Filtrage de route du MCR
Cette rubrique décrit le filtrage de route du Megaport Cloud Router (MCR). Le filtrage de route permet de contrôler de manière sélective les réseaux qui peuvent être découverts entre les routeurs voisins du protocole BGP (Border Gateway Protocol). Le filtrage de route est configuré pour influencer le chemin d’acheminement et gérer la redondance, tout en améliorant la sécurité.
Cette rubrique comprend les sections suivantes :
- Comment les routes sont annoncées sans filtres
- Sélection d’un type de filtre
- Création de filtres de préfixes BGP à l’aide de critères de correspondance
- Gestion des filtres de préfixe
- Validation des routes après l’application de filtres
Aperçu du filtrage de route
Le filtrage de route permet de contrôler l’installation et la propagation des routes du MCR, généralement entre deux réseaux ou plus. Ces réseaux peuvent être soit sur site, soit hébergés chez un fournisseur de services Cloud (CSP). Vous pouvez utiliser le filtrage de route aux fins suivantes :
- Redistribuer ou empêcher la redistribution des routes entre les connexions transversales virtuelles (VXC).
- Créer un filtre de préfixe BGP qui inclut un ensemble de blocs CIDR IPv4 ou IPv6 à gérer comme un groupe.
- Autoriser ou refuser des routes spécifiques sur des connexions spécifiques.
Annonces de routes de peering par défaut
Le MCR utilise le Border Gateway Protocol (BGP) pour échanger des informations sur l’accessibilité du réseau avec les systèmes BGP adjacents, appelés voisins, ou pairs. Le MCR fonctionne dans des architectures multicloud qui sont connectées en utilisant différentes combinaisons de types de peering. En plus de la connectivité de peering privé, le MCR peut se connecter à des types de peering public tels qu’AWS, Azure, Oracle et d’autres fournisseurs de services cloud (CSP).
Le BGP communique entre deux voisins en utilisant une connexion TCP standard. Par défaut, une fois connectés, les voisins BGP partagent entre eux les informations de routage. La connexion entre les voisins s’appelle une session ou une connexion BGP.
Sans utiliser de filtres de route, Megaport annonce les routes aux connexions BGP en fonction de ces types de peering :
Type de peering | Routes annoncées | Annoncées à |
---|---|---|
Non cloud | Routes du pair Border Gateway Protocol (BGP) derrière un port. | Non cloud, cloud privé, cloud public |
Cloud privé | Routes d’AWS Private, Azure Private Peer, et Google Cloud Platform. | Non cloud et cloud privé |
Cloud public | Routes d’AWS Public, Azure MS Peer, Salesforce et d’autres fournisseurs de cloud. | Non cloud |
Par exemple, une route reçue d’une connexion BGP du Cloud public ne sera pas annoncée à une connexion BGP du Cloud privé.
Vous ne pouvez pas remplacer ou contrôler l’annonce de route du type de peering.
Le filtrage de route ne modifie pas cette politique de type de pair existante mais fournit un contrôle plus fin lorsque vous devez filtrer des routes ou des préfixes spécifiques qui auraient autrement été découverts et échangés entre voisins BGP. Les filtres de route sont facultatifs. Les filtres de route ne peuvent pas être utilisés pour annoncer des routes qui sont déjà filtrées en fonction du type de pair.
Pour des détails sur l’annonce de la route par défaut, allez à Annonces de routes MCR.
Sélection d’un type de filtre
Vous pouvez définir un filtre de route pour définir quelles annonces de route le MCR autorise ou refuse de la part des voisins BGP. Vous pouvez filtrer les routes par connexion BGP ou par préfixe. Le filtrage de route prend en charge les routes IPv4 et/ou IPv6 pour chaque format. Les deux types de filtres sont :
-
BGP peer filter (Filtre des pairs BGP) - Filtre de type « tout ou rien » qui autorise ou refuse l’échange de routes entre voisins BGP. Par exemple, considérons un déploiement réseau avec des voisins BGP A, B et C. A et B sont autorisés à échanger des routes entre eux mais pas avec C, alors que tous les voisins peuvent échanger des routes avec la maison mère. Le filtrage des pairs BGP fournit un moyen simple et direct de filtrer les routes entre les voisins pour répondre à ces exigences.
-
BGP prefix filter (Filtre de préfixe BGP) - Filtre avancé qui autorise ou refuse des routes spécifiques en utilisant des préfixes de route (adresses ou plages d’IP) pour identifier des voisins individuels. Vous pouvez appliquer le même filtre de préfixe à plusieurs voisins BGP, ce qui élimine la nécessité de saisir manuellement des entrées de préfixe redondantes. Vous pouvez spécifier une action d’autorisation ou de refus pour chaque préfixe de la liste de filtres. Vous pouvez appliquer différentes listes en utilisant les directions d’importation ou d’exportation.
Avant de commencer
Avant de configurer un filtre de route, planifiez la mise en œuvre en déterminant vos besoins. Créez ensuite un filtre de route basé sur ces exigences.
Considérations relatives au déploiement
- Vous devez créer un MCR, comme décrit dans Création d’un MCR.
- Vous pouvez configurer les filtres de route avant ou après avoir configuré BGP, car les filtres de route fonctionnent sur les connexions BGP existantes ou nouvelles.
- Si vous prévoyez d’ajouter un certain nombre de sessions BGP sur vos connexions transversales virtuelles (VXC) avant qu’elles n’échangent des informations sur les routes et que des filtres de route ne soient appliqués, vous pouvez désactiver l’échange de routes BGP. Lorsque vous avez fini la configuration, vous pouvez alors accéder aux sessions BGP correspondantes et les activer. Pour plus de détails, voir Configuration d’un MCR.
Important
Le filtrage de route du MCR prend en charge et utilise le mécanisme de rafraîchissement de route BGP pour mettre à jour les routes en utilisant une réinitialisation logicielle lorsque les filtres modifient le routage. Si le rafraîchissement de route n’est pas activé sur toutes les connexions BGP actives, vous devez fermer et réactiver la connexion dans le Portail Megaport pour mettre à jour les routes. Si vous avez activé l’option BGP Shut Down (BGP désactivé), les routes seront mises à jour lorsque vous désactivez l’option BGP Shut Down (BGP désactivé), c’est-à-dire lorsque vous réactivez BGP.
Filtrage par pair BGP
Par défaut, le MCR autorise toutes les routes sauf si elles sont filtrées par la politique de type de pair, comme décrit dans Annonces de routes de peering par défaut.
Vous pouvez configurer une politique pour chaque paire de connexions BGP configurées sur le MCR afin d’affiner le routage. Les paires BGP sont unidirectionnelles, ce qui signifie que chaque paire de connexions BGP a deux politiques - une pour A vers B, et une autre pour B vers A.
Une politique de filtre de pairs BGP a trois actions possibles :
- Default (Par défaut) - Suit la politique par défaut définie par la connexion BGP de type peering source.
- Permit (Autoriser) - Autorise les routes reçues du voisin A à être annoncées au voisin B.
- Deny (Refuser) - Empêche les routes reçues du voisin A d’être annoncées au voisin B.
Exemple de filtre de pair BGP
Les connexions BGP A, B et C sont connectées au même MCR.
La connexion A a une politique d’autorisation globale. Pour filtrer les routes vers la connexion B, la politique A vers B peut être définie sur Deny (Refuser) sans incidence sur les routes annoncées vers C.
La connexion C a une politique de refus global. Pour permettre aux routes d’être annoncées uniquement à A, la politique C vers A peut être définie sur Permit (Autoriser). Si un nouveau pair BGP est ajouté plus tard, les routes de C suivront la politique globale et ne seront pas annoncées.
Création d’un filtre de pair BGP
Un filtre de pairs BGP limite le nombre de routes qui ont été annoncées ou reçues des voisins BGP.
Pour créer un filtre de pair BGP
- Sélectionnez la VXC reliée au MCR et sélectionnez A-End.
-
À côté de la connexion BGP, cliquez sur Edit (modifier).
-
Sélectionnez l’onglet Filters (Filtres).
-
Sous BGP Peer Filter (Filtre pair BGP), sélectionnez si les routes reçues par cette connexion BGP sont annoncées aux pairs BGP par défaut ou par exception.
-
Sélectionnez une action pour le pair BGP dans la liste déroulante Action.
- Cliquez sur Update (Mettre à jour).
- Cliquez sur Save (Enregistrer).
Le MCR Looking Glass (Looking Glass du MCR) affiche les routes reçues ou envoyées après avoir appliqué le filtrage des routes. Pour plus de détails, voir Affichage du routage du trafic à travers le Looking Glass du MCR.
Filtrage par préfixe BGP
Un préfixe est le réseau de destination de la route. Un réseau IP est un groupe d’adresses IP. L’adresse réseau est le préfixe. Par exemple :
- Adresse IPv4 : 192.0.2.1.
- Préfixe de réseau IPv4 : 192.0.2.0/24 (inclut 192.0.2.0 - 192.0.2.255)
Un filtre de préfixe est une liste nommée de réseaux IP. Chaque entrée consiste en un préfixe CIDR IPv4 ou IPv6 ou une plage de préfixes que vous définissez et gérez. Une plage CIDR signifie que vous pouvez filtrer plusieurs réseaux à l’aide d’une seule entrée de routage.
Un filtre de préfixe peut être appliqué à une connexion BGP pour identifier sélectivement les routes à annoncer ou à recevoir des routeurs voisins. Vous pouvez également établir une liste de routes à ne pas annoncer ni à recevoir, en autorisant tout le reste. Lorsque vous définissez un filtre de préfixe, le MCR n’accepte que les routes correspondant aux informations du préfixe. Ce type de filtre est utile dans les environnements ayant une grande liste de préfixes et de pairs à gérer. Vous pouvez appliquer le même filtre de préfixe à plusieurs pairs BGP, ce qui réduit le travail manuel et élimine les erreurs potentielles.
Un filtre de préfixe contient les éléments suivants :
- Une liste de préfixes IPv4 ou IPv6 (par exemple, 10.0.0.0/16) et un nom associé à la liste.
- Une condition de correspondance. Vous pouvez spécifier des correspondances exactes avec des routes spécifiques ou des correspondances moins précises basées sur la longueur du préfixe.
- Une action qui est exécutée si le préfixe et la condition de correspondance sont tous deux vrais (par exemple, Permit [Autoriser]).
Dans un filtre de préfixe, les règles sont évaluées de haut en bas. L’évaluation s’arrête à la première correspondance. Un refus implicite est appliqué aux routes qui ne correspondent à aucune entrée de la liste de préfixes.
Actions de la liste de filtres de préfixes
-
Inbound prefix filtering using a permit action (Filtrage des préfixes entrants à l’aide d’une action de permission) - Le MCR applique le filtre de préfixe aux annonces de route BGP entrantes du voisin. Les routes qui ne correspondent pas aux préfixes de cette liste sont refusées le plus tôt possible et ne sont jamais utilisées par le MCR.
-
Inbound prefix filtering using a deny action (Filtrage des préfixes entrants à l’aide d’une action de refus) - Le MCR applique le filtre de préfixe aux annonces de route BGP entrantes du voisin. Les routes correspondant aux préfixes de cette liste sont bloquées. Tous les autres préfixes sont autorisés à entrer dans la table de routage du MCR.
-
Outbound prefix filtering using a permit action (Filtrage des préfixes sortants à l’aide d’une action d’autorisation) - Le MCR applique le filtre de préfixes aux routes sortantes. Les routes correspondant à la liste de préfixes sont annoncées au voisin BGP et toutes les autres routes sont filtrées.
-
Outbound prefix filtering using a deny action (Filtrage des préfixes sortants à l’aide d’une action de refus) - Le MCR applique le filtre de préfixes aux routes sortantes. Les routes correspondant à la liste de préfixes sont bloquées pour le voisin BGP et toutes les autres routes sont annoncées.
Création d’un filtre de préfixe BGP
Chaque MCR peut gérer jusqu’à 50 filtres de préfixe. Chaque filtre de préfixe peut contenir jusqu’à 200 entrées de préfixe. Chaque filtre de préfixe est indépendant et vous ne pouvez appliquer qu’une seule liste par voisin BGP à la fois.
Pour créer un filtre de préfixe
-
Sur la page des services du Portail Megaport, sélectionnez un MCR.
Le MCR doit avoir un statut Live (Actif) avant que vous puissiez créer un filtre de préfixe.
La page MCR Details (Détails du MCR) s’affiche. -
Sous MCR Configuration (Configuration du MCR), sélectionnez l’onglet Prefix Filter Lists (Listes de filtres de préfixes).
-
Cliquez sur New list (Nouvelle liste).
-
Saisissez un nom descriptif unique pour identifier le filtre. La longueur minimale de la description est comprise entre 1 et 100 caractères.
Ce nom de préfixe apparaîtra dans la liste déroulante des listes de préfixes sous la section Filters (Filtres) de l’onglet BGP Configuration (Configuration du BGP).Remarque
Les filtres de préfixes ne peuvent pas être partagés entre les MCR. Vous devez recréer des filtres de préfixe pour chaque MCR.
-
Sélectionnez le format IPv4 ou IPv6. Les préfixes doivent utiliser le même format d’adresse.
Un avertissement apparaît si vous essayez de mélanger les deux formats dans la même liste. - Sélectionnez une position pour la règle.
La position de la règle est essentielle car l’évaluation s’arrête à la première correspondance et le reste de la liste est ignoré. Si aucune condition ne correspond, le MCR applique un refus implicite. -
Sélectionnez l’action à entreprendre pour le filtre : Faire correspondre ou Ne pas faire correspondre.
-
Entrez les sous-réseaux du préfixe en notation CIDR. Pour IPv4, utilisez a.b.c.d/x, où a.b.c.d est le préfixe exact et x est la longueur exacte du préfixe.
Remarque
Ce champ accepte également une notation en quarts de points pour le masque de sous-réseau (par exemple, 255.255.255.0 au lieu de /24).
-
Les préfixes peuvent être des correspondances exactes uniquement ou vous pouvez spécifier le nombre de bits du masque à utiliser comme critères de correspondance. Sélectionnez les critères du masque de sous-réseau :
-
Exact (Exact) - Limite le filtre à ce seul préfixe spécifique. Tous les préfixes plus petits contenus dans le préfixe ne sont pas mis en correspondance.
-
Min and Max (Min et max) - Précisez une plage de longueurs de masque de sous-réseau à faire correspondre pour plus de flexibilité. Indiquez le nombre de bits du masque de sous-réseau que le filtre doit faire correspondre, en commençant par le bit le plus significatif dans la position la plus à gauche de l’adresse. Lorsque vous spécifiez une plage de masques de sous-réseau, le filtre doit maintenant répondre à deux conditions : la route doit se trouver dans la limite a.b.c.d/x et sa longueur de masque doit être comprise entre la plage minimale et maximale. Les préfixes plus courts correspondent à plus d’adresses, tandis que les préfixes plus longs correspondent à moins d’adresses.
-
Min - La longueur minimale du préfixe de départ à faire correspondre. Les valeurs valides sont de 0 à 32 (IPv4), ou de 0 à 128 (IPv6). La valeur Min ne doit pas être supérieure ou égale à la valeur Max.
-
Max - La longueur maximale du préfixe de fin à faire correspondre. La longueur du préfixe est supérieure ou égale à la valeur Min. Les valeurs valides sont de 0 à 32 (IPv4), ou de 0 à 128 (IPv6), mais la valeur maximale ne doit pas être inférieure à la valeur minimale.
Par exemple, 10.0.0.0/8 Min 16 correspond à 10.0.0.0/16, 10.0.1.0/24, 10.0.0.1/30 mais pas à 10.2.0.0/15.
Remarque
Les valeurs Min et Max du MCR sont similaires aux valeurs ge et le de Cisco utilisées avec la commande CLI ip prefix-list.
Lorsque vous utilisez les valeurs Min et Max, vous devez satisfaire à cette condition :
Longueur du préfixe < Max <= Min
-
-
Cliquez sur Save (Enregistrer).
-
Cliquez sur Next (Suivant).
Remarque
Utilisez un calculateur CIDR pour vous assurer que toutes les données sont valides et dans la plage.
L’étape suivante consiste à appliquer le filtre à la connexion BGP, comme décrit dans Application d’un filtre de préfixe à une connexion BGP.
Exemples d’entrées de filtre
- Une correspondance exacte sur 1.2.3.0/24 - correspond exactement au préfixe 1.2.3.0 avec un masque de sous-réseau de 255.255.255.0
- Une correspondance 192.2.3.0/24 min 32 - vérifie les 24 premiers bits du préfixe 192.2.3.0 qui ont un masque de sous-réseau de 32
- Une correspondance 10.0.12.0/24 max 32 - correspond à tous les réseaux 10.0.12.x qui ont un masque de sous-réseau inférieur ou égal à 32
Création d’un filtre de préfixe basé sur un filtre de préfixe existant
Si vous voulez créer un filtre similaire à un filtre existant, vous pouvez utiliser le filtre existant comme base pour le nouveau filtre. Cela vous évite de devoir créer un nouveau filtre à partir de zéro.
Pour créer un filtre de préfixe basé sur un filtre existant
- Sélectionnez un MCR.
La page MCR Details (Détails du MCR) s’affiche. - Sous MCR Configuration (Configuration du MCR), sélectionnez l’onglet Prefix Filter Lists (Listes de filtres de préfixes).
- Cliquez sur Duplicate List (Dupliquer la liste).
-
Sélectionnez la liste de filtres sur laquelle vous souhaitez baser la nouvelle liste.
-
Saisissez un nom descriptif unique pour identifier le filtre.
Les noms de préfixes apparaîtront dans la liste déroulante des préfixes sous l’onglet Filters (Filtres) pour la session BGP. - Apportez les modifications nécessaires aux paramètres propres à ce filtre.
- Cliquez sur Save (Enregistrer).
- Cliquez sur Next (Suivant).
Appliquer un filtre de préfixe à une connexion BGP
Les filtres de préfixes sont configurés directement sur le MCR et ensuite attachés à une connexion BGP.
Pour appliquer un filtre de préfixe
- Sélectionnez la VXC reliée au MCR et sélectionnez A-End.
- À côté de la connexion BGP, cliquez sur Edit (modifier).
-
Sélectionnez l’onglet Filters (Filtres).
-
Sous Import or Export Prefix Filter (Importer ou Exporter un filtre de préfixe), sélectionnez le filtre dans la liste déroulante.
- Import (Importer) - Le MCR applique le filtre de préfixe aux annonces entrantes du voisin.
- Export (Exporter) - Le MCR applique le filtre de préfixe aux annonces sortantes vers le voisin.
-
Cliquez sur Update (Mettre à jour).
- Cliquez sur Save (Enregistrer).
Après avoir appliqué le filtre, réactivez l’échange de routes s’il est désactivé. Voir Modification d’un MCR.
Un filtre de préfixe peut être attaché à plus d’une session BGP.
Gestion des filtres de préfixe
Dans une liste de filtres de préfixes, des règles peuvent être ajoutées, supprimées et réorganisées.
Ajout d’une règle à un filtre de préfixe existant
Chaque filtre de préfixe peut contenir jusqu’à 200 règles. Les règles dupliquées ne sont pas autorisées.
Pour ajouter une règle à un filtre existant
- Sélectionnez un MCR sur la page Services.
La page MCR Details (Détails du MCR) s’affiche. - Sous MCR Configuration (Configuration du MCR), sélectionnez l’onglet Prefix Filter Lists (Listes de filtres de préfixes).
- Sélectionnez une liste de préfixes dans la liste déroulante Liste de préfixes.
- Ajoutez la règle.
-
Cliquez sur Save (Enregistrer).
Vous devez cliquer sur Save (Enregistrer) pour appliquer les modifications apportées aux règles. Si vous passez à une autre liste sans enregistrer, un avertissement vous avertit que les modifications seront perdues.
Suppression d’une règle d’un filtre de préfixe
Pour supprimer une règle d’un filtre
- Sélectionnez un MCR sur la page Services.
La page MCR Details (Détails du MCR) s’affiche. - Sous MCR Configuration (Configuration du MCR), sélectionnez l’onglet Prefix Filter Lists (Listes de filtres de préfixes).
- Sélectionnez une liste de préfixes dans la liste déroulante Liste de préfixes.
- Sélectionnez une règle.
- Cliquez sur Delete (Supprimer).
- Cliquez sur Save (Enregistrer).
Réordonner les règles dans un filtre de préfixe
Dans une liste de filtres de préfixes, la position de la règle est essentielle car les règles sont évaluées une par une, en commençant par le haut de la liste et en continuant vers le bas. L’évaluation s’arrête à la première correspondance.
Pour réorganiser la position d’une règle
-
Faites glisser l’icône sous la colonne Position vers un autre emplacement et relâchez.
Suppression d’un filtre de préfixe
Pour supprimer une liste de préfixes, vous devez d’abord supprimer toutes les autres ressources qui y font référence, telles que les VXC. Si vous tentez de supprimer une liste de filtres de préfixes avant de supprimer ses ressources, une boîte de dialogue répertorie les ressources utilisées.
Remarque
Toutes les listes de préfixes sont automatiquement supprimées d’un MCR lorsqu’il est résilié.
Pour supprimer un filtre de préfixe
- Sélectionnez un MCR sur la page Services.
La page MCR Details (Détails du MCR) s’affiche. - Sous MCR Configuration (Configuration du MCR), sélectionnez l’onglet Prefix Filter Lists (Listes de filtres de préfixes).
- Sélectionnez une liste de préfixes dans la liste déroulante Liste de préfixes.
- Cliquez sur Delete List (Supprimer la liste).
- Cliquez sur Save (Enregistrer).
Validation des routes après l’application de filtres
Le MCR Looking Glass (Looking Glass du MCR) affiche les routes reçues ou envoyées après avoir appliqué le filtrage des routes. Pour plus de détails, consultez la page Affichage du routage du trafic à travers le Looking Glass du MCR.
Pour visualiser les routes après avoir appliqué un filtre de route
-
Choisissez Tools (Outils) > MCR Looking Glass (Looking Glass du MCR).
-
Sélectionnez un MCR dans la liste déroulante des MCR.
- A côté de la VXC, cliquez sur Neighbour Routes (Routes voisines).
- Après Show (Afficher), sélectionnez les onglets Advertised (Annoncé) ou Received (Reçu) pour réduire la liste.