1fileapps.de
1fileapps.de
Internet und Mobilfunk

eBGP: Der umfassende Leitfaden zu ebgp – dem externen Border Gateway Protocol

von |Veröffentlicht am
Pre

In der Welt der Netzwerke ist eBGP (External Border Gateway Protocol) das zentrale Werkzeug, um Routing-Informationen zwischen unterschiedlichen autonomen Systemen auszutauschen. Ob es darum geht, einem Internet-Service-Provider (ISP) zu Tunen, eine Verbindung zu einem Peer herzustellen oder komplexe Routing-Strategien zu implementieren – eBGP liefert die Mechanismen, die das Internet zusammenhalten. Dieser Artikel erklärt die Grundlagen, geht auf Praxis-Topologien ein, beleuchtet Sicherheitsaspekte und bietet konkrete Schritte zur Implementierung und Fehlersuche. Egal, ob Sie Administrator, Entwickler oder Architektur-Interessierter sind – dieser Leitfaden hilft Ihnen, eBGP sicher, effizient und robust zu betreiben.

Was ist eBGP? Grundlegende Definition und Begrifflichkeiten

eBGP steht für External Border Gateway Protocol – der Teil des Border Gateway Protocols, der Routing-Informationen zwischen unterschiedlichen autonomen Systemen (AS) austauscht. Im Gegensatz zu iBGP, das innerhalb eines einzigen AS operiert, verbindet eBGP unterschiedliche AS-Nummern miteinander. Dieses Modell erlaubt eine klare Trennung von Richtlinien, Verträgen und administrativen Verantwortlichkeiten zwischen Netzbetreibern, Kunden, Datacentern und Internet-Exchange-Punkten.

Wichtige Konzepte im Zusammenhang mit eBGP sind:

  • Autonome Systeme (AS): Eine administrative Einheit, die von einer Organisation betrieben wird. Jedes AS erhält eine eindeutige ASN.
  • AS-Path: Der Pfad, der von den Ecken des Netzwerks durchlaufen wird. Bei eBGP erhöht sich der AS-Pfad mit jedem externen Nachbarn auf dem Weg zu einem Ziel.
  • Next Hop: Der nächste Hop auf dem Weg zum Ziel-Netzwerk. In vielen Fällen wird der Next Hop direkt vom Nachbarn propagiert und muss eventuell angepasst werden (Nexthop-Self).
  • Routing-Policy: Regeln, die festlegen, welche Routen erzählt, akzeptiert oder verweigert werden.

Eine grundlegende Eigenschaft von eBGP ist die TTL (Time To Live) eines BGP-Pakets. Standardmäßig wird bei einer eBGP-Verbindung ein TTL-Wert von 1 angenommen, was bedeutet, dass Peers sich in direkter Nachbarschaft befinden müssen. Diese Einschränkung erhöht die Sicherheit und Stabilität, da eBGP-Verbindungen typischerweise nur zu unmittelbaren Nachbarn aufgebaut werden.

eBGP vs iBGP: Kernunterschiede erklärt

AS-Nummern und Nachbarschaft

Der offensichtlichste Unterschied liegt in der Nachbarschaftsstruktur. eBGP-Peers befinden sich in unterschiedlichen AS, während iBGP-Peers innerhalb desselben AS operieren. Diese Trennung hat direkte Auswirkungen auf Routing-Politiken und Next-Hop-Verhalten.

TTL-Hops und Verbindungen

eBGP-Verbindungen verwenden in der Regel TTL=1, da die Nachbarn typischerweise physisch nahe beieinander liegen (z. B. an einem Transit- oder IX-Punkt). iBGP-Verbindungen haben kein solches TTL-Restriktionsproblem, da sie innerhalb desselben AS stattfinden.

AS-PATH und Routing-Policy

Bei eBGP wird das AS-PATH-Attribut genutzt, um das Vertrauen und die Policy zwischen externen Nachbarn abzubilden. iBGP verwendet ebenfalls AS-PATH, aber innerhalb desselben AS gelten andere Richtlinien, insbesondere dass iBGP-Routen nicht automatisch an andere iBGP-Peers weitergegeben werden dürfen, ohne dass eine Route-Reflection oder full-mesh-Topologie besteht.

Technische Grundlagen: Wie eBGP funktioniert

BGP-Nachbarschaften aufbauen

Der Aufbau einer eBGP-Nachbarschaft erfolgt typischerweise durch das Austauschen von Neighbor-Konfigurationen, in denen die Nachbar-IP-Adressen und die remote-as-Nummern festgelegt werden. Nach der erfolgreichen Verifikation der Verbindung exportiert jeder Nachbar seine Routen in die zentrale Routing-Tabelle des eigenen Routers. Die Routen werden anhand der BGP-Routing-Policy bewertet, selektiert und an den Nachbarn weitergegeben.

Neighbor-Session-Parameter

Zu den zentralen Parametern gehören:

  • Remote-AS: Die AS-Nummer des Nachbarn.
  • Update-Source: Welcher Interface oder welcher Transportpfad für die BGP-Nachbarschaft genutzt wird.
  • Authentication (MD5): Sicherheitsmechanismus, der eine authentische Sitzung zwischen Peers sicherstellt.
  • Address-Family: Welche Adressfamilien (IPv4, IPv6, MP-BGP) unterstützt werden.

Nexthop-Attribute und Nexthop-Self

Das Next-Hop-Attribut bestimmt, welcher Router als nächster Hop für eine weitergeleitete Route fungiert. In vielen Fällen muss der Next Hop von einem Nachbarn angepasst werden (Nexthop-Self), damit der empfangende Router die Route erreichen kann. Ohne Nexthop-Self kann es zu Reachability-Problemen kommen, insbesondere wenn iBGP-Routen über mehrere AS hinweg propagiert werden.

eBGP-Konfiguration: Praktische Schritte

Grundaufbau einer eBGP-Verbindung

In der Praxis beginnt eine eBGP-Konfiguration oft mit der Festlegung der Nachbarn und der AS-Nummern. Danach definiert man die Adress-Families und die zu aktivierenden Richtlinien. Hier ein vereinfachtes Beispiel für Cisco-ähnliche Endgeräte:

router bgp 65001
 neighbor 203.0.113.1 remote-as 65002
 neighbor 203.0.113.1 update-source Loopback0
 !
 address-family ipv4 unicast
  neighbor 203.0.113.1 activate
 exit-address-family

Dieses Beispiel illustriert die Kernpunkte: die remote-as, die Update-Source (oft Loopback bei stabileren Verbindungen) und die Aktivierung der IPv4-Unicast-Adressfamilie. In der Praxis können weitere Schrittfolgen folgen, z. B. Routing-Maps, Prefix-Lists oder Community-Policies.

Richtlinien, Filterung und Route-Maps

Eine robuste eBGP-Implementierung nutzt umfangreiche Filter, um zu verhindern, dass ungeprüfte oder unerwünschte Routen in das eigene Routing-System gelangen. Prefix-Listen und Route-Maps erlauben es, Routen zu akzeptieren, zu rotieren oder zu verschieben basierend auf Prefix-Längen, Herkunftsländern, ASN oder anderen Merkmalen. Ein typischer Aufbau besteht aus:

  • Prefix-Listen, die bestimmten Adressbereiche zugeordnet werden.
  • Route-Maps, die Aktionen wie permit/deny, Set-As-Path, Set-Community definieren.
  • Community- oder Extended-Community-Attribute zur Politiksteuerung.

Sicherheit: Authentifizierung und Absicherung der Sessions

MD5-Authentication ist in vielen Netzwerken Standard, um Man-in-the-Middle-Angriffe zu verhindern. Zusätzlich empfiehlt sich der Einsatz von TTL-Sicherheit und, wo möglich, RPKI-gestützte Validierung von Prefixes. Für hochsichere Umgebungen können auch BGP-ACLs oder Route-Filtering auf Initiatoren- oder Empfangsseite eingeführt werden, um unerlaubte Verbindungen zu blockieren.

Sicherheit und Stabilität in eBGP

MD5-Authentication und Session-Sicherheit

MD5-Authentifizierung schützt die BGP-Sitzung vor unautorisierten Nachbarn. Die Konfigurationsschritte variieren je nach Hersteller, z. B.

  • Schlüsselverwaltung:Ein gemeinsamer Schlüssel pro Nachbar.
  • Schlüsselfrequenz: Regelmäßige Rotation der Secrets, um Kompromittierung zu minimieren.
  • Policy-Management: Einschränkung, welche Nachbarn Routen annoncieren dürfen.

TTL-Sicherheit und BGP-Puppets

Durch TTL-Sicherheit lässt sich verhindern, dass unerwünschte Verbindungen durch Langstreckenpfade aufgebaut werden. In einigen Netzwerken werden TTL-Security-Trigger implementiert, die nach einem bestimmten Versagen der TTL die Verbindung neu initiieren oder blockieren.

RPKI und Origin Validation

RPKI (Resource Public Key Infrastructure) ermöglicht die Validierung von BGP-Origin-Routes. Durch das Verifizieren, ob ein AS-Path-Anger bestand, können Provider verhindern, dass Routen ins Netz gelangen, die von böswilligen Akteuren stammen oder falsch angekündigt wurden. Der Einsatz von RPKI erhöht die Vertrauenswürdigkeit des globalen Routing-Systems signifikant.

Beispiele typischer Topologien mit eBGP

Direkte Peering-Topologie zwischen zwei ISPs

In einer typischen direkten Peer-Verbindung (Interconnect) tauschen zwei ISPs eBGP-Routen aus. Die TTL ist niedrig, und die Route-Policy steuert, welche Präfixe weitergegeben werden. Häufig werden Traffic-Engineering-Strategien implementiert, um Lasten gleichmäßig zu verteilen und Staus zu vermeiden.

eBGP zwischen einem Kunden und seinem Provider

In dieser Beziehung übernimmt der Provider typischerweise das Upstream-Routing. Kunden verwenden häufig Teilnetze, die über Prefix-Lists oder Community-Policies gesteuert werden. Der Kunde kann eigene Routen bevorzugt zu bestimmten Internet-Zielen via MED (Multi-Exit-Discriminator) oder Local Preference beeinflussen.

eBGP auf Internet Exchange Points (IXP)

IXPs ermöglichen Hunderten von Netzbetreibern, über gemeinsame Switch-Stacks Peering zu betreiben. eBGP-Sitzungen werden zwischen peer Routern aufgebaut, um Routing-Informationen effizient und kostengünstig auszutauschen. Hier kommt es oft auf eine gut geplante Policy, schnelle Stabilität der Sessions und klare Präfix-Listen an.

Fortgeschrittene Themen: Multipath, Route-Reflection und mehr

eBGP Multipath

Multipath in eBGP bezieht sich auf das gleichzeitige Nutzen mehrerer Pfade zu demselben Zielnetz. Für eine stabile Verfügbarkeit ist es entscheidend, dass die Pfade identische Anforderungen erfüllen, insbesondere in Bezug auf das Next-Hop-Verhalten und die Präfix-Längen. Multipath erhöht die Ausfallsicherheit, erfordert aber sorgfältige Policy-Definition, damit der Verkehr gleichmäßig verteilt wird und keine Routing-Schleifen entstehen.

Route-Reflector vs. Full Mesh in iBGP

In iBGP-Topologien wird oft ein Route-Reflector-Verbund eingesetzt, um die Notwendigkeit eines Voll- Mesh zwischen allen iBGP-Peers zu vermeiden. Für eBGP bleibt dieses Muster meist irrelevant, da es sich primär um Verbindungen zwischen unterschiedlichen AS handelt, aber in hybriden Umgebungen kann es Situationen geben, in denen Route-Reflector-Funktionen eine Rolle spielen, insbesondere wenn iBGP und eBGP-Stubs zusammenwirken.

IPv6 und MP-BGP

Auch jenseits von IPv4 ist eBGP relevant. IPv6-Peering verwendet ebenfalls eBGP, jedoch mit IPv6-Adressen. MP-BGP (Multiprotocol BGP) wird genutzt, um mehrere Adressfamilien, z. B. IPv4 und IPv6, über denselben Router zu transportieren. Die Konfiguration unterscheidet sich je nach Hersteller, aber die Konzepte bleiben ähnlich: Nachbarn definieren, Address-Families aktivieren, Richtlinien anwenden.

Erläuterung von Fehlersituationen und Troubleshooting

Fehler in eBGP sind selten komplex, aber eine strukturierte Fehlersuche hilft, Probleme effizient zu lösen. Häufige Ursachen sind:

  • AS-Nummer stimmt nicht überein: Remote-AS-Konfigurationen stimmen nicht überein.
  • Physische oder logische Verbindungsprobleme: Interface-Aktivierung, falsche Update-Source, ACLs blockieren BGP-Port 179.
  • Nexthop-Probleme: Falscher Next Hop oder fehlende Reachability zum Next Hop-Pfad.
  • Policy-Fehler: Prefix-Listen, Route-Maps oder Communities filtern wichtige Routen unabsichtigt heraus.
  • Fehlende oder fehlerhafte MD5-Keys: Authentifizierungsfehler verhindern das Herstellen der Session.

Typische Troubleshooting-Schritte:

  • Prüfen der Session-Statusanzeigen auf beider Seiten.
  • Überprüfen der Neighbor-Definitionen (Remote-AS, Update-Source, IP-Adressen).
  • Nachrichten im Log analysieren (BGP-Updates, Flap-Events, Session-Reset).
  • Reachability zum Nachbarn testen (Ping, Traceroute, Routing-Tabellen).
  • Policy-Überprüfung: Prefix-Listen, Route-Maps, Communities und Local Preference.
  • RPKI-Validierung prüfen und ggf. verhindern, dass fehlerhafte Präfixe den Route-Export blockieren.

Beispiele aus der Praxis: Tipps und Best Practices

Planung der Topologie

Eine gut geplante eBGP-Strategie beginnt bei der Auswahl der richtigen Peers, der Definition beruhigter Policies und der Festlegung von Failover-Szenarien. Wichtige Aspekte:

  • Redundante Peers mit kurzen Pässen, um Ausfallsicherheit sicherzustellen.
  • Klare Policy-Definitionen pro Peer, um ungewollte Prefix-Verbreitung zu verhindern.
  • Verwendung von Local Preference zur Steuerung des eingehenden Traffics in der eigenen AS.

Richtlinien und Traffic Engineering

Richtlinien ermöglichen feingranulare Kontrolle über das Routing. Beispiel: Ein ISP möchte eingehenden Traffic zu bestimmten Präfixen bevorzugt über einen bestimmten Transit-Anbieter leiten (mittels Local Preference). Ebenso kann MED genutzt werden, um alternative Routen in Abhängigkeit von Pfadlänge und Kosten zu bevorzugen.

Monitoring und Alarmierung

Eine gute eBGP-Implementierung profitiert von umfassendem Monitoring. Typische Metriken sind:

  • Session-Status (established, idle, active, connect)
  • Update-Rate, Anzahl der empfangenen/gesendeten Routen
  • Reachability des Next Hops und Verzögerungen
  • Policy-Compliance, Anzahl der Ablehnungen durch Prefix-Listen

Ausblick: Die Rolle von eBGP in der Zukunft des Internets

Auch wenn sich das Substitut nach mehr Sicherheitsmaßnahmen, schnellerer Errichbarkeit und größerer Automatisierung richtet, bleibt eBGP der zentrale Baustein für das globale Routing. Mit dem Aufkommen von neuen Technologien wie Segment Routing, BGP-LS (Link-State) und automatisierten Netzwerkläufen wird eBGP weiterhin weiterentwickelt. Wichtige Trends sind:

  • Verbesserte Validierung von Routen durch erweiterte RPKI-Implementierungen.
  • Automatisierte Provisionierung von Peering-Partnerschaften und Policy-Verbreitung
  • Erweiterte Trace- und Debugging-Tools, die schnelle Fehlerdiagnosen unterstützen

Häufige Missverständnisse rund um eBGP

Im Alltag treten immer wieder ähnliche Missverständnisse auf. Hier eine kurze Klarstellung zu den häufigsten Punkten:

  • eBGP bedeutet nicht automatisch schlechtere Sicherheit. Mit geeigneten Maßnahmen wie MD5, RPKI und ACLs kann eBGP sicher betrieben werden.
  • eBGP-Topologien müssen nicht immer direkt physisch verbunden sein. Overlays über IXPs und Shared-Backbones sind üblich.
  • Multipath ist kein Allheilmittel. Nur wenn Pfade kompatibel sind und die Policy sauber definiert ist, führt Multipath zu besseren Verfügbarkeiten.

Zusammenfassung: Warum eBGP für jedes größere Netz unverzichtbar ist

eBGP bildet die Grundlage des Routing im Internet, indem es präzise und kontrollierte Weiterleitung zwischen verschiedenen autonomen Systemen ermöglicht. Von der Grundkonfiguration über Sicherheit und Routing-Policies bis hin zu komplexen Topologien und Troubleshooting – das Verständnis von eBGP ist entscheidend, um stabile, performante und sichere Netzwerke zu betreiben. Durch den gezielten Einsatz von eBGP, ergänzt durch moderne Sicherheits- und Validierungsmechanismen, lassen sich Traffic effizient steuern, Redundanz erhöhen und die Skalierbarkeit des Netzwerks langfristig sichern.

Glossar kurzer Begriffserklärungen

  • eBGP: External Border Gateway Protocol – Routing zwischen unterschiedlichen autonomen Systemen.
  • iBGP: Internal Border Gateway Protocol – Routing innerhalb desselben AS.
  • AS: Autonomes System – eine administrative Einheit im Internet mit eindeutiger ASN.
  • Nexthop: Der nächste Hop auf dem Weg zu einem Zielnetz.
  • TTL: Time To Live – Lebensdauer eines Pakets im Netzwerk.
  • RPKI: Resource Public Key Infrastructure – Validierung von BGP-Origin-Routen.
  • MED: Multi-Exit-Discriminator – Kriterium zur Steuerung des Pfadwahlverhaltens.

Vielleicht gefällt dir auch