تكوين جيران BGP لاتصال IPsec

نظرة عامة

عند تكوين جار BGP لاتصال IPsec، حدد عناوين IP الخاصة للموقع ومقبس كاتو. للمزيد حول تكوين BGP لخدمة السحابة، انظر استخدام BGP في سحابة Cato.

يقوم كاتو بإضافة رقم AS مرتين في مسار AS للإعلانات عبر النفق الثانوي. يؤثر هذا على اختيار المسار، حيث تفضل الطرق ذات المسارات الأقصر وفقًا لقواعد أولوية مسارات BGP. على سبيل المثال، النفق الرئيسي يظهر prepend_count: 1، والنفق الثاني يظهر prepend_count: 2.

ملاحظة

ملاحظة: يمكنك فقط تكوين ما يصل إلى جارَين BGP لاتصال IPsec، جار BGP واحد لكل نفق.

إعدادات BGP المتقدمة

قسم إضافي لجار BGP يحتوي على إعدادات BGP المتقدمة التالية:

  • متري

  • زمن الانتظار

  • فترة الحفاظ على الحياة

تعرف المتري على الأولوية لهذا مسار BGP. كلما كان هذا القيمة أقل، زادت الأولوية المعطاة للمتري (على سبيل المثال، 10 لها أولوية أعلى من 100). الإعداد الافتراضي للمتري هو 100.

زمن الانتظار هو عدد الثواني التي ينتظرها الموقع حتى يحدد أن جار BGP غير متصل. على سبيل المثال، إذا كانت زمن الانتظار هو 90، فلن يقوم الموقع بإرسال حركة المرور إلى هذا الجار بعد عدم استلام رسالة BGP لمدة 90 ثانية ويتم قطع الاتصال. بعد قطع الاتصال عن جار BGP، يحاول الموقع إعادة الاتصال به.

  • الإعداد الافتراضي لموقع Cato هو 60.

  • قيمة زمن الانتظار من 1 أو 2 غير صالحة.

  • إذا كان للجيران قيم زمن انتظار مختلفة، يتم استخدام أصغر قيمة للزوج. يستخدم كلا الجارين دائمًا نفس قيمة زمن الانتظار.

  • إذا كانت قيمة زمن الانتظار لكلا الجارين 0، فلن ينقطع الاتصال أبدًا.

فترة الحفاظ على الحياة هي عدد الثواني التي يرسل فيها الموقع رسائل الحفاظ على الحياة إلى جار BGP للحفاظ على الجلسة حية. نوصي بأن تكون قيمة فترة الحفاظ على الحياة 1/3 من قيمة زمن الانتظار.

  • الإعداد الافتراضي لفترة الحفاظ على الحياة لموقع Cato هو 20.

  • عندما يكون لجار BGP قيمة زمن انتظار أقل، يستخدم كلا العضوين هذه القيمة. إذا كانت قيمة فترة الحفاظ على الحياة أقل من قيمة زمن الانتظار لجار BGP، يتم استخدام فترة حفاظ جديدة على الحياة بقيمة 1/3 من زمن الانتظار لجار BGP.

    على سبيل المثال، لدى موقع Cato A زمن انتظار قدره 120 وفترة الحفاظ على الحياة 40، وللجار B زمن انتظار قدره 30. ثم يستخدم كلا الجارين قيمة زمن الانتظار 30، ولدى الموقع A فترة حفاظ جديدة على الحياة بقيمة 10.

BGP مع أنفاق IPsec IKEv2 النشطة المتعددة (EA)

ملاحظة

ملاحظة: هذه ميزة توافر مبكر (EA) وهي متاحة فقط لإصدار محدود. لمزيد من المعلومات، اتصل بممثل شبكات Cato أو أرسل بريدًا إلكترونيًا إلى ea@catonetworks.com.

للمواقع التي تستخدم IPsec IKEv2 بأنفاق متعددة وBGP، قم بإعداد إعدادات جيران BGP وفقًا للإرشادات التالية:

  • تعيين عنوان IP خاص فريد لكل ند BGP

  • تكوين جميع جيران BGP للإعلان عن نفس مجموعة المسارات

  • استخدم مقاييس BGP متسقة عبر جميع الأقران

  • أضف شبكات BGP الفرعية كمدى مباشر

إذا أصبحت جميع أقران BGP لدور HA (أنفاق أساسية أو ثانوية) غير متاحة، يقوم الموقع تلقائيًا بتفعيل الفشل إلى الأنفاق السلبية.

تعريف جار BGP

تعريف وتكوين زوج الجارين BGP للمواقع التي تستخدم اتصالات IPsec. أولاً، حدد عناوين IP الخاصة بنفق IPsec، ثم حدد قاعدة جديدة لكل جار BGP.

لكل نظير، نوصي بتكوين إشعارات تغيير حالة الجار BGP. ترسل الإشعارات عند تغيير حالة اتصال نظير BGP إلى مجموعة اشتراك أو قائمة بريد إلكتروني أو تكامل طرف ثالث. هذه هي التردد الذي تُرسل به الإشعارات:

  • فورًا - يرسل إشعار إلى المستلمين لكل حدوث.

  • ساعياً - إرسال إشعار مع أول حدوث. لا ترسل رسائل بريد إلكتروني إضافية إذا كان هناك المزيد من الحوادث خلال ساعة.

  • يومياً - إرسال إشعار مع أول حدوث. لا ترسل إشعارات إضافية إذا كانت هناك أكثر من حصول في اليوم.

  • أسبوعياً - إرسال إشعار مع أول حدوث. لا ترسل إشعارات إضافية إذا كانت هناك أكثر من حصول في الأسبوع.

bgp_neighbor_policy.png

لتعريف جار BGP لموقع IPsec:

  1. من قائمة التنقل، انقر على شبكة > المواقع واختر الموقع.

  2. حدد عناوين IP الخاصة لاتصال IPsec:

    1. من قائمة التنقل، انقر على إعدادات الموقع > IPsec.

    2. قم بتوسيع القسم الرئيسي وقم بتكوين عناوين IP الخاصة التي بداخل نفق VPN.

      ملاحظات: 

      • يستخدم عنوان IP الخاص بالموقع أيضًا لتكوين إعدادات جار BGP

      • المستجيب الوحيد لجار BGP من Cato هو العناوين IP الخاصة بجار الموقع البعيد

    3. بالنسبة للمواقع التي تستخدم نفق IPsec ثانوي، قم بتوسيع القسم الثانوي وقم بتكوين الإعدادات في الخطوة السابقة، ثم انقر على حفظ.

    4. انقر على حفظ. تم تعريف عنوان IP الخاص للموقع.

  3. من قائمة التنقل، انقر على إعدادات الموقع > BGP.

  4. انقر على جديد. يفتح لوحة إضافة جار BGP.

  5. في قسم عام، أدخل الاسم لهذه القاعدة التي تعرف جار BGP.

  6. في قسم إعدادات ASN، قم بتكوين ASN لجار BGP و ASN لCato.

    للمزيد حول تغيير ASN الافتراضي لـ Cato (انظر استخدام BGP في سحابة Cato).

  7. في قسم عناوين IP، أدخل عنوان IP لجار BGP.

  8. في قسم السياسة، حدد سلوك توجيه BGP لشبكتك:

    1. خيارات الإعلان تمكنك من تكوين كيفية إعلان الموقع لمسارات BGP لهذا الجار.

      ملاحظة: للمواقع Socket، إذا لم تحدد أي من هذه الخيارات، مما يعني أنك لا تعلن عن أي مسارات، تأكد من إنشاء تكوين متطابق على نظير BGP لعدم قبول أي إعلانات عن المسارات.

      • المسار الافتراضي - يعلن الموقع عن مسار افتراضي (0/0) لجيران BGP. يمكن للجيران إرسال كل حركة المرور إلى هذا المسار الافتراضي، حتى لو لم يكن في جدول التوجيه. حدد هذا الخيار للتركيبات التي تستخدم Cato Socket كبوابة الإنترنت لذلك الموجه.

      • جميع المسارات - يعلن الموقع عن جدول التوجيه الداخلي للحساب بالكامل إلى جار BGP. تشمل هذه المسارات نطاقات ثابتة وعائمة، بالإضافة إلى المسارات التي يتم تعلمها من نظراء آخرين في هذا الموقع وعبر شبكتك. غالبًا ما يتم تفعيل هذا الخيار لإرسال حركة المرور WAN إلى الجار BGP.

        ملاحظة: يتم الإعلان عن النطاق الكامل لمستخدمي SDP إلى نظير BGP كمسار واحد.

      • مسارات ملخصة - يعلن الموقع عن مسار ملخص بدلًا من مسارات فريدة متعددة، يمكن لأقران BGP تبسيط قرارات الإرسال الخاصة بهم وتقليل الموارد الحسابية المطلوبة لبحث المسار. انظر، العمل مع مسارات موجزة لـ BGP.

    2. في قسم قبول، حدد ما إذا كان الموقع سيقبل أو يلغي عناوين IP الديناميكية التي ينشرها هذا الجار. عندما تختار خيار الإلغاء، فإنك تحد من الانتشار الديناميكي من جار BGP هذا. لمزيد من المعلومات حول قوائم مسارات BGP، انظر العمل مع تصفية BGP.

      على سبيل المثال، في التركيبات التي تستخدم AWS Direct Connect، يعد BGP مطلوبًا ولكن لا تريد قبول عناوين AWS الديناميكية. في هذه النشرات، نوصي باختيار إلغاء الكل.

    3. في قسم NAT، اختر أداء إخفاء SNAT للموقع لتنفيذ SNAT لجميع عناوين IP ويتم ترجمة حركة المرور إلى عنوان IP المحلي.

  9. للمصادقة على BGP MD5 باستخدام سر مشترك مسبق، في قسم إضافي: حدد مصادقة MD5.

    ملاحظة: يتم دعم مصادقة BGP MD5 وفقًا لـ RFC 2385.

  10. في قسم إضافي، يمكنك تكوين إعدادات متقدمة لجار BGP:

    1. لتغيير متري لهذا المسار، أدخل الأولوية الجديدة.

      كلما كان هذا القيمة أقل، زادت الأولوية المعطاة للمتري (على سبيل المثال، 10 لها أولوية أعلى من 100).

    2. لتغيير طول بقاء جلسة BGP مفتوحة، أدخل زمن الانتظار الجديد (بالثواني).

    3. لتغيير تردد فترة الحفاظ على الحياة، أدخل القيمة الجديدة (بالثواني) بين رسائل الحفاظ على الحياة.

  11. لتلقي الإشعارات بناءً على التغييرات في حالة جار BGP:

    1. اختر إرسال إشعار.

    2. في إرسال إشعار إلى، حدد مجموعة الاشتراك أو قائمة البريد أو التكامل وحدد العنصر المعني.

  12. انقر على تطبيق. تمت إضافة القاعدة الجديدة إلى قاعدة القواعد.

  13. كرر هذه الخطوات لتكوين قواعد إضافية لجيران BGP.

  14. انقر على حفظ. تم تكوين جار BGP لاتصال IPsec.

عرض حالة جار BGP

بعد تكوين جار BGP للاتصال، نوصي باستخدام ميزة حالة عرض BGP لاختبار حالة الجار والتأكد من أن هذا المسار الديناميكي يعمل.

ملحوظة

ملحوظة: يمكنك فقط عرض حالة BGP بعد حفظ التكوين لجار BGP وإرساله إلى الموقع.

لإظهار حالة جير BGP:

  1. من قائمة التنقل، انقر على شبكة > المواقع واختر الموقع.

  2. من قائمة التنقل، انقر على إعدادات الموقع > BGP.

  3. انقر على عرض حالة BGP.

    يتم إرسال استعلام HTTP إلى PoP ذو الصلة. تظهر نافذة منبثقة حالة كل جار BGP والبيانات حول المسارات الحالية.

  4. انقر على موافق لإغلاق النافذة.

هل كان هذا المقال مفيداً؟

0 من 0 وجدوا هذا مفيداً

لا توجد تعليقات