Citrix ADC

Configuración de BGP

El dispositivo Citrix ADC admite BGP (RFC 4271). Las funciones de BGP en Citrix ADC son:

  • El Citrix ADC anuncia rutas a pares BGP.
  • Citrix ADC inyecta rutas de host a direcciones IP virtuales (VIP), según lo determinado por el estado de los servidores virtuales subyacentes.
  • Citrix ADC genera archivos de configuración para ejecutar BGP en el nodo secundario después de la conmutación por error en una configuración de alta disponibilidad.
  • Este protocolo admite intercambios de rutas IPv6.
  • As-Override en el protocolo de puerta de enlace

Después de habilitar BGP, debe configurar el anuncio de las rutas BGP. Para solucionar problemas, puede limitar la propagación de BGP. Puede mostrar la configuración de BGP para verificar la configuración.

Requisitos previos para BGP IPv6

Antes de empezar a configurar BGP de IPv6, haga lo siguiente:

  • Asegúrese de entender el protocolo BGP IPv6.
  • Habilite la función IPv6.

Habilitación y desactivación de BGP

Para habilitar o inhabilitar BGP, debe usar la CLI o la GUI. Cuando BGP está habilitado, el dispositivo Citrix ADC inicia el proceso BGP. Cuando BGP está inhabilitado, el dispositivo detiene el proceso BGP.

Para habilitar o inhabilitar la redirección BGP mediante la CLI:

En el símbolo del sistema, escriba uno de los siguientes comandos:

  • enable ns feature BGP

  • disable ns feature BGP

Para habilitar o inhabilitar la redirección BGP mediante la GUI:

  1. Vaya a Sistema > Configuración, en el grupo Modos y funciones, haga clic en Cambiar funciones avanzadas.
  2. Seleccione o desactive la opción Redirección BGP.

Publicidad de rutas IPv4

Puede configurar el dispositivo Citrix ADC para anunciar rutas de host a VIP y para anunciar rutas a redes descendentes.

Para configurar BGP para que anuncie rutas IPv4 mediante la línea de comandos VTYSH:

En el símbolo del sistema, escriba los siguientes comandos, en el orden que se muestra:

Comando Especifica
VTYSH Muestra el símbolo del sistema VTYSH.
configure terminal Acceda al modo de configuración global.
router BGP < ASnumber> Sistema autónomo BGP. < ASnumber> es un parámetro obligatorio. Valores posibles: De 1 a 4.294.967.295.
Neighbor < IPv4 address> remote-as < as-number> Actualice la tabla de vecinos BGP de IPv4 con la dirección IPv4 local de enlace del vecino en el sistema autónomo especificado.
Address-family ipv4 Entre en el modo de configuración de la familia de direcciones.
Neighbor < IPv4 address> activate Intercambie prefijos para la familia de enrutadores IPv4 entre el par y el nodo local mediante la dirección local del enlace.
redistribute kernel Redistribuya las rutas del núcleo.
redistribute static Redistribuya las rutas estáticas.

Ejemplo:


>VTYSH
NS# configure terminal
NS(config)# router BGP 5
NS(config-router)# Neighbor 10.102.29.170 remote-as 100
NS(config-router)# Address-family ipv4
NS(config-router-af)# Neighbor 10.102.29.170 activate
NS(config-router)# redistribute kernel
NS(config-router)# redistribute static
<!--NeedCopy-->

Requisitos previos para BGP IPv6

Antes de empezar a configurar BGP de IPv6, haga lo siguiente:

  • Asegúrese de entender el protocolo BGP IPv6.
  • Habilite la función IPv6.

Publicidad de rutas BGP IPv6

Border Gateway Protocol (BGP) permite que un enrutador ascendente equilibre la carga del tráfico entre dos servidores virtuales idénticos alojados en dos dispositivos Citrix ADC independientes. La publicidad de rutas permite que un enrutador ascendente realice un seguimiento de las entidades de red ubicadas detrás de Citrix ADC.

Para configurar BGP para que anuncie rutas IPv6 mediante la línea de comandos VTYSH:

En el símbolo del sistema, escriba los siguientes comandos, en el orden que se muestra:

Comando Especifica
VTYSH Muestra el símbolo del sistema VTYSH.
configure terminal Acceda al modo de configuración global.
router BGP < ASnumber> Sistema autónomo BGP. < ASnumber> es un parámetro obligatorio. Valores posibles: De 1 a 4.294.967.295.
Neighbor < IPv6 address> remote-as < as-number> Actualice la tabla de vecinos BGP de IPv6 con la dirección IPv6 local de enlace del vecino en el sistema autónomo especificado.
Address-family ipv6 Entre en el modo de configuración de la familia de direcciones.
Neighbor < IPv6 address> activate Intercambie prefijos para la familia de enrutadores IPv6 entre el par y el nodo local mediante la dirección local del enlace.
redistribute kernel Redistribuya las rutas del núcleo.
redistribute static Redistribuya las rutas estáticas.

Ejemplo:


>VTYSH
NS# configure terminal
NS(config)# router BGP 5
NS(config-router)# Neighbor a1bc::102 remote-as 100
NS(config-router)# Address-family ipv6
NS(config-router-af)# Neighbor a1bc::102 activate
NS(config-router)# redistribute kernel
NS(config-router)# redistribute static
<!--NeedCopy-->

Verificación de la configuración de BGP

Puede utilizar VTYSH para mostrar la configuración de BGP.

Para ver la configuración de BGP mediante la línea de comandos VTYSH

En el símbolo del sistema, escriba:

VTYSH
You are now in the VTYSH command prompt. An output similar to the following appears:
NS170#
At the VTYSH command prompt, type:
NS170# sh ip BGP
NS170# sh BGP
NS170# sh ip BGP neighbors
NS170# sh ip BGP summary
NS170# sh ip BGP route-map <map-tag>
<!--NeedCopy-->

As-Override en el protocolo de puerta de enlace

Como parte de la funcionalidad de prevención de bucles BGP, si un router recibe un paquete BGP que contiene el número de sistema autónomo (ASN) del router en la ruta de sistemas autónomos (AS), el router descarta el paquete. Se supone que el paquete se originó en el enrutador y ha llegado al lugar desde donde se originó.

Si una empresa tiene varios sitios con un mismo ASN, la prevención de bucles BGP hace que los sitios con un ASN idéntico no se vinculen con otro ASN. Las actualizaciones de redirección (paquetes BGP) se eliminan cuando otro sitio las recibe.

Para resolver este problema, se ha agregado la funcionalidad de BGP AS-Override al módulo de redirección ZebOS BGP del Citrix ADC.

Con AS-override habilitado para un dispositivo par, cuando el dispositivo Citrix ADC recibe un paquete BGP para reenviarlo al par y el ASN del paquete coincide con el del mismo, el dispositivo reemplaza el ASN del paquete BGP con su propio número ASN antes de reenviar el paquete.

Puede habilitar AS-Override para un vecino específico o un grupo de vecinos (grupo de pares) mediante la línea de comandos VTYSH.

Para configurar BGP AS-Override para un vecino IPv4 mediante la línea de comandos VTYSH:

Comando Especifica
configure terminal Acceda al modo de configuración global.
router BGP < ASnumber> Sistema autónomo BGP. < ASnumber> es un parámetro obligatorio.
Neighbor < IPv4 address> remote-as < as-number> Actualice la tabla de vecinos BGP de IPv4 con la dirección IPv4 del vecino en el sistema autónomo especificado.
Neighbor <IPv4 address> as-override Habilite BGP como anulación para el vecino especificado.
    > VTYSH NS# configure terminal
    NS(config)# router BGP 200
    NS(config-router)# Neighbor 192.0.2.100 remote-as 100
    NS(config-router)# Neighbor 10.102.29.100 as-override
<!--NeedCopy-->

Para configurar BGP AS-Override para un grupo de pares BGP IPv4 mediante la línea de comandos VTYSH:

Comando Especifica
configure terminal Acceda al modo de configuración global.
router BGP < ASnumber> Sistema autónomo BGP. < ASnumber> es un parámetro obligatorio.
Neighbor <peer group name> peer-group Cree un grupo de pares BGP.
Neighbot <IPv4 address> peer-group <peer group name> Asocia vecinos al grupo de pares especificado.
Neighbor <peer group name> remote-as < as-number> Actualice la tabla de vecinos BGP de IPv4 con la dirección IPv4 del vecino en el sistema autónomo especificado.
Neighbor <peer group name> as-override Habilite BGP como anulación para todos los vecinos que están asociados con el grupo de pares especificado.
    > VTYSH NS# configure terminal
    NS(config)# router BGP 200
    NS(config-router)# neighbor external-peers-1 peer-group
    NS(config-router)# neighbor 192.0.2.101 peer-group external-peers-1
    NS(config-router)# neighbor 192.0.2.102 peer-group external-peers-1
    NS(config-router)# neighbor 192.0.2.103 peer-group external-peers-1
    NS(config-router)# Neighbor external-peers-1 remote-as 100
    NS(config-router)# Neighbor external-peers-1 as-override
<!--NeedCopy-->

Para configurar BGP AS-Override para un vecino IPv6 mediante la línea de comandos VTYSH:

Comando Especifica
configure terminal Acceda al modo de configuración global.
router BGP < ASnumber> Sistema autónomo BGP. < ASnumber> es un parámetro obligatorio.
Neighbor < IPv6 address> remote-as < as-number> Actualice la tabla de vecinos BGP de IPv4 con la dirección IPv4 del vecino en el sistema autónomo especificado.
Neighbor <IPv6 address> as-override Habilite BGP como anulación para el vecino especificado.
Address-family ipv6 Entre en el modo de configuración de la familia de direcciones.
Neighbor < IPv6 address> activate Intercambie prefijos para la familia de enrutadores IPv6 entre el vecino especificado y el Citrix ADC mediante la dirección local del enlace.
Neighbor <IPv6 address> as-override Habilite BGP como anulación para el vecino especificado.
    > VTYSH NS# configure terminal
    NS(config)# router BGP 200
    NS(config-router)# Neighbor a1bc::102 remote-as 100
    NS(config-router)# Neighbor a1bc::102 as-override
    NS(config-router)# Address-family ipv6
    NS(config-router-af)# Neighbor a1bc::102 activate
    NS(config-router)# Neighbor a1bc::102 as-override
<!--NeedCopy-->

Para configurar BGP AS-Override para el grupo de pares IPv6 mediante la línea de comandos VTYSH:

Comando Especifica
configure terminal Acceda al modo de configuración global.
router BGP < ASnumber> Sistema autónomo BGP. < ASnumber> es un parámetro obligatorio.
Neighbor <peer group name> peer-group Cree un grupo de pares BGP.
Neighbor <IPv6 address> peer-group <peer group name> Asocia un vecino al grupo de pares especificado.
Neighbor <peer group name> remote-as < as-number> Actualice la tabla de vecinos BGP de IPv4 con la dirección IPv4 del vecino en el sistema autónomo especificado.
Neighbor <peer group name> as-override Habilite BGP como anulación para todos los vecinos que están asociados con el grupo de pares especificado.
Address-family ipv6 Entre en el modo de configuración de la familia de direcciones.
Neighbor <peer group name> activate Intercambie prefijos para la familia de enrutadores IPv6 entre los vecinos del grupo de pares especificado y el Citrix ADC mediante la dirección local del enlace.
Neighbor <peer group name> as-override Habilite BGP como anulación para todos los vecinos que están asociados con el grupo de pares especificado.
    > VTYSH NS# configure terminal
    NS(config)# router BGP 200
    NS(config-router)# neighbor external-peers-2 peer-group
    NS(config-router)# neighbor 2001::1 peer-group external-peers-2
    NS(config-router)# neighbor 2001::2 peer-group external-peers-2
    NS(config-router)# Neighbor external-peers-2 remote-as 100
    NS(config-router)# Neighbor external-peers-2 as-override
    NS(config-router)# Address-family ipv6
    NS(config-router-af)# Neighbor external-peers-2 activate
    NS(config-router)# Neighbor external-peers-2 as-override
<!--NeedCopy-->

Reinicio estable

En una configuración de alta disponibilidad (HA) no INC en la que se configura un protocolo de redirección, después de una conmutación por error, los protocolos de redirección se convergen y se aprenden las rutas entre el nuevo nodo principal y los enrutadores vecinos adyacentes. El aprendizaje en ruta tarda algún tiempo en completarse. Durante este tiempo, el reenvío de paquetes se retrasa, el rendimiento de la red puede verse afectado y los paquetes pueden caerse.

El reinicio estable permite que una configuración de alta disponibilidad durante una conmutación por error dirija a sus enrutadores adyacentes para que no eliminen las rutas aprendidas del nodo principal antiguo de sus bases de datos de redirección. Mediante la información de redirección del nodo principal antiguo, el nuevo nodo primario y los enrutadores adyacentes comienzan inmediatamente a reenviar paquetes, sin interrumpir el rendimiento de la red.

Nota:

El reinicio estable no es compatible con las configuraciones de alta disponibilidad en modo INC.

Configuración de reinicio estable para BGP

Para configurar el reinicio estable para BGP mediante la línea de comandos VTYSH, en el símbolo del sistema, escriba los siguientes comandos, en el orden que se muestra:

Comando Ejemplo Descripción del comando
VTYSH VTYSH Entra en el símbolo del sistema VTYSH.
configure terminal Configuración de terminal NS# Entra en el modo de configuración global.
router-id <ID> NS(config)# router-id 1.1.1.1 Un identificador de enrutador para el dispositivo Citrix ADC. Este identificador se establece para todos los protocolos de redirección dinámica. El mismo identificador debe especificarse en el otro nodo en una configuración de alta disponibilidad para que el reinicio correcto funcione correctamente.
router bgp <AS-number> NS(config)# router bgp 5 Entra en el modo de configuración BGP.
bgp graceful-restart NS(config)# bgp graceful-restart Habilita el reinicio estable en el proceso de redirección BGP.
bgp graceful-restart restart-time <1-1800> NS(config-router)# bgp graceful-restart restart-time 170 Especifica el período de gracia, en segundos, en el que los enrutadores auxiliares esperan una conexión TCP desde el nuevo nodo principal después de una conmutación por error. Durante esta cantidad de tiempo, los enrutadores auxiliares conservan las rutas.
bgp graceful-restart stalepath-time <1-1800> NS(config-router)# bgp graceful-restart stalepath-time 180 Especifica el tiempo, en segundos, que el dispositivo Citrix ADC en modo auxiliar conserva las rutas obsoletas para reiniciar los enrutadores vecinos. El valor predeterminado es 360 segundos.
neighbor <IPv4 address of the peer router> remote-as <AS-number> NS(config-router)# neighbor 192.0.2.30 remote-as 2 Establece el interconexión BGP con el dispositivo de enrutador vecino especificado.
neighbor <IPv4 address of the peer router> capability graceful-restart NS(config-router)# neighbor 192.0.2.30 capability graceful-restart Permite un reinicio estable con el vecino especificado.
redistribute kernel NS(config-router)# redistribute kernel Redistribuye las rutas del núcleo.

Configuración de reinicio estable para IPv6 BGP

Para configurar el reinicio estable para BGP de IPv6 mediante la línea de comandos VTYSH, en el símbolo del sistema, escriba los siguientes comandos, en el orden que se muestra:

Comando Ejemplo Descripción del comando
VTYSH VTYSH Entra en el símbolo del sistema VTYSH.
configure terminal NS# configure terminal Entra en el modo de configuración global.
router-id <id> NS(config)# router-id 1.1.1.1 Establece un identificador de enrutador para el dispositivo Citrix ADC. Este identificador se establece para todos los protocolos de redirección dinámica. El mismo identificador debe especificarse en el otro nodo en una configuración de alta disponibilidad para que el reinicio correcto funcione correctamente.
router bgp <AS-number> NS(config)# router bgp 5 Entra en el modo de configuración del protocolo BGP.
bgp graceful-restart NS(config)# bgp graceful-restart Habilita el reinicio estable en el proceso de redirección BGP.
bgp graceful-restart restart-time <1-1800> NS(config-router)# bgp graceful-restart restart-time 170 Especifica el período de gracia, en segundos, en el que los enrutadores auxiliares esperan una conexión TCP desde el nuevo nodo principal después de una conmutación por error. Durante esta cantidad de tiempo, los enrutadores auxiliares conservan las rutas. El valor predeterminado es 360 segundos.
bgp graceful-restart stalepath-time <1-1800> NS(config-router)# bgp graceful-restart stalepath-time 180 Especifica el tiempo, en segundos, que el dispositivo Citrix ADC en modo auxiliar conserva las rutas obsoletas para reiniciar los enrutadores vecinos. El valor predeterminado es 360 segundos.
neighbor <IPv6 address> remote-as <AS-number> NS(config-router)# neighbor 2001:db8::10 remote-as 2 Establece el interconexión BGP con el dispositivo de enrutador vecino especificado.
address-family ipv6 NS(config-router)#address-family ipv6 Accede al modo de configuración de la familia de direcciones.
neighbor <IPv6 address of the neighbor> activate NS(config-router-af)#neighbor 2001:db8::10 activate Permite el intercambio de rutas de familias de direcciones con el dispositivo de enrutador vecino especificado.
neighbor <IPv6 address of the neighbor> capability graceful-restart NS(config-router-af)#neighbor 2001:db8::10 capability graceful-restart Permite el reinicio estable con el dispositivo de enrutador vecino especificado.
redistribute kernel NS(config-router-af)#redistribute kernel Redistribuye las rutas del núcleo.
exit-address-family NS(config-router-af)#exit-address-family Sale del modo de configuración de la familia de direcciones.

Configuración de la autenticación MD5 para BGP de IPv4

El dispositivo Citrix ADC admite la autenticación MD5 para el protocolo Border Gateway (BGP). Cuando la autenticación está habilitada, cualquier segmento TCP perteneciente a BGP intercambiado entre el dispositivo Citrix ADC y su dispositivo del mismo nivel se verifica y acepta solo si la autenticación se realiza correctamente. Para que la autenticación sea correcta, ambos pares deben configurarse con la misma contraseña MD5. Si la autenticación falla, no se establece la relación de vecinos de BGP. La compatibilidad con la autenticación MD5 para BGP en el dispositivo Citrix ADC cumple con RFC 2385.

Antes de comenzar

Antes de empezar a configurar la autenticación BGP MD5, tenga en cuenta los siguientes puntos:

  • Asegúrese de que comprende los diferentes componentes de la autenticación BGP MD5, descritos en RFC 2385.
  • La autenticación BGP MD5 no se admite en las particiones de administración de Citrix ADC.
  • La autenticación BGP MD5 no se admite para las configuraciones de BGP IPv6.
  • La autenticación BGP MD5 es compatible con las configuraciones de clústeres de Citrix ADC, así como para las configuraciones de alta disponibilidad.
  • Debido al siguiente problema en FreeBSD, Citrix recomienda establecer valores bajos de mantenimiento y tiempo de espera (por ejemplo, 5 y 15) y configurar el reinicio sin problemas para una sesión BGP en una configuración de alta disponibilidad de Capa 2. De lo contrario, con la autenticación MD5 habilitada, BGP podría tardar más en restablecer una conexión con el vecino después de una conmutación por error.

Configuración de la autenticación MD5 para BGP de IPv4

Para configurar la autenticación MD5 para BGP de IPv4 mediante la línea de comandos VTYSH, en el símbolo del sistema, escriba los siguientes comandos, en el orden que se muestra:

Comando Especifica
vtysh Muestra el símbolo del sistema VTYSH.
configure terminal Entra en el modo de configuración global.
router bgp <AS-number> Entra en el modo de configuración del protocolo BGP. <AS-number>es un número de sistema autónomo BGP y es un parámetro obligatorio.
neighbor <neighbour IPv4 address> remote-as < AS-number > Actualiza la tabla BGP de IPv4 con la dirección IPv4 del vecino en el sistema autónomo especificado.
neighbor < neighbour IPv4 address > password < password in double quotes> Configura la autenticación MD5 para el vecino especificado con la contraseña MD5 especificada. Para que la autenticación MD5 se realice correctamente, debe configurar la misma contraseña MD5 en el dispositivo Citrix ADC y en el dispositivo vecino.
> vtysh

ns# configure terminal

ns(config)#router bgp 5

ns(config-router)#neighbor 20.20.20.138 remote-as 1

ns(config-router)#neighbor 20.20.20.138 password “secret”

ns(config-router)#redistribute kernel

ns(config-router)#exit

<!--NeedCopy-->