Wenn Daten von einem Unternehmensstandort zu einem Cloud-Dienst wandern, durchqueren sie in der Regel mehrere Netze unterschiedlicher Betreiber. Welchen Weg die Pakete dabei nehmen, entscheidet kein zentraler Koordinator, diese Aufgabe übernimmt das Border Gateway Protocol (BGP). Es ist das Protokoll, mit dem Netzbetreiber weltweit untereinander aushandeln, welche Ziele über welche Wege erreichbar sind. Für IT-Entscheider ist BGP aus zwei Gründen relevant: Die Qualität externer Verbindungen hängt direkt von den Routing-Entscheidungen der beteiligten Provider ab, und Fehler oder Angriffe im globalen Routing können den eigenen Betrieb treffen, ohne dass im eigenen Netz etwas falsch konfiguriert wäre. Wer die Grundzüge versteht, kann Anbieter besser bewerten und Vorfälle schneller einordnen.
Was ist BGP?
BGP regelt den Austausch von Erreichbarkeitsinformationen zwischen autonomen Systemen. Ein autonomes System (AS) ist ein Netz unter einheitlicher administrativer Kontrolle, zum Beispiel das Netz eines Internetproviders, eines Carriers oder eines großen Unternehmens. Jedes AS trägt eine weltweit eindeutige Nummer, vergeben von den regionalen Internet-Registries. Auch Managed Service Provider wie KAEMI betreiben eigene Netzinfrastruktur mit eigenem autonomen System und treffen die zugehörigen Routing-Entscheidungen selbst.
Über BGP teilt ein AS seinen direkten Nachbarn mit, welche IP-Adressbereiche, sogenannte Präfixe, über ihn erreichbar sind. Diese Ankündigungen heißen Announcements. Sie wandern von Netz zu Netz und ergeben in Summe die globale Routing-Tabelle. Eine zentrale Instanz, die Wege vorgibt, existiert im Internet nicht. Es funktioniert, weil zehntausende autonome Systeme ihre Routen gegenseitig bekannt machen und die Angaben ihrer Nachbarn weiterverarbeiten. In diesem Sinn ist BGP das Protokoll, das das Internet zusammenhält: Wird es gestört oder manipuliert, verschwinden ganze Netze aus der Erreichbarkeit.
So funktioniert es
- Nachbarschaften statt Automatik: BGP-Router bauen gezielt konfigurierte Verbindungen zu definierten Partnern auf, den sogenannten Peers. Jede Nachbarschaft ist eine bewusste Entscheidung beider Seiten und spiegelt meist eine Geschäftsbeziehung wider.
- Announcements und Withdrawals: Ein AS kündigt Präfixe an, die es selbst hält oder von Kunden gelernt hat. Fällt ein Pfad aus, zieht der Router die Route zurück und die Nachbarn berechnen Alternativen.
- Pfadwahl über Attribute: Ist ein Ziel über mehrere Wege erreichbar, entscheidet BGP anhand von Attributen. Wichtig sind unter anderem die lokale Präferenz und die Länge des AS-Pfads, also die Zahl der zu durchquerenden Netze.
- Policy vor Geschwindigkeit: BGP optimiert keine technischen Metriken wie Bandbreite oder Auslastung. Es setzt Richtlinien um, etwa die Bevorzugung von Kundenrouten oder die Vermeidung teurer Transitwege.
- Schrittweise Konvergenz: Ändert sich die Topologie, verbreiten sich Updates von Nachbar zu Nachbar, bis alle beteiligten Router wieder einen konsistenten Stand erreicht haben.
Warum es wichtig ist
- Jeder öffentlich erreichbare Dienst hängt davon ab, dass seine IP-Präfixe korrekt per BGP angekündigt werden.
- Erst ein eigenes AS mit eigenen Announcements macht Multihoming möglich, also die gleichzeitige Anbindung an mehrere Provider mit automatischem Failover.
- Über die Pfadsteuerung lassen sich Latenz und Kosten beeinflussen, etwa wenn Traffic bevorzugt über direkte Peerings statt über Transit läuft.
- Route Leaks, also versehentlich weitergegebene Routen, können Verkehr über falsche Netze lenken und Verbindungen spürbar ausbremsen.
- Route Hijacking bezeichnet das absichtliche Ankündigen fremder Präfixe, um Verkehr umzuleiten oder abzufangen. Solche Vorfälle treffen immer wieder auch große Anbieter.
- RPKI wirkt dem entgegen: Netzbetreiber hinterlegen kryptografisch signierte Nachweise, welches AS ein Präfix ankündigen darf, und Router verwerfen ungültige Announcements automatisch.
Typische Szenarien
- Ein Unternehmen bindet seinen Hauptstandort an zwei Provider an. Mit eigenem AS und eigenen Adressbereichen übernimmt bei einem Leitungsausfall die zweite Anbindung automatisch.
- Ein Betreiber möchte Verkehr zu einer Public Cloud über einen privaten, direkten Pfad führen und steuert die Wegewahl über BGP-Announcements auf dedizierten Verbindungen.
- Nach einem Routing-Vorfall bei einem großen Carrier prüft das Betriebsteam, ob eigene Präfixe betroffen waren, und verschärft die Filter gegenüber den Peers.
- Beim Umzug in ein neues Rechenzentrum werden Adressbereiche kontrolliert migriert, indem Announcements am neuen Standort schrittweise aktiviert und am alten zurückgezogen werden.
BGP vs. Interior-Routing (OSPF)
BGP und Interior-Protokolle wie OSPF lösen verschiedene Aufgaben. OSPF arbeitet innerhalb einer Organisation: Es kennt die komplette Topologie des eigenen Netzes und berechnet daraus den kürzesten Weg zwischen zwei Punkten. BGP arbeitet zwischen Organisationen: Es kennt keine Details fremder Netze und setzt stattdessen Richtlinien um, welche Wege Verkehr über Netzgrenzen hinweg nehmen darf. In der Praxis ergänzen sich beide Welten. OSPF hält das interne Netz konsistent, BGP verbindet dieses Netz mit der Außenwelt und trägt dafür die vollständige Routing-Tabelle des Internets.
Wie KAEMI unterstützt
KAEMI betreibt eigene Netzinfrastruktur, trifft Routing-Entscheidungen im eigenen autonomen System selbst und kennt BGP aus dem täglichen Betrieb. Das schafft kontrollierte Pfade zu Cloud-Plattformen und direkte Übergabepunkte zu anderen Netzen, mit kurzen Reaktionswegen bei Störungen im globalen Routing. Wie daraus private und performante Verbindungen in Public Clouds entstehen, zeigt unsere Leistung Cloud Connectivity & SDN . Wenn Sie ein eigenes AS planen oder Ihre Anbindung redundant auslegen möchten, begleitet Sie unser Team über Professional & Managed Services von der Konzeption bis zum laufenden Betrieb.