Работа с фильтрацией BGP

Эта статья объясняет, как определить, какие маршруты BGP принимать или блокировать с помощью фильтрации BGP.

Обзор

Фильтры маршрутов BGP Ingress позволяют контролировать, какие маршруты принимаются или отклоняются при получении от соседа BGP, пересылающего трафик в облако Cato. Это важно для поддержания стабильности, безопасности и производительности сети.

Фильтрация BGP может быть использована для постепенной миграции вашей среды в облако Cato, ограничивая принимаемые маршруты. Кроме того, вы можете использовать фильтрацию BGP для блокировки маршрутов, которые, как известно, используются злоумышленниками.

Cato поддерживает следующие методы фильтрации BGP:

  • Списки управления доступом

    • Точное совпадение

    • Точное и Инклюзивное

  • Сообщества

Примечание

Примечания:

  • BGP-фильтрация доступна для всех типов площадок (площадки с Socket требуют Socket v21.1 и выше)

  • Редактирование BGP-фильтров вызывает немедленный сброс BGP-сеанса 

  • Входящие фильтры BGP поддерживают до 500 различных CIDR.

Точное совпадение

Вы можете использовать Точное совпадение для фильтрации входящих маршрутов BGP на основе исходного сетевого CIDR.

bgp-filtering_exact.png

Например, вы можете создать правило, которое будет принимать маршруты только из точной подсети, например, 192.168.1.0/24. Фильтр будет принимать только те маршруты, которые точно совпадают, но не будет принимать маршруты из подсетей, таких как 192.168.1.0/30.

Точное и Инклюзивное

Похожие на Точные, вы можете использовать списки префиксов для принятия маршрутов, которые включены не только в точно определенный вами CIDR, но и в его подсети.

bgp-filtering_inclusive.png

Например, вы можете создать правило, которое принимает маршруты из подсети, например, 192.168.1.0/24, но также включает подсети в диапазоне от /24 до /27. Фильтр принимает маршруты, которые точно совпадают, а также маршруты из подсетей 192.168.1.0/25 или 192.168.1.0/27.

Сообщества

Сообщества BGP используются для маркировки маршрутов с атрибутом, что дает больше контроля над политиками маршрутизации. Хотя атрибут сообщества является необязательным, его использование позволяет группировать маршруты и создавать политики фильтрации на основе этих группировок.

bgp-filtering_community.png

Например, создайте правило, которое блокирует все маршруты с меткой сообщества 123. Убедитесь, что вы пометили сами маршруты BGP атрибутом сообщества.

Применение - Постепенно мигрируйте вашу среду

Компания ABC в настоящее время мигрирует свою среду в облако Cato. В рамках этой миграции она хочет постепенно вводить рекламируемые маршруты к определенным партнерам без создания сбоев.

Используя как фильтрацию на основе сообществ, так и списки управления доступом, ABC может создать базу правил, которая принимает или блокирует маршруты на основе заранее определенных критериев, и затем корректировать эти правила по мере необходимости.

Настройка BGP для площадки

Этот раздел объясняет, как определить настройки фильтрации BGP при определении BGP-узла. Полные инструкции по определению BGP-узла смотрите в разделе Настройка BGP-соседей для Socket Cato.

Чтобы настроить параметры фильтрации BGP для площадки:

  1. В навигационном меню нажмите Сеть > Площадки и выберите площадку.

  2. В навигационном меню нажмите Настройки площадки > BGP.

  3. Нажмите Новый, чтобы создать новый BGP-узел или отредактировать существующий. Откроется панель Редактировать BGP-соседа.

  4. В разделе Политика под Принять определите, нужно ли фильтровать маршруты и как:

    • Отбросить все - Все маршруты BGP сбрасываются, фильтрация не проводится

    • Принять все - Все маршруты BGP принимаются, фильтрация не проводится

    • Список принятия - Создайте базу правил для принятия маршрутов. Любые маршруты, которые не указаны, сбрасываются.

    • Список отклонения - Создайте базу правил для отклонения маршрутов. Любые маршруты, которые не указаны, принимаются.

  5. Если вы выбрали Список принятия или Список отклонения, нажмите Новый, чтобы определить, какие маршруты принимать или сбрасывать, соответственно.

    1. Определите критерии Совпадение

    2. Выберите Условие

      Если вы выберете Маршруты, условие может быть либо Точным, либо Точным и Инклюзивным. Если вы выберете Сообщества, условие только Точное.

    3. В разделе Значения выберите Глобальный или Пользовательский.

      • Глобальный диапазон IP - глобальный объект, созданный в ваших IP диапазоны.

      • Пользовательский диапазон IP - определите CIDR, который применяется только к конкретному правилу

    4. (Необязательно) Если вы выбрали Точное и Инклюзивное условие, вы можете определить значения Больше или равно и Меньше или равно для включения как подсетей.

    5. (Необязательно) Нажмите Добавить исключения, чтобы исключить маршрут из действия Принять или Отклонить.

  6. Нажмите Применить, затем нажмите Сохранить.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 1 из 1

0 комментариев