VRF + BGP: Implementierungsmuster für Multi-Tenant oder Segmentierung

Die Kombination von VRF (Virtual Routing and Forwarding) mit BGP (Border Gateway Protocol) ist ein etabliertes Muster, um Multi-Tenant-Umgebungen zu segmentieren und gleichzeitig skalierbare Routing-Architekturen zu implementieren. Durch VRFs lassen sich isolierte Routing-Domains schaffen, während BGP die Verteilung von Routen innerhalb und zwischen diesen Domains steuert. Diese Architektur ermöglicht sichere Trennung von Mandanten oder Services bei gleichzeitiger Wiederverwendbarkeit der physischen Infrastruktur.

Grundlagen von VRF und BGP

VRF-Konzepte

VRFs erstellen auf Routern separate Routing-Tabellen, sodass mehrere logische Netzwerke parallel auf derselben Hardware betrieben werden können. Jede VRF hat ihre eigene Forwarding-Domain, wodurch isolierter Datenverkehr zwischen Mandanten gewährleistet wird.

BGP als VRF-Routing-Protokoll

BGP eignet sich hervorragend für VRF-Umgebungen, insbesondere in Multi-Tenant-Szenarien. Es bietet:

• Skalierbare Verteilung von Routen über mehrere VRFs
• Policy-basierte Steuerung von Route-Import und Export
• Unterstützung von Route-Reflectors für große Topologien

Architektur-Muster für Multi-Tenant VRFs

Per-Mandant VRFs

Für jeden Tenant wird eine separate VRF angelegt. Dies isoliert den Datenverkehr und ermöglicht individuelle Policies pro Tenant.

ip vrf Tenant1
 rd 65000:100
 route-target import 65000:100
 route-target export 65000:100
!
ip vrf Tenant2
 rd 65000:200
 route-target import 65000:200
 route-target export 65000:200

BGP-Konfiguration innerhalb der VRFs

Jede VRF kann eigene BGP-Sessions haben, entweder zu lokalen Route-Reflectors oder zu externen Peers:

router bgp 65000
 address-family ipv4 vrf Tenant1
  neighbor 10.0.0.1 remote-as 65001
  neighbor 10.0.0.1 activate
 address-family ipv4 vrf Tenant2
  neighbor 10.0.1.1 remote-as 65002
  neighbor 10.0.1.1 activate

Use Cases für Multi-Tenant Segmentierung

• Cloud- oder SaaS-Umgebungen mit isolierten Kunden
• Unternehmensnetze mit getrennten Abteilungen oder Projekten
• Service-Isolation für Compliance oder Sicherheitsanforderungen

Route-Leaking zwischen VRFs

Selektives Route Leaking

In einigen Szenarien müssen bestimmte Services zwischen VRFs geteilt werden (z.B. DNS oder Management). Dies geschieht selektiv über Route-Maps und BGP Import/Export:

route-map IMPORT_SHARED permit 10
 match ip address prefix-list SHARED_SERVICES
 set community 65000:999 additive
!
route-map EXPORT_SHARED permit 10
 match ip address prefix-list SHARED_SERVICES
 set local-preference 200

Sicherheitsaspekte

• Nur ausgewählte Routen leak-en
• Prefix-Listen strikt pflegen
• Audit und Dokumentation aller Leaks
• Monitoring auf unautorisierte Routenänderungen

Skalierbarkeit und BGP-Design

Route Reflector und iBGP innerhalb VRFs

In großen Umgebungen kann ein Route Reflector die iBGP-Mesh-Komplexität reduzieren:

router bgp 65000
 address-family ipv4 vrf Tenant1
  neighbor 10.0.10.1 remote-as 65000
  neighbor 10.0.10.1 route-reflector-client

Policy-Management

Routenexporte und -importe sollten modularisiert sein:

• Routinen für Standarddienste (DNS, NTP)
• Routinen für mandantenspezifische Services
• Einheitliche Tags, Communities und Local Preference

Monitoring und Troubleshooting

• VRF-spezifische Routing-Tabelle prüfen: show ip route vrf Tenant1
• BGP-Sessions prüfen: show bgp ipv4 vrf Tenant1 summary
• Routen-Filter und Communities validieren
• Traffic-Analyse zwischen VRFs mit NetFlow/sFlow

Best Practices

• Klare Namenskonvention für VRFs und BGP-RD/RTs
• Minimale Anzahl von Route-Leaks, nur für erforderliche Services
• Modulare Route-Maps für Auditierbarkeit
• Monitoring und Alarmierung auf VRF-spezifischen Traffic
• Regelmäßige Review von Policies und BGP-Konfiguration

Zusammenfassung

Die Kombination von VRF und BGP bietet eine robuste Grundlage für Multi-Tenant-Netze und Segmentierung. Durch sorgfältiges Design, selektives Route-Leaking, modulare Policy-Strukturen und kontinuierliches Monitoring lässt sich eine skalierbare, sichere und wartbare Architektur realisieren, die sowohl Management- als auch Produktionsverkehr effizient trennt.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

• Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

• Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

• Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

• Optional Security: Basic ACLs und SSH-Hardening

• Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

• ✅ Packet Tracer .pkt Datei

• ✅ Saubere Konfigurations-Notizen pro Gerät

• ✅ Verifikations-Checkliste + erwartete Outputs

• ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.