Établir des sessions BGP

Cloud Router utilise le protocole BGP (Border Gateway Protocol) pour échanger des routes entre votre réseau cloud privé virtuel (VPC) et un réseau distant. Sur Cloud Router, vous configurez une interface et un pair BGP pour votre routeur sur site. Ensemble, l'interface et la configuration du pair BGP forment une session BGP.

Dans Google Cloud, une interface du routeur cloud se connecte à l'une des ressources Google Cloud suivantes :

  • Un tunnel VPN classique utilisant le routage dynamique
  • Un tunnel VPN haute disponibilité (utilisant le routage dynamique si nécessaire)
  • Un rattachement de VLAN pour Cloud Interconnect
  • Une instance d'appareil de routeur utilisant Network Connectivity Center

Un routeur Cloud Router est compatible avec plusieurs interfaces. Vous n'avez pas besoin de créer un routeur Cloud Router distinct pour chaque tunnel Cloud VPN ou rattachement de VLAN. Toutefois, chaque routeur cloud utilise le même numéro ASN pour toutes ses sessions BGP. Contrairement à tous les autres types d'interface nécessitant des numéros ASN privés, l'interconnexion partenaire nécessite un numéro ASN public. Un routeur Cloud Router qui gère les sessions BGP pour un rattachement de VLAN sur une interconnexion partenaire ne peut donc pas gérer les sessions BGP pour d'autres types d'interface.

Sessions BGP compatibles

Cloud Router prend en charge deux types de sessions BGP:

  • Sessions BGP IPv4
  • Sessions IPv6 BGP

Sessions BGP IPv4

Par défaut, lorsque vous créez une session BGP dans Cloud Router, vous créez une session BGP IPv4. Par défaut, la session BGP IPv4 n'échange que des routes IPv4.

Toutefois, vous pouvez configurer la session BGP IPv4 pour échanger des routes IPv6 à l'aide du protocole BGP multiprotocole (MP-BGP). Cela vous permet, par exemple, d'échanger du trafic IPv6 entre vos sous-réseaux de cloud privé virtuel double pile et les hôtes adressés en IPv6 sur votre autre réseau.

Pour activer l'échange de route IPv6 sur votre session BGP IPv4, vous devez configurer un tunnel VPN haute disponibilité IPv4 et IPv6 (double pile) ou un rattachement de VLAN Dedicated Interconnect.

Vous pouvez ensuite activer l'échange de route IPv6 dans votre pair BGP.

Pour en savoir plus, consultez la page Configurer la fonctionnalité BGP multiprotocole dans les sessions BGP IPv4 ou IPv6.

Sessions IPv6 BGP

Vous pouvez également créer une session BGP IPv6 dans Cloud Router.

Par défaut, une session BGP IPv6 n'échange que des routes IPv6. Comme pour les sessions BGP IPv4, vous pouvez également configurer une session BGP IPv6 avec BGP multiprotocole (MP-BGP). Toutefois, avec les sessions MP-BGP sur IPv6 BGP, vous échangez des routes IPv4 sur une session BGP IPv6.

Pour activer l'échange de route IPv4 dans votre session BGP IPv6, vous devez configurer un tunnel VPN haute disponibilité à deux piles ou un rattachement de VLAN Dedicated Interconnect.

Vous pouvez ensuite activer l'échange de route IPv4 dans votre pair BGP.

Pour en savoir plus, consultez la page Configurer la fonctionnalité BGP multiprotocole dans les sessions IPv4 ou IPv6 BGP.

Vous pouvez également établir une session BGP IPv4 et une session BGP IPv6 en parallèle.

Chaque session n'échange que des routes pour sa propre famille d'adresses. Les sessions BGP IPv4 n'échangent que des routes IPv4 et les sessions BGP IPv6 n'échangent que des routes IPv6. Vous ne pouvez pas utiliser MP-BGP dans des sessions BGP individuelles.

Vous configurez ces sessions BGP en attribuant deux interfaces sur Cloud Router, une IPv4 et une IPv6, au même tunnel VPN haute disponibilité ou rattachement de VLAN Cloud Interconnect. Vous ne pouvez configurer ces sessions BGP que pour un tunnel VPN haute disponibilité double pile ou un rattachement de VLAN Dedicated Interconnect double pile.

Cette configuration garantit que les sessions BGP partagent le même sort avec le plan de données et restent synchronisées correctement avec l'état des routes en termes de disponibilité.

Pour illustrer les avantages de cette configuration de session BGP parallèle, prenons l'exemple suivant.

Supposons que le plan de données subit une panne de trafic IPv4 uniquement. Avec une configuration de session BGP parallèle, la session BGP IPv4 est supprimée, ce qui entraîne le retrait de toutes les routes IPv4 pour ce tunnel VPN haute disponibilité ou rattachement de VLAN Dedicated Interconnect. Ce retrait de routes IPv4 permet de réacheminer le trafic IPv4 si possible. Le trafic IPv6 continue toutefois à utiliser ce tunnel VPN haute disponibilité ou rattachement de VLAN Dedicated Interconnect.

Dans la même situation, une session BGP IPv4 avec MP-BGP supprime les routes IPv4, mais également les routes IPv6. Ce résultat n'est pas souhaitable, car la session peut rediriger ou supprimer le trafic IPv6 inutilement, même si les routes IPv6 sont toujours valides. Une session BGP IPv6 avec MP-BGP ne tombe pas en panne et ne supprime aucune route (IPv4 ou IPv6). Ensuite, seul le trafic IPv4 est interrompu.

Limites

Cloud Router présente les limites suivantes :

  • iBGP ne fonctionne pas entre les routeurs cloud d'une même région.

    Bien que vous puissiez créer deux routeurs cloud avec le même numéro ASN, iBGP n'est pas accepté.

  • Vous ne pouvez pas envoyer ni apprendre les valeurs MED via une connexion d'interconnexion partenaire de couche 3.

    Si vous utilisez une connexion d'interconnexion partenaire dans laquelle un fournisseur de services de couche 3 gère les sessions BGP, Cloud Router ne peut pas apprendre les valeurs MED à partir de votre routeur sur site ni envoyer de valeurs MED à ce routeur. En effet, les valeurs MED ne peuvent pas transiter par des systèmes autonomes. Via ce type de connexion, vous ne pouvez pas définir de priorités de routage pour les routes annoncées par Cloud Router sur votre routeur sur site. En outre, vous ne pouvez pas définir de priorités de routage pour les routes annoncées par votre routeur sur site sur votre réseau VPC.

Authentification BGP

Lorsque vous configurez BGP pour certaines ressources de connectivité hybride, vous pouvez éventuellement configurer les sessions d'appairage du routeur pour utiliser l'authentification MD5. Pour obtenir la liste des produits compatibles avec l'authentification MD5, consultez la page Utiliser l'authentification MD5.

Adresses d'appairage BGP

Les sessions BGP pour les produits suivants utilisent des adresses IPv4 de liaison locale comprises dans la plage 169.254.0.0/16 en tant qu'adresses d'appairage BGP :

  • Pour Dedicated Interconnect, vous pouvez spécifier les adresses IPv4 de liaison locale candidates pour les adresses d'appairage BGP, ou Google Cloud peut sélectionner automatiquement des adresses IPv4 de liaison locale inutilisées.
  • Pour l'interconnexion partenaire, Google Cloud sélectionne automatiquement des adresses IPv4 de liaison locale inutilisées.
  • Pour les VPN haute disponibilité et les VPN classiques utilisant le routage dynamique, vous pouvez spécifier les adresses IPv4 de liaison locale candidates pour les adresses d'appairage BGP.

Les appareils de routeur utilisent des adresses IPv4 internes de VM Google Cloud comme adresses BGP. Pour en savoir plus, consultez la section Créer des instances d'appareils de routeur.

Cloud Router est également compatible avec les adresses IPv6 pour l'appairage BGP. Avec la configuration des pairs BGP IPv6, vous pouvez créer des sessions BGP IPv6 sur des tunnels VPN haute disponibilité et des rattachements de VLAN Dedicated Interconnect.

Pour les tunnels VPN haute disponibilité, vous pouvez utiliser des adresses locales uniques (ULA) IPv6 comprises dans la plage fdff:1::/64 en tant qu'adresses d'appairage BGP. Les adresses d'appairage pour les sessions BGP IPv6 doivent utiliser une longueur de masque de 126 ou une valeur de nombre de bits inférieure, telle que /122. Lorsque vous configurez une session BGP IPv6 dans un VPN haute disponibilité, vous pouvez configurer les adresses IPv6 d'appairage manuellement ou demander à Google Cloud de les attribuer automatiquement pour vous.

Pour Dedicated Interconnect, les adresses IPv6 d'appairage sont automatiquement attribuées à partir de la plage d'adresses unicast globales (GUA) appartenant à Google 2600:2d00:0:1::/64. Vous ne pouvez pas spécifier de plage candidate pour ces adresses IPv6 d'appairage ou configurer ces adresses IPv6 d'appairage manuellement.

Configuration de la session BGP

Les sections suivantes fournissent des liens expliquant comment configurer des sessions BGP pour chaque type d'interface.

Cloud VPN

Cloud Interconnect

Appareil de routeur

Règles de routage BGP

You set rules to filter BGP routes or to modify BGP route attributes. For more information, see BGP route policies.

Étape suivante