Configuration de BGP

L’appliance Citrix ADC prend en charge BGP (RFC 4271). Les fonctionnalités de BGP sur Citrix ADC sont les suivantes :

  • Le Citrix ADC annonce des routes vers des homologues BGP.
  • Le Citrix ADC injecte des routes hôtes vers des adresses IP virtuelles (VIP), déterminées par l’intégrité des serveurs virtuels sous-jacents.
  • Le Citrix ADC génère des fichiers de configuration pour exécuter BGP sur le nœud secondaire après un basculement dans une configuration HA.
  • Ce protocole prend en charge les échanges de routage IPv6.
  • Prise en charge en cas de remplacement dans le protocole de passerelle frontière (BGP)

Après avoir activé BGP, vous devez configurer la publicité des itinéraires BGP. Pour le dépannage, vous pouvez limiter la propagation BGP. Vous pouvez afficher les paramètres BGP pour vérifier la configuration.

Conditions préalables pour IPv6 BGP

Avant de commencer à configurer IPv6 BGP, procédez comme suit :

  • Assurez-vous que vous comprenez le protocole IPv6 BGP.
  • Activez la fonctionnalité IPv6.

Activation et désactivation de BGP

Pour activer ou désactiver BGP, vous devez utiliser l’interface de ligne de commande ou l’interface graphique. Lorsque BGP est activé, l’appliance Citrix ADC démarre le processus BGP. Lorsque BGP est désactivé, l’appliance arrête le processus BGP.

Pour activer ou désactiver le routage BGP à l’aide de l’interface de ligne de commande :

À l’invite de commandes, tapez l’une des commandes suivantes :

  • activer la fonction ns BGP

  • désactiver la fonctionnalité ns BGP

Pour activer ou désactiver le routage BGP à l’aide de l’interface graphique :

  1. Accédez à Système > Paramètres, dans le groupe Modes et fonctionnalités, cliquez sur Modifier les fonctionnalités avancées.
  2. Sélectionnez ou désactivez l’option Routage BGP.

Publicité IPv4 Itinéraires

Vous pouvez configurer l’appliance Citrix ADC pour annoncer les routes hôtes vers les VIP et annoncer les routes vers les réseaux en aval.

Pour configurer BGP pour annoncer les routes IPv4 à l’aide de la ligne de commande VTYSH :

À l’invite de commandes, tapez les commandes suivantes, dans l’ordre indiqué :

Commande Spécifie
VTYSH Afficher l’invite de commande VTYSH.
configure terminal Entrez en mode de configuration globale.
router BGP < ASnumber> Système autonome BGP. < ASnumber> est un paramètre obligatoire. Valeurs possibles : 1 à 4 294 967 295.
< as-number>Voisin < IPv4 address> distant en tant que Mettez à jour la table des voisins IPv4 BGP avec l’adresse IPv4 locale du voisin dans le système autonome spécifié.
Famille d’adresses ipv4 Entrez le mode de configuration de la famille d’adresses.
Voisin < IPv4 address> activé Préfixes d’échange pour la famille de routeurs IPv4 entre l’homologue et le nœud local à l’aide de l’adresse locale du lien.
redistribute kernel Redistribute kernel routes.
redistribute static Redistribute static routes.

Exemple :


>VTYSH
NS# configure terminal
NS(config)# router BGP 5
NS(config-router)# Neighbor 10.102.29.170 remote-as 100
NS(config-router)# Address-family ipv4
NS(config-router-af)# Neighbor 10.102.29.170 activate
NS(config-router)# redistribute kernel
NS(config-router)# redistribute static

Conditions préalables pour IPv6 BGP

Avant de commencer à configurer IPv6 BGP, procédez comme suit :

  • Assurez-vous que vous comprenez le protocole IPv6 BGP.
  • Activez la fonctionnalité IPv6.

Publicité IPv6 BGP Itinéraires

Border Gateway Protocol (BGP) permet à un routeur en amont d’équilibrer le trafic entre deux serveurs virtuels identiques hébergés sur deux appliances Citrix ADC autonomes. La publication d’itinéraire permet à un routeur en amont de suivre les entités réseau situées derrière Citrix ADC.

Pour configurer BGP pour annoncer des routes IPv6 à l’aide de la ligne de commande VTYSH :

À l’invite de commandes, tapez les commandes suivantes, dans l’ordre indiqué :

Commande Spécifie
VTYSH Afficher l’invite de commande VTYSH.
configure terminal Entrez en mode de configuration globale.
router BGP < ASnumber> Système autonome BGP. < ASnumber> est un paramètre obligatoire. Valeurs possibles : 1 à 4 294 967 295.
< as-number>Voisin < IPv6 address> distant en tant que Mettez à jour la table des voisins IPv6 BGP avec l’adresse IPv6 locale du voisin dans le système autonome spécifié.
Famille d’adresses ipv6 Entrez le mode de configuration de la famille d’adresses.
Voisin < IPv6 address> activé Préfixes d’échange pour la famille de routeurs IPv6 entre l’homologue et le nœud local à l’aide de l’adresse locale du lien.
redistribute kernel Redistribute kernel routes.
redistribute static Redistribute static routes.

Exemple :


>VTYSH
NS# configure terminal
NS(config)# router BGP 5
NS(config-router)# Neighbor a1bc::102 remote-as 100
NS(config-router)# Address-family ipv6
NS(config-router-af)# Neighbor a1bc::102 activate
NS(config-router)# redistribute kernel
NS(config-router)# redistribute static

Vérification de la configuration BGP

Vous pouvez utiliser VTYSH pour afficher les paramètres BGP.

Pour afficher les paramètres BGP à l’aide de la ligne de commande VTYSH

À l’invite de commandes, tapez :

VTYSH
You are now in the VTYSH command prompt. An output similar to the following appears:
NS170#
At the VTYSH command prompt, type:
NS170# sh ip BGP
NS170# sh BGP
NS170# sh ip BGP neighbors
NS170# sh ip BGP summary
NS170# sh ip BGP route-map <map-tag>

Prise en charge en cas de remplacement dans le protocole de passerelle frontière (BGP)

Dans le cadre de la fonctionnalité de prévention des boucles BGP, si un routeur reçoit un paquet BGP contenant le numéro de système autonome (ASN) du routeur dans le chemin d’accès des systèmes autonomes (AS), le routeur abandonne le paquet. L’hypothèse est que le paquet provient du routeur et a atteint l’endroit d’où il provient.

Si une entreprise possède plusieurs sites avec un même ASN, la prévention des boucles BGP empêche les sites avec un ASN identique d’être liés par un autre ASN. Les mises à jour de routage (paquets BGP) sont supprimées lorsqu’un autre site les reçoit.

Pour résoudre ce problème, la fonctionnalité BGP AS-Override a été ajoutée au module de routage ZebOSS BGP du Citrix ADC.

Lorsque l’AS-Override est activé pour un périphérique homologue, lorsque l’appliance Citrix ADC reçoit un paquet BGP pour le transfert à l’homologue et que l’ASN du paquet correspond à celui de l’homologue, l’appliance remplace l’ASN du paquet BGP par son propre numéro ASN avant de transférer le paquet.

Vous pouvez activer AS-Override pour un voisin spécifique ou un groupe de voisins (groupe homologue) à l’aide de la ligne de commande VTYSH.

Pour configurer BGP AS-Override pour un voisin IPv4 à l’aide de la ligne de commande VTYSH :

Commande Spécifie
configure terminal Entrez en mode de configuration globale.
router BGP < ASnumber> Système autonome BGP. < ASnumber> est un paramètre obligatoire.
Voisin < as-number> < IPv4 address> distant en tant que Mettez à jour la table des voisins IPv4 BGP avec l’adresse IPv4 du voisin dans le système autonome spécifié.
Voisin <IPv4 address> en remplacement Activez BGP en tant que remplacement pour le voisin spécifié.
    > VTYSH NS# configure terminal
    NS(config)# router BGP 200
    NS(config-router)# Neighbor 192.0.2.100 remote-as 100
    NS(config-router)# Neighbor 10.102.29.100 as-override

Pour configurer BGP AS-Override pour un groupe d’homologues BGP IPv4 à l’aide de la ligne de commande VTYSH :

Commande Spécifie
configure terminal Entrez en mode de configuration globale.
router BGP < ASnumber> Système autonome BGP. < ASnumber> est un paramètre obligatoire.
Neighbor <peer group name> peer-group Créez un groupe de pairs BGP.
<IPv4 address> Groupe de pairs <peer group name>Neighbot Associez des voisins au groupe d’homologues spécifié.
Neighbor <peer group name> remote-as < as-number> Mettez à jour la table des voisins IPv4 BGP avec l’adresse IPv4 du voisin dans le système autonome spécifié.
Neighbor <peer group name> as-override Activez BGP en tant que remplacement pour tous les voisins associés au groupe d’homologues spécifié.
    > VTYSH NS# configure terminal
    NS(config)# router BGP 200
    NS(config-router)# neighbor external-peers-1 peer-group
    NS(config-router)# neighbor 192.0.2.101 peer-group external-peers-1
    NS(config-router)# neighbor 192.0.2.102 peer-group external-peers-1
    NS(config-router)# neighbor 192.0.2.103 peer-group external-peers-1
    NS(config-router)# Neighbor external-peers-1 remote-as 100
    NS(config-router)# Neighbor external-peers-1 as-override

Pour configurer BGP AS-Override pour un voisin IPv6 à l’aide de la ligne de commande VTYSH :

Commande Spécifie
configure terminal Entrez en mode de configuration globale.
router BGP < ASnumber> Système autonome BGP. < ASnumber> est un paramètre obligatoire.
Voisin < as-number> < IPv6 address> distant en tant que Mettez à jour la table des voisins IPv4 BGP avec l’adresse IPv4 du voisin dans le système autonome spécifié.
Neighbor <IPv6 address> as-override Activez BGP en tant que remplacement pour le voisin spécifié.
Famille d’adresses ipv6 Entrez le mode de configuration de la famille d’adresses.
Voisin < IPv6 address> activé Préfixes Exchange pour la famille de routeurs IPv6 entre le voisin spécifié et Citrix ADC à l’aide de l’adresse locale du lien.
Neighbor <IPv6 address> as-override Activez BGP en tant que remplacement pour le voisin spécifié.
    > VTYSH NS# configure terminal
    NS(config)# router BGP 200
    NS(config-router)# Neighbor a1bc::102 remote-as 100
    NS(config-router)# Neighbor a1bc::102 as-override
    NS(config-router)# Address-family ipv6
    NS(config-router-af)# Neighbor a1bc::102 activate
    NS(config-router)# Neighbor a1bc::102 as-override

Pour configurer BGP AS-Override for IPv6 peer group à l’aide de la ligne de commande VTYSH :

Commande Spécifie
configure terminal Entrez en mode de configuration globale.
router BGP < ASnumber> Système autonome BGP. < ASnumber> est un paramètre obligatoire.
Neighbor <peer group name> peer-group Créez un groupe de pairs BGP.
<IPv6 address> Groupe de pairsvoisin <peer group name> Associer un voisin au groupe d’homologues spécifié.
Neighbor <peer group name> remote-as < as-number> Mettez à jour la table des voisins IPv4 BGP avec l’adresse IPv4 du voisin dans le système autonome spécifié.
Neighbor <peer group name> as-override Activez BGP en tant que remplacement pour tous les voisins associés au groupe d’homologues spécifié.
Famille d’adresses ipv6 Entrez le mode de configuration de la famille d’adresses.
Voisin <peer group name> activé Échangez les préfixes de la famille de routeurs IPv6 entre les voisins du groupe d’homologues spécifié et Citrix ADC à l’aide de l’adresse locale du lien.
Neighbor <peer group name> as-override Activez BGP en tant que remplacement pour tous les voisins associés au groupe d’homologues spécifié.
    > VTYSH NS# configure terminal
    NS(config)# router BGP 200
    NS(config-router)# neighbor external-peers-2 peer-group
    NS(config-router)# neighbor 2001::1 peer-group external-peers-2
    NS(config-router)# neighbor 2001::2 peer-group external-peers-2
    NS(config-router)# Neighbor external-peers-2 remote-as 100
    NS(config-router)# Neighbor external-peers-2 as-override
    NS(config-router)# Address-family ipv6
    NS(config-router-af)# Neighbor external-peers-2 activate
    NS(config-router)# Neighbor external-peers-2 as-override

Redémarrage gracieux

Dans une configuration de haute disponibilité (HA) non INC dans laquelle un protocole de routage est configuré, après un basculement, les protocoles de routage sont convergés et les routes entre le nouveau nœud principal et les routeurs voisins adjacents sont apprises. L’apprentissage de chemin prend un certain temps à compléter. Pendant ce temps, le transfert des paquets est retardé, les performances du réseau peuvent être perturbées et les paquets peuvent être abandonnés.

Le redémarrage gracieux permet à une configuration HA lors d’un basculement de demander à ses routeurs adjacents de ne pas supprimer les routes apprises de l’ancien nœud principal de leurs bases de données de routage. En utilisant les informations de routage de l’ancien nœud principal, le nouveau nœud principal et les routeurs adjacents commencent immédiatement à transférer les paquets, sans perturber les performances du réseau.

Configuration du redémarrage Graceful pour BGP

Pour configurer le redémarrage gracieux pour BGP à l’aide de la ligne de commande VTYSH, à l’invite de commandes, tapez les commandes suivantes, dans l’ordre indiqué :

Commande Exemple Description de la commande
VTYSH VTYSH Entre l’invite de commande VTYSH.
configure terminal NS# configure terminal Entre en mode de configuration globale.
<ID>ID de routeur NS(config)# router-id 1.1.1.1 Identifiant de routeur pour l’appliance Citrix ADC. Cet identificateur est défini pour tous les protocoles de routage dynamique. Le même identifiant doit être spécifié sur l’autre nœud dans une configuration haute disponibilité pour que le redémarrage gracieux fonctionne correctement.
router bgp <AS-number> NS(config)# router bgp 5 Pénètre en mode de configuration BGP.
bgp graceful-restart NS(config)# bgp graceful-restart Active le redémarrage gracieux sur le processus de routage BGP.
bgp graceful-restart restart-time <1-1800> NS(config-router)# bgp graceful-restart restart-time 170 Spécifie le délai de grâce, en secondes, pendant lequel les routeurs d’assistance attendent une connexion TCP à partir du nouveau nœud principal après un basculement. Pendant ce temps, les routeurs d’assistance conservent les itinéraires.
bgp graceful-restart stalepath-time <1-1800> NS(config-router)# bgp graceful-restart stalepath-time 180 Spécifie la durée, en secondes, pendant laquelle l’appliance Citrix ADC en mode assistance conserve les itinéraires périmés pour le redémarrage des routeurs voisins. La valeur par défaut est 360 secondes.
<AS-number>voisin <IPv4 address of the peer router> distant en tant que NS (config-router) # voisin 192.0.2.30 distant en tant que 2 Établit l’appairage BGP avec le périphérique de routeur voisin spécifié.
<IPv4 address of the peer router>fonctionnalité voisine gracieuse-redémarrage NS (config-router) # voisin 192.0.2.30 capacité graceful-redémarrage Active le redémarrage gracieux avec le voisin spécifié.
redistribute kernel NS(config-router)# redistribute kernel Redistribue les routes du noyau.

Configuration du redémarrage Graceful pour IPv6 BGP

Dans une configuration de haute disponibilité (HA) non INC dans laquelle un protocole de routage est configuré, après un basculement, les protocoles de routage sont convergés et les routes entre le nouveau nœud principal et les routeurs voisins adjacents sont apprises. L’apprentissage de chemin prend un certain temps à compléter. Pendant ce temps, le transfert des paquets est retardé, les performances du réseau peuvent être perturbées et les paquets peuvent être abandonnés.

Le redémarrage gracieux permet à une configuration HA lors d’un basculement de demander à ses routeurs adjacents de ne pas supprimer les routes apprises de l’ancien nœud principal de leurs bases de données de routage. En utilisant les informations de routage de l’ancien nœud principal, le nouveau nœud principal et les routeurs adjacents commencent immédiatement à transférer les paquets, sans perturber les performances du réseau.

Pour configurer le redémarrage gracieux pour IPv6 BGP à l’aide de la ligne de commande VTYSH, à l’invite de commandes, tapez les commandes suivantes, dans l’ordre indiqué :

Commande Exemple Description de la commande
VTYSH VTYSH Entre l’invite de commande VTYSH.
configure terminal NS# configure terminal Entre en mode de configuration globale.
router-id <id> NS(config)# router-id 1.1.1.1 Définit un identificateur de routeur pour l’appliance Citrix ADC. Cet identificateur est défini pour tous les protocoles de routage dynamique. Le même ID doit être spécifié dans l’autre nœud dans une configuration haute disponibilité pour que le redémarrage gracieux fonctionne correctement.
router bgp <AS-number> NS(config)# router bgp 5 Pénètre en mode de configuration pour le protocole BGP.
bgp graceful-restart NS(config)# bgp graceful-restart Active le redémarrage gracieux sur le processus de routage BGP.
bgp graceful-restart restart-time <1-1800> NS(config-router)# bgp graceful-restart restart-time 170 Spécifie le délai de grâce, en secondes, pendant lequel les routeurs d’assistance attendent une connexion TCP à partir du nouveau nœud principal après un basculement. Pendant ce temps, les routeurs d’assistance conservent les itinéraires. La valeur par défaut est 360 secondes.
bgp graceful-restart stalepath-time <1-1800> NS(config-router)# bgp graceful-restart stalepath-time 180 Spécifie la durée, en secondes, pendant laquelle l’appliance Citrix ADC en mode assistance conserve les itinéraires périmés pour le redémarrage des routeurs voisins. La valeur par défaut est 360 secondes.
<AS-number>voisin <IPv6 address> distant en tant que NS (config-router) # voisin 2001:db8 : :10 distant en tant que 2 Établit l’appairage BGP avec le périphérique de routeur voisin spécifié.
address-family ipv6 NS (config-router) #address -famille ipv6 Pénètre le mode de configuration de la famille d’adresses.
voisin <IPv6 address of the neighbor> activer NS (config-router-af) #neighbor 2001:db8 : :10 activer Active l’échange d’itinéraires de famille d’adresses avec le périphérique de routeur voisin spécifié.
<IPv6 address of the neighbor>fonctionnalité voisine gracieuse-redémarrage NS (config-router-af) #neighbor 2001:db8 : :10 capabilité gracieuse-redémarrage Active le redémarrage gracieux avec le périphérique de routeur voisin spécifié.
redistribute kernel noyau NS (config-router-af) #redistribute Redistribue les routes du noyau.
famille d’adresses de sortie NS (config-router-af) #exit -address-family Quitte le mode de configuration de la famille d’adresses.

Configuration de l’authentification MD5 pour IPv4 BGP

L’appliance Citrix ADC prend en charge l’authentification MD5 pour Border Gateway Protocol (BGP). Lorsque l’authentification est activée, tout segment TCP appartenant à BGP échangé entre l’appliance Citrix ADC et son périphérique homologue est vérifié et accepté uniquement si l’authentification est réussie. Pour que l’authentification soit réussie, les deux homologues doivent être configurés avec le même mot de passe MD5. Si l’authentification échoue, la relation de voisin BGP n’est pas en cours d’établissement. La prise en charge de l’authentification MD5 pour BGP dans l’appliance Citrix ADC est conforme à la RFC 2385.

Avant de commencer

Avant de commencer à configurer l’authentification BGP MD5, tenez compte des points suivants :

  • Assurez-vous que vous comprenez les différents composants de l’authentification BGP MD5, décrits dans la RFC 2385.
  • L’authentification BGP MD5 n’est pas prise en charge pour les partitions d’administration Citrix ADC.
  • L’authentification BGP MD5 n’est pas prise en charge pour les configurations BGP IPv6.
  • L’authentification BGP MD5 est prise en charge pour les configurations de cluster Citrix ADC ainsi que pour les configurations de haute disponibilité.
  • En raison du problème suivant dans FreeBSD, Citrix recommande de définir des valeurs de maintien et de maintien faibles (par exemple, 5 et 15) et de configurer un redémarrage gracieux pour une session BGP dans une configuration haute disponibilité de couche 2. Sinon, si l’authentification MD5 est activée, BGP peut prendre plus de temps pour rétablir une connexion avec le voisin après un basculement.

Configuration de l’authentification MD5 pour IPv4 BGP

Pour configurer l’authentification MD5 pour IPv4 BGP à l’aide de la ligne de commande VTYSH, à l’invite de commandes, tapez les commandes suivantes, dans l’ordre indiqué :

Commande Spécifie
vtysh Affiche l’invite de commande VTYSH.
configure terminal Entre en mode de configuration globale.
router bgp <AS-number> Pénètre en mode de configuration pour le protocole BGP. <AS-number>est un numéro de système autonome BGP et est un paramètre obligatoire.
< AS-number >voisin <neighbour IPv4 address> distant en tant que Met à jour la table BGP IPv4 avec l’adresse IPv4 du voisin dans le système autonome spécifié.
< password in double quotes>mot de< neighbour IPv4 address > passe voisin Configure l’authentification MD5 pour le voisin spécifié avec le mot de passe MD5 spécifié. Pour que l’authentification MD5 réussisse, vous devez configurer le même mot de passe MD5 sur l’appliance Citrix ADC et l’appliance voisine.
> vtysh

ns# configure terminal

ns(config)#router bgp 5

ns(config-router)#neighbor 20.20.20.138 remote-as 1

ns(config-router)#neighbor 20.20.20.138 password “secret”

ns(config-router)#redistribute kernel

ns(config-router)#exit