Configuration des voisins BGP pour un Socket Cato

Vue d'ensemble

Remarque

Remarque : Les sites qui utilisent un Socket Cato peuvent prendre en charge plusieurs voisins BGP

Lorsque vous configurez un voisin BGP pour un Socket, définissez l'adresse IP du voisin BGP pour établir une session BGP. N'oubliez pas de vous assurer que cette adresse IP est accessible pour ce Socket. Par exemple, si vous définissez un voisin BGP situé dans une plage VLAN, alors le serveur BGP pour le Socket se trouve à l'intérieur de l'adresse de passerelle de cette plage.

Le filtrage BGP peut être utilisé pour migrer progressivement votre environnement vers Cato en limitant les routes que vous acceptez. De plus, vous pouvez utiliser le filtrage BGP pour bloquer les routes connues pour être utilisées par des acteurs malveillants.

Pour plus d'informations, voir Travailler avec le filtrage BGP.

Paramètres BGP avancés

La section Supplémentaire pour un voisin BGP contient ces paramètres avancés BGP :

  • Métrique

  • Temps de maintien

  • Intervalle Keep-alive

La métrique définit la priorité pour cette route BGP. Plus cette valeur est basse, plus la priorité accordée à la métrique est élevée (par exemple, 10 a une priorité plus élevée que 100). La métrique par défaut est 100.

Le temps de maintien est le nombre de secondes que le site attend avant de définir que le voisin BGP est en panne. Par exemple, si le temps de maintien est de 90, alors si le site ne reçoit pas de message BGP pendant 90 secondes, il cesse d'envoyer du trafic à ce voisin et se déconnecte. Après s'être déconnecté du voisin BGP, le site tente de se reconnecter à lui.

  • La configuration par défaut pour un site Cato est de 60.

  • Une valeur de temps de maintien de 1 ou 2 n'est pas valide.

  • Si les voisins ont des valeurs de temps de maintien différentes, alors la plus petite valeur est utilisée pour le pair. Les deux voisins utilisent toujours la même valeur de temps de maintien.

  • Si la valeur de temps de maintien pour les deux voisins est 0, alors le site ne se déconnecte jamais.

L'intervalle Keep-alive est le nombre de secondes que le site envoie des messages Keep-alive au voisin BGP pour maintenir la session active. Nous recommandons que la valeur de l'intervalle Keep-alive soit 1/3 de celle du temps de maintien.

  • L'intervalle Keep-alive par défaut pour un site Cato est de 20.

  • Quand le voisin BGP a une valeur de temps de maintien plus petite, les deux membres utilisent cette valeur. Si la valeur de l'intervalle Keep-alive est plus petite que la valeur du temps de maintien pour le voisin BGP, alors un nouvel intervalle Keep-alive qui est 1/3 de la valeur du temps de maintien pour le voisin BGP est utilisé.

    Par exemple, le site A de Cato a un temps de maintien de 120 et un intervalle Keep-alive de 40, et le voisin B a un temps de maintien de 30. Alors les deux voisins utilisent la valeur de temps de maintien de 30, et le site A a un nouvel intervalle Keep-alive de 10.

Définir un voisin BGP

Définir et configurer la paire de voisins BGP pour les sites qui utilisent un Socket.

Pour chaque pair, nous recommandons de configurer les notifications de changement de statut du voisin BGP. Les notifications sont envoyées lors d'un changement d'état de connexion d'un pair BGP à un groupe d'abonnement, une liste de diffusion ou une intégration tierce. Voici la fréquence à laquelle les notifications sont envoyées :

  • Immédiat - Notification envoyée aux destinataires pour chaque occurrence

  • Horaire - Envoyer une notification à la première occurrence. Ne pas envoyer d'emails supplémentaires s'il y a d'autres occurrences dans l'heure.

  • Quotidien - Envoyer une notification à la première occurrence. Ne pas envoyer d'autres notifications s'il y a d'autres occurrences dans la journée.

  • Hebdomadaire - Envoyer une notification à la première occurrence. Ne pas envoyer d'autres notifications s'il y a d'autres occurrences dans la semaine.

bgp_neighbor_policy.png

Pour définir un voisin BGP pour un vSocket AWS dans un déploiement HA :

  1. Dans le menu de navigation, cliquez sur Réseau > Sites et sélectionnez le site.

  2. Dans le menu de navigation, cliquez sur Paramètres du site > BGP.

  3. Cliquez sur Nouveau. Le panneau Ajouter un voisin BGP s'ouvre.

  4. Dans la section Général, entrez le Nom pour cette règle qui définit le voisin BGP.

  5. Dans la section Paramètres ASN, configurez l'ASN du BGP Paire et l'ASN de Cato.

    Pour plus d'informations sur le changement de l'ASN par défaut pour Cato (voir Utiliser BGP dans le Cloud Cato).

  6. Dans la section IPs, entrez l'adresse IP du BGP Paire.

  7. Dans la section Politique, définissez le comportement de routage BGP pour votre réseau :

    1. Les options Annonce vous permettent de configurer comment le site annonce les routes BGP pour ce voisin.

      Remarque : Pour les sites Socket, si vous ne sélectionnez aucune de ces options, ce qui signifie que vous n'annoncez aucune route, assurez-vous également de créer une configuration correspondante sur le pair BGP pour NE PAS accepter d'annonces de route.

      • Route par défaut - Le site annonce une route par défaut (0/0) aux voisins BGP. Les voisins peuvent envoyer tout le trafic vers cette route par défaut, même si elle n'est pas dans la table de routage. Sélectionnez cette option pour les déploiements qui utilisent le Socket Cato comme passerelle Internet pour ce routeur.

      • Toutes les routes - Le site annonce la table de routage interne pour l'ensemble du compte au voisin BGP. Ces routes incluent des plages statiques et flottantes, en plus des routes apprises d'autres pairs dans ce site et à travers votre réseau. Cette option est souvent activée pour envoyer le trafic WAN au voisin BGP.

        Remarque : Toute la gamme d'utilisateurs SDP est annoncée au pair BGP comme une seule route.

      • Résumé des routes - Le site annonce un résumé de route au lieu de plusieurs routes uniques, les pairs BGP peuvent simplifier leurs décisions de transfert et minimiser les ressources informatiques nécessaires pour la recherche de route. Voir, Travailler avec les routes de résumé BGP.

    2. Dans la section Accepter, sélectionnez si le site accepte ou rejette les adresses IP dynamiques publiées par ce voisin. Lorsque vous sélectionnez une option « Rejeter », vous limitez la propagation dynamique de ce voisin BGP. Pour plus d'informations sur les listes de routes BGP, voir Travailler avec le filtrage BGP.

      Par exemple, dans les déploiements qui utilisent AWS Direct Connect, BGP est requis mais vous ne souhaitez pas accepter les adresses dynamiques AWS. Dans ces déploiements, nous recommandons que vous sélectionniez Tout Rejeter.

    3. Dans la section NAT, sélectionnez Effectuer Hide SNAT pour que le site effectue un SNAT sur toutes les adresses IP et le trafic est traduit à l'adresse IP LAN.

  8. Pour authentifier BGP MD5 en utilisant un secret partagé à l'avance, dans la section Supplémentaire, sélectionnez Auth MD5.

    Remarque : L'authentification BGP MD5 est supportée selon RFC 2385.

  9. Dans la section Supplémentaire, vous pouvez configurer des paramètres avancés pour le voisin BGP :

    1. Pour changer la Métrique pour cette route, entrez la nouvelle priorité.

      Plus cette valeur est basse, plus la priorité accordée à la métrique est élevée (par exemple, 10 a une priorité plus élevée que 100).

    2. Pour changer la durée pendant laquelle la session BGP reste ouverte, entrez le nouveau temps de maintien (en secondes).

    3. Pour changer la fréquence de l'Intervalle Keep-alive, entrez la nouvelle valeur (en secondes) entre les messages Keep-alive.

  10. Pour recevoir des notifications basées sur les changements du statut du voisin BGP :

    1. Sélectionnez Envoyer une notification.

    2. Dans Envoyer une notification à, sélectionnez le Groupe d'abonnement, Liste de diffusion ou Intégration et sélectionnez l'élément pertinent.

  11. Cliquez sur Appliquer. La nouvelle règle est ajoutée à la base de règles.

  12. Répétez ces étapes pour configurer des règles supplémentaires pour les voisins BGP.

  13. Cliquez sur Sauvegarder. Le voisin BGP est configuré pour le Socket.

Afficher le Statut du Voisin BGP

Après avoir configuré le voisin BGP pour la connexion, nous vous recommandons d'utiliser la fonction Afficher l'état BGP pour tester l'état du voisin et vous assurer que cette route dynamique fonctionne.

Remarque

Remarque : Vous pouvez uniquement afficher le statut BGP après avoir sauvegardé la configuration pour le voisin BGP et qu'il est envoyé au site.

Pour afficher le statut du voisin BGP :

  1. Dans le menu de navigation, cliquez sur Network > Sites et sélectionnez le site.

  2. Dans le menu de navigation, cliquez sur Paramètres du site > BGP.

  3. Cliquez sur Afficher le statut BGP.

    Une requête HTTP est envoyée au PoP associé. La fenêtre pop-up affiche le statut de chaque voisin BGP et les données concernant les routes actuelles.

  4. Cliquez sur OK pour fermer la fenêtre.

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 0 sur 0

0 commentaire