IPsec接続のためのBGPネイバーの構成

概観

When you configure a BGP neighbor for an IPsec connection, define the Private IP addresses for the site and the Cato Socket. クラウドサービスのBGPの設定について詳しくは、Cato CloudでBGPを使用するをご覧ください。

Cato prepends the AS number twice in the AS-PATH for routes advertised through the secondary tunnel. This influences path selection, as routes with shorter AS-PATHs are preferred according to BGP route prioritization rules. 例えば、主要なトンネルにはprepend_count: 1、副次的なトンネルにはprepend_count: 2が表示されます。

ノート

注意: IPsec接続のために最大2つのBGPネイバーのみを設定でき、トンネルごとに1つのBGPネイバーです。

高度なBGP設定

BGPネイバーの追加セクションには、これらの高度な設定が含まれています:

  • メトリック

  • ホールドタイム

  • キープアライブの間隔

メトリックは、このBGPルートの優先度を定義します。 この値が低いほど、メトリックに割り当てられる優先度は高くなります(例:10は100よりも高い優先度)。 デフォルトのメトリックは100です。

ホールドタイムは、サイトがBGPネイバーがダウンしていることを定義するまでの秒数です。 例えば、ホールドタイムが90の場合、サイトが90秒間BGPメッセージを受信しない場合は、そのネイバーへのトラフィックの送信を停止し、接続を切断します。 BGPネイバーから切断された後、サイトは再接続を試みます。

  • カトサイトのデフォルト設定は60です。

  • ホールドタイムの値が1または2の場合は無効です。

  • ネイバーのホールドタイムの値が異なる場合、ペアには最小の値が使用されます。 両方のネイバーは常に同じホールドタイム値を使用します。

  • 両方のネイバーのホールドタイム値が0の場合、サイトは決して切断されません。

キープアライブの間隔は、サイトがBGPネイバーにキープアライブメッセージを送信してセッションを保持する秒数です。 キープアライブの間隔の値は、ホールドタイム値の1/3であることを推奨します。

  • カトサイトのデフォルトのキープアライブの間隔は20です。

  • BGPネイバーのホールドタイム値が小さい場合、両メンバーがその値を使用します。 キープアライブの間隔値がBGPネイバーのホールドタイム値より小さい場合、BGPネイバーのホールドタイム値の1/3の新しいキープアライブの間隔が使用されます。

    例えば、カトネットワークのサイトAのホールドタイムが120で間隔が40、隣接Bのホールドタイムが30です。 その後、両方の隣接はホールドタイムの値30を使用し、サイトAの間隔は新たに10になります。

複数のアクティブIPsec IKEv2トンネル(EA)を使用したBGP

ノート

注意: これは限られたリリースでのみ利用可能な早期利用可能 (EA) 機能です。 詳細については、Cato Networksの担当者に連絡するか、ea@catonetworks.comにメールを送信してください。

複数のアクティブトンネルとBGPを使用するIPsec IKEv2サイトの場合、以下のガイドラインに従ってBGPネイバー設定を構成してください。

  • 各BGPピアに一意のプライベートIPアドレスを割り当てる

  • 全てのBGPピアが同一のルートセットを広告するように設定する

  • すべてのピアで一貫したBGPメトリックを使用する

  • BGPサブネットを直接範囲として追加する

HA役割(主要または副次的トンネル)のすべてのBGPピアが利用できなくなった場合、そのサイトは自動的にパッシブトンネルへのフェイルオーバーをトリガーします。

BGPネイバーの定義

IPsec接続を使用するサイトのためにBGP隣接ペアを定義して構成します。 まず、IPsecトンネルのプライベートIPアドレスを定義し、その後、各BGPネイバーの新しいルールを定義します。

各ピアについて、BGP隣接状態変更通知を構成することをお勧めします。 BGPピア接続状態の変更時に、サブスクリプショングループ、メールリスト、またはサードパーティの統合に通知が送信されます。 通知が送信される頻度は次のとおりです。

  • 即時 - 発生するたびに受信者に通知

  • 毎時 - 最初の発生時に通知を送信します。 1時間以内にさらに発生した場合は、追加のメールを送信しません。

  • 毎日 - 最初の発生時に通知を送信します。 1日の間に他の発生がある場合は追加の通知を送信しないでください。

  • 毎週 - 最初の発生時に通知を送信します。 1週間の間に他の発生がある場合は追加の通知を送信しないでください。

bgp_neighbor_policy.png

IPsecサイトのためのBGP隣接を定義するには:

  1. ナビゲーションメニューからネットワーク > サイトを選択し、サイトを選択します。

  2. IPsec接続のプライベートIPアドレスを定義します:

    1. ナビゲーションメニューから、サイト設定 > IPsecをクリックします。

    2. プライマリセクションを展開し、VPNトンネル内のプライベートIPを構成します。

      注: 

      • サイトのプライベートIPアドレスはBGPネイバーの設定にも使用されます

      • Cato BGPピアはリモートサイトピアのIPアドレスに対してのみpingに応答します

    3. セカンダリIPsecトンネルを使用するサイトについては、セカンダリセクションを展開し、前のステップで設定を構成し、保存をクリックします。

    4. 保存をクリックしてください。 サイトに対してプライベートIPアドレスが定義されています。

  3. ナビゲーションメニューから、サイト設定 > BGPをクリックします。

  4. 新規をクリックします。 BGPネイバーを追加パネルが開きます。

  5. 一般 セクションで、このルールの名前を入力して、BGPの近接を定義します。

  6. ASN設定セクションで、BGPピアASNとCatoのASNを設定します。

    CatoのデフォルトASNを変更する詳細については、Cato CloudでBGPを使用するをご覧ください。

  7. IPセクションにBGPピアのIPアドレスを入力します。

  8. ポリシーセクションでは、ネットワークに対するBGPルーティングの動作を定義します。

    1. 広告オプションは、このネイバーに対してBGPルートがどのように広告されるかを設定できます。

      注: ソケットサイト用に、これらのオプションを選択しない場合は、これによりルートを広告していないことを意味し、BGPピアでルート広告を受け入れないように一致する設定も必ず作成してください。

      • デフォルトルート - サイトはBGPネイバーにデフォルトルート (0/0) を広告します。 近接は、ルーティングテーブルに存在しなくても、このデフォルトルートにすべてのトラフィックを送信できます。 このオプションは、そのルーターのインターネットゲートウェイとしてCatoソケットを使用する展開に対して選択します。

      • すべてのルート - サイトはアカウント全体の内部ルーティングテーブルをBGPネイバーに広告します。 これらのルートには、スタティックおよびフローティングレンジに加えて、このサイトおよびネットワーク全体の他のピアから学習されたルートが含まれます。 このオプションは、WANトラフィックをBGPの近接に送信するためによく有効にされます。

        注意: SDPユーザーの全範囲が単一ルートとしてBGPピアにアドバタイズされます。

      • サマリールート - サイトが複数のユニークなルートの代わりにサマリールートを広告することで、BGPピアはフォワーディングの判断を簡素化し、ルート検索に必要な計算資源を最小限に抑えることができます。 BGPサマリールートの使用を参照してください。

    2. 受入セクションでは、サイトがこのネイバーによって公開された動的IPアドレスを受け入れるかドロップするかを選択します。 ドロップオプションを選択すると、このBGPネイバーからの動的伝播を制限します。 BGPルートのリストに関する詳細については、BGPフィルタリングの使用をご覧ください。

      例えば、AWS Direct Connectを使用する配置では、BGPが必要ですが、AWSの動的アドレスは受け入れたくありません。 これらの展開では、すべてをドロップを選択することをお勧めします。

    3. NATセクションでSNATの隠蔽の実行を選択すると、サイトはすべてのIPに対してSNATを実行し、トラフィックがLAN IPアドレスに変換されます。

  9. 事前共有されたシークレットを使用してBGP MD5を認証するには、追加セクションで、MD5認証を選択します。

    注意: BGP MD5認証はRFC 2385に準拠しています。

  10. 追加セクションで、BGPの近接ネイバーの高度な設定を構成できます:

    1. このルートのメトリックを変更するには、新しい優先度を入力します。

      この値が低いほど、メトリックに与えられる優先度は高くなります(例:10は100よりも高い優先度です)。

    2. BGPセッションを開いたままにする時間を変更するには、新しいホールドタイムを入力します(単位:秒)。

    3. キープアライブの間隔の頻度を変更するには、キープアライブメッセージ間の新しい値を入力します(単位:秒)。

  11. BGPの近接ネイバーのステータスの変更に基づいて通知を受け取るには:

    1. 通知を送信を選択します。

    2. 通知を送信先で、サブスクリプショングループメーリングリスト、または統合を選択し、関連する項目を選択します。

  12. 適用をクリックします。 新しいルールがルールベースに追加されました。

  13. BGPネイバー用に追加のルールを構成するためにこれらのステップを繰り返します。

  14. 保存をクリックしてください。 BGPネイバーはIPsec接続用に設定されています。

BGPネイバーのステータスを表示する

接続のためにBGPネイバーを構成した後、BGPステータスを見る機能を使ってネイバーの状態をテストし、この動的ルートが機能していることを確認することをお勧めします。

注意

注意: BGPステータスを表示するのは、BGP近傍の設定を保存し、それがサイトに送信された後のみです。

BGP近傍のステータスを表示するには:

  1. ナビゲーションメニューから、ネットワーク > サイトをクリックし、サイトを選択します。

  2. ナビゲーションメニューから、サイト設定 > BGPをクリックします。

  3. BGPステータスを見るをクリックします。

    関連するPoPへHTTPプロトコルクエリが送信されます。 ポップアップウィンドウには、各BGP近傍のステータスと現在のルートに関するデータが表示されます。

  4. ウィンドウを閉じるにはOKをクリックします。

この記事は役に立ちましたか?

0人中0人がこの記事が役に立ったと言っています

0件のコメント