Des données disponibles rapidement et bien présentées sont indispensables aux opérateurs réseau pour prendre des décisions abouties. Résolution des problèmes, maintenance, ingénierie du trafic, vérification des résultats : la réussite passe par des informations précises, actualisées, faciles à obtenir et à comprendre. Depuis dix ans, l'équipe de ThousandEyes œuvre pour simplifier la vie des opérateurs en leur apportant des données accessibles et disponibles rapidement. Aujourd'hui, nous lançons la fonctionnalité BGP (Border Gateway Protocol) Updates, une solution puissante qui prolonge notre engagement à faciliter la prise de décision grâce à des informations riches accessibles en temps réel.
Faisant suite à plusieurs améliorations récentes liées au protocole BGP (mises à jour quasi en temps réel, supervision de l'infrastructure de clés publiques [RPKI] et extension de notre réseau d'outils de supervision BGP ThousandEyes), la fonctionnalité BGP Updates assure aux opérateurs un accès direct aux messages BGP bruts identifiés par notre réseau mondial de supervision. Grâce à des options de filtrage avancées, la table fournit aux équipes les données dont elles ont besoin pour vérifier les changements de routage, diagnostiquer les problèmes et rendre le réseau plus performant.
Où trouver cette nouvelle fonctionnalité ?
Vous pouvez accéder à la solution via le menu de navigation à gauche, sous Routing → BGP Updates.
Comment les données sont-elles présentées ?
Dans la Figure 2, la colonne Prefix indique le préfixe IPv4 8.8.8.0/24 pour lequel les flux de messages en temps réel (c'est-à-dire les mises à jour BGP) sont affichés. La colonne Monitor précise quel outil de supervision ThousandEyes a reçu ce message à l'heure indiquée. La colonne Update Type indique qu'il s'agit d'une annonce, et la colonne AS Path révèle un chemin de système autonome (AS) allant de l'AS20473 via l'AS4755 jusqu'à l'AS15169, à l'origine de l'annonce. La colonne RPKI Status confirme qu'il s'agit d'une annonce RPKI « valide ». Enfin, la colonne Communities précise les communautés BGP propagées le long de ce chemin.
La table permet aux opérateurs réseau de mieux superviser le plan de contrôle, valider les chemins, sécuriser le réseau grâce à la validation RPKI et analyser les communautés BGP. Le réseau est plus fiable et la visibilité est accrue.
La Figure 3 présente les différents filtres grâce auxquels les utilisateurs peuvent affiner leur ensemble de données. Par exemple, pour afficher uniquement les annonces RPKI non valides, les utilisateurs peuvent sélectionner cette catégorie dans le filtre RPKI Status. Un sélecteur de date leur permet d'afficher les messages associés à un événement précis survenu au cours des 30 derniers jours. De plus, l'option « Auto Update » à droite permet de suspendre le flux de messages entrants pour faciliter l'analyse à un instant précis.
Comment utiliser concrètement la table BGP Updates ?
Cas d'usage 1 : Procéder à une analyse rétrospective suite à une anomalie BGP
Les anomalies BGP, telles que les piratages, représentent un risque majeur pour la sécurité du réseau. Des systèmes autonomes, ou AS, non autorisés peuvent annoncer des préfixes qui ne leur sont pas attribués, perturbant ainsi le trafic, compromettant les données et pouvant entraîner des pannes. Pour remédier à cela, utilisez la table BGP Updates pour filtrer les préfixes concernés et identifier précisément la date et l'heure de l'annonce non autorisée. Analysez la manière dont l'annonce frauduleuse s'est propagée et quel impact elle a eu à travers le réseau mondial d'outils de supervision BGP de ThousandEyes. Examinez également toutes les données relatives à la communauté BGP collectées lors du piratage, et retrouvez toutes ces informations dans une interface unique.
Cas d'usage 2 : Confirmer rapidement le bon fonctionnement de l'ingénierie du trafic
La fonctionnalité BGP Updates permet aux opérateurs de vérifier rapidement si les modifications d'ingénierie du trafic produisent l'effet souhaité.
Imaginons que vous souhaitiez ajouter plusieurs fois votre numéro de système autonome (ASN) dans le chemin pour rendre ce dernier moins attractif. L'ajout d'AS vise à influencer le trafic entrant pour l'encourager à emprunter un chemin AS_PATH plus direct. Dans la Figure 4, l'AS16509 a ajouté l'AS trois fois (indiqué par « (3) ») en direction de l'AS6453 pour le préfixe IPv4 concerné. L'opérateur définit sa politique de routage pour l'ajout d'AS, puis peut rapidement vérifier les effets à travers le réseau mondial d'outils de supervision de ThousandEyes. La gestion de la redondance et la neutralisation des attaques par déni de service distribué (DDoS) sont d'autres cas d'usage en ingénierie du trafic.
Cas d'usage 3 : Suivre les communautés BGP et vérifier leur bon comportement
Les communautés BGP sont régulièrement utilisées pour appliquer des politiques de routage et obtenir de précieuses informations sur le réseau. La Figure 5 montre que le préfixe 65.9.176.0/21 a été associé avec plusieurs communautés BGP. La communauté 35661:7000 indique que la route est apprise via un peering à Paris avec l'AS35661. Les communautés 174:22012 et 174:21100 indiquent respectivement que la route est apprise au Royaume-Uni et depuis un non-client en Europe via un peering avec l'AS174. De plus, le chemin AS montre que l'AS16509 a été ajouté trois fois.
Les opérateurs associent souvent des communautés aux préfixes annoncés dans le cadre de leurs politiques basées sur la localisation et l'ingénierie du trafic. Cependant, vérifier ces paramètres peut être compliqué en raison de l'inefficacité ou de l'obsolescence des outils de visualisation de routage tiers. BGP Updates résout ce problème en offrant une visibilité mondiale en temps réel sur les décisions de routage basées sur les communautés.
Cas d'usage 4 : Bénéficier d'une visibilité en temps réel sur le statut RPKI
Ces dernières années, l'infrastructure de clés publiques (RPKI) est devenue cruciale pour sécuriser le routage Internet. De nombreux fournisseurs de niveau 1, plusieurs grands FAI et un nombre croissant d'entreprises participent désormais à la signature et à la validation des préfixes RPKI. ThousandEyes assure une supervision complète du statut RPKI et génère les alertes correspondantes. BGP Updates optimise ce processus.
La Figure 6 montre l'AS393770 annonçant un nouveau préfixe, 161.129.58.0/23, après avoir établi un peering avec l'AS174. Peu de temps après, une ROA est créée pour signer le préfixe selon les bonnes pratiques. Vous pouvez voir que le statut RPKI passe de « NotFound » à « Valid » avec des messages ayant des horodatages plus récents.
Compte tenu des risques élevés liés aux erreurs RPKI, la vérification est indispensable. La fonctionnalité BGP Updates offre une visibilité en temps réel sur le statut RPKI à partir de centaines d'outils de supervision BGP. Elle aide ainsi les opérateurs à vérifier comment leurs préfixes se propagent et à s'assurer que les configurations RPKI sont correctes.
Des opérations BGP plus efficaces
Comme le montrent ces différents cas d'usage, l'accès à des données BGP précises et disponibles en temps réel permet aux opérateurs de prendre des décisions plus rapides et mieux informées. BGP Updates propose des options de filtrage avancé qui simplifient la recherche de données pertinentes. Associée au réseau d'outils de supervision BGP de ThousandEyes, cette fonctionnalité offre aux utilisateurs une vue globale quasi en temps réel de l'intégrité du routage BGP. Grâce à cette approche holistique, les opérateurs peuvent mieux vérifier, diagnostiquer et optimiser leur ingénierie du trafic, tout en bénéficiant d'un niveau de contrôle inédit sur les performances du réseau.
