Border Gateway Protocol
Accueil » Border Gateway Protocol

Border Gateway Protocol (BGP) : guide essentiel pour la gestion de l’infrastructure informatique

Introduction

BGP (Border Gateway Protocol) est un protocole de routage clé qui assure un bon fonctionnement d’Internet en contrôlant comment les données circulent entre différents réseaux, appelés systèmes autonomes (AS). Il permet la communication entre des fournisseurs d’accès Internet (FAI), des centres de données et des réseaux d’entreprise. Du maintien d’une redondance à la prévention des erreurs de configuration et du détournement, le protocole BGP joue un rôle crucial pour garantir une connectivité Internet fiable et efficace.

Il importe pour les professionnels de la gestion de l’infrastructure informatique de le comprendre, car nombre de réseaux actuels reposent sur une infrastructure hybride avec des configurations multiclouds, plusieurs FA et des technologies WAN. Cet article explique en détail ce protocole, couvrant son mode de fonctionnement, ses types et son importance, avec un aperçu de la façon dont des outils comme ManageEngine OpManager Plus aide à bien le superviser.

Aperçu du protocole BGP (Border Gateway Protocol)

BGP est un protocole de routage chemin-vecteur qui détermine le meilleur chemin pour transmettre des données entre plusieurs systèmes autonomes. Un AS est au fond un ensemble de réseaux IP qu’exploite une seule organisation ou un FAI. Le protocole assure une parfaite communication entre les réseaux des AS pour faciliter le transfert de paquets de données via Internet et de vastes réseaux d’entreprise.

BGP est connu pour sa capacité à :

  • Gérer un routage à grande échelle avec des millions de préfixes.
  • Offrir des chemins redondants pour la fiabilité.
  • Permettre des stratégies de routage personnalisées pour optimiser le trafic.

Sa décentralisation signifie que chaque système autonome peut avoir ses propres stratégies, mais BGP veille à ce que les réseaux restent interconnectés et fonctionnent bien malgré ces différences.

Fonctionnement de BGP

BGP fonctionne par l’échange d’informations de routage entre des routeurs, appelés pairs BGP. Les routeurs forment des sessions BGP via TCP (port 179), rendant la connexion stable et fiable. Lorsque deux pairs BGP établissent une session, ils échangent des informations sur les préfixes (blocs IP) accessibles.

  1. Relation de voisin BGP (appairage) : les routeurs BGP doivent établir une relation de voisin avant d’échanger des routes. Les voisins BGP (pairs) peuvent être des routeurs du même AS ou de différents.
  2. Gestion des tables de routage : chaque routeur BGP tient une table BGP, contenant tous les chemins disponibles pour divers préfixes et des métriques comme le chemin AS.
  3. Sélection du chemin : BGP sélectionne la meilleure route vers une destination selon une série d’attributs, comme : longueur de chemin AS (prime au plus court), préférence locale (valeur la plus élevée d’un AS), discriminateur multi-sortie (MED) (valeur la plus basse préférée pour les connexions en multi-hébergement)
  4. Annonce de la route : une fois le meilleur chemin choisi, BGP annonce la route aux voisins. Les pairs mettent à jour leurs tables de routage et, le cas échéant, transmettent les informations à leurs voisins.

Caractéristiques du protocole BGP (Border Gateway Protocol)

Ses caractéristiques propres rendent BGP bien adapté aux réseaux distribués à grande échelle :

  • Évolutivité : BGP prend en charge des millions de routes, le rendant idéal pour le routage global.
  • Contrôle de routage décentralisé : chaque AS contrôle ses règles de routage, assurant la flexibilité pour différentes organisations.
  • Routage basé sur des stratégies : les administrateurs réseau peuvent définir des stratégies de routage sur mesure pour contrôler le flux de trafic.
  • Redondance et basculement : BGP permet plusieurs chemins, assurant une communication fiable même en cas d’échec.
  • Mises à jour incrémentielles : les routeurs BGP n’échangent des mises à jour que si les routes changent, réduisant la charge par rapport aux protocoles à état de liaison.
  • Enjeux de sécurité : BGP est vulnérable aux attaques, comme le détournement de route, d’où la criticité du suivi et de la validation.

Fonctions du protocole BGP

BGP remplit plusieurs fonctions clés en termes de mise en réseau et de gestion de l’infrastructure :

  • Choix et annonce des routes : les routeurs BGP échangent les préfixes disponibles avec les pairs et choisissent la meilleure route vers chaque destination.
  • Équilibrage de charge et redondance : BGP permet plusieurs chemins vers la même destination, rendant possible le basculement.
  • Ingénierie de trafic : les administrateurs peuvent régir le flux de trafic entre des réseaux en ajustant les attributs BGP.
  • Communication entre AS : BGP permet la communication entre des FAI et de grandes entreprises avec son mode externe (eBGP).
  • Optimisation des ressources : les entreprises peuvent optimiser leurs connexions en multi-hébergement avec BGP en équilibrant les charges entre plusieurs FAI.
  • Application de stratégies de sécurité : une analyse adéquate permet de détecter et prévenir le détournement ou la fuite de route grâce au filtrage et la validation.

Différence entre BGP externe (eBGP) et BGP interne (iBGP)

BGP externe (eBGP) : sert à la communication entre différents systèmes autonomes. Les FAI utilisent en général ce mode pour échanger des informations de routage entre eux ou avec de grandes entreprises. Les sessions eBGP ont une durée de vie (TTL) courte, les routeurs devant donc être directement connectés.

BGP interne (iBGP) : sert dans un seul système autonome à diffuser des informations de routage externe entre tous les routeurs internes. Veille à ce que chaque routeur de l’AS possède des informations de routage cohérentes. Les sessions iBGP exigent une connectivité de réseau maillé, avec un appairage de chaque routeur à tous les autres (ou l’utilisation d’un réflecteur de route pour éviter cette exigence).

Aperçu des systèmes autonomes et de leurs opérateurs

Un système autonome (AS) est un ensemble de réseaux IP sous le contrôle administratif d’une seule organisation, utilisant une stratégie de routage commune. Chaque AS se voit affecter un numéro AS unique (ASN), géré par l’IANA (Internet Assigned Numbers Authority) et les registres Internet régionaux (RIR).

Types de système autonome :

  • AS FAI : exploité par les fournisseurs d’accès Internet pour offrir une connectivité Internet à des clients.
  • AS entreprise : grandes entreprises ou organisations gérant leurs propres réseaux et connectées à plusieurs FAI.
  • Réseaux de diffusion de contenu (CDN) et fournisseurs de cloud : les fournisseurs comme AWS ou Akamai gèrent leurs propres réseaux AS pour offrir une qualité de service élevée.

Gouvernance BGP : BGP étant décentralisé, les opérateurs AS sont responsables de : Assurer une bonne annonce des préfixes. Gérer les stratégies de routage pour contrôler le flux de trafic. Valider les annonces BGP entrantes pour éviter le détournement ou les erreurs de configuration.

BGP en pratique : cas d’usage concrets du protocole

La polyvalence de BGP va bien au-delà d’une simple connexion des FAI. On utilise aujourd’hui BGP à diverses fins, de l’assurance d’un accès Internet fiable à l’optimisation de la connectivité multicloud. Ses principaux cas d’usage ci-dessous illustrent son importance pratique dans la gestion de l'infrastructure informatique.

Redondance et multi-hébergement pour les entreprises

Nombre d’entreprises se connectent à plusieurs FAI pour garantir la redondance et éviter une interruption. Cette configuration, appelée multi-hébergement, utilise BGP pour un routage dynamique du trafic entre les fournisseurs selon la disponibilité et la performance.

Enjeu : sans BGP, une défaillance d’un FAI peut entraîner une interruption de service complète.

Solution : BGP permet de détecter les défaillances et de basculer automatiquement le trafic vers un fournisseur disponible, maintenant la continuité d’activité.

Optimisation WAN et intégration SD-WAN

Dans des environnements SD-WAN, BGP dirige le trafic entre les sites et les services cloud via le meilleur chemin. BGP permet d’assurer une connectivité à faible latence et un contrôle du routage selon les besoins stratégiques.

Cas d’usage : une entreprise ayant des sites à travers le monde utilise des technologies SD-WAN et BGP pour diriger dynamiquement le trafic vers des plateformes cloud comme AWS ou Azure.

Avantage : le routage optimisé garantit que le trafic sensible (par exemple, VoIP) transite par des liaisons à faible latence, celui moins sensible utilisant des chemins de secours.

Connectivité cloud et gestion d’une infrastructure hybride

Les fournisseurs cloud comme AWS, Microsoft Azure et Google Cloud utilisent BGP pour offrir des services Direct Connect et ExpressRoute. Ces services permettent aux entreprises d’établir des connexions privées entre des centres de données locaux et des environnements cloud.

Cas d’usage : un grand détaillant utilise BGP pour connecter son infrastructure sur site à AWS via Direct Connect, assurant un accès rapide et sûr à des applications hébergées dans le cloud.

Échange et ingénierie de trafic

Les FAI reposent beaucoup sur BGP pour des accords d’échange de trafic avec d’autres FAI et l’ingénierie de trafic. En manipulant des attributs BGP (comme le chemin AS et la préférence locale), les FAI peuvent contrôler comment le trafic circule via leurs réseaux, pour optimiser la performance et éviter la congestion.

Exemple : un opérateur de télécommunications utilise BGP pour veiller à ce que le trafic de certaines régions suive des routes précises, des liaisons de secours ne servant qu’en cas de défaillance de celles principales.

Prévention des attaques DDoS et blackholing du trafic

BGP sert souvent d’outil pour prévenir des attaques DDoS (déni de service distribué) avec une technique appelée blackholing déclenchée à distance. Cette méthode consiste à configurer des routeurs pour éliminer le trafic malveillant en annonçant le préfixe d’une cible avec une route nulle.

Cas d’usage : lors d’une attaque DDoS contre un client, un FAI annonce le préfixe IP attaqué via BGP avec une route nulle, empêchant le trafic visé de surcharger le réseau.

Prévention du détournement BGP et des fuites de route

Un détournement BGP survient lorsqu’un acteur malveillant annonce des préfixes non autorisés et redirige le trafic vers des destinations indésirables. De même, une fuite survient lorsqu’un routeur annonce par erreur des préfixes internes à des pairs externes, provoquant un mauvais routage. Les deux constituent de graves menaces pour la stabilité et la sécurité du réseau.

Exemple : en 2018, une grave fuite de route BGP touchant du trafic Google Cloud a perturbé des services en ligne.

Solution: les entreprises et les FAI préviennent ces risques en filtrant les routes entrantes et les validant via le protocole RPKI (Resource Public Key Infrastructure).

Diffusion de contenu mondiale via des CDN

Les réseaux de diffusion de contenu (CDN) comme Akamai, Cloudflare et Fastly utilisent BGP pour déterminer les meilleurs chemins pour fournir du contenu à des utilisateurs à travers le monde. Les CDN utilisent un routage BGP anycast, une seule adresse IP étant annoncée de plusieurs lieux, permettant au centre de données le plus proche de répondre aux demandes des utilisateurs.

Cas d’usage : un service de diffusion vidéo utilise un CDN à routage BGP anycast pour réduire la latence et fournir rapidement des vidéos à des utilisateurs dans le monde entier.

Comment ManageEngine OpManager Plus permet l’analyse BGP

Étant donné la complexité de BGP, une analyse en temps réel est vitale pour assurer un bon fonctionnement. OpManager Plus aide la DSI à gérer au mieux BGP avec ses outils d’analyse complets.

Analyse de l’état des sessions BGP : suivi continu de l’état des sessions iBGP et eBGP. Envoi d’alertes si une session s’arrête pour prévenir les interruptions.

Détection des changements de route : analyse des mises à jour BGP et détection du bagotement de route (changements fréquents), qui risque de nuire à la performance.

Détection d’anomalies : identification du détournement BGP et des erreurs de configuration en suivant les annonces de préfixe imprévues.

Rapports sur la performance : génération de rapports détaillés sur l’activité des sessions BGP, les annonces de préfixe et les changements de chemin pour faciliter la planification de la capacité.

Gestion des configurations et de la conformité : suivi des modifications de configuration BGP pour maintenir la conformité avec les stratégies réseau.

BGP joue un rôle crucial pour assurer une communication fluide entre des réseaux autonomes, alliant redondance, évolutivité et routage optimisé. Toutefois, sa complexité signifie que des erreurs de configuration ou des problèmes de sécurité peuvent entraîner des pannes réseau, voire des interruptions globales. Une analyse efficace avec des outils comme OpManager Plus devient vitale pour gérer les sessions BGP, détecter les anomalies et assurer la continuité d’activité. Dans le contexte actuel d’infrastructures hybrides et multiclouds, les FAI ne sont plus les seuls à devoir assimiler BGP, nombre d’entreprises utilisant des réseaux basés sur plusieurs connexions WAN. Une analyse et gestion proactive permet à la DSI de veiller au bon fonctionnement de ses réseaux, maintenant les utilisateurs connectés et les applications vitales en ligne.

Aidez-nous à mieux répondre à vos besoins !

Contactez-nous dès maintenant pour rendre votre réseau d’entreprise observable et répondre à tous vos besoins de gestion réseau. Téléchargez une version d’évaluation de 30 jours totalement fonctionnelle d’OpManager Plus ou découvrez notre démo en ligne.

Évaluer les avantages

En savoir plus sur OpManager Plus

GuidesBlogsDécouvrir d’autres fonctionnalités

Obtenez une observabilité pratique avec OpManager Plus. Évaluez le produit gratuitement maintenant.

Télécharger une version d’évaluation gratuite de 30 jours
Section vidéo
OpManager Customer Videos
Altaleb Alshenqiti - Ministère de la garde nationale - Affaires de santé
  
  •  Administrateur informatique de " Royal flying doctor service ", Australie
     Jonathan, client de ManageEngine
  •  Michael - Réseau et technologie, client de ManageEngine
     Altaleb Alshenqiti - Ministère de la garde nationale - Affaires de santé
  •  David Tremont, directeur associé d'Infrastructure, États-Unis
     Todd Haverstock Directeur administratif
  •  Donald Stewart, directeur informatique de Crest Industries
     John Rosser, responsable MIS - Yale Chase Equipment & Services