BGPフィルタリングの利用

この記事では、BGPフィルタリングを使用してどのBGPルートを受け入れるまたはブロックするかを決定する方法を説明します。

概要

BGP受信ルートフィルターを使用すると、Catoクラウドにトラフィックを通過するBGP隣接機器から受信したルートが受け入れられるか、拒否されるかを制御できます。 これは、ネットワークの安定性、セキュリティ、およびパフォーマンスを維持するために重要です。

BGPフィルタリングを使用して、受け入れるルートを制限することにより、環境を徐々にCatoに移行させることができます。 また、悪意のあるユーザーが使用していることが分かっているルートをブロックするためにBGPフィルタリングを使用できます。

Catoは、BGPフィルタリングのために以下の方法をサポートしています:

  • アクセスコントロールリスト

    • 完全一致

    • 完全一致および包含

  • コミュニティ

注意

注意:

  • BGPフィルタリングは全てのサイトタイプで利用可能です(ソケットサイトにはSocket v21.1以上が必要です)

  • BGPフィルタを編集すると、即座にBGPセッションがリセットされます 

  • BGPインバウンドフィルターは最大500個の異なるCIDRをサポートします

完全一致

正確なネットワークCIDRに基づいて受信BGPルートをフィルタリングするために、完全一致を使用できます。

bgp-filtering_exact.png

例えば、正確なサブネット、例として192.168.1.0/24からのみルートを受け入れるルールを作成できます。 フィルターは完全一致のルートのみを受け入れ、192.168.1.0/30のようなサブネットからのルートは受け入れません。

完全一致および包含

完全一致と同様に、プレフィックスリストを使用して、定義した正確なCIDRだけでなく、そのサブネットも含めたルートを受け入れることができます。

bgp-filtering_inclusive.png

例えば、192.168.1.0/24からのサブネットからのルートを受け入れるルールを作成できますが、/24から/27の範囲のサブネットも含めます。 フィルターは完全一致のルートと、サブネット192.168.1.0/25または192.168.1.0/27からのルートも受け入れます。

コミュニティ

BGPコミュニティは、ルートに属性をタグ付けするために使用され、ルーティングポリシーをより細かく制御することができます。 コミュニティ属性はオプションですが、使用することでルートをグループ化し、これらのグループ化に基づいたフィルタリングポリシーを作成できます。

bgp-filtering_community.png

例えば、コミュニティタグ123を持つすべてのルートをブロックするルールを作成します。 BGPルートにコミュニティ属性をタグ付けすることを確認してください。

ユースケース - 環境を徐々に移行する

ABC社は現在、その環境をCatoクラウドに移行中です。 その移行の一環として、特定のピアに対して広告ルートを段階的に導入し、混乱を引き起こさずに進行したいと考えています。

コミュニティベースのフィルタリングとACLを併用することで、ABC社はルートを受け入れるかブロックするかのルールベースを構築し、状況に応じてこれらのルールを調整できます。

サイトのためのBGPの設定

このセクションでは、BGPピアを定義する際にBGPフィルタリング設定を定義する方法を説明します。 BGPピアの定義に関する詳細な手順については、「カト ソケットのBGP ネイバー設定」を参照してください。

サイトのBGPフィルタリング設定を構成するには:

  1. ナビゲーションメニューから、ネットワーク > サイトをクリックし、サイトを選択します。

  2. ナビゲーションメニューから、サイト設定 > BGPをクリックします。

  3. 新規をクリックして新しいBGPピアを作成するか、既存のものを編集します。 BGPネイバー編集パネルが開きます。

  4. ポリシーセクションで、受け入れの下で、ルートをフィルタリングするかどうか、およびその方法を決定します:

    • すべて破棄 - すべてのBGPルートが破棄され、フィルタリングが適用されていないことを意味します

    • 全て受け入れ - 全てのBGPルートが受け入れられ、フィルタリングが適用されていないことを意味します

    • 受け入れリスト - どのルートを受け入れるかのルールベースを作成します。 指定されていないルートはすべて破棄されます。

    • 破棄リスト - どのルートを破棄するかのルールベースを作成します。 指定されていないルートはすべて受け入れられます。

  5. 受け入れリストまたは破棄リストを選択した場合、新規をクリックして、受け入れるまたは破棄するルートをそれぞれ定義します。

    1. 一致基準を決定します

    2. 条件を選択します

      ルートを選択した場合、条件は完全一致または完全一致および包含のいずれかになります。 コミュニティを選択した場合、条件は完全一致のみです。

    3. の下で、グローバルまたはカスタムを選択します。

      • グローバルIPレンジ - 作成したIPレンジのグローバルオブジェクト

      • カスタムIPレンジ - 特定のルールにのみ適用するCIDRを定義します

    4. (任意)完全一致および包含の条件を選択した場合、サブネットとして含める大なりまたは等しいおよび小なりまたは等しい値を定義できます。

    5. (任意)例外を追加をクリックして、受け入れまたは破棄アクションからルートを除外します。

  6. 適用をクリックし、その後保存をクリックします。

この記事は役に立ちましたか?

1人中1人がこの記事が役に立ったと言っています

0件のコメント