이 기사에서는 BGP 필터링을 사용하여 수락하거나 차단할 BGP 경로를 결정하는 방법을 설명합니다.
BGP 인그레스 경로 필터는 Cato 클라우드로 트래픽을 보내는 BGP 이웃으로부터 수신될 때 수락되거나 삭제되는 경로를 제어할 수 있도록 합니다. 이는 네트워크 안정성, 보안, 성능을 유지하는 데 중요합니다.
수락하는 경로를 제한하여 BGP 필터링을 사용하여 환경을 점진적으로 Cato로 마이그레이션할 수 있습니다. 또한 악의적인 사용자가 사용하는 것으로 알려진 경로를 차단할 수 있습니다.
Cato는 BGP 필터링에 대해 다음 방법을 지원합니다:
-
액세스 제어 목록
-
정확히 일치
-
정확성과 포괄성
-
-
커뮤니티
참고
참고 사항:
-
BGP 필터링은 모든 사이트 유형에 사용할 수 있습니다 (소켓 사이트는 소켓 v21.1 이상 필요)
-
BGP 필터 수정을 하면 즉시 BGP 세션이 재설정됩니다
-
BGP 인바운드 필터는 최대 500개의 다른 CIDR을 지원합니다.
소스 네트워크 CIDR에 기반하여 수신된 BGP 경로를 필터링하기 위해 정확히 일치를 사용할 수 있습니다.
예를 들어, 특정 서브넷에서만 경로를 수락하는 규칙을 생성할 수 있습니다. 예: 192.168.1.0/24. 필터는 정확히 일치하는 경로만 수락하지만, 192.168.1.0/30과 같은 서브넷 경로는 수락하지 않습니다.
정확히 일치와 유사하게, 프리픽스 목록을 사용하여 정의한 정확한 CIDR뿐만 아니라 그 서브넷에 포함된 경로를 수락할 수 있습니다.
예를 들어, 192.168.1.0/24과 같은 서브넷에서의 경로를 수락하는 규칙을 생성할 수 있으며, 또한 /24에서 /27 범위의 서브넷도 포함합니다. 필터는 정확히 일치하는 경로와 서브넷 192.168.1.0/25 또는 192.168.1.0/27에서 오는 경로도 수락합니다.
BGP 커뮤니티는 라우팅 정책에 대한 더 많은 제어권을 제공하는 속성으로 경로를 태그하는 데 사용됩니다. 커뮤니티 속성은 선택 사항이지만 사용할 경우 경로를 그룹화하고 이러한 그룹화를 기반으로 필터링 정책을 생성할 수 있습니다.
예를 들어, 커뮤니티 태그 123이 있는 모든 경로를 차단하는 규칙을 생성하세요. BGP 경로 자체에 커뮤니티 속성을 태그해야 합니다.
이 섹션은 BGP 피어를 정의할 때 BGP 필터링 설정을 정의하는 방법을 설명합니다. BGP 피어를 정의하는 전체 지침은 카토 소켓에 대한 BGP 이웃 구성을 참조하십시오.
사이트에 대한 BGP 필터링 설정을 구성하려면:
-
네비게이션 메뉴에서 Network > Sites를 클릭하고 사이트를 선택합니다.
-
네비게이션 메뉴에서 Site Settings > BGP를 클릭합니다.
-
새로운 BGP 피어를 생성하거나 기존의 것을 수정하려면 New를 클릭합니다. Edit BGP Neighbor 패널이 열립니다.
-
정책 섹션에서 수락 여부와 방법을 결정합니다.
-
모두 삭제 - 모든 BGP 경로가 삭제되며, 필터링이 적용되지 않습니다.
-
모두 수락 - 모든 BGP 경로가 수락되며, 필터링이 적용되지 않습니다.
-
수락 목록 - 수락할 경로를 위한 규칙 기반을 생성합니다. 지정되지 않은 모든 경로는 삭제됩니다.
-
삭제 목록 - 삭제할 경로를 위한 규칙 기반을 생성합니다. 지정되지 않은 모든 경로는 수락됩니다.
-
-
수락 목록 또는 삭제 목록을 선택한 경우 New를 클릭하여 수락할 또는 삭제할 경로를 정의합니다.
-
일치 기준을 결정합니다.
-
조건을 선택합니다.
경로를 선택한 경우, 조건은 정확히 또는 정확하고 포괄적입니다. 커뮤니티를 선택한 경우 조건은 정확히만 가능합니다.
-
값에서 글로벌 또는 맞춤형을 선택합니다.
-
글로벌 IP 범위 - IP 범위에서 생성된 글로벌 객체
-
맞춤형 IP 범위 - 특정 규칙에만 적용되는 CIDR 정의
-
-
(선택 사항) 정확하고 포괄적인 조건을 선택한 경우, 서브넷으로 추가될 크거나 같은 값과 작거나 같은 값을 정의할 수 있습니다.
-
(선택 사항) 수락 또는 삭제 작업에서 경로를 제외하기 위해 예외 추가를 클릭합니다.
-
-
적용을 클릭한 다음 저장을 클릭합니다.
댓글 0개
이 문서에는 댓글을 달 수 없습니다.