BGPは、自律システム(AS)間でのルーティングと到達可能性情報の交換を目的とした標準化された外部ゲートウェイプロトコルです。
あなたの設定に基づいてBGPルーティング情報を活用することで、Cato Cloudは複数の静的経路を手動で構成する必要がなく、何らかのアクションを取ることなく、適切なリアルタイムのルーティング決定を下すことができます。 これにより、AWSでのダイレクト接続やアクティブ-アクティブ構成、仮想IPを使用した災害復旧(DR)、サイト内の自律システム(AS)との統合、漸進的な展開における柔軟性の向上といったシナリオの拡張サポートが可能になります。
このセクションでは、CatoのBGPコンポーネント(グローバルオブジェクトを含む)と、CatoのBGPサポートがどのように設計され、動作するかを説明します。
CatoのBGPサポートは、主にBGP近隣、ダイナミックレンジ、フローティングレンジの3つのコンポーネントで構成されています。
注意
注意: サイトのネイティブレンジで定義されているすべての範囲は、このセクション全体で「静的レンジ」と呼ばれます。
BGP近隣とのセッションを確立するためには接続性が必要です。 これらはBGP近隣が存在できる場所のオプションであり、Cato Cloudでのアカウントとの相互作用の結果です。
-
Cato NetworksのPoPとトンネル内のBGPルーター間のBGP - Catoはデフォルトルート(0/0)を含むアカウント範囲をアドバタイズし、サイトの動的レンジDynamic RangesおよびFloating Rangesを受信します。 例えば、BGPはAmazon AWS IPSec接続で経路を交換するための優先モードです。
-
Cato CloudとLAN上にあるBGPルーター間のBGP / Alt。 WANリンク - Catoは、ソケットで確立された範囲を超えてBGP近隣と通信できます: ダイレクトレンジ、ネイティブレンジ、またはVLANレンジ。
すべての範囲がBGPピアと同じネクストホップを持っている限り、BGPセッションはルーテッドレンジにわたってのみ確立できます。
注意
注:
-
このオプションは、トンネルの確立に依存しません。
-
CatoはすべてのBGP接続を"next-hop-self"と仮定します:隣接ノードは常にCatoによって選択される次のホップであり、Catoはその隣接ノードのIPをすべての通知されたルートの次のホップとして広告します。
-
BGPがAltにあるとき。 WANは通常、他のサイトの範囲を受信します(すべてAltを介してアクセス可能なその他のサイト)。 WANリンク)。 Catoはこれらの範囲を、動的およびフローティング範囲を考慮する前にフィルタリングします。
-
ソケットがCato Cloudから切断されると、他のすべてのサイト範囲が取り下げられます。 これにより、BGPピアがセカンダリパスを持ち、Cato Cloudから一時的に切断された場合に、次のホップとして代わりに使用される場合に、継続的な到達可能性が確保されます。 (ソケットバージョン 17.0 以降でサポートされています)
BGPピアを設定する方法の詳細については、BGPネイバーの定義を参照してください。
BGP接続を確立するには、いくつかのステージがあります。 接続タイプに応じて、BGP接続は次のように確立されます:
-
初期TCPセッションが開始されます。 TCPセッションが確立できない場合、セッションが正常に確立されるまで30秒ごとに試行がスケジュールされます
-
TCPセッションが確立されるとすぐにBGPセッションが開始されます
-
BGPセッションが確立できない場合、5秒ごとに試行がスケジュールされます
注意: IPsecおよびクラウドインターコネクトサイトの場合、15秒ごとに試行がスケジュールされます
-
BGPセッションが確立された後に終了した場合、次の試行は1秒ごとにスケジュールされます
動的範囲は、BGPの隣接ノードからCatoによって動的に学習されるIP範囲です。 Catoによって受け入れられると、アカウント全体に伝播され、ネットワークのどこからでもその隣接ノードを介して到達可能になります。
注意
注意: 動的範囲はBGPの隣接ノードから動的に学習され、Cato管理画面でグローバルオブジェクトとして構成できないため、ネットワークやセキュリティルールでは明示的に使用できず、そのため存在するサイ ポリシーに従って動作します。
フローティングレンジは、特定のサイトに接続されていないグローバルIP範囲であり、BGPの隣接ノードを持つ任意のサイトから学習できます。 例えば、災害復旧(DR)シナリオでは、多くのアプリケーション(例:VMware NSX)がIPアドレスを維持しながらサーバーを一つの場所から別の場所に移動できます。 これらの場合、BGPは残りのネットワークオブジェクトを更新し、サーバーが現在どこにあるかを通知します。
フローティングレンジはグローバルオブジェクトとして定義されます。 フローティングレンジは特定のサイトに関連付けられておらず、セキュリティまたはネットワーク機器のルールで定義されなければなりません(サイトの関連付けは動的に変更される可能性があります)。 組織のポリシー要件に応じて、グローバルオブジェクトの定義を活用してネットワーク機器やセキュリティルールを明示的に作成できます。
BGPの動的レンジがフローティングレンジのセキュリティまたはネットワークポリシーを継承するには、フローティングレンジと正確に一致する必要があります。 例えば、BGP 動的レンジが 192.168.1.0/24 であり、フローティングレンジが 192.168.1.1/32 と定義されている場合、両者の間に接続はなく、BGP 動的レンジはフローティングレンジからポリシーを継承しません。
注意
注意: フローティングレンジは静的レンジとオーバーラップすることはできません。
Cato Cloud の BGP ピアは Cato PoP または サイトの接続と接続されています。 サイトの接続は、ソケットまたはIPsecトンネルである可能性があります。 Cato クラウドが新しいまたは更新された BGP ルートを受信すると、常にグローバル WAN ネットワーク(サイトの接続および PoP)と同期します。
BGPルートが受信されると、Catoはそれを関連するオブジェクトに次のように関連付けます:
-
フローティングレンジとして定義された IP 範囲は、それぞれのオブジェクトに関連付けられ、オブジェクトに割り当てられたすべてのネットワーク機器とセキュリティポリシーに従います。
-
その他のすべての IP 範囲は動的範囲とみなされ、サイトに割り当てられたすべてのネットワーク機器およびセキュリティポリシーに従います。
ルートは BGP メッセージを通じて、または隣接ルータの切断(CEASE または物理切断)を通じて撤回される可能性があり、Cato クラウドは直ちに撤回を伝播します。
Cato のサイト例えばIPSecやソケットサイトは、LANやインターネット上を通じてトラフィックを送信するための複数の接続されたトンネルを持っている可能性があります。 複数のトンネルが接続されている場合、その優先順位はリンクの品質およびその他の要因に基づいています。 ルーティングテーブル 画面(モニタリング > ルーティングテーブル)は、ルートの トンネルメトリック を示しています。 これは、トラフィックが最適なトンネル経由で送信されることを保証するためにCatoが割り当てた値です。 トンネルメトリックの値が低いほど、このトンネルの優先順位が高いことを示します。 例えば、ソケット高可用性の配置では、アクティブなトンネルのメトリックは5で、パッシブソケットからのトンネルのメトリックは10です。
通常の静的範囲とは対照的に、BGPはネットワークの一部で重複またはさらには重複しても構いません。ルートを複数許可します。 では、Cato Cloudはどの経路を通じてパケットをルーティングするのかをどのように決定するのでしょうか?
宛先IPアドレスに複数のルートを適用できる場合、ルート選択は以下の優先順位に従って決定されます:
-
特定のルートが、より特定でないルートに優先して選択されます(/24よりも/22など)。
-
次のIP範囲の優先順序:
-
静的範囲
-
フローティングレンジ
-
動的範囲
-
-
低い近隣メトリックが優先されます。
-
短いAS-パスが優先されます。
-
低いトンネルメトリックが優先されます。
-
ルートIDから低いBGP MED(マルチ出口識別子)が優先されます。
Cato Cloudがレイヤー7ポリシーベースルーティングを実行するため、非対称ルートを避ける必要性が決定的です。 そのため、同じアカウント内でのルート優先順位は普遍的です:他の言葉で言えば、Cato Cloudネットワーク内の任意の場所から単一の発信元が選択されます。
ルートがBGP近傍によって受け入れられると、それに関連した情報(ASパス、BGP コミュニティ)は保持されます。 動的範囲がBGP近隣に広告される場合、ASパスはCato CloudのAS番号で付加されます(通常のBGPと同様)。
Catoはすべてのパス属性を持ち、トランジットフラグ(RFC 4271)でマークされたものを透明にプロパゲートします。コミュニティも含まれます。
アカウント範囲(静的)は、CatoソケットネイバーAS番号を起点とするAS番号としてアドバタイズされます(下記ネイバーへのAS番号の割り当てを参照)。
BGPルートサマリーに関する詳細は、BGPサマリールートの利用を参照してください。
注意
注意: no-exportなど、いくつかの著名なコミュニティは、Catoからの出力でBGP近傍にプロパゲートされません。
ASNは64,512~65,534(プライベートASN)の範囲内の数値であり、通信を確立するルーティングエンティティを表します。 Cato NetworksのデフォルトASNは64,515です。
Cato CloudはeBGPをサポートしているため、BGPネイバーはCato Cloud側とは異なるASNを持っている必要があります。
注意
注: すべてのBGPセッションにおいて、通信をCato Cloud側に統一するために単一のASNを使用することがベストプラクティスです。 異なるネイバー間で異なるASNを使用することを検討している場合は、サポートにご連絡ください。
ループ回避の方法
ルートがCatoによって受信されると、ASパスがネイバーのCato Cloud ASNを探してスキャンされます。 このASNを含むルートは破棄されます。 ネイバーは現在のネイバーのASNのみをスキャンすることに注意してください。
注意
注: CatoはGraceful Restartをサポートしていません。
どのサイト接続タイプを使用できますか?
-
Catoは、Sockets、vSockets、およびIPsecサイト(Catoによって開始されたIPsec IKEv1、IPSec IKEv2)を使用するサイトのためにBGPをサポートしています。 さらに、既存のBGPルーターとの接続性が必要です。
BGPネイバーはCatoとどのようにしてBGPセッションを確立しますか?
-
BGPセッションは、socketsのローカルルートまたはIPSecトンネルを介してBGPネイバーとサイト間で確立された接続を必要とします。
-
Cato Socketの展開では、セッションの確立には、ダイレクト、VLAN、ネイティブ範囲のみが使用できます
すべての範囲がBGPピアと同じネクストホップを持つ限り、BGPセッションはルーテッド範囲で確立できます。
代替WANリンクでBGPセッションを設定すること
Catoでは、代替WANの宛先には2つの(VLANタグが付けられる可能性のある)ネットワークが含まれます:パブリックとプライベート。 BGPネイバーはこれら2つのネットワークのいずれかの内部に存在する必要があり、Cato Cloud側のBGPネイバーはその範囲に対する対応するCato IPになります。
パブリックインターフェース上でBGPセッションを定義する際、これを通過するトラフィックに対して送信元NATを実行することもできます。 これは、そのネイバーを介するすべての送信トラフィックについて、送信元アドレスがCato側のIPになることを意味します。
-
Cato CloudはIPv4のみをサポートしています。
-
複数のASNが近隣のために設定されている場合、ASNは近隣によって検出されず、ループを引き起こす可能性があります。
-
Cato Cloudは、近隣のASNを含むルートの伝播を許可し、近隣がループをスキャンすることに依存します。
-
フローティングレンジは、静的レンジと重なることはできません。
-
Catoはルートの撤回に対する優雅な再起動をサポートしていません。
-
Catoが開始したBGPルート変更(ルートの撤回を含む)は、イベントを生成しません。
-
Catoはルートの要約を実行しません。
-
デフォルトでは、Catoは各BGP近隣から受信するプレフィックスの数を1024に制限します。 この制限を増やすには、 サポートに連絡してください。
-
静的レンジ変換を使用するアカウントにはBGPがサポートされていません。 ソケットサイトのネイティブ範囲の翻訳にBGPが必要な場合は、 サポートにお問い合わせください。
0件のコメント
サインインしてコメントを残してください。