Trabajando con Filtrado BGP

Este artículo explica cómo determinar qué rutas BGP aceptar o bloquear utilizando el filtrado BGP.

Visión general

Los Filtros de Ruta de Ingreso BGP te permiten controlar qué rutas se aceptan o se descartan al recibir tráfico de un vecino BGP hacia la nube Cato. Esto es importante para mantener la estabilidad, seguridad y rendimiento de la red.

El filtrado BGP se puede utilizar para migrar gradualmente tu entorno a Cato limitando las rutas que estás aceptando. Además, puedes usar el filtrado BGP para bloquear rutas que se sabe que son utilizadas por actores maliciosos.

Cato admite los siguientes métodos para el filtrado BGP:

  • Listas de Control de Acceso

    • Coincidencia exacta

    • Exacta e Inclusiva

  • Comunidades

Nota

Nota:

  • El filtrado BGP está disponible para todos los tipos de sitios (los sitios Socket requieren Socket v21.1 y versiones superiores)

  • Editar los filtros BGP desencadena un reinicio inmediato de la sesión BGP 

  • Los Filtros de Entrada BGP admiten hasta 500 CIDRs diferentes

Coincidencia Exacta

Puedes usar la coincidencia exacta para filtrar rutas BGP entrantes basadas en el CIDR de la red de origen.

bgp-filtering_exact.png

Por ejemplo, puedes crear una regla que solo acepte rutas de un subred exacta, por ejemplo, 192.168.1.0/24. El filtro solo aceptará rutas que sean una coincidencia exacta, pero no aceptará rutas de subredes como 192.168.1.0/30.

Exacta e Inclusiva

Similar a Exacta, puedes usar listas de prefijos para aceptar rutas que están incluidas no solo en el CIDR exacto que defines, sino también sus subredes.

bgp-filtering_inclusive.png

Por ejemplo, puedes crear una regla que acepte rutas de una subred, por ejemplo, 192.168.1.0/24, pero también incluye subredes desde el rango /24 al /27. El filtro acepta rutas que son una coincidencia exacta y también rutas de las subredes 192.168.1.0/25 o 192.168.1.0/27.

Comunidades

Las comunidades BGP se utilizan para etiquetar rutas con un atributo, lo que te da más control sobre las políticas de enrutamiento. Aunque el atributo comunidad es opcional, cuando se usa, te permite agrupar rutas y crear políticas de filtrado basadas en estos agrupamientos.

bgp-filtering_community.png

Por ejemplo, crea una regla que bloquee todas las rutas con la etiqueta de comunidad 123. Asegúrate de etiquetar las rutas BGP con el atributo de comunidad.

Caso de Uso - Migra Gradualmente tu Entorno

La empresa ABC está migrando actualmente su entorno a la Nube Cato. Como parte de esa migración, quiere introducir gradualmente rutas anunciadas a pares específicos sin causar interrupciones.

Usando tanto el filtrado basado en comunidad como las ACLs, ABC puede construir una base de reglas que acepta o bloquea rutas basadas en criterios predeterminados, y luego ajustar esas reglas según lo requiera la situación.

Configurando BGP para un sitio

Esta sección explica cómo definir configuraciones de filtrado BGP al definir un par BGP. Para instrucciones completas sobre cómo definir un par BGP, vea Configuring BGP Neighbors for a Cato Socket.

Para configurar configuraciones de filtrado BGP para un sitio:

  1. Desde el menú de navegación, haz clic en Network > Sites y selecciona el sitio.

  2. Desde el menú de navegación, haz clic en Site Settings > BGP.

  3. Haz clic en Nuevo para crear un nuevo par BGP o editar uno existente. Se abre el panel Editar Vecino BGP.

  4. En la sección Política, bajo Aceptar determina si filtrar rutas y cómo:

    • Descartar todo - Todas las rutas BGP se descartan, lo que significa que no se aplica filtrado

    • Aceptar todo - Todas las rutas BGP se aceptan, lo que significa que no se aplica filtrado

    • Lista de Aceptación - Crea una base de reglas para las rutas a aceptar. Cualquier ruta que no esté especificada se descarta.

    • Lista de Descarte - Crea una base de reglas para las rutas a descartar. Cualquier ruta que no esté especificada se acepta.

  5. Si seleccionaste Lista de Aceptación o Lista de Descarte, haz clic en Nuevo para definir qué rutas aceptar o descartar, respectivamente.

    1. Determina los criterios de Coincidencia

    2. Selecciona la Condición

      Si seleccionas Rutas, la condición puede ser Exacta o Exacta e Inclusiva. Si seleccionas Comunidades, la condición es solo Exacta.

    3. En Valores, selecciona Global o Personalizado.

      • Rango IP Global - un objeto global que fue creado en tus rangos de IP

      • Rango IP Personalizado - Define el CIDR que solo se aplica a la regla específica

    4. (Opcional) Si seleccionaste la condición Exacta e Inclusiva, puedes definir valores de Mayor que e igual a y Menor que e igual a para incluir como subredes.

    5. (Opcional) Haz clic en Agregar Excepciones para excluir una ruta de la acción de Aceptar o Descartar.

  6. Haz clic en Aplicar, y luego haz clic en Guardar.

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 1 de 1

0 comentarios