IPsec कनेक्शन के लिए BGP पड़ोसियों को कॉन्फ़िगर करना

समीक्षा

जब आप एक IPsec कनेक्शन के लिए BGP पड़ोसी कॉन्फ़िगर करते हैं, तो साइट और Cato सॉकेट के लिए निजी IP पतों को परिभाषित करें। क्लाउड सेवा के लिए BGP कॉन्फ़िगरेशन के बारे में अधिक जानने के लिए, देखें Cato Cloud में BGP का उपयोग

Cato द्वितीयक टनल के माध्यम से विज्ञापित रूट्स के लिए AS-PATH में दो बार AS नंबर जोड़ता है। यह पथ चयन को प्रभावित करता है, क्योंकि छोटा AS-PATH वाले रूट्स BGP रूट प्राथमिकता नियमों के अनुसार पसंद किए जाते हैं। उदाहरण के लिए, प्राथमिक टनल दिखाता है prepend_count: 1, और द्वितीयक टनल दिखाता है prepend_count: 2

टिप्पणी

नोट: आप केवल एक IPsec कनेक्शन के लिए दो BGP पड़ोसियों को कॉन्फ़िगर कर सकते हैं, एक टनल प्रति BGP पड़ोसी।

उन्नत BGP सेटिंग्स

BGP पड़ोसी के लिए अतिरिक्त अनुभाग में ये उन्नत BGP सेटिंग्स शामिल हैं:

  • मेट्रिक

  • होल्ड समय

  • कीपअलाइव अंतराल

मेट्रिक इस BGP रूट के लिए प्राथमिकता को परिभाषित करता है। यह मान जितना कम होगा, मेट्रिक को दी गई प्राथमिकता उतनी ही अधिक होगी (उदाहरण के लिए, 10 की प्राथमिकता 100 से अधिक होगी)। डिफ़ॉल्ट मेट्रिक 100 है।

होल्ड समय वह सेकंडों की संख्या है जो साइट BGP पड़ोसी के डाउन होने की स्थिति को परिभाषित करने तक इंतजार करता है। उदाहरण के लिए, यदि होल्ड समय 90 है, तो यदि साइट 90 सेकंड के लिए BGP संदेश प्राप्त नहीं करती है, तो वह उस पड़ोसी को ट्रैफ़िक भेजना बंद कर देती है और डिस्कनेक्ट कर देती है। BGP पड़ोसी से डिस्कनेक्ट करने के बाद, साइट फिर से कनेक्ट करने का प्रयास करती है।

  • एक Cato साइट के लिए डिफ़ॉल्ट सेटिंग 60 है।

  • 1 या 2 का होल्ड समय मान वैध नहीं है।

  • यदि पड़ोसियों के होल्ड समय मूल्य अलग-अलग हैं, तो जोड़ी के लिए सबसे छोटा मूल्य उपयोग किया जाता है। दोनों पड़ोसी हमेशा वही होल्ड समय मूल्य का उपयोग करते हैं।

  • यदि दोनों पड़ोसियों के होल्ड समय मान 0 हैं, तो साइट कभी डिस्कनेक्ट नहीं होती है।

कीपअलाइव अंतराल वह सेकंडों की संख्या है जिसमें साइट BGP पड़ोसी को कीपअलाइव संदेश भेजकर कनेक्शन को सक्रिय रखती है। हम अनुशंसा करते हैं कि कीपअलाइव अंतराल का मूल्य होल्ड समय मूल्य का 1/3 हो।

  • Cato साइट के लिए डिफ़ॉल्ट कीपअलाइव अंतराल 20 है।

  • जब BGP पड़ोसी का होल्ड समय मूल्य छोटा होता है, तो दोनों सदस्य इस मूल्य का उपयोग करते हैं। यदि कीपअलाइव अंतराल का मूल्य BGP पड़ोसी के होल्ड समय मूल्य से कम है, तो एक नया कीपअलाइव अंतराल उपयोग किया जाता है, जो BGP पड़ोसी के होल्ड समय मूल्य का 1/3 है।

    उदाहरण के लिए, Cato साइट A के पास होल्ड समय 120 और कीपअलाइव अंतराल 40 है, और पड़ोसी B का होल्ड समय 30 है। फिर दोनों पड़ोसी होल्ड समय का मूल्य 30 का उपयोग करते हैं, और साइट A के पास एक नया कीपअलाइव अंतराल 10 है।

BGP एकाधिक सक्रिय IPsec IKEv2 सुरंगों के साथ (EA)

टिप्पणी

नोट: यह एक शुरुआती उपलब्धता (EA) सुविधा है जो केवल सीमित रिलीज के लिए उपलब्ध है। अधिक जानकारी के लिए, अपने Cato Networks प्रतिनिधि से संपर्क करें या ea@catonetworks.com पर ईमेल भेजें।

उन IPsec IKEv2 साइट्स के लिए जो कई सक्रिय टनल और BGP का उपयोग करती हैं, BGP पड़ोसी सेटिंग्स को निम्नलिखित दिशानिर्देशों के अनुसार कॉन्फ़िगर करें:

  • प्रत्येक BGP पीयर को एक अद्वितीय निजी IP पता असाइन करें

  • सभी BGP पीयर को विज्ञापन करने के लिए एक ही मार्ग सेट की घोषणा करें

  • सभी पीयर में लगातार BGP मैट्रिक्स का उपयोग करें

  • प्रत्यक्ष श्रेणियों के रूप में BGP सबनेट जोड़ें

यदि HA भूमिका (प्राथमिक या द्वितीयक टनल) के सभी BGP पीयर अनुपलब्ध हो जाते हैं, तो साइट स्वतः निष्क्रिय टनल में फ़ेलओवर को ट्रिगर करता है।

एक BGP पड़ोसी परिभाषित करना

IPsec कनेक्शन का उपयोग करने वाली साइट्स के लिए BGP पड़ोसी जोड़ी को परिभाषित करें और कॉन्फ़िगर करें। पहले, IPsec टनल के लिए निजी IP पतों को परिभाषित करें, और फिर प्रत्येक BGP पड़ोसी के लिए एक नया नियम परिभाषित करें।

प्रत्येक साथी के लिए, हम BGP पड़ोसी स्थिति परिवर्तन नोटिफिकेशन को कॉन्फ़िगर करने की अनुशंसा करते हैं। BGP पीयर कनेक्शन स्थिति बदल जाने पर सूचनाएं एक सदस्यता समूह, ईमेल सूची, या तृतीय-पक्ष एकीकरण को भेजी जाती हैं। यह वह आवृत्ति है जिस पर सूचनाएं भेजी जाती हैं:

  • तत्काल - हर घटना पर प्राप्तकर्ताओं को अधिसूचना भेजी जाती है

  • प्रति घंटा - अधिसूचना पहली घटना के साथ भेजें। यदि एक घंटे के भीतर अधिक घटनाएं होती हैं, तो अतिरिक्त ईमेल न भेजें।

  • दैनिक - अधिसूचना पहली घटना के साथ भेजें। यदि किसी दिन में अधिक घटनाएं होती हैं, तो अतिरिक्त अधिसूचनाएं न भेजें।

  • साप्ताहिक - अधिसूचना पहली घटना के साथ भेजें। यदि किसी सप्ताह में अधिक घटनाएं होती हैं, तो अतिरिक्त अधिसूचनाएं न भेजें।

bgp_neighbor_policy.png

एक IPsec साइट के लिए एक BGP पड़ोसी को परिभाषित करने के लिए:

  1. नेविगेशन मेनू से, नेटवर्क > साइट्स पर क्लिक करें और साइट चुनें।

  2. IPsec कनेक्शन के लिए निजी IP पतों को परिभाषित करें:

    1. नेविगेशन मेनू से, साइट सेटिंग्स > IPsec पर क्लिक करें।

    2. प्राथमिक अनुभाग का विस्तार करें, और VPN टनल के अंदर निजी IP कॉन्फ़िगर करें।

      टिप्पणियाँ: 

      • साइट निजी IP पता BGP पड़ोसी की सेटिंग्स को कॉन्फ़िगर करने के लिए भी उपयोग किया जाता है।

      • Cato BGP पीयर केवल रिमोट साइट पीयर IP पते के लिए पिंग का जवाब देता है।

    3. उन साइटों के लिए जो एक द्वितीयक IPsec टनल का उपयोग करती हैं, द्वितीयक अनुभाग का विस्तार करें और पिछले चरण में सेटिंग्स कॉन्फ़िगर करें और फिर सहेजें पर क्लिक करें।

    4. सहेजें पर क्लिक करें। निजी IP पता साइट के लिए परिभाषित है।

  3. नेविगेशन मेनू से, साइट सेटिंग्स > BGP पर क्लिक करें।

  4. नया पर क्लिक करें। Add BGP Neighbor पैनल खुलता है।

  5. सामान्य अनुभाग में, इस नियम के लिए नाम दर्ज करें जो BGP पड़ोसी को परिभाषित करता है।

  6. ASN सेटिंग्स अनुभाग में, BGP Peer ASN और Cato's ASN को कॉन्फ़िगर करें।

    Cato के लिए डिफ़ॉल्ट ASN बदलने के बारे में अधिक जानकारी के लिए (देखें Cato Cloud में BGP का उपयोग)।

  7. IPs अनुभाग में, BGP Peer IP पता दर्ज करें।

  8. Policy अनुभाग में, अपने नेटवर्क के लिए BGP रूटिंग व्यवहार को परिभाषित करें।

    1. विज्ञापन करें विकल्प आपको इस पड़ोसी के लिए BGP रूट्स साइट द्वारा कैसे विज्ञापित किए जाते हैं, उसे कॉन्फ़िगर करने की अनुमति देता है।

      टिप्पणी: सॉकेट साइट्स के लिए, यदि आप इनमें से कोई विकल्प नहीं चुनते हैं, जिसका अर्थ है कि आप कोई रूट नहीं विज्ञापित कर रहे हैं, तो सुनिश्चित करें कि आप BGP पीयर पर एक मिलान करने वाला कॉन्फ़िगरेशन भी बनाते हैं ताकि कोई रूट विज्ञापन स्वीकार न करें।

      • डिफॉल्ट मार्ग - साइट BGP पड़ोसियों को डिफॉल्ट मार्ग (0/0) विज्ञापित करती है। पड़ोसी सभी ट्रैफ़िक को इस डिफ़ॉल्ट रूट पर भेज सकते हैं, भले ही यह रूटिंग टेबल में न हो। उस राउटर के लिए इंटरनेट गेटवे के रूप में Cato सॉकेट का उपयोग करने वाले डिप्लॉयमेंट के लिए इस विकल्प का चयन करें।

      • सभी मार्ग - साइट पूरे खाते के लिए आंतरिक रूटिंग तालिका को BGP पड़ोसी के लिए विज्ञापित करती है। इन रूट्स में स्थिर और फ्लोटिंग रेंज शामिल होती हैं, इसके अलावा इस साइट और पूरे नेटवर्क में अन्य साथियों से सीखे गए रूट भी शामिल होते हैं। यह विकल्प अक्सर BGP पड़ोसी को WAN ट्रैफिक भेजने के लिए सक्षम किया जाता है।

        नोट: SDP उपयोगकर्ता के पूरे रेंज को एक एकल रूट के रूप में BGP साथी को प्रचारित किया जाता है।

      • सारांश मार्ग - साइट एक सारांश मार्ग का विज्ञापन करती है, जिसमें कई अद्वितीय मार्ग के बजाय, BGP पीयर अपने फॉरवर्डिंग निर्णयों को सरल कर सकते हैं और मार्ग लुकअप के लिए आवश्यक गणनात्मक संसाधनों को कम कर सकते हैं। देखें, BGP सारांश रूट्स के साथ काम करना

    2. स्वीकार करें अनुभाग में, यह चुनें कि साइट इस पड़ोसी द्वारा प्रकाशित गतिशील IP पतों को स्वीकार करती है या गिरा देती है। जब आप एक ड्रॉप विकल्प चुनते हैं, तो आप इस BGP पड़ोसी से गतिशील प्रसार को सीमित कर रहे हैं। BGP रूट्स की सूची के बारे में अधिक जानकारी के लिए, देखें BGP फ़िल्टरिंग के साथ काम करना

      उदाहरण के लिए, AWS Direct Connect का उपयोग करने वाले डिप्लॉयमेंट में, BGP आवश्यक है लेकिन आप AWS गतिशील पते स्वीकार नहीं करना चाहते। इन तैनाती में, हम अनुशंसा करते हैं कि आप सभी ड्रॉप करें चुनें।

    3. NAT अनुभाग में, साइट के लिए Perform Hide SNAT चुनें ताकि सभी IP पर SNAT किया जा सके और ट्रैफ़िक LAN IP पते में अनुवादित हो।

  9. BGP MD5 को पूर्व-साझा किए गए रहस्य का उपयोग करके प्रमाणीकरण करने के लिए, अतिरिक्त अनुभाग में, MD5 प्रमाणीकरण चुनें।

    नोट: BGP MD5 प्रमाणीकरण RFC 2385 के अनुसार समर्थित है।

  10. अतिरिक्त अनुभाग में, आप BGP पड़ोसी के लिए उन्नत सेटिंग्स कॉन्फ़िगर कर सकते हैं:

    1. इस रूट के लिए मेट्रिक को बदलने के लिए नया प्राथमिकता दर्ज़ करें।

      यह मान जितना कम होगा, मेट्रिक को दी गई प्राथमिकता उतनी ही अधिक होगी (उदाहरण के लिए, 10 की प्राथमिकता 100 से अधिक है)।

    2. BGP सत्र को खुला रखने की समय सीमा बदलने के लिए नया होल्ड समय (सेकंड में) दर्ज करें।

    3. कीपअलाइव अंतराल की आवृत्ति बदलने के लिए, जीवित बनाए रखने वाले संदेशों के बीच नया मान (सेकंड में) दर्ज करें।

  11. BGP पड़ोसी की स्थिति में बदलाव के आधार पर नोटिफिकेशन प्राप्त करने के लिए:

    1. सूचना भेजें चुनें।

    2. सूचना भेजें में, सदस्यता समूह, मेलिंग सूची या इंटीग्रेशन चुनें और संबंधित आइटम चुनें।

  12. लागू करें पर क्लिक करें। नया नियम नियम आधार में जोड़ा जाता है।

  13. BGP पड़ोसियों के लिए अतिरिक्त नियम कॉन्फ़िगर करने के लिए इन चरणों को दोहराएं।

  14. सहेजें पर क्लिक करें। BGP पड़ोसी को IPsec कनेक्शन के लिए सक्रिय किया गया है।

BGP पड़ोसी की स्थिति दिखा रहा है

कनेक्शन के लिए BGP पड़ोसी को सक्रिय करने के बाद, हम अनुशंसा करते हैं कि आप पड़ोसी की स्थिति का परीक्षण करने और यह सुनिश्चित करने के लिए 'BGP स्थिति दिखाएं' सुविधा का उपयोग करें कि यह गतिशील मार्ग काम कर रहा है।

नोट

नोट: आप केवल BGP पड़ोसी के लिए विन्यास सहेजने और इसे साइट पर भेजने के बाद ही BGP स्थिति दिखा सकते हैं।

BGP पड़ोसी की स्थिति दिखाने के लिए:

  1. नेविगेशन मेनू से नेटवर्क > साइट्स क्लिक करें और साइट चुनें।

  2. नेविगेशन मेनू से साइट सेटिंग्स > BGP क्लिक करें।

  3. BGP स्थिति दिखाएं क्लिक करें।

    एक HTTP क्वेरी संबंधित PoP को भेजी जाती है। पॉप-अप विंडो प्रत्येक BGP पड़ोसी की स्थिति और वर्तमान मार्गों के बारे में डेटा दिखाती है।

  4. विंडो बंद करने के लिए ठीक है पर क्लिक करें।

क्या यह लेख उपयोगी था?

0 में से 0 के लिए उपयोगी रहा

0 टिप्पणियां