MCR 経路フィルタリング
このトピックでは、Megaport Cloud Router(MCR)の経路フィルタリングについて説明します。 経路フィルタリングは、BGP(Border Gateway Protocol)の近隣ルーター間で検出可能なネットワークを選択的に制御する機能です。経路フィルタリングは、ルーティングパスに影響を与え、冗長性を管理するとともに、セキュリティを向上させるように構成されています。
このトピックには以下のセクションがあります。
経路フィルタリングの概要
経路フィルタリングは、MCRルートのインストールと伝搬(通常は2つ以上のネットワーク間)を制御します。ネットワークには、オンプレミスのものと、クラウドサービスプロバイダー(CSP)のものがあります。 経路フィルタリングを使用することで、次を実行できます。
- 仮想クロスコネクト(VXC)間の経路を再分配する、または再分配しないようにする。
- グループとして管理するIPv4またはIPv6のCIDRブロックのセットを含んだBGPプレフィックスフィルターを作成する。
- 特定の接続で特定の経路を許可または拒否する。
デフォルトのピアリング経路広報
MCR は、Border Gateway Protocol(BGP)を使用して、ネイバーまたはピアとして知られる隣接する BGP システムとネットワーク到達可能性情報を交換します。MCRは、ピアリングタイプのさまざまな組み合わせを使用して接続されているマルチクラウドアーキテクチャで機能します。MCRは、プライベートピアリング接続に加えて、AWS、Azure、Oracle、その他のクラウドサービスプロバイダー(CSP)などのパブリックピアリングタイプに接続できます。
BGP は、標準の TCP 接続を使用して 2 つのネイバー間で通信します。デフォルトでは、BGPネイバーが接続されると、お互いにルーティング情報を共有します。ネイバー間の接続は BGP コネクションまたはセッションと呼ばれます。
Megaportは経路フィルターを使用せずに、これらのピアリングタイプに基づいてBGP接続に経路をアドバタイズします。
ピアリング タイプ | 広報された経路 | 広報された宛先 |
---|---|---|
非クラウド | ポートの背後にある Border Gateway Protocol (BGP) ピアからの経路。 | 非クラウド、プライベート クラウド、パブリック クラウド |
プライベート クラウド | AWS プライベート、Azure プライベート ピア、Google Cloud プラットフォームからの経路。 | 非クラウド、プライベート クラウド |
パブリック クラウド | AWS パブリック、Azure MS ピア、Salesforce、その他のクラウド プロバイダーからの経路。 | 非クラウド |
例えば、パブリッククラウドのBGP接続から受信した経路は、プライベートクラウドのBGP接続にはアドバタイズされません。
ピアリングタイプの経路のアドバタイズを上書きまたは制御することはできません。
経路フィルタリングは、この既存のピアタイプポリシーを変更するものではありませんが、BGPネイバー間で発見され交換された特定の経路やプレフィックスをフィルタリングする必要がある場合に、より細かい制御を可能にします。経路フィルターはオプションです。経路フィルターは、ピアタイプに基づいてすでにフィルターされている経路をアドバタイズするためには使用できません。
デフォルトルートのアドバタイズの詳細については、MCRの経路アドバタイズを参照してください。
フィルター タイプの選択
経路フィルターを設定して、MCRがBGPネイバーからどの経路アドバタイズを許可または拒否するかを定義することができます。BGPコネクションまたはプレフィックスで経路をフィルタリングすることができます。経路フィルタリングは、各フォーマットのIPv4またはIPv6経路をサポートしています。フィルターの種類は次の2つです。
-
BGP peer filter(BGPピアフィルター) - BGPネイバー間のルート交換を許可または拒否するオールオアナッシング型のフィルターです。例えば、BGPのネイバーA、B、Cがいるネットワークの展開を考えてみましょう。AとBは互いに経路を交換することができますが、Cとはできません。一方、すべてのネイバーは本社と経路を交換することができます。BGPのピアフィルタリングは、これらの要件を満たすために、ネイバー間の経路をフィルタリングするシンプルでわかりやすい方法を提供します。
-
BGP prefix filter(BGPプレフィックスフィルター) - 経路プレフィックス(IPアドレスまたは範囲)を使って個々のネイバーを識別し、特定の経路を許可または拒否する高度なフィルターです。同じプレフィックスフィルターを複数のBGPネイバーに適用できるので、手動で冗長なプレフィックスエントリを入力する必要はありません。フィルターリストの各プレフィックスに対して、許可または拒否のアクションを指定できます。インポートやエクスポートの方向で異なるリストを適用することができます。
開始する前に
経路フィルターを設定する前に、必要な条件を決めて導入計画を立てます。そして、これらの要件に基づいて経路フィルターを作成します。
構築の考慮事項
- MCRの作成で説明したように、MCRを作成する必要があります。
- 経路フィルターは、既存のBGP接続にも新規のBGP接続にも対応しているため、BGPを設定する前に経路フィルターを設定することも、後で設定することもできます。
- 仮想クロスコネクト(VXC)に多数のBGPセッションを追加する予定の場合、BGPのルート情報を交換して経路フィルターを適用する前に、BGPのルート交換を停止するとよいでしょう。設定が完了したら、関連する BGP セッションに移動して、ルーターを有効にすることができます。詳細については、MCRの設定を参照してください。
重要
MCRの経路フィルタリングは、BGPの経路更新メカニズムをサポートしており、フィルターによって経路が変更された場合にソフトリセットを使用して経路を更新します。すべてのアクティブなBGP接続でRoute Refresh(経路の更新)が有効になっていない場合、経路をアップデートするためには、Megaport Portalで接続をシャットダウンし、再度有効にする必要があります。BGP Shut Down(BGPシャットダウン)オプションを有効にしている場合は、BGPシャットダウンを無効にしたとき、つまりBGPを再度有効にしたときに、ルートが更新されます。
BGP ピアによるフィルタリング
デフォルトでは、MCRはDefault peering route advertisements(デフォルトのピアリング経路アドバタイズ)に記載されているように、ピアタイプポリシーでフィルタリングされていない限り、すべての経路を許可します。
MCR で構成された BGP 接続のペアごとにポリシーを構成して、ルーティングを微調整することができます。つまり、BGP接続の各ペアには、2つのポリシー - AからBへのものと、BからAへのものがあります。
BGPピアフィルターポリシーには、3つのアクションがあります。
- Default(デフォルト) - 送信元ピアリングタイプのBGP接続で定義されたデフォルトポリシーに従います。
- Permit(許可) - ネイバーAから受信した経路をネイバーBにアドバタイズすることを許可します。
- Deny(拒否) - ネイバーAから受信した経路がネイバーBにアドバタイズされるのを防ぎます。
BGP ピア フィルターの例
BGPコネクションA、B、Cは同じMCRに接続されています。
接続Aには、グローバルな許可ポリシーが設定されています。接続Bへの経路をフィルタリングするために、AからBへのポリシーを「Deny(拒否)」に設定しても、Cにアドバタイズされる経路には影響しません。
接続Cには、グローバルな拒否ポリシーが設定されています。Aにのみ経路をアドバタイズするようにするには、C→Aのポリシーを「Permit(許可)」に設定します。後で新しいBGPピアが追加された場合、Cからの経路はグローバルポリシーに従いアドバタイズされません。
BGP ピア フィルターの作成
BGPピアフィルターは、BGPネイバーからアドバタイズまたは受信したルートの数を制限します。
BGP ピア・フィルターを作成するには
- MCRにアタッチされているVXCを選択し、「Aエンド」を選択します。
-
BGP 接続の横にある [Edit(編集)] をクリックします。
-
「Filters(フィルター)」タブを選択します。
-
「BGP Peer Filter(BGPピアフィルター)」で、このBGP接続で受信した経路をデフォルトでBGPピアにアドバタイズするか、例外的にアドバタイズするかを選択します。
-
「Action(アクション)」ドロップダウンリストから、BGPピアに対するアクションを選択します。
- 「Update (更新)」をクリックします。
- 「Save(保存)」をクリックします。
MCR Looking Glassは、経路フィルタリングを適用した後に受信または送信した経路を表示します。詳細については、MCR Looking Glass を介したトラフィック ルーティングの表示を参照してください。
BGP プレフィックスによるフィルタリング
プレフィックスとは、経路の宛先ネットワークのことです。IP ネットワークは、IP アドレスのグループです。ネットワーク アドレスはプレフィックスです。例:
- IPv4アドレス:192.0.2.1
- IPv4ネットワークのプレフィックス:192.0.2.0/24(192.0.2.0 - 192.0.2.255を含む)
プレフィックス フィルターは、IP ネットワークの名前付きリストです。各エントリは、IPv4またはIPv6のCIDRプレフィックスまたはプレフィックスの範囲で構成されます。CIDRプレフィックス、または自分で定義・管理するプレフィックスの範囲で構成されます。CIDR範囲は、1つのルーティングエントリで複数のネットワークをフィルタリングできることを意味します。
プレフィックスフィルターは、BGP接続に適用され、近隣のルーターからアドバタイズまたは受信する経路を選択的に識別することができます。また、アドバタイズまたは受信しない経路のリストを作り、それ以外を許可することもできます。プレフィックスフィルターを定義すると、MCRはプレフィックス情報に一致するルートのみを受け入れます。このフィルタータイプは、管理するプレフィックスやピアのリストが多い環境で有効です。同じプレフィックスフィルターを複数のBGPピアに適用することができるので、手作業を減らし、潜在的なエラーをなくすことができます。
プレフィックスフィルターには、次が含まれます。
- IPv4またはIPv6プレフィックスのリスト(例:10.0.0.0/16)と、そのリストに関連付けられた名前。
- 一致する条件。特定のルートに完全にマッチするものや、プレフィックスの長さに基づいてあまり正確でないマッチを指定することができます。
- プレフィックスと一致する条件の両方が真である場合に実行されるアクション(例:Permit)。
プレフィックスフィルターでは、ルールは上から順に評価されます。評価は最初の一致で終わります。どのプレフィックスリストのエントリにもマッチしないルートには、暗黙の拒否が適用されます。
プレフィックス フィルター リストのアクション
-
permit(許可)アクションを使用した受信プレフィックスフィルタリング - MCRは、ネイバーからの受信BGP経路のアドバタイズにプレフィックスフィルターを適用します。このリストに記載されているプレフィックスに一致しないルートは、可能な限り早い段階で拒否され、MCRでは使用されません。
-
deny(拒否)アクションを使用した受信プレフィックスフィルタリング - MCRは、ネイバーからの受信BGP経路のアドバタイズにプレフィックスフィルターを適用します。このリストに記載されたプレフィックスに一致するルートはブロックされます。それ以外のプレフィックスは、MCRのルーティングテーブルに入ることができます。
-
permit(許可)アクションを使用した送信プレフィックスフィルタリング - MCRは、送信経路にプレフィックスフィルターを適用します。プレフィックスリストに一致するルートはBGPネイバーにアドバタイズされ、それ以外の経路はフィルタリングされます。
-
deny(拒否)アクションを使用した送信プレフィックスフィルタリング - MCRは、送信経路にプレフィックスフィルターを適用します。プレフィックスリストに一致するルートはBGPネイバーからブロックされ、その他の経路はすべてアドバタイズされます。
BGP プレフィックス フィルターの作成
各MCRは最大50個のプレフィックスフィルターを管理できます。各プレフィックスフィルターには、最大200個のプレフィックスエントリを含めることができます。 各プレフィックスフィルターは独立しており、BGPネイバーごとに一度に1つのリストしか適用できません。
プレフィックスフィルターを作成するには
-
Megaport Portalの「Services(サービス)」ページで、MCRを選択します。
プレフィックスフィルターを作成するには、MCRがLive(ライブ)ステータスになっている必要があります。
「MCR Details(MCRの詳細)」ページが表示されます。 -
「MCR Configuration(MCRの設定)」の「Prefix Filter Lists(プレフィックス・フィルターのリスト)」タブを選択します。
-
「New List(新規リスト)]をクリックします。
-
フィルターを識別するための一意の記述的な名前を入力します。説明は 1 から 100 文字で指定します。
このプレフィックス名は、「BGP Configuration(BGP設定)」タブの「Filters(フィルター)」セクションにあるプレフィックスリストのドロップダウンリストに表示されます。注意
プレフィックスフィルターは、MCR間で共有することはできません。MCRごとにプレフィックスフィルターを再作成する必要があります。
-
IPv4またはIPv6形式のいずれかを選択します。プレフィックスは、同じアドレス形式を使用する必要があります。
同じリスト内で2つのフォーマットを混在させようとすると、警告が表示されます。 - ルールの位置を選択します。
最初にマッチしたものから評価が始まり、残りのリストは無視されるため、ルールの位置は非常に重要です。どの条件にも一致しない場合、MCRは暗黙の拒否を適用します。 -
フィルターに対して取るべきアクションを選択します。一致させる、または一致させない。
-
プレフィックスのサブネットをCIDR表記で入力します。IPv4の場合、a.b.c.d/xを使用します。a.b.c.dは正確なプレフィックス、xは正確なプレフィックス長です。
注意
このフィールドでは、サブネットマスクのドット区切りクアッド表記も可能です(例:/24の代わりに255.255.255.0)。
-
プレフィックスは完全一致のみの場合と、マスクのビット数を指定して一致する条件として使用する場合があります。サブネットマスクの条件を選択します。
-
Exact(完全) - この特定のプレフィックスのみにフィルターを限定します。そのプレフィックスの中に含まれる、より小さなプレフィックスにはマッチしません。
-
Min and Max(最小および最大) - サブネットマスクの長さの範囲を指定して、より柔軟にマッチさせます。アドレスの左端の最上位ビットから順に、サブネットマスクの何ビットに一致させる必要があるかを指定します。サブネットマスクの範囲を指定した場合、フィルターに一致する条件は、a.b.c.d/xの範囲内にルートがあること、マスク長が最小範囲と最大範囲の間にあること、の2つです。プレフィックスが短いとマッチするアドレスが多くなり、長いとマッチするアドレスが少なくなります。
-
Min(最小) - マッチされる最小の開始プレフィックス長です。有効な値は、0から32(IPv4)、または0から128(IPv6)です。MinはMaxと同じかより大きい値にはできません。
-
最大 - 一致させる最大の末尾のプレフィックス長です。プレフィックス長は最小値以上になります。有効な値は、0から32まで(IPv4)、または0から128まで(IPv6)です。ただしMaxはMinより小さい値にはできません。
例えば、10.0.0.0/8 Min 16 は、10.0.0.0/16、10.0.1.0/24、10.0.0.1/30 にはマッチしますが、10.2.0.0/15 にはマッチしません。
注意
MCRのMinおよびMaxの値は、ip prefix-listのCLIコマンドで使用されるCiscoのgeおよびleの値と同様です。
MinとMaxの値を使用する場合は、この条件を満たす必要があります。
プレフィックス長 < 最大 <= 最小
-
-
「Save(保存)」をクリックします。
-
「Next (次へ)」をクリックします。
注意
CIDR 計算機を使用して、すべてのデータが有効で範囲内にあることを確認します。
次に、プレフィックスフィルターのBGP接続への適用で説明したように、BGP接続にフィルターを適用します。
フィルター エントリの例
- 1.2.3.0/24 の完全一致 - サブネットマスクが255.255.255.0のプレフィックス1.2.3.0に完全に一致します。
- 192.2.3.0/24 min 32の一致 - サブネットマスクが32のプレフィックス192.2.3.0の最初の24ビットをチェックします。
- 10.0.12.0/24 max 32の一致 - サブネットマスクが32以下のすべての10.0.12.xのネットワークにマッチします。
既存のプレフィックス フィルターをベースにしたプレフィックス フィルターの作成
既存のフィルターと似たようなフィルターを作りたい場合は、既存のフィルターをベースにして新しいフィルターを作ることができます。これにより、新しいフィルターを一から作る手間が省けます。
既存のフィルターを基にプレフィックスフィルターを作成するには
- MCRを選択します。
「MCR Details(MCRの詳細)」ページが表示されます。 - 「MCR Configuration(MCRの設定)」の「Prefix Filter Lists(プレフィックス・フィルターのリスト)」タブを選択します。
- 「Duplicate List(リストの複製)」をクリックします。
-
新しいリストのベースとなるフィルター リストを選択します。
-
フィルターを識別するための一意の記述的な名前を入力します。
プレフィックス名は、「Filters(フィルター)」タブのBGPセッションにあるプレフィックスのドロップダウンリストに表示されます。 - このフィルターに固有のパラメーターを変更します。
- 「Save(保存)」をクリックします。
- 「Next (次へ)」をクリックします。
BGP 接続へのプレフィックス フィルターの適用
プレフィックスフィルターは、MCR上で直接構成され、BGP接続にアタッチされます。
プレフィックスフィルターを適用するには
- MCRに接続されているVXCを選択し、「Aエンド」を選択します。
- BGP 接続の横にある [Edit(編集)] をクリックします。
-
「Filters(フィルター)」タブを選択します。
-
「Import or Export Prefix Filter(プレフィックスフィルターのインポートまたはエクスポート)」で、ドロップダウンリストからフィルターを選択します。
- Import(インポート) - MCRは、ネイバーからの受信アドバタイズにプレフィックスフィルターを適用します。
- Export(エクスポート) - MCRは、ネイバーへの受信アドバタイズにプレフィックスフィルターを適用します。
-
「Update (更新)」をクリックします。
- 「Save(保存)」をクリックします。
フィルター適用後、経路交換が無効になっている場合は、再度有効にします。「MCR の編集」 (configuring-mcr.md) を参照してください。
1つのプレフィックスフィルターは、複数のBGPセッションにアタッチすることができます。
プレフィックス フィルターのメンテナンス
プレフィックスフィルターリストでは、ルールの追加、削除、並び替えが可能です。
既存プレフィックス フィルターへのルールの追加
各プレフィックスフィルターには、最大200個のルールを含めることができます。重複したルールは許されません。
既存のフィルターにルールを追加するには
- 「Services(サービス)」ページでMCRを選択します。
「MCR Details(MCRの詳細)」ページが表示されます。 - 「MCR Configuration(MCRの設定)」の「Prefix Filter Lists(プレフィックス・フィルターのリスト)」タブを選択します。
- 「Prefix List(プレフィックスリスト)」ドロップダウンリストからプレフィックスリストを選択します。
- ルールを追加します。
-
「Save(保存)」をクリックします。
ルールの変更を適用するには、「Save(保存)」をクリックする必要があります。保存せずに別のリストに切り替えると、変更内容が失われるという警告が表示されます。
プレフィックス フィルターからのルールの削除
フィルターからルールを削除するには
- 「Services(サービス)」ページでMCRを選択します。
「MCR Details(MCRの詳細)」ページが表示されます。 - 「MCR Configuration(MCRの設定)」の「Prefix Filter Lists(プレフィックス・フィルターのリスト)」タブを選択します。
- 「Prefix List(プレフィックスリスト)」ドロップダウンリストからプレフィックスリストを選択します。
- ルールを選択します。
- 「Delete(削除)」をクリックします。
- 「Save(保存)」をクリックします。
プレフィックス フィルターでのルールの並び替え
プレフィックスフィルターリストでは、ルールはリストの上から下に向かって1つずつ評価されるため、ルールの位置が重要になります。評価は最初の一致で終わります。
ルールの位置を並べ替えるには
-
「Position(位置)」カラムの下のアイコンを別の場所にドラッグして離します。
プレフィックス フィルターの削除
プレフィックスリストを削除するには、まずそのリストを参照している他のリソース(VXC など)を削除する必要があります。リソースを削除する前にプレフィックスフィルターのリストを削除しようとすると、使用中のリソースを示すダイアログが表示されます。
注意
すべてのプレフィックス リストは、MCR が終了されると自動的に削除されます。
プレフィックスフィルターを削除するには
- 「Services(サービス)」ページでMCRを選択します。
「MCR Details(MCRの詳細)」ページが表示されます。 - 「MCR Configuration(MCRの設定)」の「Prefix Filter Lists(プレフィックス・フィルターのリスト)」タブを選択します。
- 「Prefix List(プレフィックスリスト)」ドロップダウンリストからプレフィックスリストを選択します。
- 「Delete List(リストの削除)」をクリックします。
- 「Save(保存)」をクリックします。
フィルター適用後の経路の確認
MCR Looking Glassは、経路フィルタリングを適用した後に受信または送信した経路を表示します。 詳細については、MCR Looking Glass を介したトラフィック ルーティングの表示を参照してください。
経路フィルターを適用した後の経路を表示するには
-
「Tools(ツール)」>「MCR Looking Glass」を選択します。
-
「MCR」ドロップダウンリストから MCR を選択します。
- VXCの横にある「Neighbour Routes(ネイバー経路)」をクリックします。
- 「Show(表示)」の後、「Advertised(アドバタイズ済み)」または「Received(受信済み)」タブを選択してリストを絞り込みます。