Configuration des voisins BGP pour une connexion IPsec

Aperçu

Lorsque vous configurez un voisin BGP pour une connexion IPsec, définissez les adresses IP privées pour le site et le Socket Cato. Pour plus d'informations sur la configuration de BGP pour un service cloud, voir Utilisation de BGP dans le Cato Cloud.

Cato préfixe deux fois le numéro AS dans l'AS-PATH pour les routes annoncées via le tunnel secondaire. Cela influence la sélection du chemin, car les routes avec des AS-PATH plus courts sont préférées selon les règles de priorisation des routes BGP. Par exemple, le tunnel principal montre prepend_count: 1, et le tunnel secondaire montre prepend_count: 2.

Remarque

Remarque : Vous ne pouvez configurer qu'un maximum de deux voisins BGP pour une connexion IPsec, un voisin BGP par tunnel.

Paramètres BGP avancés

La section Supplémentaire pour un voisin BGP contient ces paramètres BGP avancés :

  • Métrique

  • Temps de maintien

  • Intervalle de maintien de la connexion

La métrique définit la priorité pour cette route BGP. Plus cette valeur est faible, plus la priorité donnée à la métrique est élevée (par exemple, 10 a une priorité plus élevée que 100). La métrique par défaut est 100.

Le temps de maintien est le nombre de secondes pendant lesquelles le site attend avant de déterminer que le voisin BGP est hors ligne. Par exemple, si le temps de maintien est de 90, alors si le site ne reçoit pas de message BGP pendant 90 secondes, il arrête d'envoyer du trafic à ce voisin et se déconnecte. Après la déconnexion du voisin BGP, le site tente de se reconnecter.

  • La configuration par défaut pour un site Cato est 60.

  • Une valeur de temps de maintien de 1 ou 2 n'est pas valide.

  • Si les voisins ont des valeurs de temps de maintien différentes, alors la plus petite valeur est utilisée pour le pair. Les deux voisins utilisent toujours la même valeur de temps de maintien.

  • Si la valeur de temps de maintien pour les deux voisins est 0, alors le site ne se déconnecte jamais.

L'intervalle de maintien de la connexion est le nombre de secondes pendant lesquelles le site envoie des messages de maintien de la connexion au voisin BGP pour maintenir la session active. Nous recommandons que la valeur de l'intervalle de maintien de la connexion soit 1/3 de la valeur du temps de maintien.

  • L'intervalle de maintien de la connexion par défaut pour un site Cato est 20.

  • Lorsque le voisin BGP a une valeur de temps de maintien inférieure, les deux membres utilisent cette valeur. Si la valeur de l'intervalle de maintien de la connexion est inférieure à la valeur de temps de maintien pour le voisin BGP, alors un nouvel intervalle de maintien de la connexion qui est 1/3 de la valeur de temps de maintien pour le voisin BGP est utilisé.

    Par exemple, le site A de Cato a un temps de maintien de 120 et un intervalle de maintien de la connexion de 40, et le voisin B a un temps de maintien de 30. Ensuite, les deux voisins utilisent la valeur du temps de maintien de 30, et le site A a un nouvel intervalle de maintien de la connexion de 10.

BGP avec plusieurs tunnels IPsec IKEv2 actifs (EA)

Remarque

Remarque : Il s'agit d'une fonctionnalité de disponibilité anticipée (EA) qui est disponible uniquement pour une distribution limitée. Pour plus d'informations, contactez votre représentant Cato Networks ou envoyez un email à ea@catonetworks.com.

Pour les sites IPsec IKEv2 qui utilisent plusieurs tunnels actifs et BGP, configurez les paramètres des voisins BGP selon les directives suivantes :

  • Attribuez une adresse IP privée unique à chaque pair BGP

  • Configurez tous les pairs BGP pour annoncer le même ensemble de routes

  • Utilisez des métriques BGP cohérentes pour tous les pairs

  • Ajouter des sous-réseaux BGP en tant que plages directes

Si tous les pairs BGP d'un rôle HA (tunnels primaires ou secondaires) deviennent indisponibles, le site déclenche automatiquement un basculement vers les tunnels passifs.

Définir un voisin BGP

Définissez et configurez le pair voisin BGP pour les sites qui utilisent des connexions IPsec. Tout d'abord, définissez les adresses IP privées pour le tunnel IPsec, puis définissez une nouvelle règle pour chaque voisin BGP.

Pour chaque pair, nous recommandons de configurer des notifications de changement de statut de voisin BGP. Des notifications sont envoyées lors d'un changement d'état de connexion d'un pair BGP à un groupe d'abonnement, une liste de diffusion ou une intégration tierce. Voici la fréquence à laquelle les notifications sont envoyées :

  • Immédiat - Notification envoyée aux destinataires pour chaque occurrence

  • Horaire - Envoyer une notification à la première occurrence. Ne pas envoyer d'emails supplémentaires s'il y a plus d'occurrences dans l'heure.

  • Quotidien - Envoyer une notification à la première occurrence. Ne pas envoyer d'autres notifications s'il y a d'autres occurrences au cours de la journée.

  • Hebdomadaire - Envoyer une notification à la première occurrence. Ne pas envoyer d'autres notifications s'il y a d'autres occurrences au cours de la semaine.

bgp_neighbor_policy.png

Pour définir un voisin BGP pour un site IPsec :

  1. Dans le menu de navigation, cliquez sur Réseau > Sites et sélectionnez le site.

  2. Définissez les adresses IP privées pour la connexion IPsec :

    1. Dans le menu de navigation, cliquez sur Paramètres du site > IPsec.

    2. Développez la section Primaire et configurez les IPs privées qui sont à l'intérieur du tunnel VPN.

      Remarques : 

      • L'adresse IP privée du Site est également utilisée pour configurer les paramètres du voisin BGP

      • Le pair BGP Cato ne répond qu'aux pings pour l'adresse IP du pair distant Site

    3. Pour les sites qui utilisent un tunnel IPsec secondaire, développez la section Secondaire et configurez les paramètres de l'étape précédente, puis cliquez sur Sauvegarder.

    4. Cliquez sur Sauvegarder. L'adresse IP privée est définie pour le site.

  3. Dans le menu de navigation, cliquez sur Paramètres du site > BGP.

  4. Cliquez sur Nouveau. Le panneau Ajouter un voisin BGP s'ouvre.

  5. Dans la section Général, saisissez le Nom pour cette règle qui définit le voisin BGP.

  6. Dans la section Paramètres ASN, configurez l'ASN du Pair BGP et l'ASN de Cato.

    Pour plus d'informations sur la modification de l'ASN par défaut pour Cato (voir Utilisation de BGP dans le Cato Cloud).

  7. Dans la section IPs, entrez l'adresse IP du Pair BGP.

  8. Dans la section Politique, définissez le comportement de routage BGP pour votre réseau :

    1. Les options Annoncer vous permettent de configurer comment le site annonce les routes BGP pour ce voisin.

      Remarque : Pour les sites Socket, si vous ne sélectionnez aucune de ces options, ce qui signifie que vous n'annoncez aucune route, assurez-vous également de créer une configuration correspondante sur le peer BGP pour NE PAS accepter les annonces de routes.

      • Route par défaut - Le site diffuse une route par défaut (0/0) aux voisins BGP. Les voisins peuvent envoyer tout le trafic vers cette route par défaut, même si elle n'est pas dans la table de routage. Sélectionnez cette option pour les déploiements qui utilisent le Socket Cato comme passerelle Internet pour ce routeur.

      • Toutes les routes - Le site diffuse la table de routage interne de tout le compte au voisin BGP. Ces routes incluent des plages statiques et flottantes, en plus des routes apprises d'autres appareils dans ce site et à travers votre réseau. Cette option est souvent activée pour envoyer le trafic WAN au voisin BGP.

        Remarque : Toute la gamme d'utilisateurs SDP est annoncée au pair BGP comme une seule route.

      • Routes de synthèse - Le site diffuse une route synthétisée au lieu de plusieurs routes uniques, les pairs BGP peuvent simplifier leurs décisions de transfert et minimiser les ressources computationnelles requises pour la recherche de routes. Voir, Travailler avec les routes résumées BGP.

    2. Dans la section Accepter, sélectionnez si le site accepte ou rejette les adresses IP dynamiques publiées par ce voisin. Lorsque vous sélectionnez une option de rejet, vous limitez la propagation dynamique de ce voisin BGP. Pour plus d'informations sur les listes de routes BGP, voir Travailler avec le filtrage BGP.

      Par exemple, dans les déploiements utilisant AWS Direct Connect, BGP est requis mais vous ne souhaitez pas accepter les adresses dynamiques AWS. Dans ces déploiements, nous vous recommandons de sélectionner Tout Rejeter.

    3. Dans la section NAT, sélectionnez Effectuer Hide SNAT pour que le site effectue le SNAT à toutes les IP et que le trafic soit traduit à l'adresse IP LAN.

  9. Pour authentifier BGP MD5 à l'aide d'un secret pré-partagé, dans la section Supplémentaire :, sélectionnez Auth MD5.

    Remarque : L'authentification BGP MD5 est prise en charge selon la RFC 2385.

  10. Dans la section Supplémentaire, vous pouvez configurer les paramètres avancés pour le voisin BGP :

    1. Pour changer la Métrique de cette route, entrez la nouvelle priorité.

      Plus cette valeur est basse, plus la priorité donnée à la métrique est élevée (par exemple, 10 a une priorité plus élevée que 100).

    2. Pour modifier la durée pendant laquelle la session BGP est maintenue ouverte, entrez le nouveau temps de maintien (en secondes).

    3. Pour changer la fréquence de l'intervalle de garde, entrez la nouvelle valeur (en secondes) entre les messages de garde.

  11. Pour recevoir des notifications basées sur les changements de statut du voisin BGP :

    1. Sélectionnez Envoyer la Notification.

    2. Dans Envoyer la notification à, sélectionnez le Groupe d'abonnement, la Liste de diffusion ou Intégration puis sélectionnez l'élément pertinent.

  12. Cliquez sur Appliquer. La nouvelle règle est ajoutée à la base de règles.

  13. Répétez ces étapes pour configurer des règles supplémentaires pour les voisins BGP.

  14. Cliquez sur Sauvegarder. Le voisin BGP est configuré pour la connexion IPsec.

Affichage du statut du voisin BGP

Après avoir configuré le voisin BGP pour la connexion, nous vous recommandons d'utiliser la fonction Afficher le statut BGP pour tester le statut du voisin et vous assurer que cette route dynamique fonctionne.

Remarque

Remarque : Vous pouvez uniquement afficher le statut BGP après avoir sauvegardé la configuration pour le voisin BGP et qu'elle soit envoyée au site.

Pour afficher le statut du voisin BGP :

  1. Dans le menu de navigation, cliquez sur Réseau > Sites et sélectionnez le site.

  2. Dans le menu de navigation, cliquez sur Paramètres du site > BGP.

  3. Cliquez sur Afficher le statut BGP.

    Une requête HTTP est envoyée au PoP concerné. La fenêtre pop-up affiche le statut de chaque voisin BGP et les données sur les routes actuelles.

  4. Cliquez sur OK pour fermer la fenêtre.

Cet article vous a-t-il été utile ?

Utilisateurs qui ont trouvé cela utile : 0 sur 0

0 commentaire