Настройка соседей BGP для соединения IPsec

Обзор

Когда вы настраиваете BGP-соседа для соединения IPsec, определите Приватные IP адреса для сайта и Cato Socket. Для получения дополнительной информации о настройке BGP для облачной службы, см. Использование BGP в облаке Cato.

Cato дважды добавляет AS номер в AS-PATH для маршрутов, рекламируемых через вторичный туннель. Это влияет на выбор пути, так как маршруты с более короткими AS-PATH предпочтительны в соответствии с правилами приоритизации маршрутов BGP. Например, основной туннель показывает prepend_count: 1, а вторичный туннель показывает prepend_count: 2.

Примечание

Примечание: Вы можете настроить не более двух соседей BGP для соединения IPsec, по одному соседу BGP на туннель.

Расширенные настройки BGP

Раздел Дополнительно для соседа BGP содержит следующие расширенные настройки BGP:

  • Метрика

  • Время удержания

  • Интервал поддержания связи

Метрика определяет приоритет для этого маршрута BGP. Чем ниже это значение, тем выше приоритет, присваиваемый метрике (например, 10 имеет более высокий приоритет, чем 100). Метрика по умолчанию равна 100.

Время удержания — это количество секунд, в течение которых сайт ожидает, пока сосед BGP отключится. Например, если время удержания равно 90, то если сайт не получает сообщения BGP в течение 90 секунд, он прекращает отправку трафика этому соседу и отключается. После отключения от соседа BGP сайт пытается снова подключиться к нему.

  • Настройка по умолчанию для сайта Cato — 60.

  • Значения времени удержания 1 или 2 недопустимы.

  • Если у соседей разные значения времени удержания, то используется наименьшее значение для пары. Оба соседа всегда используют одно и то же значение времени удержания.

  • Если значение времени удержания для обоих соседей равно 0, то сайт никогда не отключается.

Интервал поддержания связи — это количество секунд, в течение которых сайт отправляет сообщения поддержания связи соседу BGP, чтобы поддерживать сеанс активным. Мы рекомендуем, чтобы значение интервала поддержания связи составляло 1/3 от значения времени удержания.

  • Интервал поддержания связи по умолчанию для сайта Cato равен 20.

  • Когда у соседа BGP меньшее значение времени удержания, оба участника используют это значение. Если значение интервала поддержания связи меньше значения времени удержания для соседа BGP, то используется новый интервал поддержания связи, который составляет 1/3 значения времени удержания для соседа BGP.

    Например, у сайта A Cato время удержания 120 и интервал поддержания связи 40, а у соседа B время удержания 30. Затем оба соседа используют значение времени удержания 30, и у сайта A новый интервал поддержания связи 10.

BGP с несколькими активными туннелями IPsec IKEv2 (EA)

Примечание

Примечание: Это функция раннего доступа (EA), доступная только для ограниченного выпуска. Для получения дополнительной информации свяжитесь с представителем Cato Networks или отправьте электронное письмо на ea@catonetworks.com.

Для сайтов IPsec IKEv2, использующих несколько активных туннелей и BGP, настройте параметры соседей BGP в соответствии со следующими рекомендациями:

  • Назначьте уникальный частный IP-адрес каждому участнику BGP

  • Настройте всех участников BGP для рекламы одного и того же набора маршрутов

  • Используйте согласованные метрики BGP для всех участников

  • Добавить подсети BGP как прямые диапазоны

Если все участники BGP роли HA (основные или вторичные туннели) становятся недоступными, сайт автоматически инициирует переключение на пассивные туннели.

Определение соседа BGP

Определите и настройте пару соседей BGP для сайтов, использующих соединения IPsec. Сначала определите частные IP-адреса для туннеля IPsec, а затем задайте новое правило для каждого соседа BGP.

Для каждого участника мы рекомендуем настраивать уведомления об изменении статуса соседа BGP. Уведомления отправляются при изменении состояния подключения BGP коллеги в группу подписки, список рассылки или интеграцию стороннего разработчика. Это частота, с которой отправляются уведомления:

  • Немедленно - Уведомление отправляется получателям при каждом возникновении

  • Почасово - Отправить уведомление при первом возникновении. Не отправляйте дополнительные письма, если в течение часа произойдет больше случаев.

  • Ежедневно - Отправить уведомление при первом возникновении. Не отправляйте дополнительные, если в течение дня произошло больше случаев.

  • Еженедельно - Отправить уведомление при первом возникновении. Не отправляйте дополнительные, если в течение недели произошло больше случаев.

bgp_neighbor_policy.png

Чтобы определить соседа BGP для сайта IPsec:

  1. В навигационном меню нажмите Сеть > Сайты и выберите сайт.

  2. Определите частные IP-адреса для соединения IPsec:

    1. В меню навигации нажмите Настройки сайта > IPsec.

    2. Разверните секцию Основной и настройте Частные IP-адреса, находящиеся внутри VPN-туннеля.

      Примечания: 

      • Частный IP-адрес Сайта также используется для настройки параметров соседа BGP

      • Соучастник BGP Cato отвечает только на запросы для IP-адреса удаленного соседа Сайта

    3. Для сайтов, использующих вторичный IPsec туннель, разверните секцию Вторичный, настройте параметры, указанные в предыдущем шаге, и нажмите Сохранить.

    4. Нажмите Сохранить. Частный IP-адрес определен для сайта.

  3. В меню навигации нажмите Настройки сайта > BGP.

  4. Нажмите Новый. Открывается панель Добавить соседа BGP.

  5. В разделе Общие введите Имя этого правила, определяющего соседа BGP.

  6. В разделе Настройки ASN настройте ASN участника BGP и ASN Cato.

    Для получения дополнительной информации о изменении стандартного ASN для Кейто см. Использование BGP в облаке Cato.

  7. В разделе IPs введите IP-адрес участника BGP.

  8. В разделе Политика маршрутизации определите поведение маршрутизации BGP для вашей сети:

    1. Опции Рекламировать позволяют настроить, как сайт рекламирует маршруты BGP для этого соседа.

      Примечание: Для сайтов Socket, если вы не выбрали ни один из этих вариантов, что означает, что вы не рекламируете маршруты, убедитесь, что вы также создали соответствующую конфигурацию на BGP коллеге, чтобы НЕ принимать никакие рекламные маршруты.

      • Маршрут по умолчанию - сайт рекламирует маршрут по умолчанию (0/0) соседям BGP. Соседи могут посылать весь трафик на этот маршрут по умолчанию, даже если он не в таблице маршрутизации. Выберите эту опцию для внедрений, которые используют Cato Socket в качестве интернет-шлюза для этого маршрутизатора.

      • Все маршруты - сайт рекламирует внутреннюю таблицу маршрутизации для всей учетной записи соседу BGP. Эти маршруты включают в себя статические и плавающие диапазоны, а также маршруты, выученные от других пирингов на этом сайте и по всей вашей сети. Эта опция часто включается, чтобы отправить трафик WAN в соседний BGP.

        Примечание: Весь диапазон Пользователи SDP объявляется пирам BGP как один маршрут.

      • Сводные маршруты - сайт рекламирует сводный маршрут вместо нескольких уникальных маршрутов, участники BGP могут упростить свои решения по пересылке и минимизировать вычислительные ресурсы, необходимые для поиска маршрута. См. Работа с резюме маршрутами BGP.

    2. В разделе Принять выберите, принимает ли сайт или отклоняет динамические IP-адреса, опубликованные этим соседом. При выборе варианта Отменить, вы ограничиваете динамическое распространение от этого соседнего узла BGP. Для получения дополнительной информации о списках маршрутов BGP, см. Работа с фильтрацией BGP.

      Например, в развертываниях, использующих AWS Direct Connect, требуется BGP, но вы не хотите принимать динамические адреса AWS. В этих развертываниях мы рекомендуем выбрать Сбросить все.

    3. В разделе NAT выберите Выполнить скрытый SNAT, чтобы сайт выполнял SNAT для всех IP-адресов, и трафик переводится на IP-адрес LAN.

  9. Для аутентификации BGP MD5, используя предварительно разделенный секрет, в разделе Дополнительно выберите MD5 Auth.

    Примечание: Аутентификация BGP MD5 поддерживается в соответствии с RFC 2385.

  10. В разделе Дополнительно вы можете настроить расширенные параметры для соседа BGP:

    1. Чтобы изменить Метрика для этого маршрута, введите новый приоритет.

      Чем ниже это значение, тем выше приоритет, присвоенный метрике (например, 10 имеет более высокий приоритет, чем 100).

    2. Чтобы изменить длительность открытой сессии BGP, введите новое время удержания (в секундах).

    3. Чтобы изменить частоту интервала поддержания связи, введите новое значение (в секундах) между сообщениями поддержания.

  11. Для получения уведомлений на основе изменений статуса соседа BGP:

    1. Выберите Отправить уведомление.

    2. В Отправить уведомление в выберите Группа подписки , Список рассылки или Интеграция и выберите соответствующий элемент.

  12. Нажмите Применить. Новое правило добавлено в базу правил.

  13. Повторите эти шаги, чтобы настроить дополнительные правила для соседей BGP.

  14. Нажмите Сохранить. Сосед BGP настроен для IPsec соединения.

Показать статус BGP соседа

После настройки соседа BGP для соединения, мы рекомендуем использовать функцию Показать статус BGP, чтобы проверить статус соседа и удостовериться, что этот динамический маршрут работает.

Примечание

Примечание: Вы можете показать статус BGP только после того, как сохраните конфигурацию для BGP соседа и она будет отправлена на сайт.

Чтобы показать статус BGP соседа:

  1. В меню навигации нажмите Cеть > Cайты и выберите сайт.

  2. В меню навигации нажмите Настройки сайта > BGP.

  3. Нажмите показать статус BGP.

    HTTP-запрос отправляется на соответствующий PoP. Всплывающее окно показывает статус каждого соседа BGP и данные о текущих маршрутах.

  4. Нажмите ОК, чтобы закрыть окно.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 0 из 0

0 комментариев