Citrix ADC

Konfigurieren von BGP

Die Citrix ADC Appliance unterstützt BGP (RFC 4271). Die Funktionen von BGP auf dem Citrix ADC sind:

  • Der Citrix ADC kündigt Routen an BGP-Peers an.
  • Der Citrix ADC injiziert Hostrouten an virtuelle IP-Adressen (VIPs), die durch den Zustand der zugrunde liegenden virtuellen Server bestimmt werden.
  • Der Citrix ADC generiert Konfigurationsdateien für die Ausführung von BGP auf dem sekundären Knoten nach einem Failover in einer HA-Konfiguration.
  • Dieses Protokoll unterstützt IPv6-Routenaustausch.
  • Unterstützung als Override im Border Gateway-Protokoll

Nachdem Sie BGP aktiviert haben, müssen Sie die Ankündigung von BGP-Routen konfigurieren. Zur Fehlerbehebung können Sie die BGP-Ausbreitung einschränken. Sie können die BGP-Einstellungen anzeigen, um die Konfiguration zu überprüfen.

Voraussetzungen für IPv6 BGP

Bevor Sie mit der Konfiguration von IPv6 BGP beginnen, gehen Sie wie folgt vor:

  • Stellen Sie sicher, dass Sie das IPv6-BGP-Protokoll verstehen.
  • Aktivieren Sie die IPv6-Funktion.

BGP aktivieren und deaktivieren

Um BGP zu aktivieren oder zu deaktivieren, müssen Sie entweder die CLI oder die GUI verwenden. Wenn BGP aktiviert ist, startet die Citrix ADC Appliance den BGP-Prozess. Wenn BGP deaktiviert ist, stoppt die Appliance den BGP-Prozess.

So aktivieren oder deaktivieren Sie das BGP-Routing mithilfe der CLI:

Geben Sie an der Eingabeaufforderung einen der folgenden Befehle ein:

  • enable ns feature BGP

  • disable ns feature BGP

So aktivieren oder deaktivieren Sie das BGP-Routing mithilfe der GUI:

  1. Navigieren Sie zu System > Einstellungen, klicken Sie in der Gruppe Modi und Funktionen auf Erweiterte Funktionen ändern.
  2. Wählen oder löschen Sie die Option BGP-Routing.

Werbung für IPv4-Strecken

Sie können die Citrix ADC Appliance so konfigurieren, dass Hostrouten an VIPs angekündigt und Routen an nachgeschaltete Netzwerke angekündigt werden.

So konfigurieren Sie BGP mit der VTYSH-Befehlszeile für die Ankündigen von IPv4-Routen:

Geben Sie an der Eingabeaufforderung die folgenden Befehle in der angegebenen Reihenfolge ein:

Befehl Spezifiziert
VTYSH Zeigt VTYSH-Eingabeaufforderung an.
configure terminal Geben Sie den globalen Konfigurationsmodus ein.
router BGP < ASnumber> Autonomes BGP-System. < ASnumber>ist ein erforderlicher Parameter. Mögliche Werte: 1 bis 4.294.967.295.
Neighbor < IPv4 address> remote-as < as-number> Aktualisieren Sie die IPv4-BGP-Nachbartabelle mit der lokalen IPv4-Adresse des Nachbarn im angegebenen autonomen System.
Adress-Familie IPv4 Rufen Sie den Konfigurationsmodus für die
Neighbor < IPv4 address> activate Tauschen Sie Präfixe für die IPv4-Routerfamilie zwischen dem Peer und dem lokalen Knoten mithilfe der lokalen Linkadresse aus.
redistribute kernel Verteilen Sie Kernel-Routen neu.
redistribute static Verteilen Sie statische Routen neu.

Beispiel:


>VTYSH
NS# configure terminal
NS(config)# router BGP 5
NS(config-router)# Neighbor 10.102.29.170 remote-as 100
NS(config-router)# Address-family ipv4
NS(config-router-af)# Neighbor 10.102.29.170 activate
NS(config-router)# redistribute kernel
NS(config-router)# redistribute static
<!--NeedCopy-->

Voraussetzungen für IPv6 BGP

Bevor Sie mit der Konfiguration von IPv6 BGP beginnen, gehen Sie wie folgt vor:

  • Stellen Sie sicher, dass Sie das IPv6-BGP-Protokoll verstehen.
  • Aktivieren Sie die IPv6-Funktion.

Werbung für IPv6 BGP-Routen

Border Gateway Protocol (BGP) ermöglicht es einem Upstream-Router, den Datenverkehr zwischen zwei identischen virtuellen Servern auszugleichen, die auf zwei eigenständigen Citrix ADC Appliances gehostet werden. Routenwerbung ermöglicht es einem Upstream-Router, Netzwerkentitäten zu verfolgen, die sich hinter dem Citrix ADC befinden.

So konfigurieren Sie BGP mit der VTYSH-Befehlszeile für die Ankündigen von IPv6-Routen:

Geben Sie an der Eingabeaufforderung die folgenden Befehle in der angegebenen Reihenfolge ein:

Befehl Spezifiziert
VTYSH Zeigt VTYSH-Eingabeaufforderung an.
configure terminal Geben Sie den globalen Konfigurationsmodus ein.
router BGP < ASnumber> Autonomes BGP-System. < ASnumber>ist ein erforderlicher Parameter. Mögliche Werte: 1 bis 4.294.967.295.
Nachbar < IPv6 address> Remote-as < as-number> Aktualisieren Sie die IPv6-BGP-Nachbartabelle mit der lokalen IPv6-Adresse des Nachbarn im angegebenen autonomen System.
Adress-Familie IPv6 Rufen Sie den Konfigurationsmodus für die
Nachbar < IPv6 address> aktiviert Tauschen Sie Präfixe für die IPv6-Routerfamilie zwischen dem Peer und dem lokalen Knoten mithilfe der lokalen Linkadresse aus.
redistribute kernel Verteilen Sie Kernel-Routen neu.
redistribute static Verteilen Sie statische Routen neu.

Beispiel:


>VTYSH
NS# configure terminal
NS(config)# router BGP 5
NS(config-router)# Neighbor a1bc::102 remote-as 100
NS(config-router)# Address-family ipv6
NS(config-router-af)# Neighbor a1bc::102 activate
NS(config-router)# redistribute kernel
NS(config-router)# redistribute static
<!--NeedCopy-->

Überprüfung der BGP-Konfiguration

Sie können VTYSH verwenden, um BGP-Einstellungen anzuzeigen.

So zeigen Sie die BGP-Einstellungen mit der VTYSH-Befehlszeile an

Geben Sie an der Eingabeaufforderung Folgendes ein:

VTYSH
You are now in the VTYSH command prompt. An output similar to the following appears:
NS170#
At the VTYSH command prompt, type:
NS170# sh ip BGP
NS170# sh BGP
NS170# sh ip BGP neighbors
NS170# sh ip BGP summary
NS170# sh ip BGP route-map <map-tag>
<!--NeedCopy-->

Unterstützung als Override im Border Gateway-Protokoll

Als Teil der BGP-Schleifenverhinderungsfunktionalität lässt der Router das Paket fallen, wenn ein Router ein BGP-Paket empfängt, das die Autonome Systemnummer (ASN) des Routers im Pfad für Autonome Systeme (AS) enthält. Es wird davon ausgegangen, dass das Paket vom Router stammt und den Ort erreicht hat, von dem es stammt.

Wenn ein Unternehmen über mehrere Standorte mit derselben ASN verfügt, führt die BGP-Schleifenprävention dazu, dass die Standorte mit einer identischen ASN nicht durch eine andere ASN verknüpft werden. Routing-Aktualisierungen (BGP-Pakete) werden verworfen, wenn sie von einem anderen Standort empfangen werden.

Um dieses Problem zu lösen, wurde dem ZeBOS BGP-Routingmodul des Citrix ADC die BGP AS-Override-Funktionalität hinzugefügt.

Wenn AS-Override für ein Peer-Gerät aktiviert ist und die Citrix ADC Appliance ein BGP-Paket zur Weiterleitung an den Peer empfängt und die ASN des Pakets mit der des Peers übereinstimmt, ersetzt die Appliance die ASN des BGP-Pakets vor der Weiterleitung des Pakets durch eine eigene ASN-Nummer.

Sie können AS-Override für einen bestimmten Nachbarn oder eine Gruppe von Nachbarn (Peer-Group) aktivieren, indem Sie die VTYSH-Befehlszeile verwenden.

So konfigurieren Sie BGP AS-Override für einen IPv4-Nachbarn mithilfe der VTYSH-Befehlszeile:

Befehl Spezifiziert
configure terminal Geben Sie den globalen Konfigurationsmodus ein.
Router BGP < ASnumber> Autonomes BGP-System. < ASnumber>ist ein erforderlicher Parameter.
Nachbar < IPv4 address> Remote-As < as-number> Aktualisieren Sie die IPv4-BGP-Nachbartabelle mit der IPv4-Adresse des Nachbarn im angegebenen autonomen System.
Nachbar <IPv4 address>als Override Aktiviert BGP als Override für den angegebenen Nachbarn.
    > VTYSH NS# configure terminal
    NS(config)# router BGP 200
    NS(config-router)# Neighbor 192.0.2.100 remote-as 100
    NS(config-router)# Neighbor 10.102.29.100 as-override
<!--NeedCopy-->

So konfigurieren Sie BGP AS-Override für eine IPv4-BGP-Peer-Gruppe mithilfe der VTYSH-Befehlszeile:

Befehl Spezifiziert
configure terminal Geben Sie den globalen Konfigurationsmodus ein.
Router BGP < ASnumber> Autonomes BGP-System. < ASnumber>ist ein erforderlicher Parameter.
Nachbar-Peer-Group <peer group name> Erstellen Sie eine BGP-Peer-Gruppe.
Nachbar-Peer-Gruppe <IPv4 address><peer group name> Ordnen Sie Nachbarn der angegebenen Peer-Gruppe zu.
Nachbar <peer group name>Remote-as < as-number> Aktualisieren Sie die IPv4-BGP-Nachbartabelle mit der IPv4-Adresse des Nachbarn im angegebenen autonomen System.
Nachbar <peer group name>als Override Aktiviert BGP als Override für alle Nachbarn, die mit der angegebenen Peer-Gruppe verknüpft sind.
    > VTYSH NS# configure terminal
    NS(config)# router BGP 200
    NS(config-router)# neighbor external-peers-1 peer-group
    NS(config-router)# neighbor 192.0.2.101 peer-group external-peers-1
    NS(config-router)# neighbor 192.0.2.102 peer-group external-peers-1
    NS(config-router)# neighbor 192.0.2.103 peer-group external-peers-1
    NS(config-router)# Neighbor external-peers-1 remote-as 100
    NS(config-router)# Neighbor external-peers-1 as-override
<!--NeedCopy-->

So konfigurieren Sie BGP AS-Override für einen IPv6-Nachbarn mithilfe der VTYSH-Befehlszeile:

Befehl Spezifiziert
configure terminal Geben Sie den globalen Konfigurationsmodus ein.
Router BGP < ASnumber> Autonomes BGP-System. < ASnumber>ist ein erforderlicher Parameter.
Nachbar < IPv6 address> Remote-as < as-number> Aktualisieren Sie die IPv4-BGP-Nachbartabelle mit der IPv4-Adresse des Nachbarn im angegebenen autonomen System.
Nachbar <IPv6 address>als Override Aktiviert BGP als Override für den angegebenen Nachbarn.
Adress-Familie IPv6 Rufen Sie den Konfigurationsmodus für die
Nachbar < IPv6 address> aktiviert Tauschen Sie Präfixe für die IPv6-Routerfamilie zwischen dem angegebenen Nachbarn und dem Citrix ADC mithilfe der lokalen Linkadresse aus.
Nachbar <IPv6 address>als Override Aktiviert BGP als Override für den angegebenen Nachbarn.
    > VTYSH NS# configure terminal
    NS(config)# router BGP 200
    NS(config-router)# Neighbor a1bc::102 remote-as 100
    NS(config-router)# Neighbor a1bc::102 as-override
    NS(config-router)# Address-family ipv6
    NS(config-router-af)# Neighbor a1bc::102 activate
    NS(config-router)# Neighbor a1bc::102 as-override
<!--NeedCopy-->

So konfigurieren Sie BGP AS-Override für IPv6-Peer-Group mithilfe der VTYSH-Befehlszeile:

Befehl Spezifiziert
configure terminal Geben Sie den globalen Konfigurationsmodus ein.
Router BGP < ASnumber> Autonomes BGP-System. < ASnumber>ist ein erforderlicher Parameter.
Nachbar-Peer-Group<peer group name> Erstellen Sie eine BGP-Peer-Gruppe.
Nachbar-Peer-Group<IPv6 address><peer group name> Ordnen Sie der angegebenen Peer-Gruppe einen Nachbarn zu.
Nachbar <peer group name>Remote-as < as-number> Aktualisieren Sie die IPv4-BGP-Nachbartabelle mit der IPv4-Adresse des Nachbarn im angegebenen autonomen System.
Nachbar <peer group name>als Override Aktiviert BGP als Override für alle Nachbarn, die mit der angegebenen Peer-Gruppe verknüpft sind.
Adress-Familie IPv6 Rufen Sie den Konfigurationsmodus für die
Nachbar <peer group name>aktiviert Tauschen Sie Präfixe für die IPv6-Routerfamilie zwischen den Nachbarn der angegebenen Peer-Gruppe und dem Citrix ADC mithilfe der lokalen Linkadresse aus.
Nachbar <peer group name>als Override Aktiviert BGP als Override für alle Nachbarn, die mit der angegebenen Peer-Gruppe verknüpft sind.
    > VTYSH NS# configure terminal
    NS(config)# router BGP 200
    NS(config-router)# neighbor external-peers-2 peer-group
    NS(config-router)# neighbor 2001::1 peer-group external-peers-2
    NS(config-router)# neighbor 2001::2 peer-group external-peers-2
    NS(config-router)# Neighbor external-peers-2 remote-as 100
    NS(config-router)# Neighbor external-peers-2 as-override
    NS(config-router)# Address-family ipv6
    NS(config-router-af)# Neighbor external-peers-2 activate
    NS(config-router)# Neighbor external-peers-2 as-override
<!--NeedCopy-->

Ordnungsgemäßer Neustart

In einem Nicht-INC-Hochverfügbarkeits-Setup (HA), in dem ein Routingprotokoll konfiguriert wird, werden nach einem Failover Routing-Protokolle konvergiert und Routen zwischen dem neuen primären Knoten und den benachbarten Nachbarroutern werden erlernt. Es dauert einige Zeit, bis das Routenlernen abgeschlossen ist. Während dieser Zeit verzögert sich die Weiterleitung von Paketen, die Netzwerkleistung kann gestört werden und Pakete können verworfen werden.

Ein ordnungsgemäßer Neustart ermöglicht es einem HA-Setup während eines Failovers, seine benachbarten Router anzuweisen, die gelernten Routen des alten primären Knotens nicht aus ihren Routing-Datenbanken zu entfernen. Unter Verwendung der Routing-Informationen des alten primären Knotens beginnen der neue primäre Knoten und die angrenzenden Router sofort mit der Weiterleitung von Paketen, ohne die Netzwerkleistung zu beeinträchtigen.

Hinweis:

Ein ordnungsgemäßer Neustart wird für Hochverfügbarkeits-Setups im INC-Modus nicht unterstützt.

Konfigurieren des ordnungsgemäßen Neustarts für BGP

Um einen ordnungsmäßigen Neustart für BGP über die VTYSH-Befehlszeile zu konfigurieren, geben Sie an der Eingabeaufforderung die folgenden Befehle in der angegebenen Reihenfolge ein:

Befehl Beispiel Beschreibung des Befehls
VTYSH VTYSH Ruft die VTYSH-Eingabeaufforderung
configure terminal NS# configure terminal Der globale Konfigurationsmodus wechselt.
router-id <ID> NS(config)# router-id 1.1.1.1 Eine Routerkennung für die Citrix ADC Appliance. Diese Kennung ist für alle dynamischen Routingprotokolle festgelegt. Derselbe Bezeichner muss auf dem anderen Knoten in einem Hochverfügbarkeits-Setup angegeben werden, damit ein ordnungsgemäßer Neustart ordnungsgemäß funktioniert.
router bgp <AS-number> NS(config)# router bgp 5 Ruft den BGP-Konfigurationsmodus auf
bgp graceful-restart NS(config)# bgp graceful-restart Ermöglicht einen ordnungsgemäßen Neustart des BGP-Routing-Prozesses.
bgp graceful-restart restart-time <1-1800> NS(config-router)# bgp graceful-restart restart-time 170 Gibt die Nachfrist in Sekunden an, in der die Helfer-Router nach einem Failover auf eine TCP-Verbindung vom neuen primären Knoten warten. Für diese Zeitspanne bewahren die Helfer-Router die Routen bei.
bgp graceful-restart stalepath-time <1-1800> NS(config-router)# bgp graceful-restart stalepath-time 180 Gibt die Zeit in Sekunden an, zu der die Citrix ADC Appliance im Hilfsmodus die veralteten Routen für den Neustart von Nachbarroutern beibehält. Der Standardwert beträgt 360 Sekunden.
neighbor <IPv4 address of the peer router> remote-as <AS-number> NS(config-router)# neighbor 192.0.2.30 remote-as 2 Richtet BGP-Peering mit dem angegebenen Nachbar-Router-Gerät ein.
neighbor <IPv4 address of the peer router> capability graceful-restart NS(config-router)# neighbor 192.0.2.30 capability graceful-restart Ermöglicht einen ordnungsgemäßen Neustart mit dem angegebenen Nachbarn.
redistribute kernel NS(config-router)# redistribute kernel Verteilt Kernel-Routen neu.

Konfigurieren des ordnungsgemäßen Neustarts für IPv6 BGP

Um einen ordnungsmäßigen Neustart für IPv6 BGP mithilfe der VTYSH-Befehlszeile zu konfigurieren, geben Sie an der Eingabeaufforderung die folgenden Befehle in der angegebenen Reihenfolge ein:

Befehl Beispiel Beschreibung des Befehls
VTYSH VTYSH Ruft die VTYSH-Eingabeaufforderung
configure terminal NS# configure terminal Der globale Konfigurationsmodus wechselt.
router-id <id> NS(config)# router-id 1.1.1.1 Legt eine Routerkennung für die Citrix ADC Appliance fest. Diese Kennung ist für alle dynamischen Routingprotokolle festgelegt. Dieselbe ID muss im anderen Knoten in einem Hochverfügbarkeits-Setup angegeben werden, damit ein ordnungsgemäßer Neustart ordnungsgemäß funktioniert.
router bgp <AS-number> NS(config)# router bgp 5 Ruft den Konfigurationsmodus für das BGP-Protokoll auf
bgp graceful-restart NS(config)# bgp graceful-restart Ermöglicht einen ordnungsgemäßen Neustart des BGP-Routing-Prozesses.
bgp graceful-restart restart-time <1-1800> NS(config-router)# bgp graceful-restart restart-time 170 Gibt die Nachfrist in Sekunden an, in der die Helfer-Router nach einem Failover auf eine TCP-Verbindung vom neuen primären Knoten warten. Für diese Zeitspanne bewahren die Helfer-Router die Routen bei. Der Standardwert beträgt 360 Sekunden.
bgp graceful-restart stalepath-time <1-1800> NS(config-router)# bgp graceful-restart stalepath-time 180 Gibt die Zeit in Sekunden an, zu der die Citrix ADC Appliance im Hilfsmodus die veralteten Routen für den Neustart von Nachbarroutern beibehält. Der Standardwert beträgt 360 Sekunden.
neighbor <IPv6 address> remote-as <AS-number> NS(config-router)# neighbor 2001:db8::10 remote-as 2 Richtet BGP-Peering mit dem angegebenen Nachbar-Router-Gerät ein.
address-family ipv6 NS(config-router)#address-family ipv6 Geht in den Konfigurationsmodus für die Adressfamilie.
neighbor <IPv6 address of the neighbor> activate NS(config-router-af)#neighbor 2001:db8::10 activate Ermöglicht den Austausch von Adressfamilien-Routen mit dem angegebenen Nachbar-Router-Gerät.
neighbor <IPv6 address of the neighbor> capability graceful-restart NS(config-router-af)#neighbor 2001:db8::10 capability graceful-restart Ermöglicht einen ordnungsgemäßen Neustart mit dem angegebenen Nachbar-Router-Gerät.
redistribute kernel NS(config-router-af)#redistribute kernel Verteilt Kernel-Routen neu.
exit-address-family NS(config-router-af)#exit-address-family Beenden des Konfigurationsmodus der Adressfamilie

Konfigurieren der MD5-Authentifizierung für IPv4 BGP

Die Citrix ADC Appliance unterstützt die MD5-Authentifizierung für das Border Gateway Protocol (BGP). Wenn die Authentifizierung aktiviert ist, wird jedes TCP-Segment, das zu BGP gehört, das zwischen der Citrix ADC Appliance und ihrem Peer-Gerät ausgetauscht wird, nur überprüft und akzeptiert, wenn die Authentifizierung erfolgreich ist. Damit die Authentifizierung erfolgreich ist, müssen beide Peers mit demselben MD5-Kennwort konfiguriert sein. Wenn die Authentifizierung fehlschlägt, wird die BGP-Nachbarbeziehung nicht hergestellt. Die Unterstützung der MD5-Authentifizierung für BGP in der Citrix ADC Appliance ist mit RFC 2385 kompatibel.

Bevor Sie beginnen

Beachten Sie die folgenden Punkte, bevor Sie mit der Konfiguration der BGP-MD5-Authentifizierung beginnen:

  • Stellen Sie sicher, dass Sie die verschiedenen Komponenten der BGP-MD5-Authentifizierung verstehen, die in RFC 2385 beschrieben sind.
  • Die BGP-MD5-Authentifizierung wird für Citrix ADC Administratorpartitionen nicht unterstützt.
  • Die BGP-MD5-Authentifizierung wird für IPv6-BGP-Konfigurationen nicht unterstützt.
  • Die BGP-MD5-Authentifizierung wird sowohl für Citrix ADC-Clusterkonfigurationen als auch für Konfigurationen mit hoher Verfügbarkeit unterstützt.
  • Aufgrund des folgenden Problems in FreeBSD empfiehlt Citrix, niedrige Keep-Live- und Hold-Time-Werte (z. B. 5 und 15) festzulegen und einen ordnungsgemäßen Neustart für eine BGP-Sitzung in einer Layer-2-Hochverfügbarkeitskonfiguration zu konfigurieren. Andernfalls kann es bei aktivierter MD5-Authentifizierung länger dauern, bis BGP nach einem Failover eine Verbindung mit dem Nachbarn wiederhergestellt hat.

Konfigurieren der MD5-Authentifizierung für IPv4 BGP

Um die MD5-Authentifizierung für IPv4 BGP mithilfe der VTYSH-Befehlszeile zu konfigurieren, geben Sie an der Eingabeaufforderung die folgenden Befehle in der angegebenen Reihenfolge ein:

Befehl Spezifiziert
vtysh Zeigt VTYSH-Eingabeaufforderung an.
configure terminal Der globale Konfigurationsmodus wechselt.
router bgp <AS-number> Ruft den Konfigurationsmodus für das BGP-Protokoll auf <AS-number>ist eine autonome BGP-Systemnummer und ist ein erforderlicher Parameter.
Nachbar <neighbour IPv4 address>Remote-as < AS-number > Aktualisiert die IPv4-BGP-Tabelle mit der IPv4-Adresse des Nachbarn im angegebenen autonomen System.
< neighbour IPv4 address >Nachbar-Kennwort < password in double quotes> Konfiguriert die MD5-Authentifizierung für den angegebenen Nachbarn mit dem angegebenen MD5-Kennwort. Damit die MD5-Authentifizierung erfolgreich ist, müssen Sie dasselbe MD5-Kennwort auf der Citrix ADC Appliance und der Nachbar-Appliance konfigurieren.
> vtysh

ns# configure terminal

ns(config)#router bgp 5

ns(config-router)#neighbor 20.20.20.138 remote-as 1

ns(config-router)#neighbor 20.20.20.138 password “secret”

ns(config-router)#redistribute kernel

ns(config-router)#exit

<!--NeedCopy-->