action.skip
Megaportのドキュメンテーション
ルートフィルタリング
Copy for LLM ▼
Copy Page Content Open in ChatGPT Open in Claude Open in VS Code View Markdown
PDF

MCR ルートフィルタリング

このトピックでは、Megaport Cloud Router (MCR) のルートフィルタリングについて説明します。
ルートフィルタリングは、Border Gateway Protocol (BGP) の隣接ルーター間でどのネットワークが認識されるかを選択的に制御する機能です。
ルートフィルタリングは、ルーティングパスに影響を与え、冗長性を管理しながらセキュリティを向上させるために設定されます。

このトピックは以下のセクションで構成されています:

MCR ピアリング

ルートフィルタリングの概要

ルートフィルタリングは、通常2つ以上のネットワーク間でのMCRのルートインストールと伝播を制御します。ネットワークはオンプレミス環境でも、クラウドサービスプロバイダー (CSP) でも構いません。
ルートフィルタリングを使用することで、以下のことが可能です:

  • Virtual Cross Connect (VXC) 間での経路再配布や再配布の防止。
  • IPv4またはIPv6 CIDRブロックのセットをグループとして管理するBGPプレフィックスフィルターの作成。
  • 特定の接続において、特定の経路を許可または拒否。

デフォルトのピアリング経路広告

MCR は、Border Gateway Protocol (BGP)Border Gateway Protocol (BGP) は、インターネット上の自律システム (AS) 間でルートと到達可能性の情報を交換するために設計された標準化されたルーティングプロトコルです。
 を使用して、neighbors(隣接ルーター)または peers と呼ばれる隣接BGPシステムとネットワーク到達可能性情報を交換します。
MCR は、マルチクラウド複数のクラウドコンピューティングサービスを単一の異種アーキテクチャで使用すること。例えば、企業がインフラストラクチャ(IaaS)やソフトウェア(SaaS)サービスに複数のクラウドプロバイダーを利用する場合が該当します。Megaport の重要な価値提案の一つは、マルチクラウド接続の実現です。
アーキテクチャで動作し、さまざまなピアリングタイプの組み合わせで接続されます。プライベートピアリング接続に加えて、AWS、Azure、Oracle など他のクラウドサービスプロバイダー (CSP) のパブリックピアリングタイプにも接続できます。

BGPは、標準的なTCP接続を使用して2つの隣接ルーター間で通信します。デフォルトでは、BGPネイバーが接続されると、互いにルーティング情報を共有します。この隣接間の接続は、BGP接続またはBGPセッションと呼ばれます。

MCR ピアリング

ルートフィルターを使用しない場合、Megaport は以下のピアリングタイプに基づいてBGP接続に経路を広告します:

ピアリングタイプ 広告される経路 広告先
Non-cloud(非クラウド) ポートの背後にあるBorder Gateway Protocol (BGP) ピアからの経路 Non-cloud、プライベートクラウド、パブリッククラウド
Private cloud(プライベートクラウド) AWS Private、Azure Private Peer、Google Cloud Platformからの経路 Non-cloud、プライベートクラウド
Public cloud(パブリッククラウド) AWS Public、Azure MS Peer、Salesforce、その他クラウドプロバイダーからの経路 Non-cloud

例として、パブリッククラウドBGP接続から受信した経路は、プライベートクラウドBGP接続には広告されません。

このピアリングタイプに基づく経路広告は、上書きや制御ができません。

ルートフィルタリングは、この既存のピアタイプポリシーを変更するものではなく、本来BGPネイバー間で検出・交換される特定の経路やプレフィックスをフィルタリングする場合に、より細かい制御を提供します。ルートフィルターは 任意 であり、ピアタイプによってすでにフィルタリングされている経路を広告するために使用することはできません。

デフォルトの経路広告の詳細については、MCR 経路広告 を参照してください。

フィルタータイプの選択

ルートフィルターを設定して、BGPネイバーからMCR が許可または拒否する経路広告を定義できます。経路はBGP接続単位またはプレフィックス単位でフィルタリング可能です。ルートフィルタリングは、各フォーマットに対してIPv4および/またはIPv6経路をサポートします。フィルタータイプは次の2種類です:

  • BGPピアフィルター — BGPネイバー間の経路交換を全許可または全拒否するフィルターです。
    例として、BGPネイバーA、B、Cを持つネットワーク構成を考えます。AとBは互いに経路交換を許可されますが、Cとは許可されません。一方で、すべてのネイバーは本社と経路交換が可能です。BGPピアフィルタリングは、この要件を満たすためにネイバー間の経路を簡単かつ明確にフィルタリングする方法を提供します。

  • BGPプレフィックスフィルター — 個々のネイバーを識別するために経路プレフィックス(IPアドレスや範囲)を使用して特定の経路を許可または拒否する高度なフィルターです。同じプレフィックスフィルターを複数のBGPネイバーに適用でき、冗長なプレフィックスの手入力を省けます。フィルターリスト内の各プレフィックスに対して許可または拒否のアクションを指定できます。また、インポートまたはエクスポートの方向ごとに異なるリストを適用できます。

始める前に

ルートフィルターを構成する前に、要件を決定して実装計画を立てます。その後、これらの要件に基づいてルートフィルターを作成します。

展開に関する考慮事項

  • MCR の作成 に記載されているように、MCR を作成する必要があります。
  • ルートフィルターは既存または新規のBGP接続で機能するため、BGPの構成前でも後でも設定できます。
  • 複数のBGPセッションをVirtual Cross Connect(VXC)にわたって追加する予定がある場合、経路情報の交換とルートフィルターの適用が行われる前に、BGP経路交換を停止しておくことを検討してください。構成が完了したら、関連するBGPセッションに入り、それらを有効化できます。詳細は MCR の構成 を参照してください。

重要

MCR のルートフィルタリングは、フィルターによって経路が変更された際にソフトリセットを使用して経路を更新する BGP Route Refresh メカニズムをサポートし、これに依存しています。すべてのアクティブなBGP接続でRoute Refreshが有効になっていない場合、経路を更新するにはMegaport Portalで接続を停止し、再度有効化する必要があります。BGP Shut Down オプションを有効化している場合は、BGP Shut Down を無効化(つまりBGPを再有効化)すると経路が更新されます。

BGPピアによるフィルタリング

デフォルトでは、デフォルトのピアリング経路広告 に記載されているピアタイプポリシーでフィルタリングされない限り、MCR はすべての経路を許可します。

MCR 上に構成されたBGP接続のペアごとにポリシーを設定し、ルーティングを微調整できます。BGPペアリングは単方向であり、各BGP接続ペアには2つのポリシー(AからB用、BからA用)が存在します。

BGPピアフィルターポリシーには、次の3つのアクションがあります:

  • Default(デフォルト) — ソースピアリングタイプBGP接続で定義されたデフォルトポリシーに従います。
  • Permit(許可) — ネイバーAから受信した経路をネイバーBに広告します。
  • Deny(拒否) — ネイバーAから受信した経路をネイバーBに広告しません。

BGPピアフィルターの例

BGP接続A、B、Cが同じMCRに接続されています。

接続Aはグローバル許可ポリシーを持っています。接続Bへの経路をフィルタリングするには、AからBへのポリシーをDeny(拒否)に設定します。これにより、Cへの広告経路には影響を与えません。

接続Cはグローバル拒否ポリシーを持っています。Aへのみ経路を広告するには、CからAへのポリシーをPermit(許可)に設定します。後で新しいBGPピアが追加された場合、Cからの経路はグローバルポリシーに従い、広告されません。

BGPピアフィルターの作成

BGPピアフィルターは、BGPピアから広告または受信される経路数を制限します。

BGPピアフィルターを作成するには:

  1. MCRに接続されているVXCを選択し、A Endを選択します。

  2. BGP接続の横にある Edit をクリックします。

    BGP connection edit

  3. Filters タブを選択します。

  4. BGP Peer Filter の下で、このBGP接続が受信した経路をBGPピアにデフォルトで広告するか、例外的に広告するかを選択します。

    BGP peer filter

  5. アクションドロップダウンリストからBGPピアのアクションを選択します。

  6. Update をクリックします。
  7. Save をクリックします。

MCR Looking Glassには、ルートフィルタリング適用後に受信または送信された経路が表示されます。詳細は、MCR Looking Glass を使用したトラフィックルーティングの確認 を参照してください。

BGPプレフィックスによるフィルタリング

プレフィックスとは、経路の宛先ネットワークのことです。IPネットワークはIPアドレスのグループであり、そのネットワークアドレスがプレフィックスです。
例:

  • IPv4アドレス: 192.0.2.1
  • IPv4ネットワークプレフィックス: 192.0.2.0/24 (192.0.2.0 ~ 192.0.2.255 を含む)

プレフィックスフィルターは、IPネットワークの名前付きリストです。各エントリは、IPv4またはIPv6のCIDRプレフィックス、またはプレフィックスの範囲で構成されます。CIDR範囲を使用することで、1つのルーティングエントリで複数のネットワークをフィルタリングできます。

プレフィックスフィルターはBGP接続に適用され、隣接ルーターから広告または受信する経路を選択的に識別できます。また、広告または受信しない経路のリストを作成し、それ以外のすべてを許可することもできます。プレフィックスフィルターを定義すると、MCRはそのプレフィックス情報に一致する経路のみを受け入れます。このフィルタータイプは、多くのプレフィックスやピアを管理する環境で有用です。1つのプレフィックスフィルターを複数のBGPピアに適用できるため、手作業を減らし、誤りを防ぐことができます。

プレフィックスフィルターには以下が含まれます:

  • IPv4またはIPv6のプレフィックス(例: 10.0.0.0/16)のリストと、そのリストに関連付けられた名前。
  • マッチ条件。特定の経路との完全一致、またはプレフィックス長に基づくより緩やかな一致を指定できます。
  • プレフィックスとマッチ条件の両方が真である場合に実行されるアクション(例: Permit)。

プレフィックスフィルターでは、ルールは上から順に評価され、最初に一致した時点で評価が終了します。一致しない経路には暗黙のDenyが適用されます。

プレフィックスフィルターのリストアクション

  • 受信プレフィックスフィルタリング(Permitアクション)
    MCRは、隣接ピアからのBGP経路広告に対してプレフィックスフィルターを適用します。リスト内のプレフィックスに一致しない経路は、可能な限り早い段階で拒否され、MCRによって使用されません。

  • 受信プレフィックスフィルタリング(Denyアクション)
    MCRは、隣接ピアからのBGP経路広告に対してプレフィックスフィルターを適用します。リスト内のプレフィックスに一致する経路はブロックされ、それ以外のプレフィックスはMCRのルーティングテーブルに追加されます。

  • 送信プレフィックスフィルタリング(Permitアクション)
    MCRは、送信経路に対してプレフィックスフィルターを適用します。リスト内のプレフィックスに一致する経路はBGPピアに広告され、それ以外の経路はフィルタリングされます。

  • 送信プレフィックスフィルタリング(Denyアクション)
    MCRは、送信経路に対してプレフィックスフィルターを適用します。リスト内のプレフィックスに一致する経路はBGPピアへの広告から除外され、それ以外の経路は広告されます。

BGPプレフィックスフィルターの作成

各MCRは最大50個のプレフィックスフィルターを管理できます。
各フィルターには最大200個のプレフィックスエントリを含めることができます。
1つのBGPピアに適用できるプレフィックスフィルターは同時に1つだけです。

プレフィックスフィルターを作成する手順:

  1. Megaport PortalのServicesページでMCRを選択します。
    プレフィックスフィルターを作成するには、MCRがLiveステータスである必要があります。
    MCRのDetailsページが表示されます。

  2. MCR ConfigurationPrefix Filter Listsタブを選択します。

    Prefix filter lists tab

  3. New Listをクリックします。

    New prefix filter

  4. フィルターを識別するための一意で説明的な名前を入力します(1〜100文字)。
    この名前は、BGP設定タブのFiltersセクションにあるプレフィックスリストのドロップダウンに表示されます。

    プレフィックスフィルターはMCR間で共有できません。各MCRで再作成する必要があります。

  5. IPv4またはIPv6形式を選択します。
    プレフィックスは同じアドレス形式である必要があります。形式を混在させると警告が表示されます。

  6. ルールの位置を選択します。
    ルールは上から順に評価され、最初に一致した時点で残りは無視されます。条件に一致しない場合、MCRは暗黙のDenyを適用します。

  7. フィルターのアクション(Match または Don’t Match)を選択します。

    Exact match prefix filter

  8. プレフィックスサブネットをCIDR表記で入力します。
    IPv4の場合は a.b.c.d/x 形式で、a.b.c.d は正確なプレフィックス、x はプレフィックス長です。

    このフィールドでは、サブネットマスクのドット付き10進表記(例:255.255.255.0)も使用できます(/24の代わりに指定可能)。

  9. プレフィックスは完全一致(Exact Match)のみ、またはマスクビット数を指定して一致条件を設定できます。
    サブネットマスクの条件を選択します:

    • Exact(完全一致) — フィルターをこの特定のプレフィックスのみに限定します。
      プレフィックスに含まれるより小さいプレフィックスは一致しません。

    • Min and Max(最小値と最大値) — サブネットマスク長の範囲を指定して、より柔軟に一致させます。
      アドレスの最も左のビット(最上位ビット)から数えて、フィルターが一致する必要のあるサブネットマスクのビット数を指定します。
      サブネットマスクの範囲を指定した場合、フィルターは次の2つの条件に一致する必要があります:

      1. 経路が a.b.c.d/x の境界内にあること
      2. マスク長が最小値から最大値の範囲内であること
        プレフィックスが短いほど多くのアドレスと一致し、長いほど少ないアドレスと一致します。

    • Min(最小値) — 一致するプレフィックス長の下限。
      有効値は IPv4 では 0〜32、IPv6 では 0〜128 です。
      Min は Max 以下である必要があります。

    • Max(最大値) — 一致するプレフィックス長の上限。
      プレフィックス長は Min 以上である必要があります。
      有効値は IPv4 では 0〜32、IPv6 では 0〜128 ですが、Max は Min 以上でなければなりません。

    例: 10.0.0.0/8 Min 16 は、10.0.0.0/1610.0.1.0/2410.0.0.1/30 に一致しますが、10.2.0.0/15 には一致しません。

    MCRのMinとMaxは、Ciscoのip prefix-list CLIコマンドで使用されるgeおよびleの値に似ています。

    MinとMaxを使用する場合、次の条件を満たす必要があります:

    Prefix length < Max <= Min

  10. Save をクリックします。

  11. Next をクリックします。

    すべてのデータが有効で範囲内であることを確認するにはCIDR計算ツールを使用してください。

次のステップは、BGP接続にプレフィックスフィルターを適用することです。

フィルターエントリの例

  • Exact match on 1.2.3.0/24 — プレフィックス 1.2.3.0 にサブネットマスク 255.255.255.0 で完全一致
  • Match 192.2.3.0/24 min 32 — プレフィックス 192.2.3.0 の最初の24ビットに一致し、サブネットマスクが32
  • Match 10.0.12.0/24 max 3210.0.12.*x* ネットワークのうち、サブネットマスクが32以下のすべてに一致

既存のプレフィックスフィルターを基に新しいフィルターを作成する

既存のフィルターに似たフィルターを作成したい場合、そのフィルターをベースにすると、ゼロから作成する手間を省けます。

既存フィルターを基にプレフィックスフィルターを作成する手順:

  1. MCR を選択します。
    MCRのDetailsページが表示されます。
  2. MCR ConfigurationPrefix Filter Listsタブを選択します。
  3. Duplicate List をクリックします。

  4. 新しいリストの基にするフィルターリストを選択します。

    Duplicate prefix filter

  5. フィルターを識別するための一意で説明的な名前を入力します。
    この名前はBGPセッションのFiltersタブ内のプレフィックスのドロップダウンに表示されます。

  6. このフィルター固有のパラメータを変更します。
  7. Save をクリックします。
  8. Next をクリックします。

BGP接続にプレフィックスフィルターを適用する

プレフィックスフィルターはMCR上で直接設定され、その後BGP接続に関連付けられます。

プレフィックスフィルターを適用する手順

  1. MCR に接続されている VXC を選択し、A End を選択します。
  2. BGP接続の横にある Edit をクリックします。

  3. Filters タブを選択します。

    Attach prefix filter

  4. BGP Prefix Filter の下で、BGPピアに事前定義されたプレフィックスフィルターを適用し、
    ピアから受信またはピアへ広告する経路のセットを制限できます。利用可能なオプションは以下のとおりです:

    • No Prefix Filter — すべての経路を許可します。フィルタリングは行いません。
    • Permit List — プレフィックスリストに一致する経路のみ許可します。その他の経路はフィルタリングされます。
    • Deny List — プレフィックスリストに一致する経路を除くすべての経路を許可します。

  5. Import または Export プレフィックスフィルターの下で、ドロップダウンリストからフィルターを選択します。

    • Import — MCR は隣接ノードからの受信広告(インバウンド)にプレフィックスフィルターを適用します。
    • Export — MCR は隣接ノードへの送信広告(アウトバウンド)にプレフィックスフィルターを適用します。

  6. Update をクリックします。

  7. Save をクリックします。

フィルターを適用した後、経路交換が無効になっている場合は再度有効にしてください。詳細はMCRの編集を参照してください。

1つのBGPセッションに複数のプレフィックスフィルターを関連付けることができます。

プレフィックスフィルターの管理

プレフィックスフィルターリストでは、ルールを追加・削除・並べ替えできます。

既存のプレフィックスフィルターにルールを追加する

各プレフィックスフィルターには最大200個のルールを含めることができます。重複するルールは許可されません。

既存のフィルターにルールを追加する手順

  1. サービスページで MCR を選択します。
    MCR のDetailsページが表示されます。
  2. MCR ConfigurationPrefix Filter Lists タブを選択します。
  3. ドロップダウンリストからプレフィックスリストを選択します。
  4. ルールを追加します。

  5. Save をクリックします。

    Add a rule to prefix filter

ルール変更を適用するには必ず Save をクリックしてください。
保存せずに他のリストへ移動すると、変更が失われる旨の警告が表示されます。

プレフィックスフィルターからルールを削除する

フィルターからルールを削除する手順

  1. サービスページで MCR を選択します。
    MCR のDetailsページが表示されます。
  2. MCR ConfigurationPrefix Filter Lists タブを選択します。
  3. ドロップダウンリストからプレフィックスリストを選択します。
  4. 削除するルールを選択します。
  5. Delete をクリックします。
  6. Save をクリックします。

プレフィックスフィルター内のルールを並べ替える

プレフィックスフィルターリスト内では、ルールの順序が重要です。
ルールは上から順番に1つずつ評価され、最初に一致した時点で評価が終了します。

ルールの位置を並べ替える手順

  • Position 列のアイコンをドラッグし、別の位置に移動してドロップします。

    Reposition a rule

プレフィックスフィルターリストを削除する

プレフィックスフィルターリストを削除するには、まずそれを参照している他のリソース(VXCなど)を削除する必要があります。
リソースを削除せずにプレフィックスフィルターリストを削除しようとすると、使用中のリソースがダイアログに表示されます。

MCR が終了すると、すべてのプレフィックスリストは自動的に削除されます。

プレフィックスフィルターを削除する手順

  1. サービスページで MCR を選択します。
    MCR のDetailsページが表示されます。
  2. MCR ConfigurationPrefix Filter Lists タブを選択します。
  3. ドロップダウンリストからプレフィックスリストを選択します。
  4. Delete List をクリックします。
  5. Save をクリックします。

フィルター適用後の経路検証

MCR Looking Glass では、ルートフィルタリング適用後に受信または送信された経路を表示できます。
詳細はMCR Looking Glass を通じたトラフィックルーティングの表示を参照してください。

ルートフィルター適用後の経路を表示する手順

  1. Tools > MCR Looking Glass を選択します。

    MCR Looking Glass

  2. MCR ドロップダウンリストから対象の MCR を選択します。

  3. 対象の VXC の横にある Neighbour Routes をクリックします。
  4. Show の横で Advertised または Received タブを選択して一覧を絞り込みます。