Trabalhando com Filtragem BGP

Este artigo explica como determinar quais rotas BGP aceitar ou bloquear usando a filtragem BGP.

Visão Geral

Os filtros de rota de entrada BGP permitem controlar quais rotas são aceitas ou descartadas quando recebidas de um vizinho BGP que está atravessando o tráfego para a nuvem Cato. Isso é importante para manter a estabilidade, segurança e desempenho da rede.

A filtragem BGP pode ser usada para migrar gradualmente seu ambiente para o Cato, limitando as rotas que você está aceitando. Além disso, você pode usar a filtragem BGP para bloquear rotas que são conhecidas por serem usadas por atores maliciosos.

A Cato suporta os seguintes métodos para filtragem BGP:

  • Listas de Controle de Acesso

    • Correspondência exata

    • Exato e Inclusivo

  • Comunidades

Nota

Notas:

  • O filtro BGP está disponível para todos os tipos de sites (sites Socket exigem Socket v21.1 ou superior)

  • A edição de filtros BGP provoca uma reinicialização imediata da sessão BGP 

  • Filtros de Entrada BGP suportam até 500 CIDRs diferentes

Correspondência Exata

Você pode usar a correspondência exata para filtrar rotas BGP recebidas com base no CIDR da rede de origem.

bgp-filtering_exact.png

Por exemplo, você pode criar uma regra que aceite apenas rotas de um sub-rede exata, por exemplo, 192.168.1.0/24. O filtro aceitará apenas rotas que são uma correspondência exata, mas não aceitará rotas de sub-redes como 192.168.1.0/30.

Exato e Inclusivo

Similar à Exata, você pode usar listas de prefixo para aceitar rotas que estão incluídas não apenas no CIDR exato que você define, mas também em suas sub-redes.

bgp-filtering_inclusive.png

Por exemplo, você pode criar uma regra que aceita rotas de uma sub-rede, por exemplo, 192.168.1.0/24, mas também inclui sub-redes do intervalo /24 a /27. O filtro aceita rotas que são uma correspondência exata e também rotas das sub-redes 192.168.1.0/25 ou 192.168.1.0/27.

Comunidades

Comunidades BGP são usadas para marcar rotas com um atributo, o que lhe dá mais controle sobre as políticas de roteamento. Enquanto o atributo de comunidade é opcional, quando usado, ele permite agrupar rotas e criar políticas de filtragem com base nesses agrupamentos.

bgp-filtering_community.png

Por exemplo, crie uma regra que bloqueia todas as rotas com a tag de comunidade 123. Certifique-se de marcar as próprias rotas BGP com o atributo de comunidade.

Caso de Uso - Migrar Gradualmente seu Ambiente

A empresa ABC está atualmente migrando seu ambiente para a Nuvem Cato. Como parte dessa migração, ela deseja introduzir gradualmente rotas anunciadas para peer específicos, sem causar interrupções.

Usando tanto a filtragem baseada em comunidade quanto ACLs, a ABC pode construir uma base de regras que aceite ou bloqueie rotas com base em critérios pré-determinados e, em seguida, ajustar essas regras conforme a situação exigir mudanças.

Configurando BGP para um site

Esta seção explica como definir configurações de filtragem BGP ao definir um peer BGP. Para obter instruções completas sobre como definir um peer BGP, consulte Configurando Vizinhos BGP para um Socket Cato.

Para configurar as configurações de filtragem BGP para um site:

  1. No menu de navegação, clique em Rede > Sites e selecione o site.

  2. No menu de navegação, clique em Configurações do Site > BGP.

  3. Clique em Novo para criar um novo peer BGP ou editar um existente. O painel Editar Vizinho BGP é aberto.

  4. Na seção Política, sob Aceitar determine se deve filtrar rotas e como:

    • Descartar todas - Todas as rotas BGP são descartadas, o que significa que nenhum filtro é aplicado

    • Aceitar todas - Todas as rotas BGP são aceitas, o que significa que nenhum filtro é aplicado

    • Lista de Aceitação - Crie uma base de regras para quais rotas aceitar. Quaisquer rotas que não forem especificadas são descartadas.

    • Lista de Descarte - Crie uma base de regras para quais rotas descartar. Quaisquer rotas que não forem especificadas, são aceitas.

  5. Se você selecionou Lista de Aceitação ou Lista de Descarte, clique em Novo para definir quais rotas aceitar ou descartar, respectivamente.

    1. Determine os critérios de Correspondência

    2. Selecione a Condição

      Se você selecionar Rotas, a condição pode ser Exata ou Exata e Inclusiva. Se você selecionar Comunidades, a condição é apenas Exata.

    3. Em Valores, selecione Global ou Personalizado.

      • Faixa de IP Global - um objeto global que foi criado nos seus intervalos de IP

      • Faixa de IP Personalizada - Defina o CIDR que se aplica apenas à regra específica

    4. (Opcional) Se você selecionou a condição Exato e Inclusivo, pode definir valores Maior que e igual a e Menor que e igual a para incluir como sub-redes.

    5. (Opcional) Clique em Adicionar Exceções para excluir uma rota da ação Aceitar ou Descartar.

  6. Clique em Aplicar, e então clique em Salvar.

Esse artigo foi útil?

Usuários que acharam isso útil: 1 de 1

0 comentário