今回はNSX-Tにおいて、BGP経由でルート情報を受信した際のフィルタリング動作の検証証跡をまとめました。
検証結果
検証内容、構成
Tier-1 GWでSegment 1を収容します。
Tier-1 GWとTier-0 GWを接続します。
NSX EdgeにTier-0 GWのSRを配置し、物理ネットワークとNSX-Tの仮想ネットワークを接続します。
Tier-0 GWのSRをAS 100、R2をAS 200として、EBGPネイバーを構築します。
Tier-0 GWのSRはBGP経由で10.1.1.0/24を広報します。
R2はBGP経由で20.2.2.0/24と20.3.3.0/24を広報します。
ルート情報を受信した際のフィルタリング機能の有無により、Tier-0 GWのSRがR2から学習するルート情報が変化するか確認します。
ネットワーク機器のCLIの設定
interface GigabitEthernet2
ip address 10.1.1.1 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 10.1.1.254
interface Loopback0
ip address 20.2.2.2 255.255.255.0
!
interface Loopback1
ip address 20.3.3.2 255.255.255.0
!
interface GigabitEthernet2
ip address 20.1.1.100 255.255.255.0
!
router bgp 200
bgp router-id 2.2.2.2
network 20.2.2.0 mask 255.255.255.0
network 20.3.3.0 mask 255.255.255.0
neighbor 20.1.1.1 remote-as 100
ルート情報広報時のフィルタリング無し
ルート情報を受信した際のフィルタリングは設定せずに、Tier-0 GWのSRとR2間でEBGPネイバーを構成します。
BGPの設定
ルート情報を受信した際のフィルタリングは設定しません。
状態確認
Tier-0 GWのSRはR2から20.2.2.0/24と20.3.3.0/24を学習していることが確認できます。
edge1(tier0_sr)> get bgp neighbor 20.1.1.100 advertised-routes
BGP IPv4 table version is 97
Local router ID is 20.1.1.1
Status flags: > - best, I - internal
Origin flags: i - IGP, e - EGP, ? - incomplete
Network Next Hop Metric LocPrf Weight Path
> 20.3.3.0/24 20.1.1.100 0 100 0 200 100 i
> 20.2.2.0/24 20.1.1.100 0 100 0 200 100 i
Tier-0 GWのSRのルーティングテーブルには、20.2.2.0/24と20.3.3.0/24が存在していることが確認できます。
edge1(tier0_sr)> get route
Flags: t0c - Tier0-Connected, t0s - Tier0-Static, b - BGP,
t0n - Tier0-NAT, t1s - Tier1-Static, t1c - Tier1-Connected,
t1n: Tier1-NAT, t1l: Tier1-LB VIP, t1ls: Tier1-LB SNAT,
t1d: Tier1-DNS FORWARDER, t1ipsec: Tier1-IPSec, isr: Inter-SR,
> - selected route, * - FIB route
Total number of routes: 8
t1c> * 10.1.1.0/24 [3/0] via 100.64.128.1, linked-333, 4d11h07m
t0c> * 20.1.1.0/24 is directly connected, uplink-325, 01w0d12h
b > * 20.2.2.0/24 [20/0] via 20.1.1.100, uplink-325, 00:02:59
b > * 20.3.3.0/24 [20/0] via 20.1.1.100, uplink-325, 00:01:08
t0c> * 100.64.128.0/31 is directly connected, linked-333, 01w0d12h
t0c> * 169.254.0.0/24 is directly connected, downlink-327, 01w0d12h
t0c> * fcc3:7c30:4fbf:b800::/64 is directly connected, linked-333, 01w0d12h
t0c> * fe80::/64 is directly connected, linked-333, 01w0d12h
ルート情報受信時のフィルタリング有り
Tier-0 GWのSRがR2からルート情報を受信した際、20.2.2.0/24以外のルート情報を破棄するように、受信時のフィルタリングを設定します。
Prefix Listの設定
20.2.2.0/24を許可するPrefix Listを作成します。
BGPの設定
R2の入力フィルタに対して、先程定義したPrefix Listを適用します。
状態確認
Tier-0 GWのSRのBGPネイバーの状態を見ると、R2に対してInboundのPolicyが適用されていることが確認できます。しかし、今回はPrefix Listを使用していますが、Route Mapと表示されています。
edge1(tier0_sr)> get bgp neighbor
BGP neighbor is 20.1.1.100, remote AS 200, local AS 100, external link
BGP version 4, remote router ID 2.2.2.2, local router ID 20.1.1.1
BGP state = Established, up for 00:10:11
Last read 00:00:18, Last write 00:00:11
Hold time is 180, keepalive interval is 30 seconds
Configured hold time is 180, keepalive interval is 30 seconds
.
<一部省略>
.
For address family: IPv4 Unicast
Update group 23, subgroup 20
Packet Queue length 0
Community attribute sent to this neighbor(all)
Inbound path policy configured
Route map for incoming advertisements is *67c02f83-2ddb-4e59-966c-1a5763c7d7fb
1 accepted prefixes
Connections established 12; dropped 11
Last reset 00:12:19, due to Peer closed the session
Local host: 20.1.1.1, Local port: 44833
Foreign host: 20.1.1.100, Foreign port: 179
Nexthop: 20.1.1.1
Nexthop global: ::
Nexthop local: ::
BGP connection: shared network
BGP Connect Retry Timer in Seconds: 10
Estimated round trip time: 2 ms
Read thread: on Write thread: on
Tier-0 GWのSRはR2から20.2.2.0/24のみを学習していることが確認できます。
edge1(tier0_sr)> get bgp neighbor 20.1.1.100 advertised-routes
BGP IPv4 table version is 92
Local router ID is 20.1.1.1
Status flags: > - best, I - internal
Origin flags: i - IGP, e - EGP, ? - incomplete
Network Next Hop Metric LocPrf Weight Path
> 20.2.2.0/24 20.1.1.100 0 100 0 200 100 i
Tier-0 GWのSRのルーティングテーブルには、20.2.2.0/24のみが存在しており、20.3.3.0/24は存在していないことが確認できます。
edge1(tier0_sr)> get route
Flags: t0c - Tier0-Connected, t0s - Tier0-Static, b - BGP,
t0n - Tier0-NAT, t1s - Tier1-Static, t1c - Tier1-Connected,
t1n: Tier1-NAT, t1l: Tier1-LB VIP, t1ls: Tier1-LB SNAT,
t1d: Tier1-DNS FORWARDER, t1ipsec: Tier1-IPSec, isr: Inter-SR,
> - selected route, * - FIB route
Total number of routes: 7
t1c> * 10.1.1.0/24 [3/0] via 100.64.128.1, linked-333, 4d11h14m
t0c> * 20.1.1.0/24 is directly connected, uplink-325, 01w0d12h
b > * 20.2.2.0/24 [20/0] via 20.1.1.100, uplink-325, 00:09:33
t0c> * 100.64.128.0/31 is directly connected, linked-333, 01w0d12h
t0c> * 169.254.0.0/24 is directly connected, downlink-327, 01w0d12h
t0c> * fcc3:7c30:4fbf:b800::/64 is directly connected, linked-333, 01w0d12h
t0c> * fe80::/64 is directly connected, linked-333, 01w0d12h
コメント