IPsec 연결을 위한 BGP 이웃 구성

개요

IPsec 연결을 위한 BGP 이웃을 구성할 때 사이트와 Cato 소켓의 사설 IP 주소를 정의합니다. 클라우드 서비스에 대한 BGP 구성 방법에 대한 자세한 내용은 카토 클라우드에서 BGP 사용하기를 참조하세요.

Cato는 보조 터널을 통해 광고된 경로의 AS-PATH에 두 번 AS 번호를 추가합니다. 경로 선택에 영향을 주며 BGP 라우트 우선순위 규칙에 따라 짧은 AS-PATH를 가진 경로가 선호됩니다. 예를 들어, 기본 터널은 prepend_count: 1을 표시하고, 보조 터널은 prepend_count: 2를 표시합니다.

없음

참고: IPsec 연결에서 최대 두 개의 BGP 이웃만 구성할 수 있으며, 터널 당 하나의 BGP 이웃입니다.

고급 BGP 설정

BGP 이웃의 추가 섹션에는 다음과 같은 고급 BGP 설정이 포함됩니다:

  • 메트릭

  • BGP 홀드 타임

  • 킵얼라이브 간격

메트릭은 이 BGP 경로의 우선순위를 정의합니다. 이 값이 낮을수록 메트릭에 할당되는 우선순위가 더 높습니다 (예: 10은 100보다 우선순위가 높음). 기본 메트릭 값은 100입니다.

BGP 홀드 타임은 사이트가 BGP 이웃이 다운되었음을 정의할 때까지 대기하는 초 수입니다. 예를 들어, BGP 홀드 타임이 90이라면, 사이트가 90초 동안 BGP 메시지를 받지 않으면 해당 이웃으로 트래픽을 보내지 않으며 연결이 끊어집니다. BGP 이웃으로부터 연결이 끊어지면 사이트는 다시 연결을 시도합니다.

  • Cato 사이트의 기본 설정은 60입니다.

  • BGP 홀드 타임 값이 1 또는 2이면 유효하지 않습니다.

  • 이웃의 BGP 홀드 타임 값이 다르면, 쌍에 대해 가장 작은 값이 사용됩니다. 두 이웃은 항상 동일한 BGP 홀드 타임 값을 사용합니다.

  • 두 이웃의 BGP 홀드 타임 값이 0이면, 사이트는 절대 연결을 끊지 않습니다.

킵얼라이브 간격은 사이트가 세션을 유지하기 위해 BGP 이웃에게 킵얼라이브 메시지를 보내는 초 수입니다. 킵얼라이브 간격 값은 BGP 홀드 타임 값의 1/3로 설정하는 것을 권장합니다.

  • Cato 사이트의 기본 킵얼라이브 간격은 20입니다.

  • BGP 이웃이 더 작은 BGP 홀드 타임 값을 가지고 있을 때, 두 멤버는 그 값을 사용합니다. 킵얼라이브 간격 값이 BGP 이웃의 BGP 홀드 타임 값보다 작으면, BGP 이웃의 BGP 홀드 타임 값의 1/3인 새로운 킵얼라이브 간격이 사용됩니다.

    예를 들어, Cato 사이트 A는 BGP 홀드 타임이 120이고 킵얼라이브 간격이 40입니다. 그리고 이웃 B는 BGP 홀드 타임이 30입니다. 그런 다음 두 이웃은 BGP 홀드 타임 값을 30으로 사용하고, 사이트 A는 새로운 킵얼라이브 간격을 10으로 설정합니다.

다중 IPsec IKEv2 터널과 함께 사용하는 BGP (EA)

없음

참고: 이것은 제한된 릴리스에만 사용할 수 있는 초기 가용성(EA) 기능입니다. 자세한 정보는 카토 네트워크 담당자에게 문의하거나 ea@catonetworks.com 이메일을 보내세요.

다중 활성 터널과 BGP를 사용하는 IPsec IKEv2 사이트의 경우, 다음 지침에 따라 BGP 이웃 설정을 구성하십시오.

  • 각 BGP 피어에 고유한 사설 IP 주소를 할당하십시오

  • 모든 BGP 피어가 동일한 경로 집합을 광고하도록 구성하십시오

  • 모든 피어에 대해 일관된 BGP 메트릭을 사용하십시오

  • BGP 서브넷을 직접 범위로 추가

HA 역할의 모든 BGP 피어(기본 또는 보조 터널)가 사용할 수 없게 되면 사이트는 자동으로 수동 터널로 페일오버를 트리거합니다.

BGP 이웃 정의

IPsec 연결을 사용하는 사이트에 대해 BGP 이웃 쌍을 정의하고 구성하십시오. 먼저 IPsec 터널의 사설 IP 주소를 정의한 다음 각 BGP 이웃에 대한 새 규칙을 정의하십시오.

각 피어에 대해서는 BGP 이웃 상태 변경 알림 구성을 권장합니다. BGP 피어 연결 상태 변경 시 구독 그룹, 이메일 목록 또는 타사 통합으로 알림이 전송됩니다. 알림이 발송되는 빈도는 다음과 같습니다:

  • 즉시 - 발생할 때마다 수신자에게 알림 전송

  • 매시간 - 최초 발생 시 알림 전송. 한 시간 내에 더 많은 발생이 있을 경우 추가 이메일을 보내지 않습니다.

  • 매일 - 최초 발생 시 알림 전송. 하루에 여러 번 발생해도 추가 알림을 보내지 않습니다.

  • 매주 - 최초 발생 시 알림 전송. 일주일에 여러 번 발생해도 추가 알림을 보내지 않습니다.

bgp_neighbor_policy.png

IPsec 사이트에 대한 BGP 이웃을 정의하려면:

  1. 네비게이션 메뉴에서, 네트워크 > 사이트를 클릭하고 사이트를 선택하십시오.

  2. IPsec 연결에 대한 개인 IP 주소를 정의하십시오:

    1. 네비게이션 메뉴에서, 사이트 설정 > IPsec를 클릭하십시오.

    2. 기본 섹션을 확장하고 VPN 터널 내부의 개인 IP를 구성하십시오.

      설명: 

      • 사이트 사설 IP 주소는 BGP 이웃 설정을 구성하는 데도 사용됩니다

      • 카토 BGP 피어는 원격 사이트 피어 IP 주소에 대한 핑에만 응답합니다

    3. 보조 IPsec 터널을 사용하는 사이트의 경우 보조 섹션을 확장하고 이전 단계에서 설정을 구성한 다음 저장을 클릭하십시오.

    4. 저장을 클릭하십시오. 사이트에 대해 개인 IP 주소가 정의되었습니다.

  3. 네비게이션 메뉴에서, 사이트 설정 > BGP를 클릭하십시오.

  4. 새로운을 클릭하십시오. BGP 이웃 추가 패널이 열립니다.

  5. 일반 섹션에서, BGP 이웃을 정의하는 이 규칙의 이름을 입력하십시오.

  6. ASN 설정 섹션에서 BGP 피어 ASN과 카토의 ASN을 구성하십시오.

    기본 카토 ASN 변경에 대한 자세한 내용은 (참조 카토 클라우드에서 BGP 사용하기).

  7. IP 섹션에서 BGP 피어 IP 주소를 입력하십시오.

  8. 정책 섹션에서 네트워크에 대한 BGP 라우팅 동작을 정의하십시오.

    1. 광고 옵션을 사용하여 사이트가 이웃에 대한 BGP 경로를 광고하는 방법을 구성할 수 있습니다.

      참고: Socket 사이트의 경우, 이 옵션을 선택하지 않고 어떤 경로도 광고하지 않는 경우에는 BGP 피어에 경로 광고를 수신하지 않도록 일치하는 구성을 생성하시기 바랍니다.

      • 기본 경로 - 사이트는 BGP 이웃에게 기본 경로(0/0)를 광고합니다. 이웃은 라우팅 테이블에 없어도 모든 트래픽을 이 기본 경로로 보낼 수 있습니다. 이 라우터에 대해 Cato 소켓을 인터넷 게이트웨이로 사용하는 배포의 경우 이 옵션을 선택하십시오.

      • 모든 경로 - 사이트는 전체 계정에 대한 내부 라우팅 테이블을 BGP 이웃에게 광고합니다. 이 경로에는 고정 및 부동 범위가 포함되며, 사이트 및 전체 네트워크의 다른 피어로부터 배운 경로도 포함됩니다. 이 옵션은 WAN 트래픽을 BGP 이웃에게 보내기 위해 자주 활성화됩니다.

        참고: 전체 SDP 사용자 범위는 BGP 피어에게 단일 경로로 광고됩니다.

      • 요약 경로 - 사이트가 여러 고유 경로 대신 요약 경로를 광고하면 BGP 피어는 포워딩 결정을 간소화하고 경로 조회에 필요한 계산 자원을 최소화할 수 있습니다. 참조, BGP 요약 경로 작업하기.

    2. 수락 섹션에서 사이트가 이웃에서 발행하는 다이나믹 IP 주소를 수락할지 여부를 선택하세요. 드롭 옵션을 선택할 경우 이 BGP 이웃의 동적 전파를 제한하게 됩니다. BGP 경로 목록에 대한 자세한 내용은 BGP 필터링 작업하기를 참조하세요.

      예를 들어, AWS Direct Connect를 사용하는 배포에서는 BGP가 필요하지만 AWS 동적 주소를 수락하고 싶지 않을 수 있습니다. 이 배포 환경에서는 전체 드롭을 선택하는 것을 권장합니다.

    3. NAT 섹션에서 사이트가 모든 IP에 대해 SNAT을 수행하도록 숨김 SNAT 수행을 선택하면 트래픽이 LAN IP 주소로 변환됩니다.

  9. 사전에 공유된 암호를 사용해 BGP MD5를 인증하려면 추가 섹션에서 MD5 인증을 선택하십시오.

    참고: BGP MD5 인증은 RFC 2385에 따라 지원됩니다.

  10. 추가 섹션에서 BGP 이웃의 고급 설정을 구성할 수 있습니다:

    1. 이 경로의 메트릭을 변경하려면 새로운 우선순위를 입력하십시오.

      이 값이 낮을수록 메트릭에 부여되는 우선순위가 높아집니다 (예: 10이 100보다 높음).

    2. BGP 세션이 열린 상태로 유지되는 시간을 변경하려면 새로운 BGP 홀드 타임을 입력하십시오 (초 단위).

    3. 킵얼라이브 간격의 빈도를 변경하려면 유지 메시지 간 새로운 값을 입력하십시오 (초 단위).

  11. BGP 이웃의 상태 변경에 기반한 알림을 받으려면:

    1. 알림 전송을 선택하세요.

    2. 알림 전송 대상에서 구독 그룹, 메일링 목록 또는 통합을 선택하고 관련 항목을 선택하세요.

  12. 적용을 클릭하십시오. 새 규칙이 규칙베이스에 추가됩니다.

  13. BGP 이웃에 대한 추가 규칙을 구성하려면 이 단계를 반복하십시오.

  14. 저장을 클릭하십시오. IPsec 연결을 위해 BGP 이웃이 구성됩니다.

BGP 이웃의 상태 표시

연결에 대해 BGP 이웃을 구성한 후, BGP 상태 보기 기능을 사용하여 이웃의 상태를 테스트하고 이 동적 경로가 작동하고 있는지 확인하는 것이 좋습니다.

참고

참고: BGP 이웃의 구성을 저장하고 사이트에 전송한 후에만 BGP 상태를 표시할 수 있습니다.

BGP 이웃의 상태를 표시하려면:

  1. 네비게이션 메뉴에서 네트워크 > 사이트를 클릭하고 사이트를 선택하십시오.

  2. 네비게이션 메뉴에서 사이트 설정 > BGP를 클릭하십시오.

  3. BGP 상태 보기를 클릭하십시오.

    관련 PoP에 HTTP 쿼리가 전송됩니다. 팝업 창은 각 BGP 이웃의 상태와 현재 경로에 대한 데이터를 표시합니다.

  4. 창을 닫으려면 확인을 클릭하십시오.

도움이 되었습니까?

0명 중 0명이 도움이 되었다고 했습니다.

댓글 0개