BGPルートフィルタリング びーじーぴーるーとふぃるたりんぐ
ルートフィルタリングプレフィックスリストルートマップBGPポリシーAS-PATH
BGPルートフィルタリングについて教えて
BGPルートフィルタリングとは
BGPルートフィルタリングは、BGPピア間で交換するルート(経路情報)を受信時・送信時に選別する仕組みです。フィルタリングを使うことで、不要なルートの受け入れ拒否・誤った経路の広告防止・ネットワークポリシーの適用が可能になります。
フィルタリングには主に「プレフィックスリスト」と「ルートマップ」が使われます。プレフィックスリストはIPアドレス範囲(CIDR)の許可・拒否リストです。ルートマップはより高度な条件分岐ができ、コミュニティ値やAS-PATH属性なども条件に指定できます。
主なフィルタリング手法
| 手法 | 説明 |
|---|---|
| プレフィックスリスト | 特定のIPプレフィックスを許可/拒否 |
| AS-PATHフィルタ | 正規表現でAS-PATHを条件指定 |
| ルートマップ | 複合条件でフィルタ・属性操作 |
| コミュニティフィルタ | BGPコミュニティ値を条件に使用 |
| ORF(Outbound Route Filtering) | ピアに自分のフィルタ条件を通知し送信側で適用 |
歴史と背景
- 1995年:BGP-4(RFC 1771)でフィルタリング適用の概念が普及
- 2000年代:RPKI(Resource Public Key Infrastructure)登場でルート起源検証が可能に
- 2012年:MANRS(Mutually Agreed Norms for Routing Security)設立でフィルタリングの業界標準化が進む
- 現在:ルートリーク・BGPハイジャック対策として全ISPに推奨される必須技術
フィルタリングの動作イメージ
設定例(Ciscoスタイル)
! プレフィックスリストで192.168.0.0/16のみ受け入れ
ip prefix-list ALLOW-ONLY seq 10 permit 192.168.0.0/16
ip prefix-list ALLOW-ONLY seq 20 deny 0.0.0.0/0 le 32
router bgp 65001
neighbor 203.0.113.1 prefix-list ALLOW-ONLY in関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| RFC 4271 | BGP-4(フィルタリング基盤) |
| RFC 8212 | BGPデフォルト送受信ポリシー(セキュリティ強化) |
| RFC 6811 | BGP Prefix Origin Validation(RPKI連携) |
関連用語
- BGP — フィルタリング対象のプロトコル
- BGPコミュニティ — フィルタ条件として利用できるタグ
- BGPルートリフレクター — 大規模iBGPでフィルタと組み合わせて使う