使用BGP过滤进行工作

本文解释了如何通过BGP过滤来确定接受或拦截哪些BGP路由。

概述

BGP入站路由过滤器允许您控制在传输流量到Cato云时从BGP邻居接受或丢弃哪些路由。 这对于维护网络稳定性、安全性和性能非常重要。

可以使用BGP过滤通过限制接受的路由逐渐将您的环境迁移到Cato。 此外,您还可以使用BGP过滤来阻止已知被恶意行为者使用的路由。

Cato支持以下BGP过滤方法:

  • 访问控制列表

    • 精确匹配

    • 精确和包容

  • 社区

注意

注意:

  • BGP过滤可用于所有运行Socket v21.1及更高版本的Socket站点。

  • BGP过滤在EA中可用于云互连和IPsec站点。 有关更多信息,请联系您的Cato Networks代表或发送电子邮件到ea@catonetworks.com。

  • 编辑BGP过滤器会立即触发BGP会话重置。

  • BGP入站过滤器支持最多500个不同的CIDR

精确匹配

您可以使用精确匹配根据源网络CIDR过滤传入的BGP路由。

bgp-filtering_exact.png

例如,您可以创建一个规则,只接受来自精确子网的路由,例如192.168.1.0/24。 过滤器只接受完全匹配的路由,但不会接受来自诸如192.168.1.0/30之类子网的路由。

精确和包容

与精确匹配类似,您可以使用前缀列表接受不仅在您定义的精确CIDR内的路由,还包括其子网的路由。

bgp-filtering_inclusive.png

例如,您可以创建一个规则,接受来自子网的路由,例如192.168.1.0/24,但也包括来自/24到/27范围内子网的路由。 过滤器接受完全匹配的路由,也接受来自子网192.168.1.0/25或192.168.1.0/27的路由。

社区

BGP社区用于通过属性标记路由,让您对路由策略有更多控制。 虽然社区属性是可选的,但使用时,它允许您对路由进行分组,并基于这些分组创建过滤策略。

bgp-filtering_community.png

例如,创建一个规则,阻止所有带有社区标签123的路由。 确保自己用社区属性标记BGP路由。

用例 - 渐进迁移环境

公司ABC目前正在将其环境迁移到Cato云。 作为迁移的一部分,它希望逐步向特定对等方引入广告路由而不引起中断。

通过使用基于社区的过滤器和ACL,ABC可以建立一个规则库,根据预定标准接受或阻止路由,然后根据情况需要进行调整。

配置站点的BGP

本节解释了如何在定义BGP邻居时定义BGP过滤设置。 有关定义BGP邻居的完整说明,请参阅Configuring BGP Neighbors for a Cato Socket

配置站点的BGP过滤设置:

  1. 从导航菜单中,点击网络 > 站点并选择站点。

  2. 从导航菜单中,点击站点设置 > BGP

  3. 点击新建以创建新的BGP邻居或编辑现有的。 编辑BGP邻居面板打开。

  4. 策略部分下的接受中确定是否过滤路由以及如何过滤:

    • 全部丢弃 - 所有BGP路由被丢弃,意味着没有应用任何过滤

    • 全部接受 - 所有BGP路由被接受,意味着没有应用任何过滤

    • 接受列表 - 创建一个接受哪些路由的规则库。 未指定的任何路由都会被丢弃。

    • 丢弃列表 - 创建一个丢弃哪些路由的规则库。 未指定的任何路由将被接受。

  5. 如果您选择了接受列表丢弃列表,点击新建以定义接受或丢弃的路由。

    1. 确定匹配条件

    2. 选择条件

      如果您选择路由,条件可以是精确精确和包容。 如果您选择社区,条件仅为精确

    3. 下,选择全局自定义

      • 全局IP范围 - 您在IP范围中创建的全局对象

      • 自定义IP范围 - 定义仅适用于特定规则的CIDR

    4. (可选)如果您选择了精确和包容条件,可以定义大于或等于小于或等于作为子网的值。

    5. (可选)点击添加例外以排除接受或丢弃行为的路由。

  6. 点击应用,然后点击保存

这篇文章有帮助吗?

1 人中有 1 人觉得有帮助

0 条评论