Technischer Leitfaden: BGP VMs
Eine BGP VM (Border Gateway Protocol Virtual Machine) ist eine virtuelle Maschine, die direkt in das Routing des Internets integriert werden kann. Sie ermöglicht es, eigene IP-Netze weltweit bekanntzugeben, Routing-Entscheidungen zu treffen und Dienste hochverfügbar zu gestalten.
In diesem Artikel gehen wir detailliert darauf ein, wie BGP funktioniert, welche technischen Voraussetzungen erfüllt sein müssen und wie man BGP VMs produktiv nutzen kann.
Grundlagen: Was ist BGP?
BGP (Border Gateway Protocol, RFC 4271) ist das Inter-Domain-Routing-Protokoll des Internets. Es verbindet autonome Systeme (AS) miteinander und sorgt dafür, dass Pakete den richtigen Weg durch das globale Netz finden.
Wichtige Eigenschaften von BGP:
- Path-Vector-Protocol – Entscheidungen basieren auf Pfadinformationen (AS-Pfade)
- Policy-basiert – Routing wird nicht nur nach dem kürzesten Weg, sondern nach Richtlinien (Präferenzen, Communities, LocalPref, MED etc.) entschieden
- Skalierbarkeit – über 900.000 IPv4-Präfixe und mehr als 140.000 IPv6-Präfixe werden heute weltweit über BGP verteilt
Ohne BGP gäbe es keine Möglichkeit, die Millionen Netzwerke und Provider der Welt zuverlässig miteinander zu verbinden.
Warum eine BGP VM?
Eine BGP-fähige VM verhält sich wie ein Router in deinem Backbone und ermöglicht dir:
- Eigene IP-Präfixe announcen
– Deine Netze erscheinen im globalen Routing-Table - Peering-Kontrolle
– Du kannst beeinflussen, welche Routen du akzeptierst oder weitergibst - Anycast-Deployments
– Dieselbe IP in mehreren Rechenzentren announcen - Lastverteilung und Redundanz
– Traffic kann dynamisch über mehrere Standorte laufen - DDoS-Mitigation
– Bei Angriffen lassen sich Netze umleiten oder filtern
Voraussetzungen im Detail
Um eine BGP VM sinnvoll einsetzen zu können, benötigst du:
- Autonomous System Number (ASN)
- Zuteilung durch RIPE NCC, ARIN, LACNIC oder APNIC
- Private ASNs (RFC 6996): 64512–65534 und 4200000000–4294967294 nur für interne BGP-Setups
- Eigene IP-Adressbereiche
- IPv4: mindestens ein /24, damit global announced werden kann
- IPv6: mindestens ein /48 (Provider-Independent)
- Routing-Kenntnisse
- Verständnis von BGP-Attributen: AS_PATH, LocalPref, MED, Communities
- Erfahrung mit Filterungs-Mechanismen (Prefix-Filter, max-prefix, Bogon-Prävention)
- Provider mit BGP-Unterstützung
- Dein Hoster muss eine BGP-Session ermöglichen
- Typischerweise über eBGP (externes Peering) zwischen deinem ASN und dem ASN des Providers
Technischer Ablauf: Einrichtung einer BGP VM
- Bestellung der VM
– Wähle Linux-basiert (z. B. Debian/Ubuntu) mit ausreichend CPU, RAM und Netzwerk-Performance. - Installation eines Routing-Daemons
– Gängige Software:- FRRouting (FRR)
- BIRD 2
- GoBGP
- OpenBGPD
- Session-Konfiguration
– Aufbau der eBGP-Session zum Provider
– Parameter:- Lokaler ASN (dein ASN)
- Remote ASN (ASN des Providers)
- Peering-IPs (IPv4 und/oder IPv6)
- Optional: MD5-Passwort für Authentifizierung
- Ankündigung der Präfixe
– Eigene Netze (z. B.203.0.113.0/24,2001:db8::/48) announcen
– Prefix-Filter stellen sicher, dass nur erlaubte Netze ins Internet gelangen - Routeneingang und Richtlinien
– Empfang von Standard- oder Full-Table-Routen vom Provider
– Steuerung von Prioritäten, Failover und Traffic-Engineering über BGP-Attribute
Beispielkonfiguration (BIRD 2)
protocol bgp my_bgp {
local as 65001;
neighbor 192.0.2.1 as 214915;
password "secure-md5-key";
ipv4 {
import all;
export filter {
if net ~ [ 203.0.113.0/24 ] then accept;
reject;
};
};
}
In diesem Beispiel wird nur das Netz 203.0.113.0/24 ins Internet announced. Alle anderen Routen werden abgelehnt.
Typische Einsatzszenarien
| Szenario | Beschreibung |
|---|---|
| Hosting mit eigenen Netzen | Unabhängige IPs direkt beim Provider nutzen |
| Anycast-DNS | DNS-Server weltweit unter derselben IP verfügbar |
| Content Delivery | Automatisches Routing zum nächstgelegenen Server |
| Failover | Automatisches Umschalten bei Standortausfall |
| DDoS-Mitigation | Redirect/Blackholing von Angriffen via BGP |
Best Practices & Sicherheit
- Prefix-Filter einsetzen – nur deine eigenen Netze announcen
- Max-Prefix-Limits setzen – zum Schutz vor Routing-Leaks
- Communities nutzen – etwa für DDoS-Blackholing-Steuerung
- Monitoring – BGP-Sessions und Routing-Table kontinuierlich überwachen
- Redundanz – mehrere Sessions über verschiedene Upstreams betreiben
Fazit
BGP VMs sind eine leistungsstarke Lösung für Unternehmen, Provider und fortgeschrittene Nutzer, die volle Kontrolle über ihr Routing benötigen. Damit lassen sich eigene Netze global announcen, Anycast-Architekturen aufbauen und hochverfügbare Infrastrukturen realisieren.
Unser Team begleitet dich von der ASN-Beantragung bis zur finalen Konfiguration deines Routing-Daemons – damit deine BGP VM von Anfang an optimal funktioniert.