Configurando os Vizinhos BGP para uma Conexão IPsec

Visão geral

When you configure a BGP neighbor for an IPsec connection, define the Private IP addresses for the site and the Cato Socket. Para mais informações sobre como configurar BGP para um serviço em nuvem, veja Using BGP in the Cato Cloud.

Cato prepends the AS number twice in the AS-PATH for routes advertised through the secondary tunnel. This influences path selection, as routes with shorter AS-PATHs are preferred according to BGP route prioritization rules. Por exemplo, o túnel primário mostra prepend_count: 1, e o túnel secundário mostra prepend_count: 2.

Nota

Nota: Você pode configurar apenas até dois vizinhos BGP para uma conexão IPsec, um vizinho BGP por túnel.

Configurações Avançadas de BGP

A seção Adicional de um vizinho BGP contém estas configurações avançadas de BGP:

  • Métrica

  • Tempo de espera

  • Intervalo de Keepalive

A Métrica define a Prioridade para esta rota BGP. Quanto menor for este valor, maior a prioridade dada à métrica (por exemplo, 10 tem uma prioridade maior que 100). A Métrica padrão é 100.

O Tempo de Espera é o número de segundos que o site espera até definir que o vizinho BGP está fora de serviço. Por exemplo, se o Tempo de Espera for 90, então se o site não receber uma mensagem BGP durante 90 segundos, ele para de enviar tráfego para aquele vizinho e desconecta. Após se desconectar do vizinho BGP, o site tenta se reconectar a ele.

  • A configuração padrão para um Site Cato é 60.

  • Um valor de Tempo de Espera de 1 ou 2 não é válido.

  • Se os vizinhos tiverem valores de Tempo de Espera diferentes, então o menor valor é utilizado para o par. Ambos os vizinhos sempre usam o mesmo valor de Tempo de Espera.

  • Se o valor do Tempo de Espera para ambos os vizinhos for 0, então o site nunca se desconecta.

O Intervalo de Keepalive é o número de segundos que o site envia mensagens de Keepalive para o vizinho BGP para manter a sessão ativa. Recomendamos que o valor do Intervalo de Keepalive seja 1/3 do valor do Tempo de Espera.

  • O Intervalo de Keepalive padrão para um Site Cato é 20.

  • Quando o vizinho BGP tem um valor de Tempo de Espera menor, ambos os membros usam esse valor. Se o valor do Intervalo de Keepalive for menor que o valor do Tempo de Espera para o vizinho BGP, então um novo Intervalo de Keepalive que é 1/3 do valor do Tempo de Espera do vizinho BGP é usado.

    Por exemplo, o site A da Cato tem um Tempo de Espera de 120 e um Intervalo de Keepalive de 40, e o vizinho B tem um Tempo de Espera de 30. Então ambos os vizinhos usam o valor de Tempo de Espera de 30, e o site A tem um novo Intervalo de Keepalive de 10.

BGP com Múltiplos Túneis IPsec IKEv2 Ativos (EA)

Nota

Nota: Este é um recurso de Disponibilidade Antecipada (EA) que está disponível apenas para lançamento limitado. Para mais informações, entre em contato com seu representante da Cato Networks ou envie um email para ea@catonetworks.com.

Para sites IPsec IKEv2 que usam múltiplos túneis ativos e BGP, configure as configurações de vizinho BGP de acordo com as seguintes diretrizes:

  • Atribua um endereço IP privado exclusivo a cada par BGP

  • Configure todos os pares BGP para anunciar o mesmo conjunto de rotas

  • Use métricas BGP consistentes em todos os pares

  • Adicione sub-redes BGP como intervalos diretos

Se todos os pares BGP de uma função de HA (túneis primários ou secundários) ficarem indisponíveis, o site aciona automaticamente uma failover para os túneis passivos.

Definindo um Vizinho BGP

Defina e configure o par de vizinhos BGP para sites que utilizam Conexões IPsec. Primeiro, defina os endereços IP privados para o túnel IPsec e, em seguida, defina uma nova regra para cada vizinho BGP.

Para cada par, recomendamos configurar notificações de mudança de Status de vizinho BGP. Notificações são enviadas quando há alteração no estado da conexão com um par BGP, para um grupo de assinatura, lista de emails ou integração de terceiros. Esta é a frequência com que as notificações são enviadas:

  • Imediato - Notificação enviada aos destinatários para cada ocorrência

  • Por Hora - Enviar notificação com a primeira ocorrência. Não envie e-mails adicionais se houver mais ocorrências dentro de uma hora.

  • Diário - Enviar notificação com a primeira ocorrência. Não envie adicionais se houver mais ocorrências dentro de um dia.

  • Semanal - Enviar notificação com a primeira ocorrência. Não envie adicionais se houver mais ocorrências dentro de uma semana.

bgp_neighbor_policy.png

Para definir um vizinho BGP para um site IPsec:

  1. No menu de Navegação, clique em Rede > Sites e selecione o Site.

  2. Defina os Endereços IP privados para a Conexão IPsec:

    1. No menu de Navegação, clique em Configurações do Site > IPsec.

    2. Expanda a seção Principal, e configure os IPs Privados que estão dentro do túnel VPN.

      Notas: 

      • O endereço IP privado do Site também é usado para configurar as configurações para o vizinho BGP

      • O par BGP da Cato só responde a pings para o endereço IP do par remoto do Site

    3. Para sites que usam um túnel IPsec secundário, expanda a seção Secundário e configure as configurações no passo anterior e então clique em Salvar.

    4. Clique em Salvar. O Endereço IP privado é definido para o site.

  3. No menu de Navegação, clique em Configurações do Site > BGP.

  4. Clique em Novo. O painel Adicionar Vizinho BGP é aberto.

  5. Na seção Geral, insira o Nome para esta regra que define o vizinho BGP.

  6. Na seção Configurações de ASN, configure o ASN do Par BGP e o ASN da Cato.

    Para mais sobre alterar o ASN padrão para Cato (veja Using BGP in the Cato Cloud).

  7. Na seção IPs, insira o endereço IP do Par BGP.

  8. Na seção Política, defina a Política de Roteamento BGP para sua rede:

    1. As opções Divulgar permitem que você configure como o site divulga as rotas BGP para este vizinho.

      Nota: Para sites Socket, se você não selecionar nenhuma dessas opções, o que significa que não está divulgando nenhuma rota, certifique-se de também criar uma configuração correspondente no par BGP para NÃO aceitar nenhum anúncio de rota.

      • Rota padrão - O site divulga uma rota padrão (0/0) para os vizinhos BGP. Os vizinhos podem enviar todo o tráfego para essa rota padrão, mesmo que não esteja na tabela de roteamento. Selecione esta opção para implantações que usam o Cato Socket como Gateway da Internet para esse roteador.

      • Todas as rotas - O site divulga a tabela de roteamento interna para toda a conta ao vizinho BGP. Essas rotas incluem intervalos estáticos e flutuantes, além de rotas aprendidas de outros pares neste site e em toda sua rede. Essa opção é frequentemente habilitada para enviar o tráfego WAN para o vizinho BGP.

        Nota: Todo o alcance de Usuários SDP é anunciado para o par BGP como uma única rota.

      • Rotas resumidas - O site divulga uma rota resumida em vez de várias rotas únicas, permitindo que os pares BGP simplifiquem suas decisões de encaminhamento e minimizem os recursos computacionais necessários para a consulta de rotas. Veja, Trabalhando com Rotas Resumidas BGP.

    2. Na seção Aceitar, selecione se o site aceita ou descarta os endereços IP dinâmicos que são publicados por este vizinho. Quando você seleciona uma opção de Descarte, está limitando a propagação dinâmica deste vizinho BGP. Para mais informações sobre listas de rotas BGP, veja Trabalhando com Filtragem BGP.

      Por exemplo, em implantações que usam AWS Direct Connect, BGP é necessário, mas você não deseja aceitar os endereços dinâmicos da AWS. Nessas implantações, recomendamos que você selecione Descarte Total.

    3. Na seção NAT, selecione Executar Hide SNAT para que o site realize SNAT em todos os IPs e o tráfego seja traduzido para o endereço IP da LAN.

  9. Para autenticar BGP MD5 usando um segredo pré-compartilhado, na seção Adicional, selecione MD5 Auth.

    Nota: A autenticação BGP MD5 é suportada de acordo com o RFC 2385.

  10. Na seção Adicional, você pode configurar configurações avançadas para o vizinho BGP:

    1. Para alterar a Métrica desta rota, insira a nova prioridade.

      Quanto menor esse valor, maior a prioridade dada à métrica (por exemplo, 10 tem prioridade maior que 100).

    2. Para alterar quanto tempo a sessão BGP é mantida aberta, insira o novo Tempo de espera (em segundos).

    3. Para alterar a frequência do Intervalo de Keepalive, insira o novo valor (em segundos) entre as mensagens de keepalive.

  11. Para receber notificações baseadas em mudanças no status do vizinho BGP:

    1. Selecione Enviar Notificação.

    2. Em Enviar notificação para, selecione Grupo de Assinatura, Lista de Emails ou Integração e selecione o item relevante.

  12. Clique em Aplicar. A nova regra é adicionada à base de regras.

  13. Repita estes passos para configurar regras adicionais para vizinhos BGP.

  14. Clique em Salvar. O vizinho BGP está configurado para a Conexão IPsec.

Mostrando o Status do Vizinho BGP

Após configurar o vizinho BGP para a conexão, recomendamos que você use o recurso Mostrar Status do BGP para testar o status do vizinho e garantir que esta Rota dinâmica esteja funcionando.

Nota

Nota: Você só pode mostrar o status BGP após salvar a configuração para o vizinho BGP e ela ser enviada para o site.

Para mostrar o status do vizinho BGP:

  1. No menu de navegação, clique em Rede > Sites e selecione o site.

  2. No menu de navegação, clique em Configurações do Site > BGP.

  3. Clique em Mostrar Status do BGP.

    Uma consulta HTTP é enviada para o PoP relevante. A janela pop-up mostra o status de cada vizinho BGP e dados sobre as rotas atuais.

  4. Clique em OK para fechar a janela.

Esse artigo foi útil?

Usuários que acharam isso útil: 0 de 0

0 comentário