MCR 路由過濾

本主題說明 Megaport Cloud Router（MCR）的路由過濾。路由過濾可選擇性地控制在 Border Gateway Protocol (BGP) 鄰居路由器之間哪些網路可見。設定路由過濾可影響路由路徑並管理備援，同時提升安全性。

本主題包含以下章節：

MCR peering

路由過濾總覽

路由過濾可控制 MCR 的路由安裝與傳播，通常用於兩個或多個網路之間。這些網路可以是內部部署或雲端服務供應商（CSP）。您可以使用路由過濾來：

在 Virtual Cross Connect（VXC）之間重新散佈或避免重新散佈路由。
建立包含一組 IPv4 或 IPv6 CIDR 區塊、可作為群組管理的 BGP 前綴過濾器。
在特定連線上允許或拒絕特定路由。

預設 Peering 路由通告

MCR 透過 Border Gateway Protocol (BGP)Border Gateway Protocol (BGP) 是一種標準化的路由協定，用於在網際網路上的自治系統 (AS) 之間交換路由與可達性資訊。
與相鄰的 BGP 系統（稱為「鄰居」或「對等端」）交換網路可達性資訊。MCR 可在使用不同 Peering 類型組合相連的 multicloud在單一異質架構中使用多個雲端運算服務。
例如，企業可能會針對基礎設施 (IaaS) 與軟體 (SaaS) 服務使用多個雲端服務供應商。
Megaport 的核心價值主張之一是提供多雲連線能力。
架構中運作。除了私有 Peering 連線外，MCR 也能連線至 AWS、Azure、Oracle 及其他雲端服務供應商（CSPs）等公用 Peering 類型。

BGP 透過標準 TCP 連線在兩個鄰居之間通訊。預設情況下，一旦 BGP 鄰居建立連線，便會彼此分享路由資訊。鄰居之間的連線稱為 BGP 連線或工作階段（session）

MCR peering

在未使用任何路由過濾器的情況下，Megaport 會依據以下 Peering 類型，將路由通告至 BGP 連線：

Peering Type（Peering 類型）	Routes Advertised（已通告的路由）	Advertised To（通告對象）
Non-cloud	來自 Port 後方之 Border Gateway Protocol (BGP) 對等端的路由。	Non-cloud，private cloud，public cloud
Private cloud	來自 AWS Private、Azure Private Peer，以及 Google Cloud Platform 的路由。	Non-cloud，private cloud
Public cloud	來自 AWS Public、Azure MS Peer、Salesforce，以及其他雲端提供者的路由。	Non-cloud

例如，從 Public Cloud BGP 連線接收到的路由，不會被通告到 Private Cloud BGP 連線。

您無法覆寫或控制 Peering 類型的路由通告。

路由過濾不會改變既有的對等端類型原則，但當您需要過濾原本會在 BGP 鄰居之間被發現與交換的特定路由或前綴時，能提供更細緻的控制。路由過濾器為「可選」功能。針對已依對等端類型而被過濾的路由，無法再透過路由過濾器來通告。

如需預設路由通告的詳細資訊，請參閱 MCR 路由通告。

選擇過濾器類型

您可以設定路由過濾器，以定義 MCR 對來自 BGP 鄰居的路由通告所採取的允許或拒絕動作。您可以依 BGP 連線或前綴來過濾路由。路由過濾支援 IPv4 與/或 IPv6 路由。兩種過濾器類型如下：

BGP peer filter（BGP 同儕過濾器） – 一種全有或全無的過濾器，用來允許或拒絕 BGP 鄰居之間的路由交換。例如，在具有 BGP 鄰居 A、B 與 C 的網路部署中，允許 A 與 B 彼此交換路由，但不與 C 交換；同時，所有鄰居都可以與總部交換路由。BGP 同儕過濾提供一種簡單明確的方式，滿足這些鄰居之間路由過濾的需求。
BGP prefix filter（BGP 前綴過濾器） – 進階過濾器，使用路由前綴（IP 位址或範圍）來識別個別鄰居，並允許或拒絕特定路由。您可以將相同的前綴過濾器套用於多個 BGP 鄰居，以免手動重複輸入前綴項目。您可以為清單中的每個前綴指定允許或拒絕的動作，並可分別在 Import 或 Export 方向套用不同清單。

開始之前

在設定路由過濾器之前，請先依需求規劃實作。接著根據這些需求建立路由過濾器。

部署考量

您需要先建立 MCR，如建立 MCR所述。
您可以在設定 BGP 之前或之後設定路由過濾器，因為路由過濾器可作用於現有或新的 BGP 連線。
如果您計畫在 Virtual Cross Connect（VXC）之間新增多個 BGP 工作階段，您可能會希望先關閉 BGP 路由交換，待完成設定並套用路由過濾器後，再進入相關的 BGP 工作階段將其啟用。更多資訊請參閱設定 MCR。

重要

MCR 的路由過濾支援並仰賴 BGP Route Refresh 機制，於過濾條件改變路由時透過 Soft Reset 更新路由。若並非所有作用中的 BGP 連線都啟用 Route Refresh，您需要在 Megaport Portal 中關閉並重新啟用該連線以更新路由。若您啟用了 BGP Shut Down 選項，則在停用 BGP Shut Down（亦即重新啟用 BGP）時會更新路由。

依 BGP 同儕進行過濾

依預設，MCR 會允許所有路由，除非已被 Peering 類型原則過濾，如預設 Peering 路由通告所述。

您可以為在 MCR 上設定的每對 BGP 連線設定原則，以微調路由。BGP 配對是單向的，表示每對 BGP 連線會有兩個原則——一個是 A 到 B，另一個是 B 到 A。

BGP 同儕過濾原則有三種可能的動作：

Default（預設） – 遵循來源 Peering 類型的 BGP 連線所定義的預設原則。
Permit（允許） – 允許從鄰居 A 接收的路由被通告至鄰居 B。
Deny（拒絕） – 阻止從鄰居 A 接收的路由被通告至鄰居 B。

BGP 同儕過濾範例

BGP 連線 A、B 與 C 連接到同一個 MCR。

連線 A 具有全域允許原則。若要針對連線 B 過濾路由，可將 A 到 B 的原則設為 Deny，而不影響通告至 C 的任何路由。

連線 C 具有全域拒絕原則。若只允許通告至 A，可將 C 到 A 的原則設為 Permit。若日後新增新的 BGP 對等端，則來自 C 的路由將遵循全域原則而不會被通告。

建立 BGP 同儕過濾器

BGP 同儕過濾器可限制從 BGP 鄰居通告或接收的路由數量。

建立 BGP 同儕過濾器

選取連接到 MCR 的 VXC，並選取 A 端。
在 BGP 連線旁邊，按一下 Edit（編輯）。
選取 Filters（過濾器） 標籤。
在 BGP Peer Filter 下，選擇此 BGP 連線所接收的路由，預設是否要通告至 BGP 對等端，或僅在例外情況通告。
從 Action 下拉式清單中，為該 BGP 對等端選取動作。
按一下 Update（更新）。
按一下 Save（儲存）。

在 MCR Looking Glass 中會顯示套用路由過濾後所接收或傳送的路由。更多資訊請參閱透過 MCR Looking Glass 檢視流量路由。

依 BGP 前綴進行過濾

前綴是路由的目的地網路。IP 網路是一組 IP 位址，而網路位址就是前綴。
例如：

IPv4 address: 192.0.2.1
IPv4 network prefix: 192.0.2.0/24 (includes 192.0.2.0 - 192.0.2.255)

「前綴過濾器」是具名的 IP 網路清單。每個項目包含您定義與管理的 IPv4 或 IPv6 CIDR 前綴或前綴範圍。使用 CIDR 範圍可讓您以單一路由項目來過濾多個網路。

您可以將前綴過濾器套用至 BGP 連線，以選擇性地識別要對鄰近路由器通告或從其接收的路由。您也可以建立一份「不」要通告或接收的路由清單，並允許其他所有路由。當您定義前綴過濾器時，MCR 僅接受符合前綴資訊的路由。此類型的過濾器適用於需要管理大量前綴與對等端的環境。您可以將相同的前綴過濾器套用到多個 BGP 對等端，以減少手動作業並避免潛在錯誤。

前綴過濾器包含：

一份 IPv4 或 IPv6 前綴（例如，10.0.0.0/16）清單，以及與該清單關聯的名稱。
一個比對條件。您可以指定與特定路由的完全相符，或依前綴長度進行較寬鬆的比對。
當前綴與比對條件皆符合時要執行的動作（例如，Permit）。

在前綴過濾器中，規則會自上而下進行評估。評估在首次比對時停止。對於未符合任何前綴清單項目的路由，將套用隱含拒絕。

前綴過濾清單的動作

使用允許動作的入站前綴過濾 – MCR 會將前綴過濾器套用至來自鄰居的入站 BGP 路由通告。不符合此清單前綴的路由會在最早的階段被拒絕，且不會被 MCR 使用。
使用拒絕動作的入站前綴過濾 – MCR 會將前綴過濾器套用至來自鄰居的入站 BGP 路由通告。符合此清單前綴的路由會被封鎖。其他所有前綴都允許進入 MCR 的路由表。
使用允許動作的出站前綴過濾 – MCR 會將前綴過濾器套用至出站路由。符合前綴清單的路由會通告給 BGP 鄰居，其他所有路由會被過濾。
使用拒絕動作的出站前綴過濾 – MCR 會將前綴過濾器套用至出站路由。符合前綴清單的路由會被阻擋而不送至 BGP 鄰居，其他所有路由則會被通告。

建立 BGP 前綴過濾器

每個 MCR 最多可管理 50 個前綴過濾器。每個前綴過濾器最多可包含 200 個前綴項目。每個前綴過濾器彼此獨立，且一次只能對每個 BGP 鄰居套用一份清單。

建立前綴過濾器

在 Megaport Portal 的 Services 頁面上，選取一個 MCR。
MCR 必須為 Live 狀態後，才能建立前綴過濾器。
MCR 詳細資料頁面隨即出現。
在 MCR Configuration 下，選取 Prefix Filter Lists（前綴過濾清單） 標籤。
按一下 New List（新增清單）。
輸入唯一且具描述性的名稱，以識別此過濾器。描述長度下限為 1 到 100 個字元。
此前綴名稱會顯示在 BGP Configuration 標籤中 Filters 區段的前綴清單下拉式清單中。

備註

前綴過濾器無法在不同 MCR 之間共用。您必須為每個 MCR 重新建立前綴過濾器。
選取 IPv4 或 IPv6 格式之一。
前綴必須使用相同的位址格式。若嘗試在同一清單中混用兩種格式，會出現警告。
選取規則的位置。
規則位置很重要，因為評估在首次比對到時就會停止，而忽略清單的其餘部分。若無任何條件符合，MCR 會套用隱含拒絕。
選取此過濾器要採取的動作：Match 或 Don’t Match。
以 CIDR 標記法輸入前綴子網路。對於 IPv4，使用 a.b.c.d/x，其中 a.b.c.d 為精確的前綴，x 為精確的前綴長度。

備註

此欄位也接受子網路遮罩的點分十進位表示法（例如，使用 255.255.255.0 取代 /24）。
前綴可設為僅限完全比對，或您也可以指定遮罩中的位元數作為比對條件。選取子網路遮罩的比對條件：
- Exact – 將過濾器限制為僅此特定前綴。包含於此前綴中的任何較小前綴都不會被比對。
- Min and Max – 指定要比對的子網路遮罩長度範圍，以提升彈性。指定過濾器需要比對的子網路遮罩位元數，從位址最左側的最高有效位元開始計算。當您指定子網路遮罩範圍時，過濾器需要同時符合兩個條件：路由必須位於 a.b.c.d/x 邊界內，且其遮罩長度位於最小值與最大值之間。較短的前綴會比對到更多位址，較長的前綴則會比對到較少位址。
- Min – 要比對的最小起始前綴長度。有效值為 0 到 32（IPv4），或 0 到 128（IPv6）。Min 必須小於或等於 Max 值。
- Max – 要比對的最大結束前綴長度。前綴長度需大於或等於 Min 值。有效值為 0 到 32（IPv4），或 0 到 128（IPv6），且 Max 不得小於 Min 值。
例如，10.0.0.0/8 Min 16 會比對 10.0.0.0/16、10.0.1.0/24、10.0.0.1/30，但不會比對 10.2.0.0/15。

備註

在 MCR 上的 Min 與 Max 值類似於 Cisco 的 ge 與 le，這些值用於 ip prefix-list CLI 指令。

使用 Min 與 Max 值時，您必須滿足以下條件：

Prefix length < Max <= Min
按一下 Save（儲存）。
按一下 Next（下一步）。

備註

請使用 CIDR 計算器以確保所有資料有效且在範圍內。

下一步是將此過濾器套用至 BGP 連線，如將前綴過濾器套用至 BGP 連線所述。

範例過濾器條目

針對 1.2.3.0/24 的完全比對——精確比對前綴 1.2.3.0 與 255.255.255.0 的子網路遮罩
比對 192.2.3.0/24 min 32——檢查前綴 192.2.3.0 的前 24 個位元，且其子網路遮罩為 32
比對 10.0.12.0/24 max 32——比對所有 10.0.12.x 網路，且其子網路遮罩小於或等於 32

以現有前綴過濾器為基礎建立新前綴過濾器

如果您想建立與現有過濾器相似的過濾器，您可以以既有過濾器為基礎建立新的過濾器，這樣可節省從頭建立新過濾器的時間。

以現有過濾器為基礎建立前綴過濾器

選取一個 MCR。
MCR 詳細資料頁面隨即出現。
在 MCR Configuration 下，選取 Prefix Filter Lists（前綴過濾清單） 標籤。
按一下 Duplicate List（複製清單）。
選取您想作為新清單基礎的過濾器清單。
輸入唯一且具描述性的名稱，以識別此過濾器。
前綴名稱會顯示在 BGP 工作階段的 Filters 標籤下之前綴下拉式清單中。
依此過濾器的需求，進行任何參數變更。
按一下 Save（儲存）。
按一下 Next（下一步）。

將前綴過濾器套用至 BGP 連線

前綴過濾器會直接在 MCR 上設定，然後再附加到 BGP 連線。

套用前綴過濾器

選取連接到 MCR 的 VXC，並選取 A 端。
在 BGP 連線旁邊，按一下 Edit（編輯）。
選取 Filters（過濾器） 標籤。
在 BGP Prefix Filter 下，您可以將預先定義的前綴過濾器套用至 BGP 對等端，以限制將從或通告至該對等端的路由集合。可用選項如下：
- No Prefix Filter（不使用前綴過濾器） – 允許所有路由。不會過濾任何路由。
- Permit List（允許清單） – 只允許符合前綴清單的路由。其他路由會被過濾。
- Deny List（拒絕清單） – 允許所有路由，但符合所選前綴清單的路由將被過濾。
在 Import 或 Export Prefix Filter 下，從下拉式清單中選取過濾器。
- Import（匯入） – MCR 會將前綴過濾器套用至來自鄰居的入站通告。
- Export（匯出） – MCR 會將前綴過濾器套用至通往鄰居的出站通告。
按一下 Update（更新）。
按一下 Save（儲存）。

套用過濾器後，若路由交換已停用，請重新啟用。更多資訊請參閱編輯 MCR。

一個前綴過濾器可以附加至多個 BGP 工作階段。

維護前綴過濾器

在前綴過濾清單中，可以新增、刪除及重新排序規則。

將規則新增至現有前綴過濾器

每個前綴過濾器最多可包含 200 個規則。不允許重複的規則。

將規則新增至現有過濾器

在 Services 頁面選取一個 MCR。
MCR 詳細資料頁面隨即出現。
在 MCR Configuration 下，選取 Prefix Filter Lists（前綴過濾清單） 標籤。
從 Prefix Filter List 下拉式清單中選取一個前綴清單。
新增該規則。
按一下 Save（儲存）。
您必須按一下 Save（儲存） 才會套用規則變更。若未儲存就切換到其他清單，系統會顯示警告，指出變更將會遺失。

從前綴過濾器刪除規則

從過濾器刪除規則

在 Services 頁面選取一個 MCR。
MCR 詳細資料頁面隨即出現。
在 MCR Configuration 下，選取 Prefix Filter Lists（前綴過濾清單） 標籤。
從 Prefix Filter List 下拉式清單中選取一個前綴清單。
選取一條規則。
按一下 Delete（刪除）。
按一下 Save（儲存）。

重新排序前綴過濾器中的規則

在前綴過濾清單中，規則位置很關鍵，因為規則會自清單頂端開始逐一評估。評估在首次比對時停止。

重新排序規則位置

拖曳 Position 欄中的圖示至其他位置後放開。

刪除前綴過濾清單

若要刪除前綴過濾清單，您必須先移除任何參照到它的其他資源，例如 VXC。如果您在移除其所參照的資源前嘗試刪除前綴過濾清單，系統會在對話方塊中列出正在使用的資源。

備註

當 MCR 被終止時，所有前綴清單會自動從該 MCR 中移除。

刪除前綴過濾器

在 Services 頁面選取一個 MCR。
MCR 詳細資料頁面隨即出現。
在 MCR Configuration 下，選取 Prefix Filter Lists（前綴過濾清單） 標籤。
從 Prefix Filter List 下拉式清單中選取一個前綴清單。
按一下 Delete List（刪除清單）。
按一下 Save（儲存）。

套用過濾器後驗證路由

在 MCR Looking Glass 中會顯示套用路由過濾後所接收或傳送的路由。更多資訊請參閱透過 MCR Looking Glass 檢視流量路由。

檢視套用路由過濾器後的路由

選擇 Tools > MCR Looking Glass。
從 MCR 下拉式清單中選取一個 MCR。
在 VXC 旁邊，按一下 Neighbour Routes（鄰居路由）。
在 Show 旁，選取 Advertised（已通告） 或 Received（已接收） 標籤以縮小清單範圍。