Configuration de BGP
L’appliance NetScaler prend en charge le protocole BGP (RFC 4271). Les fonctionnalités de BGP sur NetScaler sont les suivantes :
- NetScaler annonce les itinéraires à ses homologues BGP.
- Le NetScaler injecte des routes hôtes vers des adresses IP virtuelles (VIP), en fonction de l’état des serveurs virtuels sous-jacents.
- NetScaler génère des fichiers de configuration pour exécuter BGP sur le nœud secondaire après un basculement dans une configuration HA.
- Ce protocole prend en charge les échanges de routes IPv6.
- As-Override Support in Border Gateway Protocol
Après avoir activé le BGP, vous devez configurer la publication des routes BGP. Pour le dépannage, vous pouvez limiter la propagation BGP. Vous pouvez afficher les paramètres BGP pour vérifier la configuration.
Activation et désactivation du BGP
Pour activer ou désactiver le BGP, vous devez utiliser l’interface de ligne de commande ou l’interface graphique. Lorsque le BGP est activé, l’appliance NetScaler lance le processus BGP. Lorsque le BGP est désactivé, l’appliance arrête le processus BGP.
Pour activer ou désactiver le routage BGP à l’aide de l’interface de ligne de commande :
À l’invite de commandes, tapez l’une des commandes suivantes :
-
enable ns feature BGP
-
disable ns feature BGP
Pour activer ou désactiver le routage BGP à l’aide de l’interface graphique :
- Accédez à Système > Paramètres, dans le groupe Modes et fonctionnalités, cliquez sur Modifier les fonctionnalités avancées.
- Sélectionnez ou désactivez l’option Routage BGP.
Routes IPv4 publicitaires
Vous pouvez configurer l’appliance NetScaler pour annoncer les itinéraires hôtes aux VIP et pour annoncer les itinéraires vers les réseaux en aval.
Pour configurer BGP afin d’annoncer des routes IPv4 à l’aide de la ligne de commande VTYSH :
À l’invite de commandes, tapez les commandes suivantes, dans l’ordre indiqué :
Commande | Spécifie |
---|---|
VTYSH | Affiche l’invite de commande VTYSH. |
configure terminal | Entrer en mode de configuration globale. |
router BGP < ASnumber> | Système autonome BGP. < ASnumber> est un paramètre obligatoire. Valeurs possibles : 1 à 4 294 967 295. |
Neighbor < IPv4 address> remote-as < as-number> | Mettez à jour la table de voisins BGP IPv4 avec l’adresse IPv4 locale du lien du voisin dans le système autonome spécifié. |
Address-family ipv4 | Passez en mode de configuration de famille d’adresses. |
Neighbor < IPv4 address> activate | Préfixes Exchange pour la famille de routeurs IPv4 entre le pair et le nœud local à l’aide de l’adresse locale du lien. |
redistribute kernel | Redistribuez les routes du noyau. |
redistribute static | Redistribuez les routes statiques. |
Exemple :
>VTYSH
NS# configure terminal
NS(config)# router BGP 5
NS(config-router)# Neighbor 10.102.29.170 remote-as 100
NS(config-router)# Address-family ipv4
NS(config-router-af)# Neighbor 10.102.29.170 activate
NS(config-router)# redistribute kernel
NS(config-router)# redistribute static
<!--NeedCopy-->
Annonces des routes IPv6 BGP
Le protocole BGP (Border Gateway Protocol) permet à un routeur en amont d’équilibrer la charge du trafic entre deux serveurs virtuels identiques hébergés sur deux appliances NetScaler autonomes. La publicité par itinéraire permet à un routeur en amont de suivre les entités du réseau situées derrière le NetScaler.
Prérequis pour IPv6 BGP
Avant de commencer à configurer le protocole BGP IPv6, procédez comme suit :
- Assurez-vous de bien comprendre le protocole BGP IPv6.
- Activez la fonctionnalité IPv6.
Étapes de configuration
Pour configurer BGP afin de publier des routes IPv6 à l’aide de la ligne de commande VTYSH :
À l’invite de commandes, tapez les commandes suivantes, dans l’ordre indiqué :
Commande | Spécifie |
---|---|
VTYSH | Affiche l’invite de commande VTYSH. |
configure terminal | Entrer en mode de configuration globale. |
router BGP < ASnumber> | Système autonome BGP. < ASnumber> est un paramètre obligatoire. Valeurs possibles : 1 à 4 294 967 295. |
Neighbor < IPv6 address> remote-as < as-number> | Mettez à jour la table de voisins BGP IPv6 avec l’adresse IPv6 locale du lien du voisin dans le système autonome spécifié. |
Address-family ipv6 | Passez en mode de configuration de famille d’adresses. |
Neighbor < IPv6 address> activate | Préfixes Exchange pour la famille de routeurs IPv6 entre le pair et le nœud local à l’aide de l’adresse locale du lien. |
redistribute kernel | Redistribuez les routes du noyau. |
redistribute static | Redistribuez les routes statiques. |
Exemple :
>VTYSH
NS# configure terminal
NS(config)# router BGP 5
NS(config-router)# Neighbor a1bc::102 remote-as 100
NS(config-router)# Address-family ipv6
NS(config-router-af)# Neighbor a1bc::102 activate
NS(config-router)# redistribute kernel
NS(config-router)# redistribute static
<!--NeedCopy-->
Vérification de la configuration BGP
Vous pouvez utiliser VTYSH pour afficher les paramètres BGP.
Pour afficher les paramètres BGP à l’aide de la ligne de commande VTYSH
À l’invite de commandes, tapez :
VTYSH
You are now in the VTYSH command prompt. An output similar to the following appears:
NS170#
At the VTYSH command prompt, type:
NS170# sh ip BGP
NS170# sh BGP
NS170# sh ip BGP neighbors
NS170# sh ip BGP summary
NS170# sh ip BGP route-map <map-tag>
<!--NeedCopy-->
As-Override Support in Border Gateway Protocol
Dans le cadre de la fonctionnalité de prévention de boucle BGP, si un routeur reçoit un paquet BGP contenant le numéro de système autonome (ASN) du routeur dans le chemin des systèmes autonomes (AS), le routeur supprime le paquet. L’hypothèse est que le paquet provient du routeur et a atteint l’endroit d’où il provient.
Si une entreprise possède plusieurs sites avec un même ASN, la prévention des boucles BGP empêche les sites ayant un ASN identique d’être liés par un autre ASN. Les mises à jour de routage (paquets BGP) sont supprimées lorsqu’un autre site les reçoit.
Pour résoudre ce problème, la fonctionnalité BGP AS-Override a été ajoutée au module de routage ZebOS BGP de NetScaler.
Lorsque l’AS-Override est activé pour un appareil homologue, lorsque l’appliance NetScaler reçoit un paquet BGP à transférer vers l’homologue et que l’ASN du paquet correspond à celui de l’homologue, l’appliance remplace l’ASN du paquet BGP par son propre numéro ASN avant de transférer le paquet.
Vous pouvez activer AS-Override pour un voisin spécifique ou un groupe de voisins (groupe de pairs) à l’aide de la ligne de commande VTYSH.
Pour configurer BGP AS-Override pour un voisin IPv4 à l’aide de la ligne de commande VTYSH :
Commande | Spécifie |
---|---|
configure terminal | Entrer en mode de configuration globale. |
router BGP < ASnumber> | Système autonome BGP. < ASnumber> est un paramètre obligatoire. |
Neighbor < IPv4 address> remote-as < as-number> | Mettez à jour la table de voisins BGP IPv4 avec l’adresse IPv4 du voisin dans le système autonome spécifié. |
Neighbor |
Activez BGP en tant que remplacement pour le voisin spécifié. |
> VTYSH NS# configure terminal
NS(config)# router BGP 200
NS(config-router)# Neighbor 192.0.2.100 remote-as 100
NS(config-router)# Neighbor 10.102.29.100 as-override
<!--NeedCopy-->
Pour configurer BGP AS-Override pour un groupe de pairs BGP IPv4 à l’aide de la ligne de commande VTYSH :
Commande | Spécifie |
---|---|
configure terminal | Entrer en mode de configuration globale. |
router BGP < ASnumber> | Système autonome BGP. < ASnumber> est un paramètre obligatoire. |
Neighbor |
Créez un groupe de pairs BGP. |
Neighbot |
Associez des voisins au groupe de pairs spécifié. |
Neighbor |
Mettez à jour la table de voisins BGP IPv4 avec l’adresse IPv4 du voisin dans le système autonome spécifié. |
Neighbor |
Activez BGP en tant que remplacement pour tous les voisins associés au groupe de pairs spécifié. |
> VTYSH NS# configure terminal
NS(config)# router BGP 200
NS(config-router)# neighbor external-peers-1 peer-group
NS(config-router)# neighbor 192.0.2.101 peer-group external-peers-1
NS(config-router)# neighbor 192.0.2.102 peer-group external-peers-1
NS(config-router)# neighbor 192.0.2.103 peer-group external-peers-1
NS(config-router)# Neighbor external-peers-1 remote-as 100
NS(config-router)# Neighbor external-peers-1 as-override
<!--NeedCopy-->
Pour configurer BGP AS-Override pour un voisin IPv6 à l’aide de la ligne de commande VTYSH :
Commande | Spécifie |
---|---|
configure terminal | Entrer en mode de configuration globale. |
router BGP < ASnumber> | Système autonome BGP. < ASnumber> est un paramètre obligatoire. |
Neighbor < IPv6 address> remote-as < as-number> | Mettez à jour la table de voisins BGP IPv4 avec l’adresse IPv4 du voisin dans le système autonome spécifié. |
Neighbor |
Activez BGP en tant que remplacement pour le voisin spécifié. |
Address-family ipv6 | Passez en mode de configuration de famille d’adresses. |
Neighbor < IPv6 address> activate | Échangez les préfixes de la famille de routeurs IPv6 entre le voisin spécifié et NetScaler à l’aide de l’adresse locale du lien. |
Neighbor |
Activez BGP en tant que remplacement pour le voisin spécifié. |
> VTYSH NS# configure terminal
NS(config)# router BGP 200
NS(config-router)# Neighbor a1bc::102 remote-as 100
NS(config-router)# Neighbor a1bc::102 as-override
NS(config-router)# Address-family ipv6
NS(config-router-af)# Neighbor a1bc::102 activate
NS(config-router)# Neighbor a1bc::102 as-override
<!--NeedCopy-->
Pour configurer BGP AS-Override pour un groupe de pairs IPv6 à l’aide de la ligne de commande VTYSH :
Commande | Spécifie |
---|---|
configure terminal | Entrer en mode de configuration globale. |
router BGP < ASnumber> | Système autonome BGP. < ASnumber> est un paramètre obligatoire. |
Neighbor |
Créez un groupe de pairs BGP. |
Neighbor |
Associez un voisin au groupe de pairs spécifié. |
Neighbor |
Mettez à jour la table de voisins BGP IPv4 avec l’adresse IPv4 du voisin dans le système autonome spécifié. |
Neighbor |
Activez BGP en tant que remplacement pour tous les voisins associés au groupe de pairs spécifié. |
Address-family ipv6 | Passez en mode de configuration de famille d’adresses. |
Neighbor |
Échangez les préfixes de la famille de routeurs IPv6 entre les voisins du groupe d’homologues spécifié et NetScaler à l’aide de l’adresse locale du lien. |
Neighbor |
Activez BGP en tant que remplacement pour tous les voisins associés au groupe de pairs spécifié. |
> VTYSH NS# configure terminal
NS(config)# router BGP 200
NS(config-router)# neighbor external-peers-2 peer-group
NS(config-router)# neighbor 2001::1 peer-group external-peers-2
NS(config-router)# neighbor 2001::2 peer-group external-peers-2
NS(config-router)# Neighbor external-peers-2 remote-as 100
NS(config-router)# Neighbor external-peers-2 as-override
NS(config-router)# Address-family ipv6
NS(config-router-af)# Neighbor external-peers-2 activate
NS(config-router)# Neighbor external-peers-2 as-override
<!--NeedCopy-->
Redémarrage gracieux
Dans une configuration haute disponibilité (HA) non INC dans laquelle un protocole de routage est configuré, après un basculement, les protocoles de routage convergent et les routes entre le nouveau nœud principal et les routeurs voisins adjacents sont apprises. L’apprentissage par voie prend un certain temps. Pendant ce temps, le transfert des paquets est retardé, les performances du réseau peuvent être perturbées et les paquets peuvent être abandonnés.
Le redémarrage progressif permet à une configuration HA lors d’un basculement d’ordonner à ses routeurs adjacents de ne pas supprimer les routes apprises de l’ancien nœud principal de leurs bases de données de routage. En utilisant les informations de routage de l’ancien nœud principal, le nouveau nœud principal et les routeurs adjacents commencent immédiatement à transférer des paquets, sans perturber les performances du réseau.
Remarque :
Le redémarrage progressif n’est pas pris en charge pour les configurations haute disponibilité en mode INC.
Configuration du redémarrage progressif pour BGP
Pour configurer le redémarrage progressif pour BGP à l’aide de la ligne de commande VTYSH, à l’invite de commandes, tapez les commandes suivantes, dans l’ordre indiqué :
Commande | Exemple | Description de la commande |
---|---|---|
VTYSH | VTYSH | Saisit l’invite de commande VTYSH. |
configure terminal | NS# configure terminal | Entre en mode de configuration globale. |
router-id |
NS(config)# router-id 1.1.1.1 | Un identifiant de routeur pour l’appliance NetScaler. Cet identifiant est défini pour tous les protocoles de routage dynamique. Le même identifiant doit être spécifié sur l’autre nœud dans une configuration haute disponibilité pour que le redémarrage progressif fonctionne correctement. |
router bgp |
NS(config)# router bgp 5 | Passe en mode de configuration BGP. |
bgp graceful-restart | NS(config)# bgp graceful-restart | Permet un redémarrage progressif du processus de routage BGP. |
bgp graceful-restart restart-time <1-1800> | NS(config-router)# bgp graceful-restart restart-time 170 | Spécifie la période de grâce, en secondes, pendant laquelle les routeurs d’assistance attendent une connexion TCP à partir du nouveau nœud principal après un basculement. Pendant ce temps, les routeurs d’assistance conservent les itinéraires. |
bgp graceful-restart stalepath-time <1-1800> | NS(config-router)# bgp graceful-restart stalepath-time 180 | Spécifie la durée, en secondes, pendant laquelle l’appliance NetScaler en mode assistant conserve les itinéraires obsolètes pour le redémarrage des routeurs voisins. La valeur par défaut est 360 secondes. |
neighbor |
NS(config-router)# neighbor 192.0.2.30 remote-as 2 | Établit l’appairage BGP avec le routeur voisin spécifié. |
neighbor |
NS(config-router)# neighbor 192.0.2.30 capability graceful-restart | Permet un redémarrage progressif avec le voisin spécifié. |
redistribute kernel | NS(config-router)# redistribute kernel | Redistribue les routes du noyau. |
Configuration du redémarrage progressif pour IPv6 BGP
Pour configurer le redémarrage progressif pour IPv6 BGP à l’aide de la ligne de commande VTYSH, à l’invite de commandes, tapez les commandes suivantes, dans l’ordre indiqué :
Commande | Exemple | Description de la commande |
---|---|---|
VTYSH | VTYSH | Saisit l’invite de commande VTYSH. |
configure terminal | NS# configure terminal | Entre en mode de configuration globale. |
router-id |
NS(config)# router-id 1.1.1.1 | Définit un identifiant de routeur pour l’appliance NetScaler. Cet identifiant est défini pour tous les protocoles de routage dynamique. Le même ID doit être spécifié dans l’autre nœud dans une configuration haute disponibilité pour que le redémarrage progressif fonctionne correctement. |
router bgp |
NS(config)# router bgp 5 | Passe en mode de configuration pour le protocole BGP. |
bgp graceful-restart | NS(config)# bgp graceful-restart | Permet un redémarrage progressif du processus de routage BGP. |
bgp graceful-restart restart-time <1-1800> | NS(config-router)# bgp graceful-restart restart-time 170 | Spécifie la période de grâce, en secondes, pendant laquelle les routeurs d’assistance attendent une connexion TCP à partir du nouveau nœud principal après un basculement. Pendant ce temps, les routeurs d’assistance conservent les itinéraires. La valeur par défaut est 360 secondes. |
bgp graceful-restart stalepath-time <1-1800> | NS(config-router)# bgp graceful-restart stalepath-time 180 | Spécifie la durée, en secondes, pendant laquelle l’appliance NetScaler en mode assistant conserve les itinéraires obsolètes pour le redémarrage des routeurs voisins. La valeur par défaut est 360 secondes. |
neighbor |
NS(config-router)# neighbor 2001:db8::10 remote-as 2 | Établit l’appairage BGP avec le routeur voisin spécifié. |
address-family ipv6 | NS(config-router)#address-family ipv6 | Entre en mode de configuration de famille d’adresses. |
neighbor |
NS(config-router-af)#neighbor 2001:db8::10 activate | Permet l’échange d’itinéraires de famille d’adresses avec le périphérique routeur voisin spécifié. |
neighbor |
NS(config-router-af)#neighbor 2001:db8::10 capability graceful-restart | Permet un redémarrage progressif avec le routeur voisin spécifié. |
redistribute kernel | NS(config-router-af)#redistribute kernel | Redistribue les routes du noyau. |
exit-address-family | NS(config-router-af)#exit-address-family | Quitte le mode de configuration de la famille d’adresses |
Configuration de l’authentification MD5 pour IPv4 BGP
L’appliance NetScaler prend en charge l’authentification MD5 pour le protocole BGP (Border Gateway Protocol). Lorsque l’authentification est activée, tout segment TCP appartenant au BGP échangé entre l’appliance NetScaler et son appareil homologue est vérifié et accepté uniquement si l’authentification est réussie. Pour que l’authentification soit réussie, les deux homologues doivent être configurés avec le même mot de passe MD5. Si l’authentification échoue, la relation de voisinage BGP n’est pas établie. La prise en charge de l’authentification MD5 pour BGP dans l’appliance NetScaler est conforme à la RFC 2385.
Avant de commencer
Avant de commencer à configurer l’authentification BGP MD5, tenez compte des points suivants :
- Assurez-vous de bien comprendre les différents composants de l’authentification BGP MD5, décrits dans la RFC 2385.
- L’authentification BGP MD5 n’est pas prise en charge pour les partitions d’administration NetScaler.
- L’authentification BGP MD5 n’est pas prise en charge pour les configurations BGP IPv6.
- L’authentification BGP MD5 est prise en charge pour les configurations de clusters NetScaler ainsi que pour les configurations de haute disponibilité.
- En raison du problème suivant dans FreeBSD, Citrix recommande de définir des valeurs de durée de vie et de maintien faibles (par exemple, 5 et 15) et de configurer un redémarrage progressif pour une session BGP dans une configuration haute disponibilité de couche 2. Sinon, lorsque l’authentification MD5 est activée, BGP peut prendre plus de temps pour rétablir une connexion avec le voisin après un basculement.
- Le dernier ACK de FreeBSD ne contient pas de condensé md5 :
Étapes de configuration
Pour configurer l’authentification MD5 pour IPv4 BGP à l’aide de la ligne de commande VTYSH, à l’invite de commandes, tapez les commandes suivantes, dans l’ordre indiqué :
Commande | Spécifie |
---|---|
vtysh | Affiche l’invite de commande VTYSH. |
configure terminal | Entre en mode de configuration globale. |
**router bgp |
Passe en mode de configuration pour le protocole BGP. |
**Voisin |
Met à jour la table BGP IPv4 avec l’adresse IPv4 du voisin dans le système autonome spécifié. |
mot de < neighbour IPv4 address > passe voisin < password in double quotes> | Configure l’authentification MD5 pour le voisin spécifié avec le mot de passe MD5 spécifié. Pour que l’authentification MD5 réussisse, vous devez configurer le même mot de passe MD5 sur l’appliance NetScaler et sur l’appliance voisine. |
> vtysh
ns# configure terminal
ns(config)#router bgp 5
ns(config-router)#neighbor 20.20.20.138 remote-as 1
ns(config-router)#neighbor 20.20.20.138 password “secret”
ns(config-router)#redistribute kernel
ns(config-router)#exit
<!--NeedCopy-->
Configuration des ASN BGP 4 octets aux formats asplain et asdot
L’appliance NetScaler prend en charge la configuration et l’affichage de numéros de système autonomes (ASN) BGP à 4 octets au format asplain ou asdot, comme défini dans la RFC 5396.
-
asplain. Notation de valeur décimale dans laquelle les ASN de 2 et 4 octets sont représentés en valeur décimale. Par exemple, 65527 est un ASN de 2 octets et 234567 est un ASN de 4 octets.
-
asdot Notation par points du système autonome où les ASN de 2 octets sont représentés en valeur décimale (comme dans asplain) et les ASN de 4 octets sont représentés par une notation à points. Par exemple, 65527 est un ASN de 2 octets et 3,37959 est un ASN de 4 octets. (3,37959 est un format asdot pour le nombre décimal 234567).
Exemples de configuration BGP ASN aux formats asplain et asdot
Par défaut, l’appliance NetScaler affiche les ASN BGP au format asplain, mais vous pouvez configurer pour qu’ils s’affichent au format asdot. Vous pouvez configurer des ASN BGP locaux et distants au format asplain ou asdot.
Voici quelques exemples de configuration BGP ASN aux formats asplain et asdot :
-
Affiche le numéro AS BGP dans un format simple. Par défaut, l’appliance NetScaler affiche le numéro BGP AS dans un format simple.
ns#conf t ns(config)# router bgp 196908 ns(config-router)# end ns# ns# sh run router bgp ! router bgp 196908 ! <!--NeedCopy-->
-
Affiche le numéro AS BGP au format asdot. Exécutez la
asnotation-dot
commande bgp pour afficher le numéro AS BGP au format asdot.ns#conf t ns(config)#router bgp 196908 ns(config-router)#bgp asnotation-dot ns(config-router)#end ns# ns#sh run router bgp ! router bgp 3.300 bgp asnotation-dot ! <!--NeedCopy-->
-
Configurez et affichez le numéro AS BGP au format asdot. Exécutez la
bgp asnotation-dot
commande pour afficher le numéro AS BGP au format asdot.ns# conf t ns(config)# router bgp 3.300 ns(config-router)# bgp asnotation-dot ns# ns# sh run router bgp ! router bgp 3.300 bgp asnotation-dot ! <!--NeedCopy-->
-
Afficher le numéro AS BGP au format asplain à partir du format asdot. Exécutez la
no asnotation-dot
commande bgp pour afficher le numéro AS BGP au format asplain.ns#conf t ns(config)#router bgp 3.300 ns(config-router)#no bgp asnotation-dot ns(config-router)#end ns# ns#sh run router bgp ! router bgp 196908 ! <!--NeedCopy-->
-
Configurez et affichez le numéro as-number distant au format asdot. Exécutez la commande
bgp asnotation-dot
. Dans l’exemple de configuration, le numéro d’appel distant 80000 est configuré au format asdot 1.14464.ns# conf t ns(config)# router bgp 3.300 ns(config-router)# bgp asnotation-dot ns(config-router)# neighbor 192.168.1.2 remote-as 1.14464 ns(config-router)#end ns# ns# ns#sh run router bgp ! router bgp 3.300 bgp asnotation-dot neighbor 192.168.1.2 remote-as 1.14464 ! ns# <!--NeedCopy-->
-
Afficher les numéros AS locaux et distants BGP au format asplain à partir du format asdot. Exécutez la commande
no asnotation-dot
bgp.ns#conf t ns(config)#router bgp 3.300 ns(config-router)#no bgp asnotation-dot ns(config-router)#end ns# ns#sh run router bgp ! router bgp 196908 neighbor 192.168.1.2 remote-as 80000 ! ns# <!--NeedCopy-->
Remarque :
Au lieu de configurer pour des voisins BGP individuels, la même configuration asplain ou asdot peut également être utilisée pour les groupes de pairs BGP.
Dans cet article
- Activation et désactivation du BGP
- Routes IPv4 publicitaires
- Annonces des routes IPv6 BGP
- Vérification de la configuration BGP
- As-Override Support in Border Gateway Protocol
- Redémarrage gracieux
- Configuration de l’authentification MD5 pour IPv4 BGP
- Configuration des ASN BGP 4 octets aux formats asplain et asdot