Qu'est-ce que le Border Gateway protocol (BGP) ?
Sur Internet, les paquets de données transitent par un réseau pair complexe de routeurs et de systèmes pour atteindre leur destination. Ce processus complexe d'acheminement du trafic de données est rendu possible par des protocoles de routage, et au cœur de ce système de routage mondial se trouve le Border Gateway Protocol (BGP).
Qu'est-ce que BGP ?
BGP est le protocole de commande du routeur qui permet à Internet de fonctionner comme une famille, en utilisant un réseau pair unifié. Il s'agit essentiellement du «service postal» du monde numérique, chargé de trouver les chemins les plus efficaces pour que les paquets de données puissent traverser les nombreux réseaux différents qui composent Internet.
Contrairement aux protocoles de passerelle intérieure (IGP) qui gèrent le routage au sein d'un seul système autonome (AS), BGP fonctionne entre ces AS, facilitant la communication à l'échelle mondiale. BGP joue un rôle essentiel dans le routage du trafic IPv 4 et IPv 6, ce qu'un IGP ne fait pas.
Pourquoi BGP est essentiel pour le routage Internet
BGP est crucial pour l'infrastructure Internet, car il permet à un routeur réseau d'échanger des informations de routage, garantissant ainsi que les données peuvent atteindre leur destination prévue, même sur des topologies de réseau incroyablement complexes. Sans BGP, Internet serait une collection fragmentée de réseaux isolés, incapables de communiquer efficacement. Ce protocole fournit la base pour :
Joignabilité globale
BGP permet à tout routeur réseau connecté à Internet en tant qu'homologue de communiquer avec tout autre réseau, indépendamment de l'emplacement du routeur ou du chemin que les données doivent emprunter.
Stabilité du réseau
En mettant à jour en permanence les informations de routage, BGP permet aux réseaux de s'adapter aux pannes ou à la congestion, garantissant ainsi que les données peuvent toujours trouver un chemin disponible.
Optimisation du trafic
BGP permet aux administrateurs de routeurs réseau de contrôler la façon dont le trafic circule sur leurs réseaux, en optimisant les performances et en gérant les coûts.
En substance, BGP est la main invisible qui guide les paquets de données sur Internet, rendant possible la communication mondiale et assurant le bon fonctionnement de la famille d'appareils dans le monde numérique sur lequel nous comptons.
Fonctions clés de BGP
BGP exécute plusieurs fonctions de commande cruciales qui permettent un routage efficace et fiable sur Internet. Ces fonctions fonctionnent ensemble pour garantir que les données parviennent à traverser le réseau complexe des réseaux interconnectés.
Routes BGP et tables de routage
Au cœur, BGP traite des routes, qui sont essentiellement des cartes qui décrivent comment atteindre des réseaux ou des préfixes spécifiques. Ces routes sont stockées et gérées dans des tables de routage.
Session BGP et appairage
Pour que BGP fonctionne, les routeurs doivent établir des sessions entre eux, formant une relation d'appairage. Ce processus d'appairage implique l'authentification et l'échange d'informations de routage avec la famille de routeurs.
Choix du chemin et processus de décision
Lorsqu'un routeur BGP reçoit plusieurs routes vers la même destination, il doit décider du chemin à utiliser. Ce processus de sélection de chemin est basé sur un ensemble de règles et d'attributs associés à chaque route.
Fonctionnement de BGP
BGP est un protocole de commande de routeur complexe avec des mécanismes complexes pour échanger des informations de routage et assurer un transfert de données efficace entre les datacenters et Internet. Voici un aperçu de son fonctionnement de base :
Homologation BGP expliquée
BGP s'appuie sur le concept de « peering » pour établir des connexions entre routeurs dans différents systèmes autonomes (AS). Le processus homologue implique un processus où deux routeurs acceptent d'échanger des informations de routage.
Ils établissent une connexion TCP et s’authentifient mutuellement, formant un canal de communication stable et fiable. Une fois cette relation d'appairage établie, les routeurs peuvent partager leurs tables de routage et se tenir mutuellement au courant de l'accessibilité du réseau.
Cet échange externe continu d'informations de routeur garantit que chaque routeur a une vue cohérente et à jour de la topologie du réseau.
Dans BGP, un voisin fait référence à un autre routeur avec lequel un routeur BGP établit une connexion pour échanger des informations de routage avec le voisin.
Un attribut BGP est une information attachée à chaque route annoncée par un routeur BGP. Un attribut joue un rôle crucial dans le processus de sélection du chemin d'accès. Un attribut peut être AS_PATH, ORIGIN, LOCAL_PREF, etc. Cette plage d'attributs aide les routeurs à déterminer le meilleur chemin pour atteindre une destination spécifique.
Le rôle des systèmes autonomes (AS)
Les systèmes autonomes (AS) sont fondamentaux pour le fonctionnement de la politique BGP. Un AS est essentiellement un ensemble de réseaux sous un seul domaine administratif, comme un grand fournisseur d'accès à Internet (FAI) ou une multinationale.
Publication et filtrage d'itinéraires BGP
Les routeurs BGP publient des routes d'homologues à leurs homologues routeurs, en partageant des informations sur les réseaux d'homologues qu'ils peuvent atteindre. Ces publications incluent des détails tels que le préfixe du réseau de destination, le chemin d'accès à ce réseau (représenté par une séquence de numéros AS) et divers attributs qui influencent la sélection du chemin d'accès.
Types de configurations BGP
BGP peut être configuré de différentes manières en fonction de la relation entre les routeurs participants et leurs systèmes autonomes (AS) respectifs. Les deux principaux types de configurations BGP sont :
BGP interne (iBGP)
iBGP est utilisé pour établir des sessions BGP internes entre des routeurs au sein du même AS. Il permet à un routeur au sein d'une organisation ou d'un réseau d'échanger des informations de routage et de maintenir une vue cohérente de la topologie du réseau interne.
BGP externe (eBGP)
eBGP est utilisé pour établir des sessions BGP externes entre des routeurs dans différents AS. Il s'agit du type de configuration BGP externe qui sous-tend le routage Internet, permettant à différentes organisations et à différents FAI de s'interconnecter et d'échanger des informations de routage.
Différences entre iBGP et eBGP
Bien que la stratégie iBGP et la stratégie BGP externe prennent en charge le même protocole de commande BGP interne sous-jacent, elles ont des caractéristiques distinctes et servent des objectifs différents. Par exemple, iBGP fonctionne au sein d'un seul AS, tandis qu'eBGP fonctionne entre différents AS.
Le BGP interne ne propage généralement pas les routes apprises d'un homologue iBGP à un autre, empêchant les boucles de routage potentielles. Contrairement à BGP interne, le BGP externe, d'autre part, propage les routes vers d'autres homologues BGP externes, ce qui permet une accessibilité globale.
Avantages de l'utilisation de BGP
BGP offre un certain nombre d'avantages significatifs qui en font le protocole de commande de routage préféré pour les grands réseaux et les fournisseurs de services Internet. Retrouvez ci-dessous quelques avantages clés.
Évolutivité sur de grands réseaux
BGP est conçu pour gérer les complexités des réseaux de pairs massifs, ce qui le rend idéal pour les fournisseurs d'accès à Internet et les grandes organisations avec une infrastructure de routeurs Internet étendue.
Sa capacité à gérer efficacement un grand nombre de routes et à s'adapter aux changements du réseau garantit l'évolutivité même lorsque les réseaux se développent et évoluent.
Sa structure hiérarchique et ses capacités d'agrégation de routes contribuent à son évolutivité en réduisant la quantité d'informations de routage externe qui doivent être échangées et traitées.
Contrôle et fiabilité du réseau améliorés
BGP permet aux administrateurs réseau de contrôler de manière granulaire leur trafic réseau et leur table de routage. Il leur permet de définir des stratégies de routage en fonction de divers critères, tels que la longueur du chemin, les performances ou les accords commerciaux.
Ce niveau de contrôle permet l'optimisation du réseau, l'ingénierie du trafic et l'amélioration de la qualité de service (QoS). De plus, BGP améliore la fiabilité du réseau en fournissant plusieurs chemins vers chaque destination et en s'adaptant automatiquement aux défaillances du réseau ou à la congestion.
Cela permet aux données de toujours trouver une route disponible, minimisant ainsi les temps d'arrêt et les perturbations.
Gestion améliorée du trafic
BGP fournit des mécanismes pour la gestion sophistiquée du trafic et des tables de routage, permettant aux administrateurs réseau d'influencer la façon dont les données circulent à travers leur réseau.
Des techniques telles que l'ajout de chemin AS et le marquage de communauté permettent aux administrateurs de manipuler les attributs de route et de contrôler le flux de trafic.
Défis et solutions BGP
Bien que BGP soit essentiel pour le routage Internet, il présente également certains défis, principalement liés à la sécurité et à la stabilité du réseau. Voici quelques-uns de ces défis et leurs solutions :
Empêcher le détournement BGP
Le détournement BGP se produit lorsqu'un attaquant publie malicieusement de fausses informations de routage, redirigeant le trafic Internet vers son propre réseau. Celui-ci peut être utilisé à des fins malveillantes, telles que l'écoute, le vol de données ou les attaques par déni de service. Quelques exemples de techniques empêchent le détournement de BGP :
● Filtrage des routes : Mettez en œuvre des stratégies de filtrage de route strictes pour accepter uniquement les routes légitimes des homologues autorisés. Cela implique de configurer les routeurs pour rejeter toutes les annonces BGP qui proviennent de sources inattendues ou revendiquer la propriété de préfixes qui n'appartiennent pas à l'annonceur.
● Infrastructure à clé publique de ressources (RPKI) : Le RPKI permet aux opérateurs de réseau de vérifier cryptographiquement l'origine des annonces d'itinéraires, en veillant à ce que seuls les AS autorisés puissent annoncer des préfixes spécifiques. En publiant et en validant les autorisations d’origine des routes (ROA), les opérateurs de réseau peuvent réduire considérablement le risque de détournement.
● Monitoring BGP : Surveillez en permanence les itinéraires BGP et les modèles de trafic à la recherche d'anomalies qui peuvent indiquer des tentatives de détournement. Les outils de surveillance en temps réel peuvent détecter des modifications suspectes dans les informations de routage et alerter les administrateurs réseau, leur permettant ainsi de prendre des mesures correctives rapidement.
Lutte contre les fuites de routes
Les fuites de routes se produisent lorsqu'un réseau annonce involontairement des routes qu'il ne devrait pas prendre en charge, ce qui peut perturber le flux de trafic et causer des problèmes de connectivité. Ce problème est résolu par :
● Agrégation des routes : Agréger les préfixes pour réduire le nombre de routes annoncées et minimiser le risque de fuites. En résumant plusieurs préfixes en un seul préfixe, plus général, les opérateurs de réseau peuvent simplifier les tables de routage et réduire les risques de fuites accidentelles de routes spécifiques.
● Balises de communauté BGP : Utilisez des balises de communauté pour marquer les itinéraires et contrôler leur propagation, en les empêchant de s'infiltrer dans des parties involontaires du réseau. Ces balises fournissent un moyen flexible d'ajouter des informations aux routes et d'appliquer des stratégies de routage spécifiques, limitant ainsi la portée de la propagation des routes.
Bonnes pratiques de sécurité pour BGP
La mise en œuvre de pratiques de sécurité robustes est essentielle pour atténuer les risques liés à BGP. Ces pratiques comprennent, par exemple :
● Sessions BGP sécurisées : Utilisez des mécanismes d'authentification comme MD5 ou TCP MD5 pour sécuriser les sessions homologues BGP et empêcher les accès locaux et externes non autorisés. Cela garantit que seuls les routeurs approuvés peuvent établir des connexions BGP et des informations de routage d'échange externe.
● Audits réguliers : Effectuer des audits locaux réguliers des configurations et des stratégies de routage afin d'identifier et de corriger les vulnérabilités potentielles. Cela implique de revoir les configurations BGP, les règles de filtrage et les politiques de routage pour s'assurer qu'elles sont à jour et alignées sur les meilleures pratiques de sécurité.
● Collaboration et coordination : Participer aux initiatives de l'industrie et collaborer avec d'autres exploitants de réseau pour partager de l'information et intervenir en cas d'incidents de sécurité locaux. Cela favorise une approche collaborative de la sécurité BGP et contribue à améliorer la résilience globale de l'écosystème de routage Internet.
Cas d'utilisation courants de BGP
La polyvalence des stratégies de BGP et ses capacités robustes le rendent adapté à un large éventail de scénarios de mise en réseau. Voici quelques-uns des cas d'utilisation les plus courants du support réseau :
Prise en charge des configurations de réseau multi-hébergé
Le multihébergement consiste à connecter un réseau à plusieurs fournisseurs de services Internet (FAI) pour augmenter la redondance et améliorer la disponibilité du réseau. BGP joue un rôle crucial dans les configurations multi-hébergées en permettant au réseau d'annoncer ses préfixes à plusieurs FAI et de recevoir plusieurs chemins vers Internet.
Répartition de charge entre plusieurs fournisseurs de services Internet
Avec la stratégie BGP, les organisations peuvent prendre en charge l'équilibrage de charge de leur trafic Internet sur plusieurs connexions ISP. En manipulant les attributs BGP et en appliquant des techniques d'ingénierie du trafic, les administrateurs réseau peuvent contrôler la façon dont le trafic est routé sur les différentes liaisons ISP.
Amélioration de la stabilité et de la sécurité d'Internet
Le BGP est fondamental pour la stabilité et la sécurité des solutions de routage sur Internet. En échangeant continuellement des informations de routage, BGP permet aux réseaux de s'adapter rapidement aux pannes et de maintenir la connectivité cloud. Cela permet de prévenir les pannes à grande échelle et d’assurer le bon fonctionnement des services en ligne.
Outils et technologies prenant en charge BGP
La gestion et la surveillance des processus de commande BGP impliquent l'utilisation de divers outils et technologies pour assurer un fonctionnement efficace et maintenir la stabilité du réseau. Ces outils fournissent des informations précieuses sur le routage des informations, les performances du réseau et les menaces potentielles pour la sécurité.
Les routeurs de différents fournisseurs, tels que Cisco, Juniper et Nokia, sont équipés d'un logiciel de routage BGP qui leur permet de participer au processus de routage BGP.
Des outils de surveillance BGP spécialisés offrent une visibilité en temps réel sur les routes BGP, les sessions d'appairage et les performances du réseau. Ces outils peuvent détecter des anomalies, telles que des détournements de routes ou des fuites, et alerter les administrateurs réseau.
En s'appuyant sur ces outils et technologies, les ingénieurs réseau peuvent gérer efficacement BGP, optimiser les performances du réseau et assurer la stabilité et la sécurité de leur infrastructure de routage.
Les solutions de mise en réseau et de routage d’OVHcloud
Améliorez votre environnement de cloud public et de serveurs dédiés avec nos puissantes solutions de réseau et de cloud. Contrôlez le trafic réseau avec notre passerelle Public Cloud économique, attribuez des adresses IP statiques avec une IP flottante et isolez la communication d'instance avec le réseau privé.
Ces outils offrent la sécurité, la flexibilité des commandes et l’optimisation des performances dont vos applications ont besoin.
Prenez le contrôle de votre trafic réseau avec Public Cloud Gateway. Ce service vous permet de gérer et de surveiller le trafic entrant et sortant vers votre cloud privé virtuel (VPC), assurant ainsi une sécurité renforcée et des performances optimisées pour vos applications.
Ajoutez de la flexibilité et de la résilience à votre infrastructure avec l'IP flottante Public Cloud. Assignez une adresse IP publique statique à n'importe quelle instance de votre VPC, ce qui vous permet de rediriger facilement le trafic ou de maintenir une adresse IP cohérente même si votre infrastructure sous-jacente change.
Créez des canaux de communication sécurisés et isolés entre vos instances grâce à notre réseau privé Public Cloud économique. Ce service vous permet de segmenter votre réseau et de contrôler la façon dont vos ressources interagissent, améliorant ainsi la sécurité et optimisant les performances pour les applications critiques.