Travailler avec le filtrage BGP

Cet article explique comment déterminer quelles routes BGP accepter ou bloquer en utilisant le filtrage BGP.

Vue d'ensemble

Les filtres de route d'entrée BGP vous permettent de contrôler quelles routes sont acceptées ou rejetées lorsqu'elles sont reçues d'un voisin BGP parcourant le trafic vers le cloud Cato. C'est important pour maintenir la stabilité, la sécurité et la performance du réseau.

Le filtrage BGP peut être utilisé pour migrer progressivement votre environnement vers Cato en limitant les routes que vous acceptez. De plus, vous pouvez utiliser le filtrage BGP pour bloquer les routes connues pour être utilisées par des acteurs malveillants.

Cato prend en charge les méthodes suivantes pour le filtrage BGP :

  • Listes de contrôle d'accès

    • Correspondance exacte

    • Exacte et inclusive

  • Communautés

Remarque

Notes :

  • Le filtrage BGP est disponible pour tous les types de sites (les sites Socket nécessitent Socket v21.1 et supérieur)

  • L'édition des filtres BGP déclenche une réinitialisation immédiate de la session BGP 

  • Les filtres entrants BGP prennent en charge jusqu'à 500 différents CIDR

Correspondance exacte

Vous pouvez utiliser la correspondance exacte pour filtrer les routes BGP entrantes en fonction du réseau source CIDR.

bgp-filtering_exact.png

Par exemple, vous pouvez créer une règle qui n'accepte que les routes d'un sous-réseau exact, par exemple 192.168.1.0/24. Le filtre n'acceptera que les routes qui correspondent exactement, mais n'acceptera pas les routes de sous-réseaux comme 192.168.1.0/30.

Exacte et inclusive

Semblable à Exacte, vous pouvez utiliser des listes de préfixes pour accepter les routes non seulement dans le CIDR exact que vous définissez, mais aussi ses sous-réseaux.

bgp-filtering_inclusive.png

Par exemple, vous pouvez créer une règle qui accepte les routes d'un sous-réseau, par exemple 192.168.1.0/24, mais inclut également les sous-réseaux de la plage /24 à /27. Le filtre accepte les routes qui correspondent exactement ainsi que les routes des sous-réseaux 192.168.1.0/25 ou 192.168.1.0/27.

Communautés

Les communautés BGP sont utilisées pour étiqueter des routes avec un attribut, ce qui vous donne plus de contrôle sur les politiques de routage. Bien que l'attribut de communauté soit facultatif, lorsqu'il est utilisé, il vous permet de regrouper des routes et de créer des politiques de filtrage basées sur ces groupements.

bgp-filtering_community.png

Par exemple, créez une règle qui bloque toutes les routes avec l'étiquette de communauté 123. Assurez-vous d'étiqueter les routes BGP elles-mêmes avec l'attribut de communauté.

Cas d'utilisation - Migrez progressivement votre environnement

L'entreprise ABC migre actuellement son environnement vers le cloud Cato. Dans le cadre de cette migration, elle souhaite introduire progressivement les routes annoncées à des pairs spécifiques sans causer de perturbations.

En utilisant à la fois le filtrage basé sur les communautés et les ACL, ABC peut construire une base de règles qui accepte ou bloque les routes selon des critères prédéterminés, puis ajuster ces règles selon la situation.

Configurer le BGP pour un site

Cette section explique comment définir les paramètres de filtrage BGP lors de la définition d'un pair BGP. Pour des instructions complètes sur la définition d'un pair BGP, voir Configurer les voisins BGP pour un Cato Socket.

Pour configurer les paramètres de filtrage BGP pour un site :

  1. Dans le menu de navigation, cliquez sur Réseau > Sites et sélectionnez le site.

  2. Dans le menu de navigation, cliquez sur Paramètres du site > BGP.

  3. Cliquez sur Nouveau pour créer un nouveau pair BGP ou modifier un pair existant. Le panneau Modifier le voisin BGP s'ouvre.

  4. Dans la section Politique, sous Accepter, déterminez si vous souhaitez filtrer les routes et comment :

    • Tout rejeter - Toutes les routes BGP sont rejetées, ce qui signifie qu'aucun filtrage n'est appliqué

    • Tout accepter - Toutes les routes BGP sont acceptées, ce qui signifie qu'aucun filtrage n'est appliqué

    • Liste d'acceptation - Créez une base de règles pour lesquelles routes accepter. Toutes les routes non spécifiées sont rejetées.

    • Liste de rejet - Créez une base de règles pour lesquelles routes rejeter. Toutes les routes non spécifiées sont acceptées.

  5. Si vous avez sélectionné Liste d'acceptation ou Liste de rejet, cliquez sur Nouveau pour définir quelles routes accepter ou rejeter, respectivement.

    1. Déterminez les critères de Correspondance

    2. Sélectionnez la Condition

      Si vous sélectionnez Routes, la condition peut être soit Exacte soit Exacte et inclusive. Si vous sélectionnez Communautés, la condition est uniquement Exacte.

    3. Sous Valeurs, sélectionnez Global ou Personnalisé.

      • Plage d'IP globale - un objet global qui a été créé dans vos plages IP

      • Plage d'IP personnalisée - Définissez le CIDR qui s'applique uniquement à la règle spécifique

    4. (Optionnel) Si vous avez sélectionné la condition Exacte et Inclusive, vous pouvez définir des valeurs Supérieur ou égal à et Inférieur ou égal à pour inclure en tant que sous-réseaux.

    5. (Optionnel) Cliquez sur Ajouter des exceptions pour exclure une route de l'action Accepter ou Rejeter.

  6. Cliquez sur Appliquer, puis cliquez sur Sauvegarder.

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 1 sur 1

0 commentaire