BGP — это стандартизированный внешний протокол шлюза, предназначенный для обмена информацией о маршрутизации и доступности между автономными системами (AS) в Интернете.
На основе ваших конфигураций и с использованием информации о маршрутизации BGP, Cato Cloud может принимать обоснованные решения о маршрутизации в реальном времени, не требуя от вас ручной настройки множества статических путей и/или совершения каких-либо действий. Это обеспечивает расширенную поддержку для таких сценариев, как прямое подключение и/или активно-активная конфигурация в AWS, восстановление после сбоев (DR) с виртуальными IP, интеграция с автономными системами (AS) внутри сайтов, а также большую гибкость в постепенных развертываниях.
Этот раздел описывает компоненты BGP Cato (включая глобальные объекты) и то, как реализована и функционирует поддержка Cato для BGP.
Поддержка BGP в Cato состоит из трех основных компонентов: BGP соседи, динамические диапазоны и плавающие диапазоны.
Примечание
Примечание: Все диапазоны, определенные в собственном диапазоне сайта, называются "статическими диапазонами" на протяжении этого раздела.
Для установления BGP сеансов с соседями требуется подключение. Варианты, где может находиться BGP сосед, и их взаимодействие с вашей учетной записью в Cato Cloud.
-
BGP между PoP Cato Networks и маршрутизатором BGP внутри туннеля - Cato объявляет диапазоны аккаунтов, включая маршрут по умолчанию (0/0), и получает статические, Динамические диапазоны и Плавающие диапазоны IP-адресов для сайта. Например, BGP является предпочтительным режимом для обмена маршрутами в соединении Amazon AWS IPSec.
-
BGP между Cato Cloud и BGP маршрутизатором, находящимся в ЛВС / Alt. WAN-канал - Cato может обмениваться данными с BGP соседом через установленные диапазоны на сокете: прямые диапазоны, собственные диапазоны или диапазоны VLAN.
BGP сеансы могут быть установлены на маршрутизируемых диапазонах только в том случае, если все диапазоны имеют один и тот же следующий переход с BGP пиром.
Примечание
Примечания:
-
Эта функция не зависит от установления туннеля.
-
Cato предполагает, что все подключения BGP настроены как “next-hop-self”: сосед всегда является следующим переходом, выбранным Cato, и Cato объявляет IP своего соседа в качестве следующего перехода для всех объявленных маршрутов.
-
Когда BGP на альтернативном WAN. WAN, обычно получает диапазоны других сайтов (все другие сайты, которые доступны через Alt). WAN-канал). Cato фильтрует эти диапазоны перед тем, как рассматривать динамические и плавающие диапазоны.
-
Когда сокет отключен от Cato Cloud, все диапазоны других сайтов отзываются. Это позволяет сохранить доступность в случае, если у BGP пира есть вторичный путь, который может быть использован в качестве альтернативного следующего перехода, если он временно отключится от Cato Cloud. (Поддерживается с версии сокет 17.0 и выше)
Чтобы узнать больше о настройке BGP соседа, см. Определение BGP соседей.
Есть несколько этапов установления соединения BGP. В зависимости от вашего типа соединения, соединения BGP устанавливаются следующим образом:
-
Начинается начальная TCP сессия. Если TCP сессия не может быть установлена, каждые 30 секунд планируется попытка до успешного установления сеанса
-
Сеанс BGP начинается сразу после установления TCP сессии
-
Если BGP-сеанс не может быть установлен, попытка планируется каждые 15 секунд
-
Если сессия BGP была завершена после установления, следующая попытка планируется каждую 1 секунду
Динамические диапазоны — это диапазоны IP, которые динамически изучаются Cato от соседа в BGP. После принятия Cato они распространяются по всему аккаунту и становятся доступны через этого соседа из любой точки сети.
Примечание
Примечание: Поскольку динамические диапазоны динамически изучаются от соседа BGP и не могут быть настроены в виде глобальных объектов в Приложении Управления Cato, они не могут быть явно использованы в правилах сети и/или безопасности и поэтому подчиняются политикам сайта, на котором они находятся.
Плавающие диапазоны — это глобальные диапазоны IP-адресов, которые не привязаны к определенному сайту, но могут изучаться с любого сайта с соседом BGP. Например, в случае восстановления после перебоев (DR) многие приложения (например, VMware NSX) могут перемещать серверы из одного местоположения в другое, сохраняя свои IP-адреса. В этих случаях BGP помогает обновить оставшиеся сетевые объекты и объявляет, где теперь находятся эти серверы.
Плавающие диапазоны определены как глобальные объекты. Плавающие диапазоны не связаны с определенным сайтом и должны определяться в правилах безопасности или сети (связь с сайтом может изменяться динамически). Вы можете использовать определение глобального объекта для явного создания правил безопасности и/или сети в соответствии с требованиями вашей организационной политики.
Чтобы BGP динамический диапазон наследовал политику безопасности или сетевую политику для плавающего диапазона, он должен точно соответствовать плавающему диапазону. Например, если BGP динамический диапазон 192.168.1.0/24, а плавающий диапазон определен как 192.168.1.1/32, то между ними нет связи, и BGP динамический диапазон не наследует политики из плавающего диапазона.
Примечание
Примечание: Плавающие диапазоны не могут пересекаться со статическими диапазонами.
Сосед BGP в облаке Cato соединен с PoP Cato или с соединением сайта. Соединение сайта может быть Socket или IPsec-туннелем. Когда облако Cato получает новый или обновленный маршрут BGP, оно всегда синхронизируется с глобальной сетью WAN (соединения сайтов и PoP).
Когда принимается маршрут BGP, Cato связывает его с соответствующим объектом следующим образом:
-
Диапазоны IP, определенные как плавающие диапазоны IP-адресов, связаны с их определенными объектами и придерживаются всех сетевых и политик безопасности, назначенных объектам.
-
Все другие диапазоны IP рассматриваются как динамические диапазоны и придерживаются всех сетевых и политик безопасности, назначенных сайту.
Маршруты могут быть отозваны через сообщение BGP или через разрыв соединения с соседом (CEASE или физическое отключение), и облако Cato немедленно распространяет отзыв.
Сайты в Cato, такие как сайты IPSec или Socket, могут иметь несколько подключенных туннелей для передачи трафика по LAN или Интернету. Если подключено несколько туннелей, их приоритет основывается на качестве подключения и других факторах. Экран Таблица маршрутизации (Мониторинг > Таблица маршрутизации) показывает Метрику туннеля для маршрутов. Это значение, которое Cato назначает для обеспечения отправки трафика через лучший туннель. Чем ниже значение Метрики туннеля, тем выше приоритет этого туннеля. Например, в размещении высокой доступности сокета активный туннель может иметь метрику 5, а туннель от пассивного сокета имеет метрику 10.
В отличие от обычных статических диапазонов, BGP позволяет нескольким маршрутам пересекаться или даже дублироваться в разных частях вашей сети. Так как же облако Cato решает, по какому пути направить пакеты?
Когда к IP-адресу назначения можно применить несколько маршрутов, решения о маршрутизации принимаются в соответствии со следующими приоритетами:
-
Более конкретные маршруты выбираются вместо менее конкретных маршрутов (/24 вместо /22 и так далее).
-
Порядок предпочтения для следующих диапазонов IP:
-
Статические диапазоны
-
Плавающие диапазоны
-
Динамические диапазоны
-
-
Более низкая метрика соседа предпочитается.
-
Предпочитается более короткий AS-PATH.
-
Предпочтительна более низкая Метрика туннеля.
-
Предпочтительна более низкая BGP MED (Мульти-Выходной Дискриминатор) из ID маршрута.
С тех пор как Cato Cloud выполняет Маршрутизацию на основе политики уровня-7, необходимость избегать асимметричных маршрутов является решающей. По этой причине, приоритет маршрута является универсальным в рамках одной и той же учетной записи: другими словами, единое происхождение будет выбрано из любого местоположения в сети Cato Cloud.
Когда маршруты принимаются соседом BGP, информация, связанная с ним (Путь AS, Коммьюнити BGP) сохраняется. Когда динамические диапазоны объявляются соседям BGP, к Пути AS добавляется номер AS Cato Cloud (как обычно с BGP).
Cato прозрачно пропагандирует все Атрибуты Пути, отмеченные флагом Транзитивности (RFC 4271), включая Сообщества.
Диапазоны аккаунтов (статические) рекламируются с Номером автономной системы соседа Cato Socket как исходная автономная система (см. ниже Назначение ASN соседу).
Для получения дополнительной информации о сводках маршрутов BGP см. Работа с сводными маршрутами BGP.
Примечание
Примечание: Некоторые хорошо известные сообщества не пропагандируются Cato соседям BGP на выходе, такие как no-export.
ASN - это число между 64 512 и 65 534 (частный ASN), представляющее сущность маршрутизации, устанавливающую связь. ASN по умолчанию для Cato Networks — 64 515.
Cato Cloud поддерживает eBGP, поэтому сосед BGP должен иметь другой ASN, чем у стороны Cato Cloud.
Примечание
Примечание: Наилучшей практикой является глобальное использование единого ASN для представления стороны связи Cato Cloud во всех сессиях BGP. Если вы рассматриваете возможность использования различных ASN для разных соседей, пожалуйста, свяжитесь с Поддержкой.
Как Предотвращаются Циклы
Когда маршрут принимается Cato, путь AS сканируется на предмет наличия ASN соседа Cato Cloud. Любой маршрут, содержащий этот ASN, будет отброшен. Обратите внимание, что сосед сканирует только текущий ASN соседа.
Примечание
Примечание: Cato не поддерживает Плавный Перезапуск.
Динамические диапазоны автоматически ассоциируются с сайтом, от которого был получен маршрут, и наследуют все группы политик, сети и политики безопасности сайта. Плавающие диапазоны определяются глобально и на них применяются правила безопасности напрямую или через ассоциацию с группами политик.
Какие Типы Соединений Сайтов я могу использовать?
-
Cato поддерживает BGP для сайтов, использующих Sockets, vSockets и IPsec сайты (IPsec IKEv1 инициализированный Cato, IPsec IKEv2). Кроме того, требуется подключение с вашими существующими маршрутизаторами BGP.
Как сосед BGP установит сессию BGP с Cato?
-
Сессии BGP требуют установленного подключения между соседом BGP и сайтом через локальные маршруты в сокетах или через туннель IPSec.
-
Для развертывания Сокет Cato можно использовать только прямые, VLAN и собственные диапазоны для установления сессий
Сессии BGP могут быть установлены на маршрутизируемых диапазонах только при условии, что все диапазоны имеют один и тот же следующий переход, что и пир BGP.
Настройка BGP-сессий через Альтернативные WAN-связи
В Cato, альтернативные WAN-направления включают две (возможно, VLAN-тегированные) сети: public и private. Сосед BGP должен находиться внутри одной из этих двух сетей, а соседом BGP на стороне Cato Cloud будет соответствующий IP Cato для этого диапазона.
При определении BGP-сессии через публичный интерфейс, вы также можете выполнить Source NAT на трафике, проходящем через эту связь. Это означает, что для всего исходящего трафика через этого соседа адресом источника будет IP со стороны Cato.
-
Cato Cloud поддерживает только IPv4.
-
Если для нескольких соседей настроены несколько ASN, соседи не обнаружат ASN, что может привести к зацикливанию.
-
Cato Cloud позволяет распространение маршрутов, содержащих ASN соседа, полагаясь на соседа для сканирования циклов.
-
Плавающие диапазоны IP-адресов не могут пересекаться с статическим диапазоном.
-
Cato не поддерживает плавное перезапуск при отзыве маршрута.
-
Изменения маршрута BGP (включая отзыв маршрута), инициированные Cato, не генерируют события.
-
Cato не выполняет суммаризацию маршрутов.
-
По умолчанию, Cato ограничивает количество полученных префиксов от каждого соседа BGP до 1024. Чтобы увеличить этот лимит, свяжитесь с Поддержкой.
-
BGP не поддерживается для учетных записей, использующих статический перевод диапазонов IP-адресов. Если вам требуется BGP для переведенного собственного диапазона для сайта Socket, пожалуйста, свяжитесь с Поддержкой.
0 комментариев
Войдите в службу, чтобы оставить комментарий.