NSX-T BGP ルート情報受信時のフィルタリング(IPアドレスを条件に使用)

今回はNSX-Tにおいて、BGP経由でルート情報を受信した際のフィルタリング動作の検証証跡をまとめました。

 

検証結果

検証内容、構成

Tier-1 GWでSegment 1を収容します。
Tier-1 GWとTier-0 GWを接続します。
NSX EdgeにTier-0 GWのSRを配置し、物理ネットワークとNSX-Tの仮想ネットワークを接続します。

Tier-0 GWのSRをAS 100、R2をAS 200として、EBGPネイバーを構築します。
Tier-0 GWのSRはBGP経由で10.1.1.0/24を広報します。
R2はBGP経由で20.2.2.0/24と20.3.3.0/24を広報します。

ルート情報を受信した際のフィルタリング機能の有無により、Tier-0 GWのSRがR2から学習するルート情報が変化するか確認します。

 

ネットワーク機器のCLIの設定


interface GigabitEthernet2
 ip address 10.1.1.1 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 10.1.1.254
            


interface Loopback0
 ip address 20.2.2.2 255.255.255.0
!
interface Loopback1
 ip address 20.3.3.2 255.255.255.0
!
interface GigabitEthernet2
 ip address 20.1.1.100 255.255.255.0
!
router bgp 200
 bgp router-id 2.2.2.2
 network 20.2.2.0 mask 255.255.255.0
 network 20.3.3.0 mask 255.255.255.0
 neighbor 20.1.1.1 remote-as 100
            

 

ルート情報広報時のフィルタリング無し

ルート情報を受信した際のフィルタリングは設定せずに、Tier-0 GWのSRとR2間でEBGPネイバーを構成します。

 

BGPの設定

ルート情報を受信した際のフィルタリングは設定しません。

 

状態確認

Tier-0 GWのSRはR2から20.2.2.0/24と20.3.3.0/24を学習していることが確認できます。

NSX Edge1

edge1(tier0_sr)> get bgp neighbor 20.1.1.100 advertised-routes
BGP IPv4 table version is 97
Local router ID is 20.1.1.1
Status flags: > - best, I - internal
Origin flags: i - IGP, e - EGP, ? - incomplete

   Network      Next Hop    Metric  LocPrf  Weight  Path
 > 20.3.3.0/24  20.1.1.100  0       100     0       200 100 i
 > 20.2.2.0/24  20.1.1.100  0       100     0       200 100 i
            

 

Tier-0 GWのSRのルーティングテーブルには、20.2.2.0/24と20.3.3.0/24が存在していることが確認できます。

NSX Edge1

edge1(tier0_sr)> get route

Flags: t0c - Tier0-Connected, t0s - Tier0-Static, b - BGP,
t0n - Tier0-NAT, t1s - Tier1-Static, t1c - Tier1-Connected,
t1n: Tier1-NAT, t1l: Tier1-LB VIP, t1ls: Tier1-LB SNAT,
t1d: Tier1-DNS FORWARDER, t1ipsec: Tier1-IPSec, isr: Inter-SR,
> - selected route, * - FIB route

Total number of routes: 8

t1c> * 10.1.1.0/24 [3/0] via 100.64.128.1, linked-333, 4d11h07m
t0c> * 20.1.1.0/24 is directly connected, uplink-325, 01w0d12h
b  > * 20.2.2.0/24 [20/0] via 20.1.1.100, uplink-325, 00:02:59
b  > * 20.3.3.0/24 [20/0] via 20.1.1.100, uplink-325, 00:01:08
t0c> * 100.64.128.0/31 is directly connected, linked-333, 01w0d12h
t0c> * 169.254.0.0/24 is directly connected, downlink-327, 01w0d12h
t0c> * fcc3:7c30:4fbf:b800::/64 is directly connected, linked-333, 01w0d12h
t0c> * fe80::/64 is directly connected, linked-333, 01w0d12h
            

 

ルート情報受信時のフィルタリング有り

Tier-0 GWのSRがR2からルート情報を受信した際、20.2.2.0/24以外のルート情報を破棄するように、受信時のフィルタリングを設定します。

 

Prefix Listの設定

20.2.2.0/24を許可するPrefix Listを作成します。

 

BGPの設定

R2の入力フィルタに対して、先程定義したPrefix Listを適用します。

 

状態確認

Tier-0 GWのSRのBGPネイバーの状態を見ると、R2に対してInboundのPolicyが適用されていることが確認できます。しかし、今回はPrefix Listを使用していますが、Route Mapと表示されています。

NSX Edge1

edge1(tier0_sr)> get bgp neighbor
BGP neighbor is 20.1.1.100, remote AS 200, local AS 100, external link
  BGP version 4, remote router ID 2.2.2.2, local router ID 20.1.1.1
  BGP state = Established, up for 00:10:11
  Last read 00:00:18, Last write 00:00:11
  Hold time is 180, keepalive interval is 30 seconds
  Configured hold time is 180, keepalive interval is 30 seconds
  .
  <一部省略>
  .
 For address family: IPv4 Unicast
  Update group 23, subgroup 20
  Packet Queue length 0
  Community attribute sent to this neighbor(all)
  Inbound path policy configured
  Route map for incoming advertisements is *67c02f83-2ddb-4e59-966c-1a5763c7d7fb
  1 accepted prefixes

  Connections established 12; dropped 11
  Last reset 00:12:19, due to Peer closed the session
Local host: 20.1.1.1, Local port: 44833
Foreign host: 20.1.1.100, Foreign port: 179
Nexthop: 20.1.1.1
Nexthop global: ::
Nexthop local: ::
BGP connection: shared network
BGP Connect Retry Timer in Seconds: 10
Estimated round trip time: 2 ms
Read thread: on  Write thread: on
            

 

Tier-0 GWのSRはR2から20.2.2.0/24のみを学習していることが確認できます。

NSX Edge1

edge1(tier0_sr)> get bgp neighbor 20.1.1.100 advertised-routes
BGP IPv4 table version is 92
Local router ID is 20.1.1.1
Status flags: > - best, I - internal
Origin flags: i - IGP, e - EGP, ? - incomplete

     Network    Next Hop    Metric  LocPrf  Weight  Path
 > 20.2.2.0/24  20.1.1.100  0       100     0       200 100 i
            

 

Tier-0 GWのSRのルーティングテーブルには、20.2.2.0/24のみが存在しており、20.3.3.0/24は存在していないことが確認できます。

NSX Edge1

edge1(tier0_sr)> get route

Flags: t0c - Tier0-Connected, t0s - Tier0-Static, b - BGP,
t0n - Tier0-NAT, t1s - Tier1-Static, t1c - Tier1-Connected,
t1n: Tier1-NAT, t1l: Tier1-LB VIP, t1ls: Tier1-LB SNAT,
t1d: Tier1-DNS FORWARDER, t1ipsec: Tier1-IPSec, isr: Inter-SR,
> - selected route, * - FIB route

Total number of routes: 7

t1c> * 10.1.1.0/24 [3/0] via 100.64.128.1, linked-333, 4d11h14m
t0c> * 20.1.1.0/24 is directly connected, uplink-325, 01w0d12h
b  > * 20.2.2.0/24 [20/0] via 20.1.1.100, uplink-325, 00:09:33
t0c> * 100.64.128.0/31 is directly connected, linked-333, 01w0d12h
t0c> * 169.254.0.0/24 is directly connected, downlink-327, 01w0d12h
t0c> * fcc3:7c30:4fbf:b800::/64 is directly connected, linked-333, 01w0d12h
t0c> * fe80::/64 is directly connected, linked-333, 01w0d12h
            

コメント

タイトルとURLをコピーしました