Citrix ADC

Configuración de BGP

El dispositivo Citrix ADC admite BGP (RFC 4271). Las funciones de BGP en Citrix ADC son:

  • Citrix ADC anuncia rutas a los pares BGP.
  • Citrix ADC inyecta rutas de host a direcciones IP virtuales (VIP), según lo determinado por el estado de los servidores virtuales subyacentes.
  • Citrix ADC genera archivos de configuración para ejecutar BGP en el nodo secundario después de la conmutación por error en una configuración de alta disponibilidad.
  • Este protocolo admite intercambios de rutas IPv6.
  • Compatibilidad con AS-Override en el protocolo de puerta de enlace de frontera

Después de habilitar BGP, debe configurar el anuncio de rutas BGP. Para solucionar problemas, puede limitar la propagación de BGP. Puede mostrar la configuración de BGP para verificar la configuración.

Requisitos previos para IPv6 BGP

Antes de comenzar a configurar IPv6 BGP, haga lo siguiente:

  • Asegúrese de que comprende el protocolo IPv6 BGP.
  • Habilite la función IPv6.

Activación y desactivación de BGP

Para habilitar o inhabilitar BGP, debe usar la CLI o la GUI. Cuando BGP está habilitado, el dispositivo Citrix ADC inicia el proceso BGP. Cuando BGP está inhabilitado, el dispositivo detiene el proceso BGP.

Para habilitar o inhabilitar el enrutamiento BGP mediante la CLI:

En el símbolo del sistema, escriba uno de los siguientes comandos:

  • habilitar el BGP de función ns

  • desactivar la función ns BGP

Para habilitar o inhabilitar el enrutamiento BGP mediante la GUI:

  1. Desplácese hasta Sistema > Configuración, en el grupo Modos y funciones, haga clic en Cambiar funciones avanzadas.
  2. Seleccione o desactive la opción Enrutamiento BGP.

Publicidad de rutas IPv4

Puede configurar el dispositivo Citrix ADC para anunciar rutas de host a VIP y para anunciar rutas a redes descendentes.

Para configurar BGP para que anuncie rutas IPv4 mediante la línea de comandos VTYSH:

En el símbolo del sistema, escriba los siguientes comandos, en el orden que se muestra:

Comando Especifica
VTYSH Muestra el símbolo del sistema VTYSH.
configure terminal Acceda al modo de configuración global.
router BGP < ASnumber> Sistema autónomo BGP. < ASnumber>es un parámetro obligatorio. Valores posibles: 1 a 4.294.967.295.
Neighbor < IPv4 address> remote-as < as-number> Actualice la tabla de vecinos IPv4 BGP con la dirección IPv4 local de enlace del vecino en el sistema autónomo especificado.
Familia de direcciones IPv4 Introduzca el modo de configuración de familia de direcciones.
Neighbor < IPv4 address> activate Intercambie prefijos para la familia de enrutadores IPv4 entre el par y el nodo local mediante la dirección local del vínculo.
redistribute kernel Redistribuir las rutas del núcleo.
redistribute static Redistribuir rutas estáticas.

Ejemplo:


>VTYSH
NS# configure terminal
NS(config)# router BGP 5
NS(config-router)# Neighbor 10.102.29.170 remote-as 100
NS(config-router)# Address-family ipv4
NS(config-router-af)# Neighbor 10.102.29.170 activate
NS(config-router)# redistribute kernel
NS(config-router)# redistribute static

Requisitos previos para IPv6 BGP

Antes de comenzar a configurar IPv6 BGP, haga lo siguiente:

  • Asegúrese de que comprende el protocolo IPv6 BGP.
  • Habilite la función IPv6.

Publicidad de rutas BGP IPv6

Border Gateway Protocol (BGP) permite a un router ascendente equilibrar la carga del tráfico entre dos servidores virtuales idénticos alojados en dos dispositivos Citrix ADC independientes. La publicidad de rutas permite que un router ascendente realice un seguimiento de las entidades de red ubicadas detrás del Citrix ADC.

Para configurar BGP para que anuncie rutas IPv6 mediante la línea de comandos VTYSH:

En el símbolo del sistema, escriba los siguientes comandos, en el orden que se muestra:

Comando Especifica
VTYSH Muestra el símbolo del sistema VTYSH.
configure terminal Acceda al modo de configuración global.
router BGP < ASnumber> Sistema autónomo BGP. < ASnumber>es un parámetro obligatorio. Valores posibles: 1 a 4.294.967.295.
Neighbor < IPv6 address> remote-as < as-number> Actualice la tabla de vecinos IPv6 BGP con la dirección IPv6 local del vínculo del vecino en el sistema autónomo especificado.
Familia de direcciones IPv6 Introduzca el modo de configuración de familia de direcciones.
Neighbor < IPv6 address> activate Exchange prefijos para la familia de enrutadores IPv6 entre el par y el nodo local mediante la dirección local del vínculo.
redistribute kernel Redistribuir las rutas del núcleo.
redistribute static Redistribuir rutas estáticas.

Ejemplo:


>VTYSH
NS# configure terminal
NS(config)# router BGP 5
NS(config-router)# Neighbor a1bc::102 remote-as 100
NS(config-router)# Address-family ipv6
NS(config-router-af)# Neighbor a1bc::102 activate
NS(config-router)# redistribute kernel
NS(config-router)# redistribute static

Verificación de la configuración de BGP

Puede utilizar VTYSH para mostrar la configuración de BGP.

Para ver la configuración de BGP mediante la línea de comandos VTYSH

En el símbolo del sistema, escriba:

VTYSH
You are now in the VTYSH command prompt. An output similar to the following appears:
NS170#
At the VTYSH command prompt, type:
NS170# sh ip BGP
NS170# sh BGP
NS170# sh ip BGP neighbors
NS170# sh ip BGP summary
NS170# sh ip BGP route-map <map-tag>

Compatibilidad con AS-Override en el protocolo de puerta de enlace de frontera

Como parte de la funcionalidad de prevención de bucles BGP, si un enrutador recibe un paquete BGP que contiene el número de sistema autónomo (ASN) del enrutador en la ruta de acceso de sistemas autónomos (AS), el enrutador descarta el paquete. La suposición es que el paquete se originó desde el router y ha llegado al lugar desde donde se originó.

Si una empresa tiene varios sitios con un mismo ASN, la prevención de bucle BGP hace que los sitios con un ASN idéntico no se vinculen por otro ASN. Las actualizaciones de enrutamiento (paquetes BGP) se eliminan cuando otro sitio las recibe.

Para resolver este problema, se ha agregado la funcionalidad de BGP AS-Override al módulo de enrutamiento ZebOS BGP del Citrix ADC.

Con AS-Override habilitado para un dispositivo del mismo nivel, cuando el dispositivo Citrix ADC recibe un paquete BGP para reenviarlo al mismo, y el ASN del paquete coincide con el del mismo, el dispositivo reemplaza el ASN del paquete BGP por su propio número ASN antes de reenviar el paquete.

Puede habilitar AS-Override para un vecino específico o un grupo de vecinos (grupo de pares) mediante la línea de comandos VTYSH.

Para configurar BGP AS-Override para un vecino IPv4 mediante la línea de comandos VTYSH:

Comando Especifica
configure terminal Acceda al modo de configuración global.
router BGP < ASnumber> Sistema autónomo BGP. < ASnumber>es un parámetro obligatorio.
Neighbor < IPv4 address> remote-as < as-number> Actualice la tabla de vecinos IPv4 BGP con la dirección IPv4 del vecino en el sistema autónomo especificado.
Neighbor <IPv4 address> as-override Habilite BGP como anulación para el vecino especificado.
    > VTYSH NS# configure terminal
    NS(config)# router BGP 200
    NS(config-router)# Neighbor 192.0.2.100 remote-as 100
    NS(config-router)# Neighbor 10.102.29.100 as-override

Para configurar BGP AS-Override para un grupo de pares BGP IPv4 mediante la línea de comandos VTYSH:

Comando Especifica
configure terminal Acceda al modo de configuración global.
router BGP < ASnumber> Sistema autónomo BGP. < ASnumber>es un parámetro obligatorio.
Neighbor <peer group name> peer-group Cree un grupo de pares BGP.
Neighbot <IPv4 address> peer-group <peer group name> Asocie vecinos al grupo de pares especificado.
Neighbor <peer group name> remote-as < as-number> Actualice la tabla de vecinos IPv4 BGP con la dirección IPv4 del vecino en el sistema autónomo especificado.
Neighbor <peer group name> as-override Habilite BGP como anulación para todos los vecinos asociados con el grupo de pares especificado.
    > VTYSH NS# configure terminal
    NS(config)# router BGP 200
    NS(config-router)# neighbor external-peers-1 peer-group
    NS(config-router)# neighbor 192.0.2.101 peer-group external-peers-1
    NS(config-router)# neighbor 192.0.2.102 peer-group external-peers-1
    NS(config-router)# neighbor 192.0.2.103 peer-group external-peers-1
    NS(config-router)# Neighbor external-peers-1 remote-as 100
    NS(config-router)# Neighbor external-peers-1 as-override

Para configurar BGP AS-Override para un vecino IPv6 mediante la línea de comandos VTYSH:

Comando Especifica
configure terminal Acceda al modo de configuración global.
router BGP < ASnumber> Sistema autónomo BGP. < ASnumber>es un parámetro obligatorio.
Neighbor < IPv6 address> remote-as < as-number> Actualice la tabla de vecinos IPv4 BGP con la dirección IPv4 del vecino en el sistema autónomo especificado.
Neighbor <IPv6 address> as-override Habilite BGP como anulación para el vecino especificado.
Address-family ipv6 Introduzca el modo de configuración de familia de direcciones.
Neighbor < IPv6 address> activate Exchange prefijos para la familia de enrutadores IPv6 entre el vecino especificado y el Citrix ADC mediante la dirección local del vínculo.
Neighbor <IPv6 address> as-override Habilite BGP como anulación para el vecino especificado.
    > VTYSH NS# configure terminal
    NS(config)# router BGP 200
    NS(config-router)# Neighbor a1bc::102 remote-as 100
    NS(config-router)# Neighbor a1bc::102 as-override
    NS(config-router)# Address-family ipv6
    NS(config-router-af)# Neighbor a1bc::102 activate
    NS(config-router)# Neighbor a1bc::102 as-override

Para configurar BGP AS-Override para el grupo de pares IPv6 mediante la línea de comandos VTYSH:

Comando Especifica
configure terminal Acceda al modo de configuración global.
router BGP < ASnumber> Sistema autónomo BGP. < ASnumber>es un parámetro obligatorio.
Neighbor <peer group name> peer-group Cree un grupo de pares BGP.
Neighbor <IPv6 address> peer-group <peer group name> Asocie un vecino al grupo de pares especificado.
Neighbor <peer group name> remote-as < as-number> Actualice la tabla de vecinos IPv4 BGP con la dirección IPv4 del vecino en el sistema autónomo especificado.
Neighbor <peer group name> as-override Habilite BGP como anulación para todos los vecinos asociados con el grupo de pares especificado.
Address-family ipv6 Introduzca el modo de configuración de familia de direcciones.
Neighbor <peer group name> activate Exchange prefijos para la familia de enrutadores IPv6 entre los vecinos del grupo del mismo nivel especificado y el Citrix ADC mediante la dirección local del vínculo.
Neighbor <peer group name> as-override Habilite BGP como anulación para todos los vecinos asociados con el grupo de pares especificado.
    > VTYSH NS# configure terminal
    NS(config)# router BGP 200
    NS(config-router)# neighbor external-peers-2 peer-group
    NS(config-router)# neighbor 2001::1 peer-group external-peers-2
    NS(config-router)# neighbor 2001::2 peer-group external-peers-2
    NS(config-router)# Neighbor external-peers-2 remote-as 100
    NS(config-router)# Neighbor external-peers-2 as-override
    NS(config-router)# Address-family ipv6
    NS(config-router-af)# Neighbor external-peers-2 activate
    NS(config-router)# Neighbor external-peers-2 as-override

Reinicio agraciado

En una configuración de alta disponibilidad (HA) no INC en la que se configura un protocolo de enrutamiento, después de una conmutación por error, los protocolos de enrutamiento se convergen y se aprenden las rutas entre el nuevo nodo principal y los enrutadores vecinos adyacentes. El aprendizaje de ruta tarda algún tiempo en completarse. Durante este tiempo, el reenvío de paquetes se retrasa, el rendimiento de la red podría verse interrumpido y los paquetes podrían ser eliminados.

El reinicio agraciado permite que una configuración de alta disponibilidad durante una conmutación por error dirija a sus enrutadores adyacentes para que no eliminen las rutas aprendidas del nodo principal antiguo de sus bases de datos de enrutamiento. Mediante la información de enrutamiento del nodo principal antiguo, el nuevo nodo primario y los enrutadores adyacentes comienzan inmediatamente a reenviar paquetes, sin interrumpir el rendimiento de la red.

Configuración de Graceful Restart para BGP

Para configurar graceful restart para BGP mediante la línea de comandos VTYSH, en el símbolo del sistema, escriba los comandos siguientes, en el orden mostrado:

Comando Ejemplo Descripción del comando
VTYSH VTYSH Entra en la solicitud de comando VTYSH.
configure terminal NS# configure terminal Entra en el modo de configuración global.
router-id <ID> NS(config)# router-id 1.1.1.1 Identificador de enrutador para el dispositivo Citrix ADC. Este identificador se establece para todos los protocolos de enrutamiento dinámico. El mismo identificador debe especificarse en el otro nodo en una configuración de alta disponibilidad para que el reinicio correcto funcione.
router bgp <AS-number> NS(config)# router bgp 5 Entra en el modo de configuración de BGP.
bgp graceful-restart NS(config)# bgp graceful-restart Habilita el reinicio agraciado en el proceso de enrutamiento BGP.
bgp graceful-restart restart-time <1-1800> NS(config-router)# bgp graceful-restart restart-time 170 Especifica el período de gracia, en segundos, que los routers auxiliares esperan una conexión TCP desde el nuevo nodo principal después de una conmutación por error. Durante esta cantidad de tiempo, los enrutadores auxiliares conservan las rutas.
bgp graceful-restart stalepath-time <1-1800> NS(config-router)# bgp graceful-restart stalepath-time 180 Especifica el tiempo, en segundos, que el dispositivo Citrix ADC en modo auxiliar conserva las rutas obsoletas para reiniciar los enrutadores vecinos. El valor predeterminado es 360 segundos.
neighbor <IPv4 address of the peer router> remote-as <AS-number> NS(config-router)# neighbor 192.0.2.30 remote-as 2 Establece el peering BGP con el dispositivo de enrutador vecino especificado.
neighbor <IPv4 address of the peer router> capability graceful-restart NS(config-router)# neighbor 192.0.2.30 capability graceful-restart Habilita el reinicio agraciado con el vecino especificado.
redistribute kernel NS(config-router)# redistribute kernel Redistribuye las rutas del núcleo.

Configuración de Graceful Restart para IPv6 BGP

En una configuración de alta disponibilidad (HA) no INC en la que se configura un protocolo de enrutamiento, después de una conmutación por error, los protocolos de enrutamiento se convergen y se aprenden las rutas entre el nuevo nodo principal y los enrutadores vecinos adyacentes. El aprendizaje de ruta tarda algún tiempo en completarse. Durante este tiempo, el reenvío de paquetes se retrasa, el rendimiento de la red podría verse interrumpido y los paquetes podrían ser eliminados.

El reinicio agraciado permite que una configuración de alta disponibilidad durante una conmutación por error dirija a sus enrutadores adyacentes para que no eliminen las rutas aprendidas del nodo principal antiguo de sus bases de datos de enrutamiento. Mediante la información de enrutamiento del nodo principal antiguo, el nuevo nodo primario y los enrutadores adyacentes comienzan inmediatamente a reenviar paquetes, sin interrumpir el rendimiento de la red.

Para configurar graceful restart para IPv6 BGP mediante la línea de comandos VTYSH, en el símbolo del sistema, escriba los comandos siguientes, en el orden mostrado:

Comando Ejemplo Descripción del comando
VTYSH VTYSH Entra en la solicitud de comando VTYSH.
configure terminal NS# configure terminal Entra en el modo de configuración global.
router-id <id> NS(config)# router-id 1.1.1.1 Establece un identificador de enrutador para el dispositivo Citrix ADC. Este identificador se establece para todos los protocolos de enrutamiento dinámico. El mismo ID debe especificarse en el otro nodo en una configuración de alta disponibilidad para que el reinicio correcto funcione.
router bgp <AS-number> NS(config)# router bgp 5 Entra en el modo de configuración para el protocolo BGP.
bgp graceful-restart NS(config)# bgp graceful-restart Habilita el reinicio agraciado en el proceso de enrutamiento BGP.
bgp graceful-restart restart-time <1-1800> NS(config-router)# bgp graceful-restart restart-time 170 Especifica el período de gracia, en segundos, que los routers auxiliares esperan una conexión TCP desde el nuevo nodo principal después de una conmutación por error. Durante esta cantidad de tiempo, los enrutadores auxiliares conservan las rutas. El valor predeterminado es 360 segundos.
bgp graceful-restart stalepath-time <1-1800> NS(config-router)# bgp graceful-restart stalepath-time 180 Especifica el tiempo, en segundos, que el dispositivo Citrix ADC en modo auxiliar conserva las rutas obsoletas para reiniciar los enrutadores vecinos. El valor predeterminado es 360 segundos.
<AS-number>vecino <IPv6 address> remoto-como NS (config-router) # vecino 2001:db8: :10 remote-as 2 Establece el peering BGP con el dispositivo de enrutador vecino especificado.
address-family ipv6 NS (config-router) #address -family ipv6 Entra en el modo de configuración de familia de direcciones.
vecino <IPv6 address of the neighbor> activar NS (config-router-af) #neighbor 2001:db8: :10 activar Habilita el intercambio de rutas de familia de direcciones con el dispositivo de enrutador vecino especificado.
<IPv6 address of the neighbor>capacidad de vecino de reinicio agraciado NS (config-router-af) #neighbor 2001:db8: :10 capacidad graceful-restart Habilita el reinicio correcto con el dispositivo de enrutador vecino especificado.
redistribute kernel Núcleo NS (config-router-af) #redistribute Redistribuye las rutas del núcleo.
familia de direcciones de salida NS (config-router-af) #exit -direcciones-familia Sale del modo de configuración de la familia de direcciones.

Configuración de la autenticación MD5 para IPv4 BGP

El dispositivo Citrix ADC admite la autenticación MD5 para Border Gateway Protocol (BGP). Cuando se habilita la autenticación, cualquier segmento TCP que pertenezca a BGP intercambiado entre el dispositivo Citrix ADC y su dispositivo del mismo nivel se verifica y acepta solo si la autenticación se realiza correctamente. Para que la autenticación sea correcta, ambos pares deben configurarse con la misma contraseña MD5. Si la autenticación falla, no se está estableciendo la relación de vecino BGP. La compatibilidad con la autenticación MD5 para BGP en el dispositivo Citrix ADC es compatible con RFC 2385.

Antes de comenzar

Antes de comenzar a configurar la autenticación BGP MD5, tenga en cuenta los siguientes puntos:

  • Asegúrese de que comprende los diferentes componentes de la autenticación BGP MD5, descritos en RFC 2385.
  • La autenticación BGP MD5 no es compatible con las particiones de administración de Citrix ADC.
  • La autenticación BGP MD5 no se admite para configuraciones BGP IPv6.
  • La autenticación BGP MD5 se admite para configuraciones de clúster de Citrix ADC, así como para configuraciones de alta disponibilidad.
  • Debido al siguiente problema en FreeBSD, Citrix recomienda establecer valores bajos de keep-live y hold time (por ejemplo, 5 y 15) y configurar graceful restart para una sesión BGP en una configuración de alta disponibilidad de Capa 2. De lo contrario, con la autenticación MD5 habilitada, BGP podría tardar más tiempo en restablecer una conexión con el vecino después de una conmutación por error.

Configuración de la autenticación MD5 para IPv4 BGP

Para configurar la autenticación MD5 para IPv4 BGP mediante la línea de comandos VTYSH, en el símbolo del sistema, escriba los comandos siguientes, en el orden mostrado:

Comando Especifica
Vtysh Muestra el símbolo del sistema VTYSH.
configure terminal Entra en el modo de configuración global.
router bgp <AS-number> Entra en el modo de configuración para el protocolo BGP. <AS-number>es un número de sistema autónomo BGP y es un parámetro obligatorio.
neighbor <neighbour IPv4 address> remote-as < AS-number > Actualiza la tabla IPv4 BGP con la dirección IPv4 del vecino en el sistema autónomo especificado.
neighbor < neighbour IPv4 address > password < password in double quotes> Configura la autenticación MD5 para el vecino especificado con la contraseña MD5 especificada. Para que la autenticación MD5 sea correcta, debe configurar la misma contraseña MD5 en el dispositivo Citrix ADC y en el dispositivo vecino.
> vtysh

ns# configure terminal

ns(config)#router bgp 5

ns(config-router)#neighbor 20.20.20.138 remote-as 1

ns(config-router)#neighbor 20.20.20.138 password “secret”

ns(config-router)#redistribute kernel

ns(config-router)#exit