Mon compte | Contactez-nous | 01 76 23 10 11 |
EN EN
Retourner sur le site

Notions BGP pour clients

Comprendre le BGP, ASN, préfixes IP et annonces sur le réseau HolyCloud pour clients avancés.

~12 min de lecture Avancé #bgp #reseau #asn #routage #datacenter

Notions BGP pour clients

Le BGP (Border Gateway Protocol) est le protocole de routage entre réseaux autonomes sur Internet. Les clients HolyCloud avec IP dédiées, ASN ou multi-homing doivent en comprendre les bases pour collaborer avec le support réseau.

Prérequis

  • Notions TCP/IP (IP, masque, passerelle)
  • Offre ou projet nécessitant une annonce de préfixe (souvent serveur dédié, IP failover, connectivité entreprise)
  • Coordination avec le support HolyCloud pour toute session BGP réelle

Ce guide est pédagogique : ne configurez pas de session BGP sans validation commerciale et technique HolyCloud.

Réseau autonome (AS) et ASN

Un Autonomous System (AS) est un ensemble de préfixes IP géré sous une politique de routage unique, identifié par un ASN (ex. AS12345).

| Élément | Description |

|---------|-------------|

| ASN | Numéro global (16/32 bits) attribué par un RIR (RIPE, ARIN…) |

| eBGP | BGP entre AS voisins (externe) |

| iBGP | BGP à l'intérieur du même AS |

HolyCloud possède son propre ASN opérationnel ; vos préfixes peuvent être annoncés via notre AS vers les transitaires/peering.

Préfixe IP et agrégation

Vous annoncez des préfixes (blocs routables), pas des IP isolées sauf exceptions (/32) :

  • 203.0.113.0/24 — 256 adresses
  • 2001:db8::/48 — bloc IPv6 typique entreprise

L'agrégation réduit la taille des tables globales : annoncer /24 plutôt que 256 /32 si vous les possédez tous.

Session BGP : principes

[Votre routeur] ----eBGP---- [Routeur edge HolyCloud] ----> Internet

Paramètres négociés avec l'opérateur :

| Paramètre | Exemple |

|-----------|---------|

| Peer IP | 10.0.0.1 / 10.0.0.2 (lien point à point) |

| ASN local / distant | Votre ASN ↔ ASN HolyCloud |

| Multihop | Parfois eBGP multihop si routeur non adjacent |

| MD5 password | Authentification session (optionnelle) |

| Prefix-list / filter | Ce que vous êtes autorisé à annoncer |

Vous n'annoncez que les préfixes validés (ROA RPKI, IRR objects) — HolyCloud filtre les annonces non autorisées.

Attributs BGP utiles

| Attribut | Usage client |

|----------|--------------|

| AS-PATH | Liste des AS traversés — préférence chemins courts |

| NEXT-HOP | Prochain saut IP pour atteindre le préfixe |

| LOCAL_PREF | Préférence entrante (côté opérateur, inbound policy) |

| MED | Hint métrique entre AS pairs |

| COMMUNITIES | Tags pour actions (ex. no-export, blackhole) |

Exemple de communauté blackhole (concept — valeur exacte fournie par HolyCloud en incident DDoS) : annoncer /32 attaqué avec community → null route ciblée.

RPKI et sécurité des routes

Le RPKI lie un préfixe à un ASN autorisé via un ROA (Route Origin Authorization).

  • RPKI Valid : annonce conforme
  • Invalid : rejet par les opérateurs qui appliquent RPKI
  • Unknown : pas de ROA — risque de filtrage

Avant d'annoncer un préfixe chez HolyCloud, assurez-vous que vos objets IRR (RIPE Database) et ROA sont à jour.

IP failover et BGP

Sur certains produits, une IP failover bascule entre serveurs :

  • Sans BGP client : routage statique ou ARP/anycast côté plateforme
  • Avec BGP : vous annoncez le préfixe /32 ou bloc depuis le serveur actif ; retrait de l'annonce en cas de panne

Le support HolyCloud indique le modèle applicable à votre offre.

Vérifications depuis un VPS Linux (lecture seule)

État des routes reçues (si routeur Linux avec BGP installé par vous — rare sur VPS simple) :

ip route show
ip -6 route show

Traceroute vers votre préfixe annoncé :

traceroute 203.0.113.10
mtr -rwzc 50 203.0.113.10

Registre RIPE (whois) — origine ASN déclarée :

whois -h whois.ripe.net 203.0.113.0/24

Erreurs courantes à éviter

  • Annoncer un préfixe plus spécifique que celui autorisé (route leak interne).
  • Split horizon : annoncer le même préfixe via deux opérateurs sans coordination (trous noirs).
  • Oublier le reverse DNS et les filtres anti-spoof sur les IP sortantes.

Processus HolyCloud (résumé)

  1. Demande commerciale (ASN, préfixes, bande passante, SLA).
  2. Validation LOA / attribution IP / ROA.
  3. Provisioning session sur routeur edge (VLAN, IPs de peering).
  4. Tests d'annonce en maintenance puis production.
  5. Monitoring et communautés d'urgence (DDoS).

Dépannage conceptuel

| Symptôme | Piste |

|----------|-------|

| Préfixe non visible globalement | Filtre upstream ; ROA invalid ; session down |

| Chemin asymétrique | Policies différentes IN/OUT |

| Bascule failover lente | Timer BGP hold / préfixe pas retiré |

Besoin d'aide ?

Pour une demande BGP, fournissez ASN, liste de préfixes, format dual-stack, et contact technique. Le support réseau HolyCloud ne configure pas de sessions non contractuelles.