BGP는 인터넷 상의 자율 시스템(AS) 간의 라우팅 및 도달 가능성 정보를 교환하도록 설계된 표준화된 외부 게이트웨이 프로토콜입니다.
귀하의 구성에 따라 BGP 라우팅 정보를 활용하여, Cato Cloud는 여러 개의 정적 경로를 수동으로 구성하거나 조치를 취할 필요 없이 실시간으로 라우팅 결정을 내릴 수 있습니다. 이로 인해 AWS에서의 직접 연결 및/또는 액티브-액티브 구성, 가상 IP를 통한 재해 복구(DR), 사이트 내 자율 시스템(AS)과의 통합, 점진적 배포 시 증가된 유연성과 같은 시나리오에 대한 향상된 지원이 가능합니다.
이 섹션에서는 Cato의 BGP 구성 요소(전역 객체 포함) 및 Cato의 BGP 지원이 설계되고 수행되는 방식을 설명합니다.
Cato의 BGP 지원은 세 가지 주요 구성 요소로 구성됩니다: BGP 이웃, 동적 범위, 및 부동 범위.
참고
참고: 사이트의 기본 범위에 정의된 모든 범위는 이 섹션 전체에서 “정적 범위”로 언급됩니다.
이웃과의 BGP 세션을 설정하려면 연결이 필요합니다. BGP 이웃이 위치할 수 있는 위치 옵션과 Cato Cloud의 계정과의 결과적 상호 작용은 다음과 같습니다.
-
Cato Networks PoP와 터널 내 BGP 라우터 사이의 BGP - Cato는 기본 경로(0/0)를 포함한 계정 범위를 알림하고 사이트에 대한 정적 동적 범위 및 부동 IP 범위를 수신합니다. 예를 들어, BGP는 Amazon AWS IPSec 연결에서 경로를 교환하기 위한 기본 모드입니다.
-
Cato Cloud와 LAN/Alt에 있는 BGP 라우터 사이의 BGP. WAN 링크 - Cato는 소켓 내 설정된 범위: 직접 범위, 기본 범위 또는 VLAN 범위를 통해 BGP 이웃과 통신할 수 있습니다.
BGP 세션은 모든 범위가 BGP 피어와 동일한 다음 홉을 가질 때만 라우팅된 범위에서 설정될 수 있습니다.
참고
참고:
-
이 옵션은 터널의 설정에 의존하지 않습니다.
-
Cato는 모든 BGP 연결이 “next-hop-self” 상태라고 가정합니다: 이웃은 항상 Cato에 의해 선택된 다음 홉으로, Cato는 광고된 모든 경로의 다음 홉으로 이웃의 IP를 알립니다.
-
BGP가 Alt에 있을 때. WAN, 일반적으로 다른 사이트들의 범위를 수신합니다 (Alt를 통해 접근 가능한 모든 다른 사이트들). WAN 링크). Cato는 동적 및 부동 범위를 고려하기 전에 이러한 범위를 필터링합니다.
-
소켓이 Cato Cloud에서 연결 해제될 때, 다른 모든 사이트 범위는 철회됩니다. 이는 BGP 피어가 Cato Cloud에서 임시로 연결 해제될 경우 대체적으로 다음 홉으로 사용할 수 있는 보조 경로를 가질 경우 계속적인 도달 가능성을 허용합니다. (소켓 버전 17.0 이상에서 지원됨)
BGP 이웃 구성을 더 알아보려면 BGP 이웃 정의를 참조하십시오.
BGP 연결을 설정하는 데는 여러 단계가 있습니다. 귀하의 연결 유형에 따라, BGP 연결은 다음과 같이 설정됩니다:
-
초기 TCP 세션이 시작됩니다. TCP 세션을 설정할 수 없는 경우, 세션이 성공적으로 설정될 때까지 매 30초마다 시도를 예약합니다.
-
TCP 세션이 설정되면 바로 BGP 세션이 시작됩니다
-
BGP 세션이 설정되지 않으면, 15초마다 시도됩니다.
-
BGP 세션이 설정된 후 종료되면, 다음 시도는 매 1초마다 예약됩니다.
동적 범위는 BGP 라우팅 구성에서 카토가 동적으로 학습한 IP 범위입니다. 카토에 수락되자마자 계정 전체에 전파되며 네트워크 어디서나 해당 이웃을 통해 접근 가능해집니다.
참고
참고: 동적 범위는 BGP 이웃으로부터 동적으로 학습되며, 카토 관리 애플리케이션에서 글로벌 객체로 구성할 수 없기 때문에 네트워크 및/또는 보안 규칙에 명시적으로 사용할 수 없으며, 따라서 위치하는 사이트의 정책을 따릅니다.
부동 IP 범위는 특정 사이트와 연결되지 않은 글로벌 IP 범위지만 BGP 이웃이 있는 사이트에서 학습될 수 있습니다. 예를 들어, 재해 복구 (DR) 시나리오에서 많은 애플리케이션(예: VMware NSX)은 IP 주소를 유지하면서 서버를 한 위치에서 다른 위치로 이동할 수 있습니다. 이러한 경우, BGP는 나머지 네트워크 객체를 업데이트하고 이러한 서버가 이제 어디에 있는지 알림을 합니다.
부동 IP 범위는 글로벌 객체로 정의됩니다. 부동 IP 범위는 특정 사이트와 관련이 없으며 보안 또는 네트워킹 규칙에서 정의되어야 합니다(사이트 연계는 동적으로 변경될 수 있습니다). 글로벌 객체 정의를 활용하여 조직의 정책 요구사항에 따라 명시적으로 네트워크 및/또는 보안 규칙을 만들 수 있습니다.
BGP 동적 범위가 부동 범위의 보안 또는 네트워크 정책을 상속하기 위해서는 부동 범위와 정확히 일치해야 합니다. 예를 들어, BGP 동적 범위가 192.168.1.0/24이고 부동 IP 범위가 192.168.1.1/32로 정의되어 있다면, 그들 사이에는 연결이 없으며 BGP 동적 범위는 부동 IP 범위의 정책을 상속하지 않습니다.
참고
참고: 부동 IP 범위는 정적 IP 주소 변환과 겹칠 수 없습니다.
카토 클라우드의 BGP 이웃은 카토 PoP 또는 사이트 연결에 연결되어 있습니다. 사이트 연결은 Socket 또는 IPsec 터널이 될 수 있습니다. 카토 클라우드가 새 또는 업데이트된 BGP 경로를 수신하면, 글로벌 WAN 네트워크(사이트 연결 및 Pops)와 항상 동기화됩니다.
BGP 경로를 수신하면 다음과 같이 관련 객체와 연결됩니다:
-
부동 IP 범위로 정의된 IP 범위는 해당 정의된 객체와 연결되고 객체에 할당된 모든 네트워킹 및 보안 정책을 준수합니다.
-
모든 다른 IP 범위는 동적 범위로 간주되며 사이트에 할당된 모든 네트워킹 및 보안 정책을 준수합니다.
경로는 BGP 메시지 또는 이웃 연결 해제(CEASE 또는 물리적)로 철회될 수 있으며, 카토 클라우드는 철회를 즉시 전파합니다.
IPSec 또는 Socket 사이트와 같은 카토 사이트는 LAN 또는 인터넷을 통한 트래픽 전송을 위한 여러 연결 터널을 가질 수 있습니다. 여러 터널이 연결되어 있는 경우, 우선순위는 연결 품질 및 기타 요인에 따라 결정됩니다. 라우팅 테이블 화면(모니터링 > 라우팅 테이블)에서 경로의 터널 메트릭을 보여줍니다. 이 값은 트래픽을 최적의 터널을 통해 전송하기 위해 Cato가 할당한 값입니다. 터널 메트릭 값이 낮을수록 이 터널의 우선순위가 높다는 것을 의미합니다. 예시로, 소켓 높은 신뢰 수준 배포에서 활성 터널은 메트릭이 5일 수 있으며, 수동 소켓에서의 터널은 메트릭이 10일 수 있습니다.
일반 정적 범위와는 달리, BGP는 네트워크의 여러 부분에 걸쳐 중복되거나 겹칠 수 있는 여러 라우트를 허용합니다. 카토 클라우드는 어느 경로를 통해 패킷을 라우팅할지를 어떻게 결정하는가?
목적지 IP 주소에 여러 라우트를 적용할 수 있는 경우, 라우팅 결정은 다음 우선순위에 따라 수행됩니다:
-
더 특정한 라우트가 더 일반적인 라우트보다 선택됩니다 (/22보다 /24 등).
-
다음 IP 범위에 대한 선호도 순서:
-
정적 범위
-
부동 범위
-
동적 범위
-
-
더 낮은 이웃 메트릭이 선호됩니다.
-
더 짧은 AS 경로가 선호됩니다.
-
더 낮은 터널 메트릭이 선호됩니다.
-
경로 ID에서 더 낮은 BGP MED (다중 출구 차별자)가 선호됩니다.
Cato Cloud는 Layer-7 정책 기반 라우팅을 수행하기 때문에 비대칭 라우트를 피해야 할 필요성이 결정적입니다. 그 이유로, 경로 우선순위는 동일 계정 내에서 보편적입니다. 즉, Cato Networks 네트워크 내의 모든 위치에서 단일 출처가 선택됩니다.
경로가 BGP 이웃에 의해 수락되면, 관련된 정보 (AS-경로, BGP 커뮤니티)가 보존됩니다. 동적 범위가 BGP 이웃에게 광고될 때, AS 경로는 카토 클라우드 AS 번호와 함께 추가됩니다 (일반적인 BGP와 마찬가지로).
Cato는 모든 경로 속성을 전이 플래그 (RFC 4271)와 함께 투명하게 전파합니다.
계정 범위(정적)는 Cato 소켓 이웃 ASN을 시작 ASN으로 하여 광고됩니다 (아래 네이버에 ASN 할당를 참조).
BGP 요약 경로에 대해 보다 자세히 알아보려면 BGP 요약 경로 작업을 참조하십시오.
참고
참고: no-export와 같은 일부 잘 알려진 커뮤니티는 이그레스 시 Cato가 BGP 이웃에게 전달하지 않습니다.
ASN은 64,512에서 65,534(사설 ASN) 사이의 숫자이며, 이는 통신을 설정하는 라우팅 엔터티를 나타냅니다. Cato Networks의 기본 ASN은 64,515입니다.
Cato Cloud는 eBGP를 지원하므로 BGP 이웃은 Cato Cloud 측과 다른 ASN을 가져야 합니다.
참고
참고: 모든 BGP 세션에서 Cato Cloud 측의 통신을 나타내기 위해 단일 ASN을 글로벌하게 사용하는 것이 모범 사례입니다. 다른 이웃들 간에 다른 ASN을 사용하는 것을 고려하고 있다면 지원팀에 문의하세요.
루프를 방지하는 방법
루트가 Cato에 의해 수신될 때, AS 경로는 이웃의 Cato Cloud ASN을 찾기 위해 스캔됩니다. 이 ASN을 포함하는 모든 경로는 버려집니다. 이웃은 현재 이웃의 ASN만 스캔한다는 점에 유의하십시오.
참고
참고: Cato는 Graceful Restart를 지원하지 않습니다.
어떤 사이트 연결 유형을 사용할 수 있습니까?
-
Cato는 Sockets, vSockets 및 IPsec 사이트(Cato에 의해 초기화된 IPsec IKEv1, IPSec IKEv2)를 사용하는 사이트에 대해 BGP를 지원합니다. 또한, 기존의 BGP 라우터와의 연결성이 필요합니다.
BGP 이웃은 Cato와 BGP 세션을 어떻게 설정합니까?
-
BGP 세션에서는 소켓의 로컬 경로 또는 IPSec 터널을 통해 BGP 이웃과 사이트 간의 설정된 연결이 필요합니다.
-
Cato 소켓 배포를 위해서는 세션 설정에 직접, VLAN 및 기본 범위만 사용할 수 있습니다
모든 범위가 BGP 피어와 동일한 다음 홉을 가질 경우에만 BGP 세션을 라우팅된 범위에서 설정할 수 있습니다.
대체 WAN 링크에서 BGP 세션 설정
Cato에서는 대체 WAN 목적지에 두 개의 (VLAN 태그가 있을 수 있는) 네트워크가 포함됩니다: 공용 및 사설. BGP 이웃은 이 두 네트워크 중 하나에 위치해야 하며, Cato Cloud 측의 BGP 이웃은 해당 범위의 관련 Cato IP가 됩니다.
공용 인터페이스에서 BGP 세션을 정의할 때, 해당 링크를 통과하는 트래픽에 대해 소스 NAT를 수행할 수도 있습니다. 이것은 해당 이웃을 통해 나가는 모든 트래픽에 대해, 소스 주소가 Cato 측 IP가 된다는 것을 의미합니다.
-
Cato Cloud는 IPv4만 지원합니다.
-
여러 이웃에 대해 여러 ASN이 구성된 경우, ASN은 이웃에 의해 감지되지 않으며 루프가 발생할 수 있습니다.
-
Cato Cloud는 이웃의 ASN을 포함한 경로 전파를 허용하며, 이웃에게 루프를 스캔하도록 의존합니다.
-
부동 범위는 정적 범위와 겹칠 수 없습니다.
-
Cato는 경로 철회를 위한 우아한 재시작을 지원하지 않습니다.
-
Cato에 의해 시작된 BGP 경로 변경(경로 철회 포함)은 이벤트를 생성하지 않습니다.
-
Cato는 경로 요약을 수행하지 않습니다.
-
기본적으로 Cato는 각 BGP 이웃으로부터 수신한 접두사의 수를 1024로 제한합니다. 이 제한을 늘리려면 지원팀에 문의하십시오.
-
정적 범위 번역을 사용하는 계정에 대해서는 BGP가 지원되지 않습니다. 소켓 사이트의 기본 범위 번역에 BGP가 필요하면 지원팀에 문의하십시오.
댓글 0개
댓글을 남기려면 로그인하세요.