Konfigurieren von BGP

Die Citrix ADC Appliance unterstützt BGP (RFC 4271). Die Funktionen von BGP auf dem Citrix ADC sind:

  • Der Citrix ADC kündigt Routen an BGP-Peers an.
  • Der Citrix ADC fügt Hostrouten zu virtuellen IP-Adressen (VIPs) ein, die durch den Zustand der zugrunde liegenden virtuellen Server bestimmt werden.
  • Citrix ADC generiert Konfigurationsdateien für die Ausführung von BGP auf dem sekundären Knoten nach einem Failover in einer HA-Konfiguration.
  • Dieses Protokoll unterstützt IPv6-Routenaustausch.
  • Unterstützung bei As-Override im Border Gateway-Protokoll

Nachdem Sie BGP aktiviert haben, müssen Sie die Werbung für BGP-Routen konfigurieren. Zur Fehlerbehebung können Sie die BGP-Propagierung einschränken. Sie können BGP-Einstellungen anzeigen, um die Konfiguration zu überprüfen.

Voraussetzungen für IPv6 BGP

Bevor Sie mit der Konfiguration von IPv6 BGP beginnen, gehen Sie wie folgt vor:

  • Stellen Sie sicher, dass Sie das IPv6 BGP-Protokoll verstehen.
  • Aktivieren Sie die IPv6-Funktion.

Aktivieren und Deaktivieren von BGP

Um BGP zu aktivieren oder zu deaktivieren, müssen Sie entweder die CLI oder die GUI verwenden. Wenn BGP aktiviert ist, startet die Citrix ADC Appliance den BGP-Prozess. Wenn BGP deaktiviert ist, stoppt die Appliance den BGP-Prozess.

So aktivieren oder deaktivieren Sie das BGP-Routing mit der CLI:

Geben Sie an der Eingabeaufforderung einen der folgenden Befehle ein:

  • ns-Funktion BGP aktivieren

  • ns-Funktion BGP deaktivieren

So aktivieren oder deaktivieren Sie das BGP-Routing mit der GUI:

  1. Navigieren Sie zu System > Einstellungen, klicken Sie in der Gruppe Modi und Features auf Erweiterte Funktionen ändern.
  2. Aktivieren oder deaktivieren Sie die Option BGP-Routing.

Werbung für IPv4-Routen

Sie können die Citrix ADC Appliance so konfigurieren, dass Hostrouten an VIPs angekündigt werden und Routen zu Downstream-Netzwerken ankündigen.

So konfigurieren Sie BGP für die Ankündigung von IPv4-Routen mithilfe der VTYSH Befehlszeile:

Geben Sie an der Eingabeaufforderung die folgenden Befehle in der angegebenen Reihenfolge ein:

Befehl Gibt an
VTYSH Zeigt die VTYSH Eingabeaufforderung an.
configure terminal Geben Sie den globalen Konfigurationsmodus ein.
router BGP < ASnumber> BGP autonomes System. < ASnumber> ist ein erforderlicher Parameter. Mögliche Werte: 1 bis 4.294.967.295.
Neighbor < IPv4 address> remote-as < as-number> Aktualisieren Sie die IPv4 BGP-Nachbartabelle mit der lokalen IPv4-Adresse des Nachbarn im angegebenen autonomen System.
Address-family ipv4 Geben Sie den Konfigurationsmodus für die Adressfamilie ein.
Neighbor < IPv4 address> activate Exchange-Präfixe für die IPv4-Routerfamilie zwischen dem Peer und dem lokalen Knoten mithilfe der lokalen Linkadresse.
redistribute kernel Verteilen Sie Kernel-Routen neu.
redistribute static Verteilen Sie statische Routen.

Beispiel:


>VTYSH
NS# configure terminal
NS(config)# router BGP 5
NS(config-router)# Neighbor 10.102.29.170 remote-as 100
NS(config-router)# Address-family ipv4
NS(config-router-af)# Neighbor 10.102.29.170 activate
NS(config-router)# redistribute kernel
NS(config-router)# redistribute static

Voraussetzungen für IPv6 BGP

Bevor Sie mit der Konfiguration von IPv6 BGP beginnen, gehen Sie wie folgt vor:

  • Stellen Sie sicher, dass Sie das IPv6 BGP-Protokoll verstehen.
  • Aktivieren Sie die IPv6-Funktion.

Werbung IPv6 BGP-Routen

Border Gateway Protocol (BGP) ermöglicht einem Upstream-Router den Lastausgleich zwischen zwei identischen virtuellen Servern, die auf zwei eigenständigen Citrix ADC Appliances gehostet werden. Routenwerbung ermöglicht es einem Upstream-Router, Netzwerkentitäten zu verfolgen, die sich hinter dem Citrix ADC befinden.

So konfigurieren Sie BGP für die Ankündigung von IPv6-Routen mithilfe der VTYSH Befehlszeile:

Geben Sie an der Eingabeaufforderung die folgenden Befehle in der angegebenen Reihenfolge ein:

Befehl Gibt an
VTYSH Zeigt die VTYSH Eingabeaufforderung an.
configure terminal Geben Sie den globalen Konfigurationsmodus ein.
router BGP < ASnumber> BGP autonomes System. < ASnumber> ist ein erforderlicher Parameter. Mögliche Werte: 1 bis 4.294.967.295.
Neighbor < IPv6 address> remote-as < as-number> Aktualisieren Sie die IPv6-BGP-Nachbartabelle mit der lokalen IPv6-Adresse des Nachbarn im angegebenen autonomen System.
Adress-Familie ipv6 Geben Sie den Konfigurationsmodus für die Adressfamilie ein.
Neighbor < IPv6 address> activate Exchange-Präfixe für die IPv6-Routerfamilie zwischen dem Peer und dem lokalen Knoten mithilfe der lokalen Linkadresse.
redistribute kernel Verteilen Sie Kernel-Routen neu.
redistribute static Verteilen Sie statische Routen.

Beispiel:


>VTYSH
NS# configure terminal
NS(config)# router BGP 5
NS(config-router)# Neighbor a1bc::102 remote-as 100
NS(config-router)# Address-family ipv6
NS(config-router-af)# Neighbor a1bc::102 activate
NS(config-router)# redistribute kernel
NS(config-router)# redistribute static

Überprüfen der BGP-Konfiguration

Sie können VTYSH verwenden, um BGP-Einstellungen anzuzeigen.

So zeigen Sie die BGP-Einstellungen über die VTYSH Befehlszeile an

Geben Sie an der Eingabeaufforderung Folgendes ein:

VTYSH
You are now in the VTYSH command prompt. An output similar to the following appears:
NS170#
At the VTYSH command prompt, type:
NS170# sh ip BGP
NS170# sh BGP
NS170# sh ip BGP neighbors
NS170# sh ip BGP summary
NS170# sh ip BGP route-map <map-tag>

Unterstützung bei As-Override im Border Gateway-Protokoll

Wenn ein Router ein BGP-Paket erhält, das die Autonomous System Number (ASN) des Routers im Pfad Autonomous Systems (AS) enthält, löscht der Router das Paket. Die Annahme ist, dass das Paket vom Router stammt und den Ort erreicht hat, von dem es stammt.

Wenn ein Unternehmen mehrere Sites mit derselben ASN hat, bewirkt die BGP-Schleifenprävention, dass die Sites mit einer identischen ASN nicht von einer anderen ASN verknüpft werden. Routing-Updates (BGP-Pakete) werden gelöscht, wenn ein anderer Standort sie empfängt.

Um dieses Problem zu beheben, wurde BGP AS-Override-Funktionalität zum ZebOS BGP-Routingmodul des Citrix ADC hinzugefügt.

Wenn AS-Override für ein Peer-Gerät aktiviert ist, ersetzt die Appliance, wenn die Citrix ADC Appliance ein BGP-Paket für die Weiterleitung an den Peer erhält und die ASN des Pakets mit der des Peers übereinstimmt, die ASN des BGP-Pakets durch ihre eigene ASN-Nummer, bevor das Paket weitergeleitet wird.

Sie können AS-Override für einen bestimmten Nachbarn oder eine Gruppe von Nachbarn (Peer-Gruppe) mithilfe der VTYSH Befehlszeile aktivieren.

So konfigurieren Sie BGP AS-Override für einen IPv4-Nachbarn mithilfe der VTYSH Befehlszeile:

Befehl Gibt an
configure terminal Geben Sie den globalen Konfigurationsmodus ein.
router BGP < ASnumber> BGP autonomes System. < ASnumber> ist ein erforderlicher Parameter.
Neighbor < IPv4 address> remote-as < as-number> Aktualisieren Sie die IPv4 BGP-Nachbartabelle mit der IPv4-Adresse des Nachbarn im angegebenen autonomen System.
Neighbor <IPv4 address> as-override Aktivieren Sie BGP als Überschreibung für den angegebenen Nachbarn.
    > VTYSH NS# configure terminal
    NS(config)# router BGP 200
    NS(config-router)# Neighbor 192.0.2.100 remote-as 100
    NS(config-router)# Neighbor 10.102.29.100 as-override

So konfigurieren Sie BGP AS-Override für eine IPv4 BGP-Peer-Gruppe mithilfe der VTYSH Befehlszeile:

Befehl Gibt an
configure terminal Geben Sie den globalen Konfigurationsmodus ein.
router BGP < ASnumber> BGP autonomes System. < ASnumber> ist ein erforderlicher Parameter.
Neighbor <peer group name> peer-group Erstellen Sie eine BGP-Peer-Gruppe.
Neighbot <IPv4 address> peer-group <peer group name> Zuordnen von Nachbarn zu der angegebenen Peer-Gruppe.
Neighbor <peer group name> remote-as < as-number> Aktualisieren Sie die IPv4 BGP-Nachbartabelle mit der IPv4-Adresse des Nachbarn im angegebenen autonomen System.
Neighbor <peer group name> as-override Aktivieren Sie BGP als Überschreibung für alle Nachbarn, die der angegebenen Peer-Gruppe zugeordnet sind.
    > VTYSH NS# configure terminal
    NS(config)# router BGP 200
    NS(config-router)# neighbor external-peers-1 peer-group
    NS(config-router)# neighbor 192.0.2.101 peer-group external-peers-1
    NS(config-router)# neighbor 192.0.2.102 peer-group external-peers-1
    NS(config-router)# neighbor 192.0.2.103 peer-group external-peers-1
    NS(config-router)# Neighbor external-peers-1 remote-as 100
    NS(config-router)# Neighbor external-peers-1 as-override

So konfigurieren Sie BGP AS-Override für einen IPv6-Nachbarn mithilfe der VTYSH Befehlszeile:

Befehl Gibt an
configure terminal Geben Sie den globalen Konfigurationsmodus ein.
router BGP < ASnumber> BGP autonomes System. < ASnumber> ist ein erforderlicher Parameter.
Neighbor < IPv6 address> remote-as < as-number> Aktualisieren Sie die IPv4 BGP-Nachbartabelle mit der IPv4-Adresse des Nachbarn im angegebenen autonomen System.
Neighbor <IPv6 address> as-override Aktivieren Sie BGP als Überschreibung für den angegebenen Nachbarn.
Address-family ipv6 Geben Sie den Konfigurationsmodus für die Adressfamilie ein.
Neighbor < IPv6 address> activate Exchange-Präfixe für die IPv6-Routerfamilie zwischen dem angegebenen Nachbarn und dem Citrix ADC unter Verwendung der lokalen Adresse.
Neighbor <IPv6 address> as-override Aktivieren Sie BGP als Überschreibung für den angegebenen Nachbarn.
    > VTYSH NS# configure terminal
    NS(config)# router BGP 200
    NS(config-router)# Neighbor a1bc::102 remote-as 100
    NS(config-router)# Neighbor a1bc::102 as-override
    NS(config-router)# Address-family ipv6
    NS(config-router-af)# Neighbor a1bc::102 activate
    NS(config-router)# Neighbor a1bc::102 as-override

So konfigurieren Sie BGP AS-Override für IPv6-Peer-Gruppe mithilfe der VTYSH Befehlszeile:

Befehl Gibt an
configure terminal Geben Sie den globalen Konfigurationsmodus ein.
router BGP < ASnumber> BGP autonomes System. < ASnumber> ist ein erforderlicher Parameter.
Neighbor <peer group name> peer-group Erstellen Sie eine BGP-Peer-Gruppe.
Neighbor <IPv6 address> peer-group <peer group name> Verknüpfen Sie einen Nachbarn mit der angegebenen Peer-Gruppe.
Neighbor <peer group name> remote-as < as-number> Aktualisieren Sie die IPv4 BGP-Nachbartabelle mit der IPv4-Adresse des Nachbarn im angegebenen autonomen System.
Neighbor <peer group name> as-override Aktivieren Sie BGP als Überschreibung für alle Nachbarn, die der angegebenen Peer-Gruppe zugeordnet sind.
Adress-Familie ipv6 Geben Sie den Konfigurationsmodus für die Adressfamilie ein.
Neighbor <peer group name> activate Exchange-Präfixe für die IPv6-Routerfamilie zwischen den Nachbarn der angegebenen Peer-Gruppe und dem Citrix ADC unter Verwendung der lokalen Linkadresse.
Neighbor <peer group name> as-override Aktivieren Sie BGP als Überschreibung für alle Nachbarn, die der angegebenen Peer-Gruppe zugeordnet sind.
    > VTYSH NS# configure terminal
    NS(config)# router BGP 200
    NS(config-router)# neighbor external-peers-2 peer-group
    NS(config-router)# neighbor 2001::1 peer-group external-peers-2
    NS(config-router)# neighbor 2001::2 peer-group external-peers-2
    NS(config-router)# Neighbor external-peers-2 remote-as 100
    NS(config-router)# Neighbor external-peers-2 as-override
    NS(config-router)# Address-family ipv6
    NS(config-router-af)# Neighbor external-peers-2 activate
    NS(config-router)# Neighbor external-peers-2 as-override

Ordnungsgemäßer Neustart

In einem Nicht-INC-Hochverfügbarkeits-Setup (HA), in dem ein Routingprotokoll konfiguriert ist, werden nach einem Failover Routingprotokolle konvergiert und Routen zwischen dem neuen primären Knoten und den benachbarten Nachbarroutern gelernt. Das Routenlernen dauert einige Zeit, bis es abgeschlossen ist. Während dieser Zeit verzögert sich die Weiterleitung von Paketen, die Netzwerkleistung kann unterbrochen werden und Pakete können gelöscht werden.

Ein ordnungsgemäßer Neustart ermöglicht es einem HA-Setup während eines Failovers, die benachbarten Router darauf hinzuweisen, die erlernten Routen des alten primären Knotens nicht aus den Routingdatenbanken zu entfernen. Mit den Routinginformationen des alten primären Knotens beginnen der neue primäre Knoten und die angrenzenden Router sofort Pakete weiterzuleiten, ohne die Netzwerkleistung zu beeinträchtigen.

Konfigurieren des ordnungsgemäßen Neustarts für BGP

Um einen ordnungsgemäßen Neustart für BGP mit der VTYSH Befehlszeile zu konfigurieren, geben Sie an der Eingabeaufforderung die folgenden Befehle in der angegebenen Reihenfolge ein:

Befehl Beispiel Befehlsbeschreibung
VTYSH VTYSH Gibt die VTYSH Eingabeaufforderung ein.
configure terminal NS# configure terminal Wechselt zum globalen Konfigurationsmodus.
<ID>Router-ID NS(config)# router-id 1.1.1.1 Eine Router-ID für die Citrix ADC Appliance. Dieser Bezeichner wird für alle dynamischen Routingprotokolle festgelegt. Der gleiche Bezeichner muss auf dem anderen Knoten in einem Hochverfügbarkeits-Setup angegeben werden, damit ein ordnungsgemäßer Neustart ordnungsgemäß funktioniert.
router bgp <AS-number> NS(config)# router bgp 5 Schaltet den BGP-Konfigurationsmodus ein.
bgp graceful-restart NS(config)# bgp graceful-restart Aktiviert einen ordnungsgemäßen Neustart auf dem BGP-Routing-Prozess.
bgp graceful-restart restart-time <1-1800> NS(config-router)# bgp graceful-restart restart-time 170 Gibt die Kulanzzeit in Sekunden an, die die Hilfsrouter nach einem Failover auf eine TCP-Verbindung vom neuen primären Knoten warten. Für diese Zeit bewahren die Hilfsrouter die Routen auf.
bgp graceful-restart stalepath-time <1-1800> NS(config-router)# bgp graceful-restart stalepath-time 180 Gibt die Zeit in Sekunden an, in der die Citrix ADC Appliance im Hilfsmodus die veralteten Routen für den Neustart von Nachbarroutern beibehält. Der Standardwert ist 360 Sekunden.
neighbor <IPv4 address of the peer router> remote-as <AS-number> NS(config-router)# neighbor 192.0.2.30 remote-as 2 Legt BGP-Peering mit dem angegebenen Nachbarrouter fest.
neighbor <IPv4 address of the peer router> capability graceful-restart NS(config-router)# neighbor 192.0.2.30 capability graceful-restart Aktiviert einen ordnungsgemäßen Neustart mit dem angegebenen Nachbarn.
redistribute kernel NS(config-router)# redistribute kernel Verteilt Kernel-Routen neu.

Konfigurieren des ordnungsgemäßen Neustarts für IPv6 BGP

In einem Nicht-INC-Hochverfügbarkeits-Setup (HA), in dem ein Routingprotokoll konfiguriert ist, werden nach einem Failover Routingprotokolle konvergiert und Routen zwischen dem neuen primären Knoten und den benachbarten Nachbarroutern gelernt. Das Routenlernen dauert einige Zeit, bis es abgeschlossen ist. Während dieser Zeit verzögert sich die Weiterleitung von Paketen, die Netzwerkleistung kann unterbrochen werden und Pakete können gelöscht werden.

Ein ordnungsgemäßen Neustart ermöglicht es einem HA-Setup während eines Failovers, die benachbarten Router darauf hinzuweisen, die erlernten Routen des alten primären Knotens nicht aus den Routingdatenbanken zu entfernen. Mit den Routinginformationen des alten primären Knotens beginnen der neue primäre Knoten und die angrenzenden Router sofort Pakete weiterzuleiten, ohne die Netzwerkleistung zu beeinträchtigen.

Um einen ordnungsgemäßigen Neustart für IPv6 BGP mithilfe der VTYSH Befehlszeile zu konfigurieren, geben Sie an der Eingabeaufforderung die folgenden Befehle in der angegebenen Reihenfolge ein:

Befehl Beispiel Befehlsbeschreibung
VTYSH VTYSH Gibt die VTYSH Eingabeaufforderung ein.
configure terminal NS# configure terminal Wechselt zum globalen Konfigurationsmodus.
router-id <id> NS(config)# router-id 1.1.1.1 Legt eine Router-ID für die Citrix ADC Appliance fest. Dieser Bezeichner wird für alle dynamischen Routingprotokolle festgelegt. Die gleiche ID muss auf dem anderen Knoten in einem Hochverfügbarkeits-Setup angegeben werden, damit ein ordnungsgemäßer Neustart ordnungsgemäß funktioniert.
router bgp <AS-number> NS(config)# router bgp 5 Schaltet den Konfigurationsmodus für das BGP-Protokoll ein.
bgp graceful-restart NS(config)# bgp graceful-restart Aktiviert einen ordnungsgemäßen Neustart auf dem BGP-Routing-Prozess.
bgp graceful-restart restart-time <1-1800> NS(config-router)# bgp graceful-restart restart-time 170 Gibt die Kulanzzeit in Sekunden an, die die Hilfsrouter nach einem Failover auf eine TCP-Verbindung vom neuen primären Knoten warten. Für diese Zeit bewahren die Hilfsrouter die Routen auf. Der Standardwert ist 360 Sekunden.
bgp graceful-restart stalepath-time <1-1800> NS(config-router)# bgp graceful-restart stalepath-time 180 Gibt die Zeit in Sekunden an, in der die Citrix ADC Appliance im Hilfsmodus die veralteten Routen für den Neustart von Nachbarroutern beibehält. Der Standardwert ist 360 Sekunden.
neighbor <IPv6 address> remote-as <AS-number> NS(config-router)# neighbor 2001:db8::10 remote-as 2 Legt BGP-Peering mit dem angegebenen Nachbarrouter fest.
address-family ipv6 NS(config-router)#address-family ipv6 Wechselt zum Konfigurationsmodus für die Adressenfamilie.
neighbor <IPv6 address of the neighbor> activate NS(config-router-af)#neighbor 2001:db8::10 activate Aktiviert den Austausch von Adressen Familienrouten mit dem angegebenen Nachbarrouter-Gerät.
neighbor <IPv6 address of the neighbor> capability graceful-restart NS(config-router-af)#neighbor 2001:db8::10 capability graceful-restart Aktiviert einen ordnungsgemäßen Neustart mit dem angegebenen Nachbarrouter-Gerät.
redistribute kernel NS(config-router-af)#redistribute kernel Verteilt Kernel-Routen neu.
exit-address-family NS(config-router-af)#exit-address-family Beendet den Konfigurationsmodus für die Adressfamilie.

Konfigurieren der MD5-Authentifizierung für IPv4 BGP

Die Citrix ADC Appliance unterstützt MD5-Authentifizierung für BGP (Border Gateway Protocol). Wenn die Authentifizierung aktiviert ist, wird jedes TCP-Segment, das zu BGP gehört, das zwischen der Citrix ADC Appliance und ihrem Peer-Gerät ausgetauscht wird, nur überprüft und akzeptiert, wenn die Authentifizierung erfolgreich ist. Damit die Authentifizierung erfolgreich ist, müssen beide Peers mit demselben MD5-Kennwort konfiguriert werden. Wenn die Authentifizierung fehlschlägt, wird die BGP-Nachbarbeziehung nicht hergestellt. MD5-Authentifizierungsunterstützung für BGP in der Citrix ADC Appliance ist mit RFC 2385 kompatibel.

Bevor Sie beginnen

Bevor Sie mit der Konfiguration der BGP MD5-Authentifizierung beginnen, sollten Sie die folgenden Punkte beachten:

  • Stellen Sie sicher, dass Sie die verschiedenen Komponenten der BGP MD5-Authentifizierung kennen, die in RFC 2385 beschrieben sind.
  • Die BGP-MD5-Authentifizierung wird für Citrix ADC Adminpartitionen nicht unterstützt.
  • Die BGP MD5-Authentifizierung wird für IPv6 BGP-Konfigurationen nicht unterstützt.
  • Die BGP-MD5-Authentifizierung wird sowohl für Citrix ADC Clusterkonfigurationen als auch für Hochverfügbarkeitskonfigurationen unterstützt.
  • Aufgrund des folgenden Problems in FreeBSD empfiehlt Citrix, einen niedrigen Keep-Live- und Haltezeitwert festzulegen (z. B. 5 und 15) und einen ordnungsgemäßen Neustart für eine BGP-Sitzung in einer Layer-2-Hochverfügbarkeitskonfiguration zu konfigurieren. Andernfalls nimmt BGP bei aktivierter MD5-Authentifizierung möglicherweise eine längere Zeit in Anspruch, um eine Verbindung mit dem Nachbarn nach einem Failover wiederherzustellen.

Konfigurieren der MD5-Authentifizierung für IPv4 BGP

Um die MD5-Authentifizierung für IPv4 BGP mithilfe der VTYSH Befehlszeile zu konfigurieren, geben Sie an der Eingabeaufforderung die folgenden Befehle in der angegebenen Reihenfolge ein:

Befehl Gibt an
vtysh Zeigt die VTYSH Eingabeaufforderung an.
configure terminal Wechselt zum globalen Konfigurationsmodus.
router bgp <AS-number> Schaltet den Konfigurationsmodus für das BGP-Protokoll ein. <AS-number>ist eine autonome BGP-Systemnummer und ein erforderlicher Parameter.
neighbor <neighbour IPv4 address> remote-as < AS-number > Aktualisiert die IPv4 BGP-Tabelle mit der IPv4-Adresse des Nachbarn im angegebenen autonomen System.
neighbor < neighbour IPv4 address > password < password in double quotes> Konfiguriert die MD5-Authentifizierung für den angegebenen Nachbarn mit dem angegebenen MD5-Kennwort. Damit die MD5-Authentifizierung erfolgreich ist, müssen Sie dasselbe MD5-Kennwort auf der Citrix ADC Appliance und der Nachbar-Appliance konfigurieren.
> vtysh

ns# configure terminal

ns(config)#router bgp 5

ns(config-router)#neighbor 20.20.20.138 remote-as 1

ns(config-router)#neighbor 20.20.20.138 password “secret”

ns(config-router)#redistribute kernel

ns(config-router)#exit