PDF

Filtro de Rotas do MCR

Este tópico descreve o filtro de rotas do Megaport Cloud Router (MCR). O filtro de rotas oferece controle seletivo sobre quais redes são descobertas entre roteadores vizinhos do Border Gateway Protocol (BGP). O filtro de rotas é configurado para influenciar o caminho de roteamento e gerenciar a redundância, além de melhorar a segurança.

Este tópico inclui as seguintes seções:

• Como as rotas são anunciadas sem filtros
• Selecionando um tipo de filtro
• Criando filtros de prefixo BGP usando critérios de correspondência
• Mantendo filtros de prefixo
• Validando rotas após aplicar filtros

Visão geral do filtro de rotas

O filtro de rotas oferece controle sobre a instalação e propagação de rotas no MCR, normalmente entre duas ou mais redes. As redes podem ser locais ou de um provedor de serviços de nuvem (CSP). Você pode usar o filtro de rotas para:

• Redistribuir ou evitar a redistribuição de rotas entre os Virtual Cross Connects (VXCs).
• Criar um filtro de prefixo BGP que inclua um conjunto de blocos CIDR IPv4 ou IPv6 para gerenciar como um grupo.
• Permitir ou negar rotas específicas em conexões específicas.

Anúncios de rotas de peering padrão

O MCR usa o Border Gateway Protocol (BGP) para trocar informações de alcance de rede com sistemas BGP adjacentes, conhecidos como vizinhos ou peers. O MCR opera em arquiteturas multi-cloud conectadas usando diferentes combinações de tipos de peering. Além da conectividade de peering privado, o MCR pode se conectar a tipos de peering público, como AWS, Azure, Oracle e outros provedores de serviços de nuvem (CSPs).

O BGP comunica-se entre dois vizinhos usando uma conexão TCP padrão. Por padrão, uma vez que os vizinhos BGP estão conectados, eles compartilham informações de roteamento entre si. A conexão entre os vizinhos é chamada de conexão ou sessão BGP.

Sem o uso de qualquer filtro de rota, a Megaport anuncia rotas para as conexões BGP com base nestes tipos de peering:

Tipo de Peering	Rotas Anunciadas	Anunciado Para
Não-nuvem	Rotas do peer BGP por trás de uma Porta.	Não-nuvem, nuvem privada, nuvem pública
Nuvem privada	Routes from AWS Private, Azure Private Peer, and Google Cloud Platform.	Não-nuvem, nuvem privada
Nuvem pública	Routes from AWS Public, Azure MS Peer, Salesforce, and other cloud providers.	Não-nuvem

Como exemplo, uma rota recebida de uma conexão BGP de Nuvem Pública não será anunciada para uma conexão BGP de Nuvem Privada.

Você não pode substituir ou controlar o anúncio de rotas por tipo de peering.

O filtro de rotas não altera essa política de tipo de peer existente, mas oferece um controle mais preciso quando você precisa filtrar rotas ou prefixos específicos que, de outra forma, seriam descobertos e trocados entre vizinhos BGP. Os filtros de rota são opcionais. Os filtros de rota não podem ser usados para anunciar rotas que já estão filtradas com base no tipo de peer.

Para obter detalhes sobre o anúncio de rotas padrão, veja Anúncio de Rotas do MCR.

Selecionando um tipo de filtro

Você pode definir um filtro de rota para definir quais anúncios de rota o MCR permite ou nega de vizinhos BGP. Você pode filtrar rotas por conexão BGP ou por prefixo. O filtro de rotas suporta rotas IPv4 e/ou IPv6 para cada formato. Os dois tipos de filtros são:

• Filtro de Peer BGP - Um filtro tudo-ou-nada que permite ou nega a troca de rotas entre vizinhos BGP. Por exemplo, considere uma implantação de rede com vizinhos BGP A, B e C. A e B têm permissão para trocar rotas entre si, mas não com C, enquanto todos os vizinhos podem trocar rotas com a sede. O filtro de peer BGP oferece uma maneira simples e direta de filtrar rotas entre os vizinhos para atender a esses requisitos.

• Filtro de Prefixo BGP - Um filtro avançado que permite ou nega rotas específicas usando prefixos de rota (endereços IP ou intervalos) para identificar vizinhos individuais. Você pode aplicar o mesmo filtro de prefixo a mais de um vizinho BGP, eliminando a necessidade de digitar manualmente entradas de prefixo redundantes. Você pode especificar uma ação de permitir ou negar para cada prefixo na lista de filtros. É possível aplicar listas diferentes usando as direções de importação ou exportação.

Antes de começar

Antes de configurar um filtro de rota, planeje a implementação determinando seus requisitos. Em seguida, crie um filtro de rota com base nesses requisitos.

Considerações sobre implantação

• Você precisa criar um MCR, conforme descrito em Criando um MCR.
• Você pode configurar filtros de rota antes ou depois de configurar o BGP, pois os filtros de rota funcionam em conexões BGP existentes ou novas.
• Pode ser útil desativar a troca de rotas BGP se você planeja adicionar várias sessões BGP através de seus Virtual Cross Connects (VXCs) antes que eles troquem informações de rota e os filtros de rota sejam aplicados. Quando terminar de configurar, você poderá então acessar as sessões BGP relevantes e ativá-las. Para mais informações, consulte Configurando um MCR.

Importante

O filtro de rotas do MCR suporta e depende do mecanismo de Atualização de Rotas do BGP para atualizar rotas usando uma reinicialização suave quando os filtros alteram o roteamento. Se a Atualização de Rotas não estiver habilitada em todas as conexões BGP ativas, você precisará desativar e reativar a conexão no Megaport Portal para atualizar as rotas. Se você ativou a opção Desativar BGP, as rotas serão atualizadas quando você desativar o Desativar BGP, ou seja, reativar o BGP.

Filtrando por peer BGP

Por padrão, o MCR permite todas as rotas, a menos que sejam filtradas pela política de tipo de peer, conforme descrito em Anúncios de rotas de peering padrão.

Você pode configurar uma política para cada par de conexões BGP configuradas no MCR para ajustar o roteamento. Os pareamentos BGP são unidirecionais, o que significa que cada par de conexões BGP tem duas políticas – uma de A para B, e outra de B para A.

Uma política de filtro de peer BGP tem três ações possíveis:

• Padrão - Segue a política padrão definida pela conexão BGP do tipo de peering de origem.
• Permitir - Permite que rotas recebidas do vizinho A sejam anunciadas ao vizinho B.
• Negar - Impede que rotas recebidas do vizinho A sejam anunciadas ao vizinho B.

Exemplo de filtro de peer BGP

As conexões BGP A, B e C estão conectadas ao mesmo MCR.

A conexão A tem uma política global de permissão. Para filtrar rotas em direção à conexão B, a política de A para B pode ser configurada como Negar sem afetar quaisquer rotas anunciadas para C.

A conexão C tem uma política global de negação. Para permitir que as rotas sejam anunciadas apenas para A, a política de C para A pode ser configurada como Permitir. Se um novo peer BGP for adicionado posteriormente, as rotas de C seguirão a política global e não serão anunciadas.

Criando um filtro de peer BGP

Um filtro de peer BGP limita o número de rotas que foram anunciadas ou recebidas de vizinhos BGP.

Para criar um filtro de peer BGP

1. Selecione o VXC conectado ao MCR e selecione a terminação A.

2. Ao lado da conexão BGP, clique em Editar.

   

3. Selecione a aba Filtros.

4. Em Filtro de Peer BGP, selecione se as rotas recebidas por esta conexão BGP são anunciadas aos peers BGP por padrão ou por exceção.

5. Selecione uma Ação para o peer BGP na lista suspensa de Ações.

6. Clique em Atualizar.
7. Clique em Salvar.

O MCR Looking Glass exibe as rotas recebidas ou enviadas após a aplicação do filtro de rotas. Para mais informações, veja Visualizando o Roteamento de Tráfego Através do MCR Looking Glass.

Filtrando por prefixo BGP

Um prefixo é a rede de destino da rota. Uma rede IP é um grupo de endereços IP. O endereço da rede é o prefixo. Por exemplo:

• Endereço IPv4: 192.0.2.1
• Prefixo de rede IPv4: 192.0.2.0/24 (inclui 192.0.2.0 - 192.0.2.255)

Um filtro de prefixo é uma lista nomeada de redes IP. Cada entrada consiste em um prefixo CIDR IPv4 ou IPv6 ou intervalo de prefixos que você define e gerencia. Um intervalo CIDR significa que você pode filtrar várias redes usando uma única entrada de roteamento.

Um filtro de prefixo pode ser aplicado a uma conexão BGP para identificar seletivamente rotas a serem anunciadas ou recebidas de roteadores vizinhos. Você também pode criar uma lista de rotas que não serão anunciadas ou recebidas, permitindo todas as outras. Quando você define um filtro de prefixo, o MCR aceita apenas rotas que correspondam às informações do prefixo. Este tipo de filtro é útil em ambientes com uma grande lista de prefixos e peers para gerenciar. Você pode aplicar o mesmo filtro de prefixo a mais de um peer BGP, reduzindo o trabalho manual e eliminando erros potenciais.

Um filtro de prefixo contém:

• Uma lista de prefixos IPv4 ou IPv6 (por exemplo, 10.0.0.0/16) e um nome associado à lista.
• Uma condição de correspondência. Você pode especificar correspondências exatas com rotas específicas ou correspondências menos precisas com base no comprimento do prefixo.
• Uma ação que é executada se o prefixo e a condição de correspondência forem ambos verdadeiros (por exemplo, Permitir).

Em um filtro de prefixo, as regras são avaliadas de cima para baixo. A avaliação para com a primeira correspondência. Uma negação implícita é aplicada a rotas que não correspondem a nenhuma entrada da lista de prefixos.

Ações da lista de filtros de prefixo

• Filtragem de prefixo de entrada usando uma ação de permissão - O MCR aplica o filtro de prefixo aos anúncios de rota BGP de entrada do vizinho. Rotas que não correspondem aos prefixos desta lista são negadas o mais cedo possível e nunca são usadas pelo MCR.

• Filtragem de prefixo de entrada usando uma ação de negação - O MCR aplica o filtro de prefixo aos anúncios de rota BGP de entrada do vizinho. Rotas que correspondem aos prefixos desta lista são bloqueadas. Todos os outros prefixos têm permissão para entrar na tabela de roteamento do MCR.

• Filtragem de prefixo de saída usando uma ação de permissão - O MCR aplica o filtro de prefixo às rotas de saída. As rotas que correspondem à lista de prefixos são anunciadas ao vizinho BGP e todas as outras rotas são filtradas.

• Filtragem de prefixo de saída usando uma ação de negação - O MCR aplica o filtro de prefixo às rotas de saída. As rotas que correspondem à lista de prefixos são bloqueadas do vizinho BGP e todas as outras rotas são anunciadas.

Criando um filtro de prefixo BGP

Cada MCR pode gerenciar até 50 filtros de prefixo. Cada filtro de prefixo pode conter até 200 entradas de prefixo. Cada filtro de prefixo é independente e você pode aplicar apenas uma lista por vez a um vizinho BGP.

Para criar um filtro de prefixo

1. Na página de Serviços do Megaport Portal, selecione um MCR.
   O MCR deve ter o status Ativo antes que você possa criar um filtro de prefixo. A página de Detalhes do MCR aparecerá.

2. Em Configuração do MCR, selecione a aba Listas de Filtros de Prefixo.

   

3. Clique em Nova Lista.

   

4. Insira um nome descritivo exclusivo para identificar o filtro. O comprimento mínimo da descrição é de 1 a 100 caracteres.
   Este nome de prefixo aparecerá na lista suspensa de listas de prefixos na seção Filtros da aba Configuração BGP.

   Aviso

   Os filtros de prefixo não podem ser compartilhados entre MCRs. Você deve recriar os filtros de prefixo para cada MCR.

5. Selecione o formato IPv4 ou IPv6.
   Os prefixos devem usar o mesmo formato de endereço. Um aviso aparecerá se você tentar misturar os dois formatos na mesma lista.

6. Selecione uma posição para a regra.
   A posição da regra é crítica porque a avaliação para com a primeira correspondência e o restante da lista é ignorado. Se nenhuma condição corresponder, o MCR aplica uma negação implícita.

7. Selecione a ação a ser realizada para o filtro: Corresponde ou Não Corresponde.

   

8. Insira as sub-redes de prefixo em notação CIDR. Para IPv4, use a.b.c.d/x, onde a.b.c.d é o prefixo exato e x é o comprimento exato do prefixo.

   Aviso

   Este campo também aceita notação quadriculada para a máscara de sub-rede (por exemplo, 255.255.255.0 em vez de /24).

9. Os prefixos podem ser apenas de correspondência exata ou você pode especificar o número de bits na máscara a ser usado como critério de correspondência. Selecione os critérios da máscara de sub-rede:

   • Exato - Limita o filtro apenas a este prefixo específico. Quaisquer prefixos menores contidos dentro do prefixo não serão correspondidos.

   • Mínimo e Máximo - Especifique um intervalo de comprimentos de máscara de sub-rede para corresponder com mais flexibilidade. Especifique quantos bits da máscara de sub-rede o filtro precisa corresponder, começando pelo bit mais significativo na posição mais à esquerda do endereço. Quando você especifica um intervalo de máscara de sub-rede, o filtro agora tem duas condições para corresponder: a rota deve estar dentro do limite a.b.c.d/x e deve ter um comprimento de máscara entre o intervalo mínimo e máximo. Prefixos mais curtos correspondem a mais endereços, enquanto prefixos mais longos correspondem a menos.

   • Mínimo - O comprimento mínimo do prefixo inicial a ser correspondido. Os valores válidos são de 0 a 32 (IPv4) ou de 0 a 128 (IPv6). O valor Mínimo não deve ser maior ou igual ao valor Máximo.

   • Máximo - O comprimento máximo do prefixo final a ser correspondido. O comprimento do prefixo é maior ou igual ao valor Mínimo. Valores válidos são de 0 a 32 (IPv4) ou de 0 a 128 (IPv6), mas o Máximo não deve ser menor que o valor Mínimo.

   Por exemplo, 10.0.0.0/8 Mínimo 16 corresponde a 10.0.0.0/16, 10.0.1.0/24, 10.0.0.1/30, mas não corresponde a 10.2.0.0/15.

   Aviso

   Os valores Mínimo e Máximo no MCR são semelhantes aos valores ge e le usados com o comando ip prefix-list CLI da Cisco.

   Ao usar os valores Mínimo e Máximo, você deve satisfazer esta condição:

   Comprimento do prefixo < Máximo <= Mínimo

10. Clique em Salvar.

11. Clique em Próximo.

    Aviso

    Use uma calculadora CIDR para garantir que todos os dados sejam válidos e estejam dentro do intervalo.

A próxima etapa é aplicar o filtro à conexão BGP, conforme descrito em Aplicando um filtro de prefixo a uma conexão BGP.

Exemplos de entradas de filtro

• Correspondência exata em 1.2.3.0/24 - corresponde exatamente ao prefixo 1.2.3.0 com uma máscara de sub-rede de 255.255.255.0
• Correspondência 192.2.3.0/24 mínimo 32 - verifica os primeiros 24 bits do prefixo 192.2.3.0 com uma máscara de sub-rede de 32
• Correspondência 10.0.12.0/24 máximo 32 - corresponde a todas as redes 10.0.12.x que têm uma máscara de sub-rede menor ou igual a 32

Criando um filtro de prefixo com base em um filtro de prefixo existente

Se você quiser criar um filtro semelhante a um filtro existente, poderá usar o filtro existente como base para o novo. Isso economiza o tempo de criar um novo filtro do zero.

Para criar um filtro de prefixo com base em um filtro existente

1. Selecione um MCR.
   A página de Detalhes do MCR aparecerá.
2. Sob Configuração do MCR, selecione a aba Listas de Filtros de Prefixo.
3. Clique em Duplicar Lista.

4. Selecione a lista de filtros na qual você deseja basear a nova lista.

   

5. Insira um nome descritivo exclusivo para identificar o filtro.
   Os nomes de prefixos aparecerão na lista suspensa de prefixos na aba Filtros para a sessão BGP.

6. Faça as alterações nos parâmetros exclusivos deste filtro.
7. Clique em Salvar.
8. Clique em Próximo.

Aplicando um filtro de prefixo a uma conexão BGP

Os filtros de prefixo são configurados diretamente no MCR e depois vinculados a uma conexão BGP.

Para aplicar um filtro de prefixo

1. Selecione o VXC conectado ao MCR e selecione a terminação A.
2. Ao lado da conexão BGP, clique em Editar.

3. Selecione a aba Filtros.

   

4. Em Filtro de Prefixo BGP, você pode aplicar um filtro de prefixo predefinido ao peer BGP para limitar o conjunto de rotas que serão recebidas ou anunciadas para o peer.
   Estas opções estão disponíveis:

   • Sem Filtro de Prefixo – Permite todas as rotas. Nenhuma rota será filtrada.
   • Lista de Permissão – Permite apenas rotas que correspondem à lista de prefixos. Outras rotas serão filtradas.
   • Lista de Negação – Permite todas as rotas, exceto aquelas que correspondem à lista de prefixos selecionada.

5. Em Importar ou Exportar Filtro de Prefixo, selecione o filtro na lista suspensa.

   • Importar – O MCR aplica o filtro de prefixo aos anúncios de entrada do vizinho.
   • Exportar – O MCR aplica o filtro de prefixo aos anúncios de saída para o vizinho.

6. Clique em Atualizar.

7. Clique em Salvar.

Após aplicar o filtro, reative a troca de rotas se estiver desativada. Veja Editando um MCR.

Um filtro de prefixo pode ser vinculado a mais de uma sessão BGP.

Mantendo filtros de prefixo

Em uma lista de filtros de prefixo, as regras podem ser adicionadas, excluídas e reordenadas.

Adicionando uma regra a um filtro de prefixo existente

Cada filtro de prefixo pode conter até 200 regras. Regras duplicadas não são permitidas.

Para adicionar uma regra a um filtro existente

1. Selecione um MCR na página de Serviços.
   A página de Detalhes do MCR aparecerá.
2. Sob Configuração do MCR, selecione a aba Listas de Filtros de Prefixo.
3. Selecione uma lista de prefixos no menu suspenso Lista de Prefixos.
4. Adicione a regra.

5. Clique em Salvar.

   

Você deve clicar em Salvar para aplicar as alterações da regra. Trocar para outra lista sem salvar exibe um aviso de que as alterações serão perdidas.

Excluindo uma regra de um filtro de prefixo

Para excluir uma regra de um filtro

1. Selecione um MCR na página de Serviços.
   A página de Detalhes do MCR aparecerá.
2. Sob Configuração do MCR, selecione a aba Listas de Filtros de Prefixo.
3. Selecione uma lista de prefixos no menu suspenso Lista de Prefixos.
4. Selecione uma regra.
5. Clique em Excluir.
6. Clique em Salvar.

Reordenando regras em um filtro de prefixo

Em uma lista de filtros de prefixo, a posição da regra é crítica porque as regras são avaliadas uma de cada vez, começando do topo da lista para baixo. A avaliação para com a primeira correspondência.

Para reordenar a posição de uma regra

• Arraste o ícone na coluna Posição para um local diferente e solte.

  

Excluindo um filtro de prefixo

Para excluir uma lista de prefixos, você deve primeiro remover quaisquer outros recursos que a referenciem, como os VXCs. Se você tentar excluir uma lista de filtros de prefixo antes de remover seus recursos, uma caixa de diálogo lista os recursos em uso.

Aviso

Todas as listas de prefixos são removidas automaticamente de um MCR quando ele é encerrado.

Para excluir um filtro de prefixo

1. Selecione um MCR na página de Serviços.
   A página de Detalhes do MCR aparecerá.
2. Sob Configuração do MCR, selecione a aba Listas de Filtros de Prefixo.
3. Selecione uma lista de prefixos no menu suspenso Lista de Prefixos.
4. Clique em Excluir Lista.
5. Clique em Salvar.

Validando rotas após aplicar filtros

O MCR Looking Glass exibe as rotas recebidas ou enviadas após a aplicação do filtro de rotas. Para mais informações, veja Visualizando o Roteamento de Tráfego Através do MCR Looking Glass.

Para visualizar as rotas após aplicar um filtro de rota

1. Escolha Ferramentas > MCR Looking Glass.

   

2. Selecione um MCR na lista suspensa do MCR.

3. Ao lado do VXC, clique em Rotas de Vizinhos.
4. Após Mostrar, selecione as abas Anunciadas ou Recebidas para restringir a lista.