Condividi tramite


Panoramica della limitazione dei prefissi BGP

La limitazione dei prefissi BGP (Border Gateway Protocol) è un meccanismo essenziale di protezione da sovraccarico per i dispositivi di bordo cliente (CE). Consente di evitare che l'infrastruttura di Azure Operator Nexus venga sovraccaricata quando un tenant di Azure Operator Nexus annuncia un numero eccessivo di route BGP in un'istanza di instradamento e inoltro virtuale (VRF) di Azure Operator Nexus. Questa funzionalità consente di garantire la stabilità e la sicurezza di rete controllando il numero di prefissi ricevuti dai peer BGP.

Configurazione dei limiti di prefisso BGP

Per configurare i limiti dei prefissi BGP, è possibile usare due parametri primari:

  • max-routes
  • warn-threshold

Limiti rigidi (max percorsi)

Il max-routes parametro specifica il numero massimo di prefissi che un router BGP può accettare da un vicino. Se il numero supera questo limite, la sessione BGP con tale adiacente viene terminata. Questa soglia è un limite rigido per proteggere il router da un carico eccessivo e mantenere la stabilità di rete.

Limiti flessibili (soglia di avviso)

Il warn-threshold parametro è un limite flessibile. Quando il numero di prefissi supera questa soglia, viene attivato un avviso, ma la sessione BGP rimane attiva. Questa salvaguardia funge da misura precauzionale in modo che gli amministratori possano intervenire prima che venga raggiunto il limite rigido.

Per configurare il limite di prefissi BGP nei dispositivi CE per Azure Operator Nexus, seguire i passaggi successivi. Questa configurazione include l'impostazione dei limiti di prefisso per le sessioni BGP per gestire la stabilità di rete e impedire che l'infrastruttura Nexus venga sovraccaricata quando un tenant annuncia route BGP eccessive.

Prerequisiti

  • Assicurarsi che Azure Operator Nexus Network Fabric sia aggiornato alla versione supportata o successiva.
  • Verificare che i dispositivi CE siano in esecuzione con software compatibile.
  • Verificare che i gruppi peer per le famiglie di indirizzi IPv4 e IPv6 siano configurati correttamente per le reti interne.

Passaggi per configurare i limiti dei prefissi BGP

Passaggio 1: Definire i limiti dei prefissi BGP

Configurare i limiti dei prefissi BGP usando i parametri maximumRoutes e threshold:

  • maximumRoutes: questo parametro definisce il numero massimo di prefissi BGP accettati dal router da un peer BGP.
  • threshold: questo parametro definisce la soglia di avviso come percentuale del maximumRoutes parametro . Quando il numero di prefissi supera questa soglia, viene generato un avviso.

Passaggio 2: Configurare nel dispositivo CE

Esempio 1: limite di prefisso BGP con riavvio automatico

Questa configurazione riavvia automaticamente la sessione dopo un periodo di inattività definito quando viene superato il limite di prefisso.

{
  "prefixLimits": {
    "maximumRoutes": 5000,
    "threshold": 80,
    "idleTimeExpiry": 100
  }
}

Spiegazione:

  • maximumRoutes: il limite per la sessione BGP è di 5.000 percorsi.
  • threshold: viene generato un avviso quando il numero di prefissi raggiunge 80% (4.000 route).
  • idleTimeExpiry: se la sessione viene arrestata, viene riavviata automaticamente dopo 100 secondi di inattività.
Esempio 2: limite di prefissi BGP senza riavvio automatico

Questa configurazione arresta la sessione quando viene raggiunto il limite massimo di prefisso. Per riavviare la sessione è necessario l'intervento manuale.

{
  "prefixLimits": {
    "maximumRoutes": 5000,
    "threshold": 80
  }
}

Spiegazione:

  • maximumRoutes: il limite per la sessione BGP è di 5.000 percorsi.
  • threshold: viene generato un avviso quando il numero di prefissi raggiunge 80% (4.000 route).
  • Nessun riavvio automatico. Per riavviare la sessione è necessario l'intervento manuale.
Esempio 3: Eliminare sessioni BGP con limite rigido

Questa configurazione elimina route aggiuntive se il limite di prefisso viene superato senza mantenere una cache delle route eliminate.

{
  "prefixLimits": {
    "maximumRoutes": 5000
  }
}

Spiegazione:

  • maximumRoutes: il limite per la sessione BGP è di 5.000 percorsi.
  • Dopo aver raggiunto il limite, il dispositivo CE elimina eventuali prefissi aggiuntivi ricevuti dal peer BGP.
Esempio 4: solo avviso limite rigido

Questa configurazione genera un avviso dopo che il conteggio dei prefissi raggiunge una determinata percentuale del limite massimo, ma non arresta la sessione.

{
  "prefixLimits": {
    "maximumRoutes": 8000,
    "threshold": 75,
    "warning-only": true
  }
}

Spiegazione:

  • maximumRoutes: il limite per la sessione BGP è di 8.000 percorsi.
  • threshold: viene generato un avviso quando il numero di prefissi raggiunge 75% (6.000 route).
  • La sessione non è chiusa. Questa configurazione viene usata per generare solo un avviso senza eseguire alcuna azione di terminazione della sessione.

Passaggio 3: Applicare la configurazione usando l'interfaccia della riga di comando di Azure

È possibile usare i comandi dell'interfaccia della riga di comando di Azure per applicare i limiti del prefisso BGP alla configurazione di rete esterna per Nexus.

  • Con il riavvio automatico:

    az networkfabric externalnetwork create --resource-group <resource-group> --fabric-name <fabric-name> --network-name <network-name> --prefix-limits '{"maximumRoutes": 5000, "threshold": 80, "idleTimeExpiry": 100}'
    
  • Senza riavvio automatico:

    az networkfabric externalnetwork create --resource-group <resource-group> --fabric-name <fabric-name> --network-name <network-name> --prefix-limits '{"maximumRoutes": 5000, "threshold": 80}'
    
  • Eliminazione di sessioni BGP con limite rigido:

    az networkfabric externalnetwork create --resource-group <resource-group> --fabric-name <fabric-name> --network-name <network-name> --prefix-limits '{"maximumRoutes": 5000}'
    
  • Solo avviso limite rigido:

    az networkfabric externalnetwork create --resource-group <resource-group> --fabric-name <fabric-name> --network-name <network-name> --prefix-limits '{"maximumRoutes": 8000, "threshold": 75, "warning-only": true}'
    

Passaggio 4: Monitorare e convalidare la configurazione

Dopo aver applicato la configurazione, assicurarsi di monitorare la sessione BGP e verificare se i limiti del prefisso vengono applicati correttamente. Controllare lo stato della sessione BGP usando il comando seguente:

show ip bgp summary

Cercare gli stati delle sessioni e il numero di prefissi annunciati da ogni peer. Se vengono raggiunti i limiti, lo stato della sessione dovrebbe essere modificato in Stabilito o Inattiva in base alla configurazione.

Considerazioni

  • Soglia e limiti massimi: Assicurarsi di impostare soglie appropriate per evitare terminazioni di sessione non necessarie, proteggendo comunque la rete dall'overload.
  • Riavvio automatico e manuale: A seconda delle operazioni di rete, scegliere tra opzioni di riavvio automatico e manuale. Il riavvio automatico è utile per ridurre al minimo l'intervento manuale. Il riavvio manuale potrebbe offrire agli amministratori di rete un maggiore controllo sul ripristino.

Gestire i limiti dei prefissi BGP per reti diverse

Rete interna

La piattaforma supporta il dominio di isolamento di livello 3 (L3IsolationDomain) per i carichi di lavoro del tenant. Esegue la programmazione dei dispositivi nelle istanze di Nexus e nei dispositivi Arista con gruppi di peer per famiglie di indirizzi IPv4 e IPv6.

Opzione di rete esterna B (perimetro del provider)

Per la configurazione di rete esterna, è supportata solo l'opzione hard-limit warning-only . Nexus supporta questa configurazione tramite l'API di Azure Resource Manager con il parametro NNI optionBlayer3Configuration sotto maximumRoutes.

Opzione NNI A

Per l'opzione NNI (Network-to-Network Interface) A, è consentito un solo gruppo peer. IPv4 su IPv6 e viceversa non sono supportati. La warning-only modalità è disponibile per la gestione dei limiti dei prefissi.

Seguendo la procedura descritta in questo articolo, è possibile configurare i limiti dei prefissi BGP in modo efficace per proteggere la rete dall'overload. È possibile garantire che le sessioni BGP siano gestite correttamente per le reti interne ed esterne.