Cato Cloud में BGP का उपयोग करना

BGP का परिचय

BGP एक मानकीकृत बाह्य गेटवे प्रोटोकॉल है जो इंटरनेट पर स्वायत्त सिस्टम (AS) के बीच रूटिंग और पहुँचने की जानकारी का आदान-प्रदान करने के लिए डिज़ाइन किया गया है।

आपके कॉन्फ़िगरेशन के आधार पर और BGP रूटिंग जानकारी का लाभ उठाकर, Cato Cloud बिना आपको कई स्थैतिक पथों को मैन्युअल रूप से कॉन्फ़िगर किए और/या कोई भी कार्रवाई किए बिना सूचित रीयल-टाइम रूटिंग निर्णय ले सकता है। यह AWS में डायरेक्ट कनेक्ट और/या सक्रिय-सक्रिय कॉन्फ़िगरेशन, वर्चुअल आईपी के साथ डिजास्टर रिकवरी (DR), साइट्स के भीतर स्वायत्त सिस्टम (AS) के साथ एकीकरण, और क्रमिक तैनाती में अधिक लचीलापन जैसी परिदृश्यों के लिए उन्नत समर्थन को सक्षम बनाता है।

Cato BGP का समर्थन कैसे करता है?

इस अनुभाग में Cato के BGP घटकों (वैश्विक वस्तुओं सहित) और Cato के BGP समर्थन को कैसे डिज़ाइन किया गया है और प्रदर्शन करता है इसका वर्णन किया गया है।

Cato के BGP घटक

Cato का BGP समर्थन तीन मुख्य घटकों से बना है: BGP पड़ोसी, गतिशील रेंज, और फ्लोटिंग रेंज।

नोट

नोट: साइट की स्वाभाविक रेंज में परिभाषित सभी रेंज को इस अनुभाग में "स्थैतिक रेंज" के रूप में संदर्भित किया जाता है।

BGP पड़ोसी

पड़ोसियों के साथ BGP सत्र स्थापित करने के लिए कनेक्टिविटी आवश्यक है। ये हैं वे विकल्प जहां BGP पड़ोसी स्थित हो सकते हैं, और उनके परिणामस्वरूप Cato Cloud में आपके खाते के साथ उनकी बातचीत होती है।

Cato Networks PoP और एक टनल के भीतर BGP राउटर के बीच BGP - Cato खाता रेंज को प्रचारित करता है, जिसमें डिफ़ॉल्ट रूट (0/0) शामिल है, और साइट के लिए स्थिर, डायनामिक रेंज और फ्लोटिंग रेंज प्राप्त करता है। उदाहरण के लिए, Amazon AWS IPSec कनेक्शन में रूटों के आदान-प्रदान के लिए BGP प्राथमिक मोड है।
BGP के बीच Cato Cloud और LAN पर स्थित BGP राउटर / Alt. WAN लिंक - Cato सॉकेट में स्थापित रेंज पर BGP पड़ोसी के साथ संवाद कर सकता है: प्रत्यक्ष रेंज, मूल रेंज, या VLAN रेंज।

BGP सत्र केवल रूटेड रेंज पर ही स्थापित किए जा सकते हैं जब तक कि सभी रेंज का अगला हॉप BGP पीयर के समान न हो।

नोट

नोट्स:

यह विकल्प एक टनेल की स्थापना पर निर्भर नहीं करता।
Cato सभी BGP कनेक्शन को "next-hop-self" मानता है: पड़ोसी हमेशा Cato द्वारा चयनित अगला हॉप होता है, और Cato अपने पड़ोसी के IP को सभी प्रचारित रूटों के लिए अगला हॉप के रूप में प्रचारित करता है।
जब BGP Alt पर होता है। WAN, यह आमतौर पर अन्य साइट्स की रेंज प्राप्त करता है (सभी अन्य साइट्स जो Alt के माध्यम से पहुँचा जा सकती हैं)। WAN लिंक)। Cato गतिशील और फ्लोटिंग रेंज पर विचार करने से पहले इन रेंज को फ़िल्टर करता है।
जब सॉकेट Cato Cloud से डिस्कनेक्ट किया जाता है, तो सभी अन्य साइट्स की रेंज को हटा दिया जाता है। यह एक मामले में निरंतर पहुँचने की क्षमता की अनुमति देता है जहां BGP पीयर के पास एक द्वितीयक पथ होता है जो वैकल्पिक रूप से अगला हॉप के रूप में इस्तेमाल किया जा सकता है यदि वह अस्थायी रूप से Cato Cloud से डिस्कनेक्ट होता है। (सॉकेट संस्करण 17.0 और उससे ऊपर से समर्थित)

BGP पड़ोसी को कॉन्फ़िगर करने के बारे में अधिक जानकारी के लिए, देखें Defining BGP Neighbors।

BGP कनेक्शन कैसे स्थापित होते हैं

BGP कनेक्शन को स्थापित करने के लिए कई चरण होते हैं। आपके कनेक्शन प्रकार के आधार पर, BGP कनेक्शन इस प्रकार स्थापित किए जाते हैं:

एक प्रारंभिक TCP सत्र शुरू होता है। अगर TCP सत्र स्थापित नहीं किया जा सकता है, तो सत्र के सफलतापूर्वक स्थापित होने तक हर 30 सेकंड में एक प्रयास निर्धारित किया जाता है।
TCP सत्र स्थापित होने के तुरंत बाद एक BGP सत्र शुरू होता है।
यदि BGP सत्र स्थापित नहीं किया जा सकता है, तो हर 15 सेकंड में एक प्रयास निर्धारित किया जाता है
यदि BGP सत्र स्थापित होने के बाद समाप्त हो जाता है, तो अगला प्रयास हर 1 सेकंड में निर्धारित किया जाता है।

डायनामिक रेंज

डायनामिक रेंज ऐसे IP रेंज होते हैं जो Cato द्वारा BGP पड़ोसी से डायनामिक रूप से सीखे जाते हैं। एक बार Cato द्वारा स्वीकार कर लेने के बाद, वे एकाउंट्स में प्रचारित होते हैं और नेटवर्क में कहीं से भी उस पड़ोसी के माध्यम से पहुँचने योग्य हो जाते हैं।

नोट

नोट: चूंकि डायनामिक रेंज BGP पड़ोसी से डायनामिक रूप से सीखे जाते हैं और Cato प्रबंधन अनुप्रयोग में वैश्विक वस्तुओं के रूप में कॉन्फ़िगर नहीं किए जा सकते हैं, उन्हें नेटवर्क और/या सुरक्षा नियमों में स्पष्ट रूप से इस्तेमाल नहीं किया जा सकता है, इसलिए वे उस साइट की नीति के अनुसार कार्य करते हैं जहाँ वे रहते हैं।

फ्लोटिंग आईपी रेंज

फ्लोटिंग रेंज वैश्विक IP रेंज होते हैं जो किसी विशेष साइट से जुड़े नहीं होते हैं, लेकिन किसी भी साइट से सीख सकते हैं जिसमें BGP पड़ोसी होता है। उदाहरण के लिए, एक डिजास्टर रिकवरी (DR) परिदृश्य में, कई अनुप्रयोग (जैसे VMware NSX) अपने IP पतों को बनाए रखते हुए सर्वर को एक स्थान से दूसरे स्थान पर ले जा सकते हैं। इन मामलों में, BGP शेष नेटवर्क वस्तुओं को अपडेट करने में मदद करता है और यह बताता है कि ये सर्वर अब कहाँ स्थित हैं।

फ्लोटिंग रेंज को वैश्विक वस्तुओं के रूप में परिभाषित किया जाता है। फ्लोटिंग रेंज एक विशेष साइट के साथ जुड़े नहीं होते हैं और उन्हें सुरक्षा या नेटवर्किंग नियमों में परिभाषित किया जाना चाहिए (साइट जुड़ाव डाइनामिकल रूप से बदल सकता है)। आप अपने संगठन की नीति आवश्यकताओं के अनुसार नेटवर्क और/या सुरक्षा नियम स्पष्ट रूप से बनाने के लिए वैश्विक वस्तु परिभाषा का लाभ उठा सकते हैं।

किसी बीजीपी डायनामिक रेज को फ्लोटिंग रेंज के लिए सुरक्षा या नेटवर्क नीति को विरासत में लेने के लिए, उसे फ्लोटिंग रेंज से पूरी तरह से मेल खाना चाहिए। उदाहरण के लिए, अगर BGP डायनामिक रेंज 192.168.1.0/24 है और फ्लोटिंग रेंज 192.168.1.1/32 के रूप में परिभाषित किया गया है, तो उनके बीच कोई कनेक्शन नहीं है और BGP डायनामिक रेंज फ्लोटिंग रेंज से नीति प्राप्त नहीं करता।

नोट

नोट: फ्लोटिंग रेंज स्थिर रेंज के साथ असंगत नहीं हो सकते।

Cato में BGP कैसे डिज़ाइन किया गया है और प्रदर्शन करता है

रूट्स को संभालना

Cato क्लाउड में BGP पड़ोसी एक Cato PoP या साइट कनेक्शन के साथ जुड़ा होता है। साइट कनेक्शन Socket या IPsec टनल हो सकता है। जब Cato क्लाउड को एक नया या अपडेट किया गया BGP रूट प्राप्त होता है, तो यह हमेशा वैश्विक WAN नेटवर्क (साइट कनेक्शन और PoP) के साथ समन्वयित होता है।

जब एक BGP रूट प्राप्त होता है, Cato इसे संबंधित वस्तु के साथ इस प्रकार जोड़ता है:

फ्लोटिंग रेंज के रूप में परिभाषित आईपी रेंज अपने परिभाषित वस्तुओं के साथ जुड़ी होती हैं और वस्तुओं को सौंपित सभी नेटवर्किंग और सुरक्षा नीतियों का पालन करती हैं।
सभी अन्य आईपी रेंज को डायनामिक रेंज के रूप में माना जाता है, और साइट को सौंपित सभी नेटवर्किंग और सुरक्षा नीतियों का पालन करती हैं।

रूट को BGP संदेश के माध्यम से या पड़ोसी डिस्कनेक्ट (CEASE या भौतिक) के माध्यम से हटा सकते हैं, और Cato क्लाउड फौरन उस निकासी का प्रसार करता है।

Cato पर टनल मेट्रिक्स (रूटिंग टेबल)

Cato में साइट्स जैसे कि IPSec या सॉकेट साइट्स, के लिए ट्रैफ़िक को LAN या इंटरनेट पर भेजने के लिए मल्टीपल कनेक्टेड टनल हो सकते हैं। अगर कई टनल कनेक्टेड हैं, तो उनकी प्राथमिकता लिंक की गुणवत्ता और अन्य फैक्टर्स पर आधारित होती है। आपके खाते के लिए रूटिंग तालिका स्क्रीन (निगरानी > रूटिंग तालिका) मार्गों के लिए टनल मेट्रिक दिखाती है। यह वह मान है जो Cato नियुक्त करता है ताकि यह सुनिश्चित हो सके कि ट्रैफ़िक को सबसे अच्छे टनल के माध्यम से भेजा जाए। टनल मेट्रिक का मान जितना कम होता है, यह संकेत करता है कि इस टनल की प्राथमिकता अधिक है। उदाहरण के लिए, सॉकेट उच्च उपलब्धता परिनियोजन में सक्रिय टनल का मेट्रिक 5 हो सकता है और निष्क्रिय सॉकेट से टनल का मेट्रिक 10।

रूट्स कैसे प्राथमिकता प्राप्त करते हैं

नियमित स्थैतिक रेंज के विपरीत, BGP आपके नेटवर्क के विभिन्न हिस्सों में ओवरलैप या डुप्लिकेट हो सकने वाले मल्टीपल रूट को अनुमति देता है। तो Cato क्लाउड कैसे तय करता है कि किस पथ के माध्यम से पैकेट को रूट करना है?

जब मल्टीपल रूट को गंतव्य आईपी पते पर लागू किया जा सकता है, तो रूटिंग निर्णय निम्नलिखित प्राथमिकताएँ के अनुसार की जाएंगी:

कम विशिष्ट रूट की बजाय अधिक विशिष्ट रूट का चयन किया जाता है (/24 बजाय /22 और इसी तरह अगला)।
निम्नलिखित आईपी रेंज के लिए प्राथमिकता क्रम:
1. स्थिर रेंज
2. फ्लोटिंग रेंज
3. डायनामिक रेंज
कम पड़ोसी मेट्रिक को पसंद किया जाता है।
सबसे छोटा AS- पथ को पसंद किया जाता है।
कम टनल मेट्रिक को पसंद किया जाता है।
रूट आईडी से कम BGP MED (मल्टी-एक्जिट-डिस्क्रिमिनेटर) को पसंद किया जाता है।

चूंकि Cato क्लाउड लेयर-7 नीति-आधारित रूटिंग करता है, अतुल्य रूट से बचने की आवश्यकता निर्णायक है। इस कारण से, रूट प्राथमिकता एक ही खाते में सार्वभौमिक है: अन्य शब्दों में, Cato क्लाउड नेटवर्क के भीतर किसी भी स्थान से एकल उत्पत्ति चुनी जाएगी।

रूट्स कैसे प्रचारित होते हैं

जब रूट एक BGP पड़ोसी द्वारा स्वीकार कर दिए जाते हैं, तो उनके साथ जुड़ी जानकारी (AS-पथ, BGP-समुदाय) सुरक्षित रहती है। जब डायनामिक रेंज BGP पड़ोसी को विज्ञापित होती है, तो AS-पथ Cato Cloud AS नंबर के साथ जुड़ जाएगा (जैसा कि सामान्यतः BGP के साथ होता है)।

Cato सभी पथ विशेषताओं को, जिन पर ट्रांज़िटिव ध्वज (RFC 4271) का निशान होता है, पारदर्शी रूप से प्रसारित करता है, जिसमें समुदाय भी शामिल हैं।

खाता रेंज (स्थैतिक) Cato सॉकेट पड़ोसी ASN को उत्पत्ति ASN के रूप में प्रचारित किया जाता है (स्वायत्त प्रणाली संख्या - नीचे देखें पड़ोसी को ASN असाइन करना)।

BGP रूट सारांश के बारे में अधिक विवरण के लिए, देखें BGP सारांश मार्ग के साथ काम करना।

नोट

नोट: कुछ प्रसिद्ध समुदायों को निर्गम पर BGP पड़ोसियों के लिए केटो द्वारा प्रचारित नहीं किया जाता है, जैसे कि no-export।

पड़ोसी को एक ASN असाइन करना

ASN एक 64,512 – 65,534 (निजी ASN) के बीच की संख्या है, जो संचार स्थापित करने वाली मार्गदर्शन इकाई का प्रतिनिधित्व करता है। केटो नेटवर्क्स का डिफ़ॉल्ट ASN 64,515 है।

केटो क्लाउड eBGP का समर्थन करता है, इसलिए BGP पड़ोसी का ASN केटो क्लाउड पक्ष के ASN से भिन्न होना चाहिए।

नोट

नोट: सभी BGP सत्रों में संचार के केटो क्लाउड पक्ष का प्रतिनिधित्व करने के लिए वैश्विक स्तर पर एकल ASN का उपयोग करना सर्वोत्तम प्रथाओं में से है। यदि आप विभिन्न पड़ोसियों के लिए विभिन्न ASN का उपयोग करने पर विचार कर रहे हैं, तो कृपया समर्थन से संपर्क करें।

लूप्स को कैसे रोका जाता है

जब एक रूट केटो द्वारा प्राप्त होता है, तो AS मार्ग को पड़ोसी के केटो क्लाउड ASN के लिए स्कैन किया जाता है। इस ASN को शामिल करने वाले किसी भी रूट को छोड़ दिया जाएगा। ध्यान दें कि पड़ोसी केवल वर्तमान पड़ोसी के ASN को स्कैन करता है।

नोट

नोट: केटो ग्रेसफुल रीस्टार्ट का समर्थन नहीं करता।

सुरक्षा और नेटवर्किंग

डायनेमिक रेंज स्वचालित रूप से उस साइट के साथ जुड़ा होता है, जिससे रूट प्राप्त किया गया था, और सभी साइट की नीति समूहों, नेटवर्क और सुरक्षा नीतियों को विरासत में लेता है। फ्लोटिंग रेंज को वैश्विक रूप से परिभाषित किया जाता है और, सुरक्षा नियम उन पर सीधे या उन्हें नीति समूहों के साथ जोड़ कर लागू किए जाते हैं।

BGP का उपयोग करने से पहले

मैं कौन से साइट कनेक्शन प्रकार का उपयोग कर सकता हूं?

Cato सॉकेट्स, vSockets, और IPsec साइट्स (Cato-प्रेरित IPsec IKEv1, IPSec IKEv2) का उपयोग करने वाली साइट्स के लिए BGP का समर्थन करता है। इसके अलावा, आपके मौजूदा BGP राउटर्स के साथ कनेक्टिविटी आवश्यक है।

BGP पड़ोसी Cato के साथ BGP सत्र कैसे स्थापित करेगा?

BGP सत्रों के लिए सॉकेट्स में स्थानीय रूट्स या एक IPSec टनल के माध्यम से BGP पड़ोसी और साइट के बीच स्थापित कनेक्टिविटी आवश्यक है।
केटो सॉकेट परिनियोजन के लिए, सत्रों को स्थापित करने के लिए केवल सीधा, वीएलएन और मूल रेंज का उपयोग किया जा सकता है

जब तक सभी रेंजों में BGP साथी के रूप में समान अगला हॉप होता है, तब तक BGP सत्र रूटेड रेंज पर स्थापित किए जा सकते हैं।

वैकल्पिक WAN लिंक पर BGP सत्र सेट करना

केटो में, वैकल्पिक WAN गंतव्य दो (संभावित रूप से वीएलएन-अंकित) नेटवर्क शामिल करते हैं: सार्वजनिक और निजी। BGP पड़ोसी उन दो नेटवर्क में से एक के भीतर होना चाहिए, और केटो क्लाउड पक्ष पर BGP पड़ोसी उस रेंज के लिए संबंधित Cato IP होगा।

सार्वजनिक इंटरफ़ेस पर BGP सत्र को परिभाषित करते समय, आप उस लिंक के माध्यम से जाने वाले ट्रैफ़िक पर स्रोत NAT भी कर सकते हैं। इसका मतलब है कि उस पड़ोसी के माध्यम से सभी निर्गम ट्रैफ़िक के लिए, स्रोत पता केटो-पक्ष IP होगा।

ज्ञात कमिया

केटो क्लाउड केवल IPv4 का समर्थन करता है।
यदि कई ASN को कई पड़ोसियों के लिए कॉन्फ़िगर किया गया है, तो ASN पड़ोसी द्वारा पता नहीं लगाए जाएंगे और लूपिंग का परिणाम हो सकता है।
Cato Cloud पड़ोसी के ASN को शामिल करने वाले रूट के प्रचार की अनुमति देता है, लूप के लिए स्कैन करने के लिए पड़ोसी पर भरोसा करता है।
फ्लोटिंग रेंज स्थिर रेंज के साथ ओवरलैप नहीं कर सकते।
केटो रूट विदड्रॉल के लिए ग्रेसफुल रीस्टार्ट का समर्थन नहीं करता।
केटो द्वारा शुरू किए गए BGP रूट परिवर्तनों (जिसमें रूट विदड्रॉल शामिल है) से घटनाएं उत्पन्न नहीं होती हैं।
केटो रूट सारणीकरण नहीं करता।
डिफ़ॉल्ट रूप में, केटो प्रत्येक BGP पड़ोसी से प्राप्त प्रीफ़िक्स की संख्या को 1024 तक सीमित करता है। इस सीमा को बढ़ाने के लिए, समर्थन से संपर्क करें।
BGP उन खातों के लिए समर्थित नहीं है जो स्थिर रेंज अनुवाद का उपयोग करते हैं। यदि आपको सॉकेट साइट के स्वाभाविक रेंज के लिए BGP की आवश्यकता है, तो कृपया समर्थन से संपर्क करें।