为IPsec连接配置BGP邻居

概览

在为IPsec连接配置BGP邻居时,为站点和Cato Socket定义私有IP地址。 有关为云服务配置BGP的更多信息,请参见在Cato云中使用BGP

Cato在通过次要隧道广播的路由的AS-PATH中两次加上AS编号。 这会影响路径选择,因为根据BGP路由优先级规则,具有较短AS-PATH的路由优先。 例如,主隧道显示 prepend_count: 1,而次隧道显示 prepend_count: 2

注意

注意:您只能为每个通道配置最多两个BGP邻居。

高级BGP设置

BGP邻居的附加部分包含这些高级BGP设置:

  • 度量

  • 保持时间

  • 保活间隔

度量定义了此BGP路由的优先级。 此值越低,给予该度量的优先级越高(例如,10比100优先级更高)。 默认度量是100。

保持时间是站点等待定义BGP邻居宕机的秒数。 例如,如果保持时间为90秒,则如果站点在90秒内未收到BGP消息,它将停止向该邻居发送流量并断开连接。 断开BGP邻居的连接后,站点会尝试重新连接。

  • Cato站点的默认设置是60。

  • 保持时间为1或2的值无效。

  • 如果邻居的保持时间值不同,则使用较小的值。 两个邻居始终使用相同的保持时间值。

  • 如果两个邻居的保持时间值为0,则站点永不断开连接。

保活间隔是站点发送保活消息给BGP邻居以保持会话活动的秒数。 我们建议保活间隔值为保持时间值的1/3。

  • Cato站点的默认保活间隔是20。

  • 当BGP邻居有较小的保持时间值时,两个成员都使用该值。 如果保活间隔值小于BGP邻居的保持时间值,则使用新的保活间隔,该间隔为BGP邻居保持时间值的1/3。

    例如,Cato站点A的保持时间为120,保活间隔为40,邻居B的保持时间为30。 然后两个邻居使用保持时间值30,站点A有新的保活间隔10。

BGP与多个活动的IPsec IKEv2隧道(EA)

注意

注意: 这是一个仅限有限发布的早期可用性 (EA) 功能。 有关更多信息,请联系您的Cato Networks代表或发送邮件到ea@catonetworks.com

对于使用多活隧道和 BGP 的 IPsec IKEv2 站点,请根据以下指导配置 BGP 邻居设置:

  • 为每个 BGP 对等体分配一个唯一的私有 IP 地址

  • 配置所有 BGP 对等体以宣传相同的路由集

  • 在所有对等体中使用一致的 BGP 度量

  • 添加BGP子网作为直接范围

如果 HA 角色(主或次隧道)的所有 BGP 对等体都不可用,站点将自动触发故障切换到被动隧道。

定义BGP邻居

为使用IPsec连接的站点定义并配置BGP邻居对。 首先,为 IPsec 隧道定义私有 IP 地址,然后为每个 BGP 邻居定义一个新规则。

对于每个对等节点,我们建议配置BGP邻居状态更改通知。 BGP对等连接状态更改时会将通知发送到订阅组、邮件列表或第三方集成。 通知发送的频率如下:

  • 立即 - 每次发生时向接收者发送通知

  • 每小时 - 第一次发生时发送通知。 如果在一小时内有更多事件,则不发送其他电子邮件。

  • 每天 - 第一次发生时发送通知。 如果一天内有多个发生,则不发送额外通知。

  • 每周 - 第一次发生时发送通知。 如果一周内有多个发生,则不发送额外通知。

bgp_neighbor_policy.png

为IPsec站点定义BGP邻居:

  1. 从导航菜单中,点击网络 > 站点并选择站点。

  2. 定义IPsec连接的私有IP地址:

    1. 从导航菜单中,点击站点设置 > IPsec

    2. 展开主要部分,并配置VPN隧道内的私有IP

      注意: 

      • 站点 私有 IP 地址也用于配置 BGP 邻居的设置

      • Cato BGP 对等体仅响应对远程 站点 对等 IP 地址的 ping 请求

    3. 对于使用次要IPsec隧道的站点,展开次要部分并配置上一步中的设置,然后点击保存

    4. 点击保存。 私有IP地址已为站点定义。

  3. 从导航菜单中,点击站点设置 > BGP

  4. 点击新建添加 BGP 邻居面板打开。

  5. 常规部分,输入此规则定义的名称

  6. ASN 设置部分,配置 BGP 对等体 ASN 和Cato 的 ASN。

    有关更改Cato默认ASN的更多信息,请参见在Cato云中使用BGP

  7. IP 部分,输入 BGP对等体IP 地址。

  8. 策略部分,为您的网络定义 BGP 路由行为:

    1. 广告选项允许您配置站点如何为该邻居广告BGP路由。

      注意:对于Socket站点,如果您没有选择这些选项,意味着您没有广告任何路由,请确保在BGP对等体上创建匹配配置以不接受任何路由广告。

      • 默认路由 - 该站点向 BGP 邻居发布默认路由 (0/0)。 邻居可以将所有流量发送到这个默认路由,即使它不在路由表中。 在使用卡托套接字作为该路由器的互联网网关的部署中,选择此选项。

      • 所有路由 - 该站点向 BGP 邻居发布整个账户的内部路由表。 这些路由包括静态和浮动范围,以及从此站点和整个网络中的其他对等方学习到的路由。 通常启用此选项以将WAN流量发送到BGP邻居。

        注意: SDP用户的整个范围被宣告为单一路由到BGP对等方。

      • 摘要路由 - 该站点发布摘要路由而不是多个唯一路由,BGP 对等体可以简化其转发决策并最大限度减少路由查找所需的计算资源。 参见使用BGP汇总路由

    2. 接受部分,选择站点是否接受或丢弃由该邻居发布的动态IP地址。 选择丢弃选项时,您正在限制来自该BGP邻居的动态传播。 有关BGP路由列表的更多信息,请参见使用BGP过滤

      例如,在使用AWS Direct Connect的部署中,BGP是必需的,但你不希望接受AWS动态地址。 在这些部署中,我们建议您选择全部丢弃

    3. NAT 部分中,选择 执行隐藏 SNAT ,让站点对所有 IP 执行 SNAT,流量将翻译为 LAN IP 地址。

  9. 要使用预共享密钥认证BGP MD5,在附加部分,选择MD5认证

    注意: BGP MD5认证根据RFC 2385支持。

  10. 附加部分,你可以为BGP邻居配置高级设置:

    1. 要更改此路由的度量,请输入新的优先级。

      此值越低,度量的优先级越高(例如,10比100优先级更高)。

    2. 要更改BGP会话保持打开的时间,输入新的保持时间(以秒为单位)。

    3. 要更改保活间隔的频率,请输入保持活动消息之间的新值(以秒为单位)。

  11. 要基于BGP邻居状态更改接收通知:

    1. 选择发送通知

    2. 发送通知到中,选择订阅组邮件列表集成并选择相关项。

  12. 点击应用。 新规则被添加到规则库中。

  13. 重复这些步骤以配置BGP邻居的附加规则。

  14. 点击保存。 BGP邻居已为IPsec连接配置。

显示BGP邻居的状态

在你为连接配置BGP邻居之后,我们建议你使用显示BGP状态功能测试邻居的状态,并确保这条动态路由工作。

注意

注意: 只有在你保存BGP邻居的配置并将其发送到站点后,你才能显示BGP状态。

要显示BGP邻居的状态:

  1. 从导航菜单中,点击网络 > 站点并选择站点。

  2. 从导航菜单中,点击站点设置 > BGP

  3. 点击显示BGP状态

    将发送HTTP查询到相关的PoP。 弹出窗口显示每个BGP邻居的状态及当前路由的数据。

  4. 点击确定关闭窗口。

这篇文章有帮助吗?

0 人中有 0 人觉得有帮助

0 条评论