BGP Security Hardening: TTL Security, MD5, Max-Prefix, GTSM sauber umsetzen

BGP ist das Steuerprotokoll für Internet- und WAN-Routing – und damit ein attraktives Ziel für Angriffe, Fehlkonfigurationen und „accidental peering“. Security Hardening bedeutet hier nicht „ein Feature aktivieren“, sondern mehrere Schutzschichten sauber kombinieren: (1) Session-Schutz gegen Spoofing/Off-Path-Angriffe (TTL Security/GTSM), (2) Authentifizierung/Integrität auf der TCP-Sitzung (MD5/TCP-AO je nach Plattform), und (3) Guardrails gegen Routing-Fehlerszenarien (Max-Prefix, Filter,…

BGP Soft Reconfiguration vs. Route Refresh: Betrieb und Memory-Impact

Wenn du BGP-Policies änderst (Prefix-Lists, Route-Maps, Communities), willst du die neuen Regeln anwenden, ohne die BGP-Session hart zu resetten. Dafür gibt es zwei Mechanismen: Soft Reconfiguration (Inbound) und Route Refresh. Beide erreichen „Policy neu auswerten“, aber mit sehr unterschiedlichen Nebenwirkungen. Soft Reconfiguration hält eine Kopie der ungefilterten Updates im Speicher – gut für Forensik und…

BGP Route Leaks verhindern: Filter-Strategie für Enterprise Edge

Ein BGP Route Leak ist einer der teuersten Enterprise-Fehler am Internet-Edge: Plötzlich werden fremde Prefixes weiterannonseriert, Traffic wird über dein Netz gezogen oder du „vergiftest“ Routing-Entscheidungen im Upstream. Das kann zu massiven Ausfällen führen – intern und extern – und ist oft ein reiner Konfigurationsfehler (fehlender Outbound-Filter, falsches Redistribution-Match, „permit any“ in der Route-Map). Die…

Local Preference Governance: Unternehmensweite Policy ohne Chaos

Local Preference (LocalPref) ist in Enterprise-BGP das zentrale Steuerinstrument für Outbound-Traffic: Der höchste LocalPref gewinnt und bestimmt, über welchen Exit dein AS das Internet oder ein WAN verlässt. Genau deshalb braucht LocalPref Governance. Ohne Standards entsteht „Policy-Chaos“: unterschiedliche Teams setzen Werte nach Bauchgefühl, Ausnahmen werden nie zurückgebaut, und ein harmloser Change kann global den Exit-Pfad…

MED richtig nutzen: Grenzen, Fallstricke und Provider-Realität

MED (Multi-Exit Discriminator) ist eines der am meisten missverstandenen BGP-Attribute. In der Theorie ist MED ein eleganter Hinweis an den Nachbar-AS: „Wenn du mehrere Übergänge zu mir hast, nimm bitte diesen hier bevorzugt.“ In der Praxis scheitert MED oft an drei Realitäten: Es wirkt nur in sehr bestimmten Topologien (meist gleicher Nachbar-AS), es kann durch…

AS-Path Prepend: Dos & Don’ts im echten Internet

AS-Path Prepending ist das bekannteste Werkzeug für Inbound-Traffic-Engineering bei Multi-Homing: Du machst einen Pfad „unattraktiver“, indem du dein eigenes AS mehrfach an den AS-PATH anhängst. Viele Netzbetreiber wählen bei ansonsten gleichen Bedingungen den kürzeren AS-PATH – aber genau hier liegen die Praxisfallen: Prepending ist ein grober Hebel, wirkt nicht deterministisch, kann durch Provider-Policies übersteuert werden…

VRF-leak per MP-BGP: Controlled Inter-VRF Routing designen

Inter-VRF Routing („VRF Leak“) ist im Enterprise-WAN und in Multi-Tenant-Designs oft notwendig: Ein Shared-Services-VRF soll von mehreren Tenant-VRFs erreichbar sein, ein Internet-VRF soll selektiv als Exit dienen oder Management-Netze sollen kontrolliert erreichbar sein. Der gefährliche Teil ist das Wort „Leak“: Ohne strikte Kontrolle entstehen schnell ungewollte Seiteneffekte wie laterale Bewegungen, asymmetrische Pfade oder Route-Leaks in…

BGP-LU (Label Unicast): Grundlagen und Einsatzfälle im MPLS-Core

BGP-LU (Label Unicast) ist ein Mechanismus, um Transport-Labels für IPv4/IPv6-Präfixe direkt über BGP zu verteilen – ohne LDP als separaten Label-Distributor. In MPLS-Kernen ist das besonders interessant, wenn du LDP reduzieren oder komplett ersetzen willst, z. B. bei Inter-AS-Transport, bei MPLS-Backbones mit klarer iBGP-Architektur oder als Schritt in Richtung Segment Routing (SR-MPLS). Der Kern der…

Interface Queueing Deep Dive: Output Drops, Tail Drop, WRED verstehen

Interface Queueing ist der Ort, an dem aus „Bandbreite“ plötzlich „Nutzer-Impact“ wird: Sobald ein Ausgangslink überlastet ist, bilden sich Queues, Latenz steigt, Jitter nimmt zu und irgendwann entstehen Drops. Genau diese Drops siehst du als output drops in show interfaces oder als Drops in QoS-Klassen. Der Deep Dive ist deshalb wichtig: Tail Drop ist das…

BGP Policy Design: Route-Maps, Prefix-Lists, Communities als Baukasten

BGP ist kein „Plug-and-Play“-Routing, sondern ein Policy-Protokoll: Du entscheidest aktiv, welche Prefixes du annimmst, welche du weitergibst und welche Pfade bevorzugt werden. Genau dafür sind Prefix-Lists, Route-Maps und Communities der zentrale Baukasten auf Cisco Routern. Ein sauberes Policy-Design verfolgt drei Ziele: Sicherheit (nur erlaubte Routen), Stabilität (keine Route-Leaks/Flaps) und Steuerbarkeit (Traffic Engineering über Attribute). Dieser…