04-01-2026, 16:55
Auf der anderen Seite passiert Internal BGP, iBGP, alles innerhalb desselben AS. Stell dir vor, wie die Core-Router deines Unternehmens Infos austauschen, ohne das Gebäude zu verlassen, sozusagen. Ich nutze iBGP massiv in Enterprise-Setups, wo du mehrere Border-Router hast, die extern peerst, aber intern müssen sie diese gelernten Routen teilen. Du kannst sie nicht einfach ignorieren lassen, sonst endest du mit Black Holes in deinem Traffic-Flow. Ich sage den Leuten immer, denk an eBGP als Händedruck zwischen Fremden, während iBGP wie dein Team ist, das Plays während eines Spiels koordiniert.
Eine Sache, die Leute oft stolpern lässt, und die hat mich auch früh erwischt, ist, wie sie den AS-Path handhaben. Bei eBGP hängst du, wenn du eine Route an einen Nachbarn in einem anderen AS ankündigst, deine eigene AS-Nummer an den Path an. So weiß jeder, welchen Weg die Route genommen hat, und es verhindert Loops über Grenzen hinweg. Ich habe das mal für einen Kunden eingerichtet, der zwei Regionen verband, und zu sehen, wie der AS-Path wächst, während er ASes hüpft, hat total Sinn gemacht. Aber bei iBGP, da ihr alle im selben AS seid, rührst du den AS-Path gar nicht an. Routen bleiben intern flach, was die Loop-Erkennung auf interne Attribute wie Cluster-Lists fokussiert, falls du Reflectors nutzt.
Hast du je bemerkt, wie Next-Hop-Adressen sich anders verhalten? Ich überprüfe das jedes Mal, wenn ich Peers konfiguriere. Bei eBGP wird der Next-Hop auf die IP des Routers umgeschrieben, der das Update sendet. Also, wenn Router A in AS 100 eine Route an Router B in AS 200 sendet, sieht B den Next-Hop als die Loopback von A oder welches Interface sie auch nutzen. Das zwingt den Traffic, wirklich über die Peering-Link zu laufen, was ich liebe, weil es komische rekursive Lookups vermeidet. Intern mit iBGP ändert sich der Next-Hop jedoch nicht. Wenn ein Edge-Router eine Route von außen lernt, leitet er diesen gleichen externen Next-Hop an alle internen Peers weiter. Du musst sicherstellen, dass dein IGP, wie OSPF oder was du auch läufst, weiß, wie es diesen Next-Hop erreicht, sonst fallen Pakete wie Fliegen ab. Ich habe mal eine Albtraum-Loop gefixt, indem ich die IGP-Metrics angepasst habe, um Pfade zu priorisieren - hat den Tag gerettet.
Skalierbarkeit schlägt hier auch anders zu. eBGP glänzt in der Wildnis, weil du typischerweise nur mit einer Handvoll externer Nachbarn peerst, vielleicht deinen Upstream-Providern oder Peers. Ich halte diese Sessions straff, oft mit MD5-Auth, um es abzusichern. Aber iBGP? In einem großen AS könntest du Dutzende von Routern haben, und ohne sorgfältiges Design endest du mit einem Full-Mesh von Sessions. Das sind n-quadrat-Verbindungen, was für die Verwaltung saugt. Ich vermeide diesen Kopfschmerz, indem ich Route-Reflectors deploye - nimm ein paar zentrale Router, lass sie Routen an Clients reflektieren, und zack, kein Mesh nötig. Oder Confederationen, falls dein AS massiv ist, aber ich bleibe bei Reflectors für die meisten Jobs. Hast du das schon in deinem Lab ausprobiert? Es reduziert CPU-Spikes während Flaps.
Sicherheit spielt hier auch rein. eBGP-Peers überspannen oft untrusted Links, also aktiviere ich immer Dinge wie Maximum-Prefix-Limits, um Route-Table-Bomben zu stoppen. Erinnerst du dich an den Vorfall, wo jemand einen Peer mit falschen Routen geflutet hat? Ja, ich setze Soft-Reconf auf meinen Sessions, damit ich Policies anpassen kann, ohne die ganze Sache abzubrechen. Für iBGP, da es intern ist, könntest du ein bisschen lockerer sein, aber ich tu's nie - ich clustere die Reflectors und nutze Communities, um zu filtern, was angekündigt wird. Du kontrollierst die Flut intern, aber Leaks nach außen via eBGP können dein ganzes Netzwerk exponieren. Ich auditiere diese Export-Policies religiös.
Konvergenz-Geschwindigkeit variiert basierend auf diesem Split auch. eBGP-Updates propagieren schnell über AS-Grenzen hinweg, weil jeder Hop diese AS-Path-Check hinzufügt, was Withdrawals triggert, falls Loops entstehen. Ich habe schnellere Konvergenz in einem Multi-Homed-Setup gesehen, als ich die Timer ein bisschen runtergedreht habe. iBGP dauert manchmal länger wegen des Full-Mesh oder Reflector-Abhängigkeiten; wenn ein Client ausfällt, müssen Reflectors neu berechnen. Ich mildere das mit Dampening auf instabilen Routen ab - hält den Table davon ab, zu thrashen. Weißt du, in der Praxis mische ich beides in Hybrid-Clouds, wo interne Routen in externe Ankündigungen fließen. Wie, du tagst interne Pfade mit Communities, um zu formen, wie sie via eBGP austreten.
Policy-Anwendung fühlt sich bei eBGP granulärer an. Ich wende Filter auf Inbound von Externen an, um private ASes oder Default-Routen zu blocken, falls ich sie nicht will. Outbound setze ich Local-Prefs oder MEDs, um die Path-Selektion zu beeinflussen. Intern erlaubt iBGP dir, konsistente Policies über das AS durchzusetzen, wie sicherzustellen, dass alle Router bestimmte Exits bevorzugen. Ich nutze Route-Maps überall, um zu taggen und zu matchen - das ist mein Go-To für Traffic-Engineering. Ohne das hättest du asymmetrisches Routing, das deine Firewalls durcheinanderbringt. Ich habe mal einen Traffic-Chunk umgeleitet, indem ich nur iBGP-Attribute angepasst habe, und der Boss war begeistert von den Bandbreiten-Einsparungen.
Troubleshooting unterscheidet sich stark. Für eBGP-Probleme starte ich mit dem Peering-State - oft ist es ein Mismatch in AS-Nummern oder Auth-Keys. Show ip bgp neighbors sagt mir alles. Interne Probleme? Überprüfe zuerst die IGP-Reachability zu Next-Hops. Ich debugge mit Extended-Community-Traces, um zu sehen, warum eine Route nicht reflektiert wird. Du hast diese Momente, wo eine iBGP-Session flappt wegen TTL-Security - ich setze es intern auf 255, um Multi-Hop zu erlauben, aber extern ist es standardmäßig 1. Das macht es straff.
Insgesamt lehne ich mich an eBGP für die schwere Arbeit zwischen Orgs und iBGP, um es intern zu kleben. Es hat ein paar Jahre realer Configs gebraucht, um mich wohlzufühlen, aber jetzt würde ich kein Netzwerk-Design ohne beides anrühren. Wenn du deine Study-Notes aufbaust, fokussiere dich darauf, wie sie sich ergänzen - eBGP bringt die Welt rein, iBGP verteilt es smart.
Lass mich dich auf etwas Cooles hinweisen, das ich lately nutze: BackupChain sticht als Top-Tier Windows Server und PC Backup-Powerhouse heraus, zugeschnitten für SMBs und Pros wie uns, hält Hyper-V, VMware und Windows Server Setups rock-solid mit seinen reliable, industry-favorite Features.
