Cuando configures un vecino BGP para una conexión IPsec, define las direcciones Privado IP para el sitio y el Socket de Cato. Para más información sobre la configuración de BGP para un servicio en la nube, consulte Uso de BGP en la Nube Cato.
Cato antepone el número AS dos veces en el AS-PATH para las rutas anunciadas a través del túnel secundario. Esto influye en la selección de ruta, ya que las rutas con AS-PATH más cortos son preferidas según las reglas de política de enrutamiento BGP. Por ejemplo, el túnel primario muestra prepend_count: 1, y el túnel secundario muestra prepend_count: 2.
Nota
Nota: Solo puedes configurar hasta dos vecinos BGP para una conexión IPsec, un vecino BGP por túnel.
La sección Adicional para un vecino BGP contiene estas configuraciones avanzadas de BGP:
-
Métrica
-
Tiempo de retención
-
Intervalo de mantenimiento
La métrica define la prioridad para esta ruta BGP. Cuanto menor es este valor, mayor es la prioridad dada a la métrica (por ejemplo, 10 tiene una mayor prioridad que 100). La métrica predeterminada es 100.
El tiempo de retención es el número de segundos que el sitio espera hasta que define que el vecino BGP está caído. Por ejemplo, si el tiempo de retención es 90, entonces si el sitio no recibe un mensaje BGP durante 90 segundos, deja de enviar tráfico a ese vecino y se desconecta. Después de desconectarse del vecino BGP, el sitio intenta volver a conectar con él.
-
La configuración predeterminada para un sitio Cato es 60.
-
Un valor de tiempo de retención de 1 o 2 no es válido.
-
Si los vecinos tienen diferentes valores de tiempo de retención, entonces se utiliza el valor más pequeño para el par. Ambos vecinos siempre usan el mismo valor de tiempo de retención.
-
Si el valor de tiempo de retención para ambos vecinos es 0, entonces el sitio nunca se desconecta.
El intervalo de mantenimiento es el número de segundos que el sitio envía mensajes de mantenimiento al vecino BGP para mantener la sesión activa. Recomendamos que el valor del intervalo de mantenimiento sea 1/3 del valor del tiempo de retención.
-
El intervalo de mantenimiento predeterminado para un sitio Cato es 20.
-
Cuando el vecino BGP tiene un valor de tiempo de retención menor, ambos miembros usan ese valor. Si el valor del intervalo de mantenimiento es menor que el valor de tiempo de retención para el vecino BGP, entonces se utiliza un nuevo intervalo de mantenimiento que es 1/3 del valor del tiempo de retención para el vecino BGP.
Por ejemplo, el sitio A de Cato tiene un tiempo de retención de 120 y un intervalo de mantenimiento de 40, y el vecino B tiene un tiempo de retención de 30. Entonces ambos vecinos usan el valor de tiempo de retención de 30, y el sitio A tiene un nuevo intervalo de mantenimiento de 10.
Nota
Nota: Esta es una funcionalidad de Disponibilidad Temprana (EA) que está disponible solo para lanzamiento limitado. Para más información, póngase en contacto con su representante de Cato Networks o envíe un correo electrónico a ea@catonetworks.com.
Para sitios IPsec IKEv2 que usan múltiples túneles activos y BGP, configure la configuración de vecino BGP según las siguientes pautas:
-
Asigne una dirección IP privada única a cada par BGP
-
Configure todos los pares BGP para anunciar el mismo conjunto de rutas
-
Use métricas BGP consistentes en todos los pares
-
Agregar subredes BGP como rangos directos
Si todos los pares BGP de un rol HA (túneles primarios o secundarios) se vuelven inaccesibles, el sitio activa automáticamente una conmutación por error a los túneles pasivos.
Define y configura el par de vecinos BGP para sitios que usan conexiones IPsec. Primero, defina las direcciones IP privadas para el túnel IPsec, y luego defina una nueva regla para cada vecino BGP.
Para cada par recomendamos configurar notificaciones de cambio de estado de vecino BGP. Se envían notificaciones cuando hay un cambio en el estado de conexión de un par BGP a un grupo de suscripción, lista de correo electrónico o integración de terceros. Esta es la frecuencia con la que se envían las notificaciones:
-
Inmediato - Notificación enviada a los destinatarios por cada ocurrencia
-
Cada hora - Enviar notificación con la primera ocurrencia. No enviar correos electrónicos adicionales si hay más ocurrencias dentro de una hora.
-
Diario - Enviar notificación con la primera ocurrencia. No envíe adicionales si hay más ocurrencias dentro de un día.
-
Semanal - Enviar notificación con la primera ocurrencia. No envíe adicionales si hay más ocurrencias dentro de una semana.
Para definir un vecino BGP para un sitio IPsec:
-
Desde el menú de navegación, haz clic en Red > Sitios y selecciona el sitio.
-
Define las direcciones IP privadas para la conexión IPsec:
-
Desde el menú de navegación, haz clic en Configuraciones de Sitio > IPsec.
-
Expande la sección Primaria y configura las IPs privadas que están dentro del túnel VPN.
Notas:
-
La dirección IP privada del Sitio también se utiliza para configurar la configuración del vecino BGP
-
El par BGP de Cato solo responde a pings para la dirección IP del par remoto del Sitio
-
-
Para sitios que usan un túnel secundario IPsec, expande la sección Secundaria y configura los ajustes en el paso anterior y luego haz clic en Guardar.
-
Haz clic en Guardar. La dirección IP privada está definida para el sitio.
-
-
Desde el menú de navegación, haz clic en Configuraciones de Sitio > BGP.
-
Haz clic en Nuevo. Se abre el panel Agregar Vecino BGP.
-
En la sección General, introduzca el Nombre para esta regla que define el vecino BGP.
-
En la sección Configuración ASN, configure el ASN del Par BGP y el ASN de Cato.
Para más información sobre cambiar el ASN predeterminado para Cato (vea Uso de BGP en la Nube Cato).
-
En la sección IPs, ingrese la dirección IP del Par BGP.
-
En la sección Política, defina la Política de enrutamiento BGP para su red:
-
Las opciones de Anunciar le permiten configurar cómo el sitio anuncia las rutas BGP para este vecino.
Nota: Para sitios de Socket, si no selecciona ninguna de estas opciones, lo que significa que no está anunciando ninguna ruta, asegúrese de también crear una configuración correspondiente en el par BGP para NO aceptar ningún anuncio de ruta.
-
Ruta predeterminada - El sitio anuncia una ruta predeterminada (0/0) a los vecinos BGP. Los vecinos pueden enviar todo el tráfico a esta ruta predeterminada, incluso si no está en la tabla de enrutamiento. Selecciona esta opción para implementaciones que usan el Cato Socket como la puerta de enlace de internet para ese router.
-
Todas las rutas - El sitio anuncia la tabla de enrutamiento interna de toda la cuenta al vecino BGP. Estas rutas incluyen rangos estáticos y flotantes, además de rutas que se aprenden de otros pares en este sitio y en toda tu red. A menudo, esta opción se habilita para enviar el tráfico WAN al vecino BGP.
Nota: La gama completa de usuarios SDP se anuncia al par BGP como una única ruta.
-
Rutas de resumen - El sitio anuncia una ruta de resumen en lugar de múltiples rutas únicas, lo que permite a los pares BGP simplificar sus decisiones de reenvío y minimizar los recursos computacionales necesarios para la búsqueda de rutas. Vea, Trabajando con Rutas de Resumen BGP.
-
-
En la sección Aceptar, seleccione si el sitio acepta o descarta las direcciones IP dinámicas que publica este vecino. Cuando selecciona una opción de Descartar, está limitando la propagación dinámica de este vecino BGP. Para más información sobre listas de rutas BGP, vea Trabajando con Filtrado BGP.
Por ejemplo, en implementaciones que utilizan AWS Direct Connect, se requiere BGP pero no quieres aceptar las direcciones dinámicas de AWS. En estas implementaciones, recomendamos que seleccione Descartar Todo.
-
En la sección NAT, seleccione Realizar Hide SNAT para que el sitio realice SNAT en todas las IPs y el tráfico se traduzca a la dirección IP de la LAN.
-
-
Para autenticar BGP MD5 usando un secreto precompartido, en la sección Adicional, selecciona Autenticación MD5.
Nota: La autenticación BGP MD5 es compatible según RFC 2385.
-
En la sección Adicional, puedes configurar configuraciones avanzadas para el vecino BGP:
-
Para cambiar la Métrica para esta ruta, introduce la nueva prioridad.
Cuanto menor sea este valor, mayor será la prioridad dada a la métrica (por ejemplo, 10 tiene una mayor prioridad que 100).
-
Para cambiar cuánto tiempo se mantiene abierta la sesión BGP, introduce el nuevo tiempo de retención (en segundos).
-
Para cambiar la frecuencia del intervalo de mantenimiento, introduce el nuevo valor (en segundos) entre los mensajes de mantenimiento.
-
-
Para recibir notificaciones basadas en cambios en el estado del vecino BGP:
-
Seleccione Enviar Notificación.
-
En Enviar notificación a, seleccione el Grupo de Suscripción, Lista de Correo o Integración y seleccione el ítem relevante.
-
-
Haz clic en Aplicar. La nueva regla se añade a la base de reglas.
-
Repite estos pasos para configurar reglas adicionales para vecinos BGP.
-
Haz clic en Guardar. El vecino BGP está configurado para la conexión IPsec.
Después de configurar el vecino BGP para la conexión, recomendamos que uses la función Mostrar Estado BGP para probar el estado del vecino y asegurarte de que esta ruta dinámica está funcionando.
Nota
Nota: Solo puedes mostrar el estado BGP después de guardar la configuración para el vecino BGP y que se haya enviado al sitio.
Para mostrar el estado del vecino BGP:
-
Desde el menú de navegación, haz clic en Red > Sitios y selecciona el sitio.
-
Desde el menú de navegación, haz clic en Configuraciones de Sitio > BGP.
-
Haz clic en Mostrar Estado BGP.
Se envía una consulta HTTP al PoP relevante. La ventana emergente muestra el estado de cada vecino BGP y datos sobre las rutas actuales.
-
Haz clic en OK para cerrar la ventana.
0 comentarios
Inicie sesión para dejar un comentario.