Engineering mit Communities (DE-Praxis)

Bei eBGP Multi-Homing mit zwei (oder mehr) Providern ist Traffic Engineering in der Praxis weniger „Magie“ und mehr saubere Policy: Du steuerst Outbound über Local Preference in deinem AS und Inbound über Communities (plus optional AS-Path Prepending). In Deutschland ist dieses Modell besonders relevant, weil viele Unternehmen mehrere Carrier/Upstreams nutzen (Redundanz, Preis, Latenz), während Provider…

MPLS L3VPN auf Cisco: VRF, RD/RT, MP-BGP Schritt für Schritt (Advanced)

MPLS L3VPN (RFC-style VPNv4/VPNv6) ist das klassische Bauprinzip für skalierbare, mandantenfähige WANs: Kundennetze laufen logisch getrennt in VRFs, während der MPLS-Core nur Transport liefert. Auf Cisco Routern setzt du das im Kern aus drei Bausteinen zusammen: (1) VRF mit RD/RT, (2) MP-BGP als VPN-Routing-Control-Plane, (3) ein MPLS-Transport (LDP oder BGP-LU) für das Outer Label. „Advanced“…

BGP Graceful Restart & Long-Lived Graceful Restart: Risiken & Konfiguration

BGP Graceful Restart (GR) soll Routing- und Forwarding-Unterbrechungen reduzieren, wenn ein Router oder ein BGP-Prozess neu startet. Statt alle Routen sofort zu withdrawen, hält der Nachbar die Pfade für ein definiertes Zeitfenster „stale“ und forwardet weiter, bis der Restart abgeschlossen ist. Long-Lived Graceful Restart (LLGR) verlängert dieses Prinzip erheblich und kann damit Wartungsfenster und Control-Plane-Störungen…

Route Targets Strategie: Skalierbare RT-Designs für viele VRFs

Route Targets (RTs) sind der Policy-Schlüssel in MPLS L3VPN und MP-BGP: Sie bestimmen, welche VRF welche VPN-Routen importiert und exportiert. In kleinen Umgebungen kann man RTs „per Gefühl“ vergeben. In großen Flotten mit hunderten oder tausenden VRFs führt das jedoch schnell zu Chaos: ungewollte Leaks, schwer auditierbare Abhängigkeiten und Change-Risiken bei jeder neuen VRF. Eine…

BGP Dampening: Warum es selten sinnvoll ist – und wann doch

BGP Dampening wurde entwickelt, um instabile Prefixes („route flaps“) zu bestrafen und dadurch die globale Stabilität zu erhöhen. In der Praxis ist Dampening heute aber selten sinnvoll, weil es häufig genau das Gegenteil bewirkt: Es verlängert Ausfälle durch „suppressed routes“, maskiert Root Causes und kann bei modernen Anwendungen zu minutenlangen Blackholes führen – selbst wenn…

VRF Route Leaking Patterns: Export/Import, Route-Maps, Selective Leak

VRF Route Leaking ist in Multi-Tenant-WANs und Enterprise-MPLS-Designs unvermeidlich: Shared Services, zentrales Internet, Management und Security-Stacks müssen oft aus mehreren VRFs erreichbar sein. Das Risiko steckt im Wort „Leak“: Wenn Export/Import zu breit ist, wird aus einem kontrollierten Service-Zugriff schnell ein ungewolltes Transit-Netz oder ein Security-Problem. Skalierbare Patterns kombinieren deshalb immer drei Dinge: (1) klare…

RPKI für BGP auf Cisco: Route Origin Validation in der Praxis

RPKI (Resource Public Key Infrastructure) ist heute einer der wichtigsten Sicherheitsbausteine für BGP: Mit Route Origin Validation (ROV) prüfst du kryptografisch, ob der AS, der ein Prefix announced, dafür autorisiert ist. Damit reduzierst du das Risiko von Route Leaks und Hijacks deutlich – ohne komplizierte Filterlisten. In der Praxis ist RPKI kein „Allheilmittel“, sondern ein…

MPLS TE vs. Segment Routing: Entscheidungsleitfaden für Router-Backbones

MPLS Traffic Engineering (TE) und Segment Routing (SR) lösen dieselbe Kernaufgabe: du willst deterministische Pfade, schnelle Failover-Mechanismen und steuerbaren Traffic durch den Backbone – unabhängig davon, was das IGP „von allein“ wählt. In der Praxis ist die Entscheidung selten ideologisch, sondern operativ: Welche Control-Plane-Komplexität akzeptierst du, welche Features brauchst du (Fastreroute, Bandbreitenreservierung, Steering), und wie…