为IPsec连接配置BGP邻居

IPsec连接的BGP邻居概览

在为IPsec连接配置BGP邻居时,为站点和Cato Socket定义私有IP地址。 有关为云服务配置BGP的更多信息,请参见使用BGP在Cato Cloud中

Cato在通过次要隧道广播的路由的AS-PATH中两次加上AS编号。 这会影响路径选择,因为根据BGP路由优先级规则,具有较短AS-PATH的路由优先。 例如,主要隧道显示​prepend_count: 1,而次要隧道显示​prepend_count: 2​。

注意

注意:您只能为每个通道配置最多两个BGP邻居。

高级BGP设置

BGP邻居的附加部分包含这些高级BGP设置:

  • 度量

  • 保持时间

  • 保活间隔

度量定义了此BGP路由的优先级。 此值越低,给予该度量的优先级越高(例如,10比100优先级更高)。 默认度量是100。

保持时间是站点等待定义BGP邻居宕机的秒数。 例如,如果保持时间为90秒,则如果站点在90秒内未收到BGP消息,它将停止向该邻居发送流量并断开连接。 断开BGP邻居的连接后,站点会尝试重新连接。

  • Cato站点的默认设置是60。

  • 保持时间为1或2的值无效。

  • 如果邻居的保持时间值不同,则使用较小的值。 两个邻居始终使用相同的保持时间值。

  • 如果两个邻居的保持时间值为0,则站点永不断开连接。

保活间隔是站点发送保活消息给BGP邻居以保持会话活动的秒数。 我们建议保活间隔值为保持时间值的1/3。

  • Cato站点的默认保活间隔是20。

  • 当BGP邻居有较小的保持时间值时,两个成员都使用该值。 如果保活间隔值小于BGP邻居的保持时间值,则使用新的保活间隔,该间隔为BGP邻居保持时间值的1/3。

    例如,Cato站点A的保持时间为120,保活间隔为40,邻居B的保持时间为30。 然后两个邻居使用保持时间值30,站点A有新的保活间隔10。

定义BGP邻居

为使用IPsec连接的站点定义并配置BGP邻居对。 首先定义IPsec隧道的私有IP地址,然后为每个BGP邻居定义新的规则。

对于每个对等节点,我们建议配置BGP邻居状态更改通知。 当BGP对等连接状态更改时,电子邮件通知直接发送到管理员邮件列表。 这是发送通知的频率:

  • 立即 -每次发生时,都会向接收者发送电子邮件。

  • 每小时 -向接收者发送包含首次发生的电子邮件,如果还有其他发生次数,则下一个包含其他发生次数的电子邮件在1小时后发送。

  • 每天 -向接收者发送包含首次发生的电子邮件,下一封电子邮件在24小时后发送(包括所有其他发生次数)。

  • 每周 -向接收者发送包含首次发生的电子邮件,如果还有其他发生情况,下一封电子邮件将在1周后发送。

为IPsec站点定义BGP邻居:

  1. 从导航菜单中,点击网络 > 站点并选择站点。

  2. 定义IPsec连接的私有IP地址:

    1. 从导航菜单中,点击站点设置 > IPsec

    2. 展开主要部分,并配置VPN隧道内的私有IP

      注意

      注意:

      站点 私有IP地址也用于配置BGP邻居的设置。

      Cato BGP对等仅对远程 站点 对等IP地址的ping作出响应。

       

    3. 对于使用次要IPsec隧道的站点,展开次要部分并配置上一步中的设置,然后点击保存

    4. 点击保存。 私有IP地址已为站点定义。

  3. 从导航菜单中,点击站点设置 > BGP

  4. 点击新建添加规则面板打开。

  5. 常规部分,输入此规则定义的名称

  6. ASN设置部分,配置BGP邻居的ASN和Cato的ASN。

    有关更改 Cato 默认 ASN 的更多信息(参阅 在 Cato 云中使用BGP)。

  7. IPs部分,输入BGP邻居的IP地址。

  8. 路由部分,定义网络的BGP路由行为:

    1. 宣告选项允许您配置Socket如何宣告此邻居的BGP路由:

      • 默认路由 - 套接字宣告默认路由(0/0)给BGP邻居。 邻居可以将所有流量发送到这个默认路由,即使它不在路由表中。 在使用卡托套接字作为该路由器的互联网网关的部署中,选择此选项。

      • 所有路由 - 套接字向BGP邻居宣告整个账户的内部路由表。 这些路由包括静态和浮动范围,以及从此站点和整个网络中的其他对等方学习到的路由。 通常启用此选项以将WAN流量发送到BGP邻居。

        注意: SDP用户的整个范围被宣告为单一路由到BGP对等方。

    2. 接受部分,选择动态范围以配置卡托套接字以接受由此邻居发布的动态IP地址。 对于大多数场景,此选项是启用的。 当你禁用此选项时,你是在限制来自此BGP邻居的动态传播。

      例如,在使用AWS Direct Connect的部署中,BGP是必需的,但你不希望接受AWS动态地址。 在这些部署中,我们建议你禁用此选项。

    3. NAT部分,选择执行NAT到公共 IP来定义通过Cato套接字备用WAN连接类型的BGP会话(详见在Cato云中使用BGP)。

  9. 要使用预共享密钥认证BGP MD5,在附加部分,选择MD5认证

    注意: BGP MD5认证根据RFC 2385支持。

  10. 附加部分,你可以为BGP邻居配置高级设置:

    1. 要更改此路由的度量,请输入新的优先级。

      此值越低,度量的优先级越高(例如,10比100优先级更高)。

    2. 要更改BGP会话保持打开的时间,输入新的保持时间(以秒为单位)。

    3. 要更改保活间隔的频率,请输入保持活动消息之间的新值(以秒为单位)。

  11. 要基于BGP邻居状态更改接收通知:

    1. 选择电子邮件通知

    2. 定义通知发送的频率

    3. 选择接收通知的邮件列表。

  12. 点击应用。 新规则被添加到规则库中。

  13. 重复这些步骤以配置BGP邻居的附加规则。

  14. 点击保存。 BGP邻居已为IPsec连接配置。

显示BGP邻居的状态

在你为连接配置BGP邻居之后,我们建议你使用显示BGP状态功能测试邻居的状态,并确保这条动态路由工作。

注意

注意: 只有在你保存BGP邻居的配置并将其发送到站点后,你才能显示BGP状态。

要显示BGP邻居的状态:

  1. 从导航菜单中,点击网络 > 站点并选择站点。

  2. 从导航菜单中,点击站点设置 > BGP

  3. 点击显示BGP状态

    将发送HTTP查询到相关的PoP。 弹出窗口显示每个BGP邻居的状态及当前路由的数据。

  4. 点击确定关闭窗口。

这篇文章有帮助吗?

0 人中有 0 人觉得有帮助

0 条评论