Configuration BGP sur VyOS avec un VPS : tutoriel dual-stack
Configurez BGP sur une instance VyOS hébergée sur un VPS pour annoncer vos préfixes IPv4 et IPv6. Prefix-lists, route-maps, sécurisation des sessions et vérification externe.
Les ingénieurs réseau habitués à Junos ou IOS au quotidien connaissent la douleur d'éditer des fichiers de config plats pour BIRD2 ou FRR. VyOS offre un vrai CLI de routeur sur un VPS : config hiérarchique, commit/rollback, complétion par tabulation. Ce tutoriel couvre la mise en place complète de BGP sur un VPS Virtua Cloud sous VyOS, de la configuration des interfaces à la vérification de l'annonce dual-stack.
À la fin, vous aurez vos préfixes IPv4 et IPv6 annoncés via BGP avec prefix-lists, route-maps, authentification MD5, GTSM et limites max-prefix en place.
Prérequis
Avant de commencer, vous avez besoin de :
- Un ASN enregistré auprès d'un RIR (RIPE NCC, ARIN, APNIC).
- Au moins un préfixe IPv4 /24 et/ou IPv6 /48 assigné à votre ASN.
- Des objets ROA valides publiés en RPKI pour chaque préfixe. Guide de configuration RPKI ROA
- Un VPS Virtua Cloud avec VyOS installé. Commandez un VPS avec l'option image ISO, montez l'ISO VyOS, et terminez l'installation (
install imagedepuis le système live). Redémarrez, démontez l'ISO, et vous avez une instance VyOS persistante. - Une session BGP provisionnée par votre fournisseur upstream. Vous avez besoin de : son ASN, les adresses IPv4/IPv6 de peering, et le mot de passe MD5 (si défini).
Tout au long de ce tutoriel, nous utilisons ces valeurs fictives. Remplacez-les par les vôtres :
| Paramètre | Valeur fictive | Description |
|---|---|---|
| Votre ASN | 64512 |
Votre numéro de système autonome |
| Router ID | 198.51.100.10 |
Généralement votre adresse IPv4 principale |
| ASN upstream | 64501 |
Le numéro d'AS de votre fournisseur |
| IPv4 upstream | 198.51.100.1 |
IPv4 de peering du fournisseur |
| Votre IPv4 de peering | 198.51.100.10 |
Votre côté du lien point-à-point |
| IPv6 upstream | 2001:db8::1 |
IPv6 de peering du fournisseur |
| Votre IPv6 de peering | 2001:db8::10 |
Votre côté du lien IPv6 |
| Votre préfixe IPv4 | 203.0.113.0/24 |
Le préfixe que vous allez annoncer |
| Votre préfixe IPv6 | 2001:db8:1000::/48 |
Le préfixe IPv6 que vous allez annoncer |
| Mot de passe MD5 | (fourni par le fournisseur) | Secret partagé pour TCP MD5 |
Comment accéder et préparer VyOS sur un VPS ?
Après le provisionnement, connectez-vous en SSH à l'instance VyOS. VyOS vous place dans un shell en mode opérationnel. Pour modifier la configuration, passez en mode configuration :
ssh vyos@198.51.100.10
configure
Le prompt passe de $ à #, indiquant que vous êtes en mode configuration. Chaque commande set prépare une modification. Rien ne prend effet tant que vous n'exécutez pas commit.
Vérifier l'interface
Vérifiez que votre interface réseau a les bonnes adresses assignées. Sur un VPS Virtua, l'interface principale est généralement eth0 :
show interfaces ethernet eth0
Si vos adresses de peering ne sont pas encore configurées (certains fournisseurs utilisent un /30 ou /31 séparé pour le lien point-à-point), ajoutez-les :
set interfaces ethernet eth0 address 198.51.100.10/24
set interfaces ethernet eth0 address 2001:db8::10/64
Comment configurer une session BGP sur VyOS ?
La configuration BGP sous VyOS commence par set protocols bgp. Dans VyOS 1.4+ (Sagitta), le numéro d'AS se définit avec system-as, et non l'ancien format set protocols bgp <ASN> des versions précédentes.
Définissez votre numéro d'AS et le router ID :
set protocols bgp system-as 64512
set protocols bgp parameters router-id 198.51.100.10
Configurer le neighbor IPv4
set protocols bgp neighbor 198.51.100.1 remote-as 64501
set protocols bgp neighbor 198.51.100.1 description 'Upstream-v4'
set protocols bgp neighbor 198.51.100.1 update-source 198.51.100.10
Configurer le neighbor IPv6
Si votre fournisseur fait le peering IPv6 sur une adresse séparée (cas courant), ajoutez un second bloc neighbor :
set protocols bgp neighbor 2001:db8::1 remote-as 64501
set protocols bgp neighbor 2001:db8::1 description 'Upstream-v6'
set protocols bgp neighbor 2001:db8::1 update-source 2001:db8::10
set protocols bgp neighbor 2001:db8::1 address-family ipv6-unicast
Pour le neighbor IPv4, activez explicitement l'address family ipv4-unicast :
set protocols bgp neighbor 198.51.100.1 address-family ipv4-unicast
Comment annoncer des préfixes IPv4 et IPv6 sur VyOS ?
Pour annoncer un préfixe via BGP, deux éléments sont nécessaires : une instruction network sous la bonne address family, et le préfixe doit exister dans la table de routage. L'approche standard consiste à créer une route statique blackhole (route null) pour chaque préfixe.
Créer les routes blackhole
set protocols static route 203.0.113.0/24 blackhole
set protocols static route6 2001:db8:1000::/48 blackhole
Ces routes garantissent que le préfixe est toujours présent dans la table de routage, même quand aucune route plus spécifique n'existe.
Ajouter les instructions network
set protocols bgp address-family ipv4-unicast network 203.0.113.0/24
set protocols bgp address-family ipv6-unicast network 2001:db8:1000::/48
La commande network indique à BGP d'originer ces préfixes. Sans la route blackhole correspondante, BGP n'annoncera pas le préfixe.
Comment filtrer les routes BGP avec des prefix-lists et route-maps sur VyOS ?
Faire tourner BGP sans filtres est une négligence. Vous devez filtrer en sortie (n'annoncer que ce qui vous appartient) et en entrée (limiter ce que vous acceptez de l'upstream). VyOS utilise prefix-list pour IPv4 et prefix-list6 pour IPv6. Piège classique : utiliser prefix-list avec un préfixe IPv6 échoue silencieusement.
Prefix-lists sortants
Créez une prefix-list qui autorise uniquement vos préfixes :
set policy prefix-list EXPORT4 rule 10 action permit
set policy prefix-list EXPORT4 rule 10 prefix 203.0.113.0/24
set policy prefix-list6 EXPORT6 rule 10 action permit
set policy prefix-list6 EXPORT6 rule 10 prefix 2001:db8:1000::/48
Un deny-all implicite existe à la fin de chaque prefix-list. Seuls les préfixes explicitement autorisés passent.
Prefix-lists entrants
Limitez les routes entrantes pour empêcher votre upstream d'inonder votre table avec une full table (si vous ne l'avez pas demandée) ou de fuiter des routes invalides :
set policy prefix-list IMPORT4 rule 10 action permit
set policy prefix-list IMPORT4 rule 10 prefix 0.0.0.0/0
set policy prefix-list IMPORT4 rule 10 le 24
set policy prefix-list6 IMPORT6 rule 10 action permit
set policy prefix-list6 IMPORT6 rule 10 prefix ::/0
set policy prefix-list6 IMPORT6 rule 10 le 48
Ceci accepte tout préfixe IPv4 jusqu'à /24 et tout préfixe IPv6 jusqu'à /48. Ajustez les valeurs le selon vos besoins. Si vous voulez uniquement une route par défaut, supprimez la ligne le et définissez le préfixe sur 0.0.0.0/0 ou ::/0 en correspondance exacte.
Route-maps
Les route-maps associent les prefix-lists aux sessions neighbor :
set policy route-map UPSTREAM-OUT4 rule 10 action permit
set policy route-map UPSTREAM-OUT4 rule 10 match ip address prefix-list EXPORT4
set policy route-map UPSTREAM-OUT6 rule 10 action permit
set policy route-map UPSTREAM-OUT6 rule 10 match ipv6 address prefix-list EXPORT6
set policy route-map UPSTREAM-IN4 rule 10 action permit
set policy route-map UPSTREAM-IN4 rule 10 match ip address prefix-list IMPORT4
set policy route-map UPSTREAM-IN6 rule 10 action permit
set policy route-map UPSTREAM-IN6 rule 10 match ipv6 address prefix-list IMPORT6
Appliquer les route-maps aux neighbors
set protocols bgp neighbor 198.51.100.1 address-family ipv4-unicast route-map export UPSTREAM-OUT4
set protocols bgp neighbor 198.51.100.1 address-family ipv4-unicast route-map import UPSTREAM-IN4
set protocols bgp neighbor 2001:db8::1 address-family ipv6-unicast route-map export UPSTREAM-OUT6
set protocols bgp neighbor 2001:db8::1 address-family ipv6-unicast route-map import UPSTREAM-IN6
Comment sécuriser une session BGP sur VyOS ?
Quatre mécanismes renforcent une session BGP : l'authentification TCP MD5, le GTSM (TTL security), les limites max-prefix et le paramètre ebgp-requires-policy. La plupart des tutoriels concurrents n'en couvrent aucun. Les quatre devraient être actifs par défaut.
Authentification MD5
MD5 (RFC 2385) signe chaque segment TCP. Il ne chiffre pas le trafic mais empêche les resets TCP forgés et les détournements de session :
set protocols bgp neighbor 198.51.100.1 password 'your-md5-secret'
set protocols bgp neighbor 2001:db8::1 password 'your-md5-secret'
Les deux côtés doivent utiliser le même mot de passe. Obtenez-le auprès de votre fournisseur upstream lors du provisionnement de la session.
GTSM (Generalized TTL Security Mechanism)
Le GTSM (RFC 5082) rejette les paquets BGP dont le TTL est inférieur à la valeur attendue. Pour des peers eBGP directement connectés, définissez hops à 1 :
set protocols bgp neighbor 198.51.100.1 ttl-security hops 1
set protocols bgp neighbor 2001:db8::1 ttl-security hops 1
Ceci rejette tout paquet BGP ayant traversé plus d'un hop, bloquant les tentatives de spoofing distant. Le GTSM est mutuellement exclusif avec ebgp-multihop. N'utilisez pas les deux sur le même neighbor.
Limites max-prefix
Protégez votre table de routage contre un peer qui enverrait accidentellement une full table (900k+ préfixes IPv4) ou une fuite de routes :
set protocols bgp neighbor 198.51.100.1 address-family ipv4-unicast maximum-prefix 10000
set protocols bgp neighbor 2001:db8::1 address-family ipv6-unicast maximum-prefix 5000
La session est coupée si le peer dépasse cette limite. Définissez les valeurs selon ce que vous attendez. Pour un seul upstream avec une route par défaut, 10 suffit. Pour une full table, 1000000.
Forcer la politique eBGP
VyOS désactive l'application de la RFC 8212 par défaut pour la compatibilité ascendante. Activez-la pour que BGP refuse d'envoyer ou d'accepter des routes sans politique explicite :
set protocols bgp parameters ebgp-requires-policy
Avec ce paramètre activé, un neighbor sans route-map appliquée n'échangera aucune route. Cela évite les fuites de routes accidentelles si vous ajoutez un nouveau peer en oubliant les filtres.
Comment configurer le firewall VyOS pour BGP ?
BGP fonctionne sur le port TCP 179. Si vous utilisez le firewall VyOS (et vous devriez), autorisez le trafic BGP uniquement depuis les adresses de peering de votre upstream.
Règles firewall IPv4
set firewall ipv4 input filter rule 20 action accept
set firewall ipv4 input filter rule 20 protocol tcp
set firewall ipv4 input filter rule 20 destination port 179
set firewall ipv4 input filter rule 20 source address 198.51.100.1
set firewall ipv4 input filter rule 20 description 'BGP from upstream v4'
set firewall ipv4 input filter rule 21 action accept
set firewall ipv4 input filter rule 21 protocol tcp
set firewall ipv4 input filter rule 21 source port 179
set firewall ipv4 input filter rule 21 source address 198.51.100.1
set firewall ipv4 input filter rule 21 description 'BGP return from upstream v4'
Règles firewall IPv6
set firewall ipv6 input filter rule 20 action accept
set firewall ipv6 input filter rule 20 protocol tcp
set firewall ipv6 input filter rule 20 destination port 179
set firewall ipv6 input filter rule 20 source address 2001:db8::1
set firewall ipv6 input filter rule 20 description 'BGP from upstream v6'
set firewall ipv6 input filter rule 21 action accept
set firewall ipv6 input filter rule 21 protocol tcp
set firewall ipv6 input filter rule 21 source port 179
set firewall ipv6 input filter rule 21 source address 2001:db8::1
set firewall ipv6 input filter rule 21 description 'BGP return from upstream v6'
La règle 21 gère le trafic retour quand le pair distant initie la connexion TCP sur le port source 179. Si vous avez le suivi de connexions established/related activé dans votre firewall, la règle 21 peut être superflue. Incluez-la par sécurité.
Commit, save et le workflow de configuration VyOS
VyOS utilise un workflow en deux étapes. commit active les modifications préparées dans la configuration courante. save écrit la configuration courante sur le disque pour qu'elle persiste après un redémarrage. Oublier save signifie qu'un reboot efface vos modifications.
commit
Si le commit réussit sans erreur, sauvegardez :
save
Sortie attendue :
Saving configuration to '/config/config.boot'...
Done
Si commit échoue, VyOS affiche l'erreur et annule les changements. Lisez l'erreur. Causes courantes : fautes de frappe dans les adresses IP, options en conflit (ttl-security et ebgp-multihop sur le même neighbor), ou référence à une prefix-list qui n'existe pas.
Pour revoir vos modifications en attente avant de commiter :
compare
Ceci affiche un diff entre la configuration courante et vos changements en attente. Pour annuler les modifications non commitées :
discard
Pour revenir à un commit précédent :
rollback 1
commit
save
Comment vérifier que mes annonces BGP sont visibles ?
La vérification se fait en deux étapes : locale (sur l'instance VyOS) et externe (depuis internet). Quittez d'abord le mode configuration :
exit
Vérification locale
Vérifiez le statut des sessions pour les deux address families :
show bgp ipv4 summary
Sortie attendue :
IPv4 Unicast Summary:
BGP router identifier 198.51.100.10, local AS number 64512 vrf-id 0
BGP table version 3
RIB entries 5, using 960 bytes of memory
Peers 1, using 725 KiB of memory
Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd
198.51.100.1 4 64501 142 138 0 0 0 01:15:23 2
La colonne State/PfxRcd affiche un nombre (préfixes reçus) quand la session est établie. Si elle affiche Active, Connect ou OpenSent, la session n'est pas montée. Consultez la section dépannage.
show bgp ipv6 summary
Vérifiez que vous annoncez les bons préfixes :
show bgp ipv4 neighbors 198.51.100.1 advertised-routes
La sortie attendue inclut votre préfixe 203.0.113.0/24. S'il est absent, vérifiez votre instruction network et la route-map sortante.
show bgp ipv6 neighbors 2001:db8::1 advertised-routes
Référence des commandes de vérification
| Commande | Ce qu'elle affiche |
|---|---|
show bgp ipv4 summary |
État des sessions, préfixes reçus par peer |
show bgp ipv6 summary |
Idem pour IPv6 |
show bgp ipv4 neighbors <ip> advertised-routes |
Préfixes que vous envoyez |
show bgp ipv4 neighbors <ip> received-routes |
Préfixes reçus du peer |
show bgp ipv4 neighbors <ip> |
Détail du neighbor (timers, capabilities, compteurs) |
show ip route bgp |
Routes BGP installées dans la table de routage |
show bgp ipv4 |
Table BGP IPv4 entière |
Vérification externe
Les vérifications locales ne confirment que ce que votre routeur croit. Vérifiez depuis internet que vos préfixes se propagent effectivement.
bgp.tools : Ouvrez https://bgp.tools/prefix/203.0.113.0/24 dans un navigateur. Le site montre quels AS voient le préfixe, le chemin d'AS et le statut de validation RPKI. Si le préfixe n'apparaît pas, attendez 5 à 10 minutes pour la propagation et revérifiez.
RIPE Stat : Ouvrez https://stat.ripe.net/203.0.113.0/24 pour le statut de routage, la visibilité sur les route collectors et l'état de validation RPKI.
Looking glass : De nombreux fournisseurs de transit proposent des outils looking glass. Interrogez le looking glass de votre upstream pour confirmer qu'il voit votre annonce.
Si votre préfixe apparaît comme RPKI-invalid sur bgp.tools, votre ROA est incorrect. Corrigez-le dans le portail RIPE avant de continuer. Guide de configuration RPKI ROA
VyOS CLI vs BIRD2 vs FRR : comparaison rapide
Les trois peuvent faire tourner BGP sur un VPS Linux. Le choix dépend de vos préférences de workflow.
| Tâche | VyOS CLI | BIRD2 fichier de config | FRR vtysh |
|---|---|---|---|
| Définir le numéro d'AS | set protocols bgp system-as 64512 |
protocol bgp { local 64512 as 64512; } |
router bgp 64512 |
| Ajouter un neighbor | set protocols bgp neighbor 1.2.3.4 remote-as 64501 |
neighbor 1.2.3.4 as 64501; dans le bloc protocol |
neighbor 1.2.3.4 remote-as 64501 |
| Annoncer un préfixe | set protocols bgp address-family ipv4-unicast network 203.0.113.0/24 |
protocol static { route 203.0.113.0/24 blackhole; } + filtre export |
network 203.0.113.0/24 |
| Prefix-list | set policy prefix-list NAME rule 10 ... |
define PFXLIST = [ 203.0.113.0/24 ]; |
ip prefix-list NAME permit ... |
| Appliquer les changements | commit / save |
birdc configure |
write memory |
| Rollback | rollback N + commit |
Restaurer le fichier de config | Pas de rollback natif |
| Format de config | CLI hiérarchique | DSL propriétaire (style C) | CLI style IOS |
| Daemon sous-jacent | FRR (intégré) | BIRD | FRR |
VyOS intègre FRR en interne mais l'enveloppe dans un workflow commit/rollback. Si vous voulez des changements de config atomiques et du rollback sans écrire de scripts, VyOS est le bon choix. Si vous voulez un contrôle maximal sur la logique de filtrage, BIRD2 offre un langage de programmation complet. Tutoriel BGP BIRD2 Tutoriel BGP FRR
Quelles sont les étapes de dépannage BGP courantes sur VyOS ?
Quand une session ne monte pas ou que les préfixes ne sont pas visibles, suivez ces vérifications de manière systématique.
| Symptôme | Cause probable | Solution |
|---|---|---|
État bloqué sur Active |
La connexion TCP échoue. Firewall bloquant le port 179, mauvaise IP neighbor, ou le pair distant n'est pas configuré. | Vérifiez les règles firewall. Confirmez que l'IP neighbor correspond à ce que l'upstream a configuré. Essayez un ping vers l'adresse du peer. |
État bloqué sur OpenSent |
TCP se connecte mais l'OPEN BGP est rejeté. Différence de numéro d'AS ou échec de négociation de capabilities. | Vérifiez que system-as correspond à ce que l'upstream attend. Consultez show bgp ipv4 neighbors <ip> pour « Notification received ». |
État bloqué sur OpenConfirm |
Différence de mot de passe MD5. TCP se connecte (SYN/ACK fonctionne sans vérification MD5) mais les messages BGP échouent à l'authentification. | Confirmez que le password est identique des deux côtés. MD5 est sensible à la casse. |
| Session établie mais 0 préfixes reçus | L'upstream n'envoie pas de routes, ou votre route-map entrante refuse tout. | Vérifiez show bgp ipv4 neighbors <ip> received-routes. Si vide, contactez votre upstream. Si les routes apparaissent mais ne sont pas dans la table, vérifiez votre route-map import. |
| Votre préfixe n'est pas visible de l'extérieur | Route-map sortante qui bloque, instruction network manquante, ou pas de route blackhole. | Exécutez show bgp ipv4 neighbors <ip> advertised-routes. Si le préfixe est absent, vérifiez la route-map sortante et l'instruction network. Vérifiez que la route blackhole existe avec show ip route 203.0.113.0/24. |
| RPKI Invalid sur bgp.tools | Différence de ROA. L'AS d'origine ou le max-length dans le ROA ne correspond pas à votre annonce. | Corrigez le ROA dans le portail RIPE. Vérifiez que l'AS d'origine correspond à system-as et que le max-length couvre /24. |
| Session instable (flapping) | Problèmes de MTU, lien instable, ou limite max-prefix atteinte. | Consultez show log pour les messages BGP. Si max-prefix a été déclenché, augmentez la limite ou investiguez pourquoi le peer envoie des routes en excès. |
Lire les logs
VyOS journalise les événements BGP via le journal système :
show log | match bgp
Pour la surveillance en temps réel :
monitor log | match bgp
Sur le système sous-jacent (si vous avez besoin de plus de détail) :
journalctl -u frr -f
Ceci suit les logs du daemon FRR en direct. Cherchez les messages NOTIFICATION, qui contiennent le code d'erreur BGP et son sous-code.
Référence de configuration complète
Voici le bloc de configuration complet pour référence. Copiez, remplacez les valeurs fictives, collez en mode configuration, commit et save :
# Enter configuration mode
configure
# BGP core
set protocols bgp system-as 64512
set protocols bgp parameters router-id 198.51.100.10
set protocols bgp parameters ebgp-requires-policy
# Blackhole routes for prefix origination
set protocols static route 203.0.113.0/24 blackhole
set protocols static route6 2001:db8:1000::/48 blackhole
# Network statements
set protocols bgp address-family ipv4-unicast network 203.0.113.0/24
set protocols bgp address-family ipv6-unicast network 2001:db8:1000::/48
# IPv4 neighbor
set protocols bgp neighbor 198.51.100.1 remote-as 64501
set protocols bgp neighbor 198.51.100.1 description 'Upstream-v4'
set protocols bgp neighbor 198.51.100.1 update-source 198.51.100.10
set protocols bgp neighbor 198.51.100.1 password 'your-md5-secret'
set protocols bgp neighbor 198.51.100.1 ttl-security hops 1
set protocols bgp neighbor 198.51.100.1 address-family ipv4-unicast
set protocols bgp neighbor 198.51.100.1 address-family ipv4-unicast maximum-prefix 10000
set protocols bgp neighbor 198.51.100.1 address-family ipv4-unicast route-map export UPSTREAM-OUT4
set protocols bgp neighbor 198.51.100.1 address-family ipv4-unicast route-map import UPSTREAM-IN4
# IPv6 neighbor
set protocols bgp neighbor 2001:db8::1 remote-as 64501
set protocols bgp neighbor 2001:db8::1 description 'Upstream-v6'
set protocols bgp neighbor 2001:db8::1 update-source 2001:db8::10
set protocols bgp neighbor 2001:db8::1 password 'your-md5-secret'
set protocols bgp neighbor 2001:db8::1 ttl-security hops 1
set protocols bgp neighbor 2001:db8::1 address-family ipv6-unicast
set protocols bgp neighbor 2001:db8::1 address-family ipv6-unicast maximum-prefix 5000
set protocols bgp neighbor 2001:db8::1 address-family ipv6-unicast route-map export UPSTREAM-OUT6
set protocols bgp neighbor 2001:db8::1 address-family ipv6-unicast route-map import UPSTREAM-IN6
# Outbound prefix-lists (only announce what you own)
set policy prefix-list EXPORT4 rule 10 action permit
set policy prefix-list EXPORT4 rule 10 prefix 203.0.113.0/24
set policy prefix-list6 EXPORT6 rule 10 action permit
set policy prefix-list6 EXPORT6 rule 10 prefix 2001:db8:1000::/48
# Inbound prefix-lists
set policy prefix-list IMPORT4 rule 10 action permit
set policy prefix-list IMPORT4 rule 10 prefix 0.0.0.0/0
set policy prefix-list IMPORT4 rule 10 le 24
set policy prefix-list6 IMPORT6 rule 10 action permit
set policy prefix-list6 IMPORT6 rule 10 prefix ::/0
set policy prefix-list6 IMPORT6 rule 10 le 48
# Route-maps
set policy route-map UPSTREAM-OUT4 rule 10 action permit
set policy route-map UPSTREAM-OUT4 rule 10 match ip address prefix-list EXPORT4
set policy route-map UPSTREAM-OUT6 rule 10 action permit
set policy route-map UPSTREAM-OUT6 rule 10 match ipv6 address prefix-list EXPORT6
set policy route-map UPSTREAM-IN4 rule 10 action permit
set policy route-map UPSTREAM-IN4 rule 10 match ip address prefix-list IMPORT4
set policy route-map UPSTREAM-IN6 rule 10 action permit
set policy route-map UPSTREAM-IN6 rule 10 match ipv6 address prefix-list IMPORT6
# Firewall - allow BGP from upstream only
set firewall ipv4 input filter rule 20 action accept
set firewall ipv4 input filter rule 20 protocol tcp
set firewall ipv4 input filter rule 20 destination port 179
set firewall ipv4 input filter rule 20 source address 198.51.100.1
set firewall ipv4 input filter rule 20 description 'BGP from upstream v4'
set firewall ipv6 input filter rule 20 action accept
set firewall ipv6 input filter rule 20 protocol tcp
set firewall ipv6 input filter rule 20 destination port 179
set firewall ipv6 input filter rule 20 source address 2001:db8::1
set firewall ipv6 input filter rule 20 description 'BGP from upstream v6'
# Apply
commit
save
Pour aller plus loin
- Tutoriel BGP BIRD2 -- Même objectif, outil différent : BIRD2 sur Linux nu
- Tutoriel BGP FRR -- Approche FRR pour ceux qui préfèrent vtysh sans VyOS
- Guide de configuration RPKI ROA -- Mise en place des objets ROA avant d'annoncer des préfixes
- Filtrage de routes BGP en profondeur -- Approfondissement des stratégies de filtrage de routes
- Documentation BGP VyOS -- Référence officielle de toutes les options BGP
- bgp.tools -- Vérificateur externe de visibilité des routes BGP
Copyright 2026 Virtua.Cloud. Tous droits réservés. Ce contenu est une création originale de l'équipe Virtua.Cloud. Toute reproduction, republication ou redistribution sans autorisation écrite est interdite.
Prêt à essayer ?
Déployez votre serveur en quelques secondes. Linux, Windows ou FreeBSD.
Voir les offres VPS