![]() |
この記事では、CatoクラウドでのBGPの使用事例をご紹介します。
早速ですが、Socketに設定するLAN側のルーティングは「Static Route」と「BGP」が使用できます。
Catoクラウド内はBGPでルート交換がされており、お客様拠点のCato Socketに設定するLAN側のルーティング情報をCatoクラウド側に再配送することで、ネットワーク全体で到達性が確保できるという仕組みです。
ただ、お客様拠点内でBGPを使用しているケースは多くはなく、実際にもStatic Routeの利用がほとんどです。
Static RouteによるSocket拠点のルーティング
図.1は、データセンターの3スイッチに複数のVLANが設定されており、Cato SocketからL3スイッチにVLAN-a/b向けのルーティングを設定している例です。Socketに設定したルーティングは、自動的にCatoクラウドに再配送されるので拠点XYZのSocketはその経路を認識しており、DC拠点のVLAN-a/b宛ての通信が発生した場合は、DC拠点のSocketに転送します。
図.1 Static Routeの再配送
では、BGPの使用例を3つ紹介します。
BGPの使用例 – Socket拠点のルーティング
図.1で示したDC拠点内のStatic RouteをBGPに置き換えることもできますが、VLAN数が少なければStatic Routeで十分です。
ただし、VLAN数が多い場合や、Catoクラウド移行時には、BGPによるルーティング制御の方が手間がかかりません。
図.2は、既存ネットワークからCatoクラウドへの移行時の例です。DCをハブ拠点として、DC内のL3スイッチでルーティングを制御している場合、拠点Xを既存WANからCatoクラウド接続に切り替える際に、Static Routeであれば拠点切り替えの度にDCルータでルート切り替え作業が発生しますが、BGPを使用していればその作業が不要になります。
図.2では、拠点Xを既存WAN→Catoクラウドの移行を示しているのですが、WANルータをCato Socketに変更し、WANルータのLAN側アドレスをCato Socketに踏襲すれば、ルーティングに関する作業は一切不要となります。
図.2 Socket拠点のBGP利用イメージ
補足すると、このように拠点LAN内の構成やルーティング設定の変更なく移行できる点は、Catoクラウドの強みです。
BGPの使用例 – IPsecサイトの冗長
CatoクラウドとIPsecで接続するサイトのリンクの冗長化を目的として、BGPを使用する例をご紹介します。
実際の事例としては、このパターンが一番多いと思われます。
現在、CatoのvSocketは、AWS, Azure, GCPで作成する事が可能ですが、その他のクラウドをプライベート接続する際は、IPsecによる接続となります。(クラウド側でIPsec接続するサービスがある事が前提です)
Socket / vSocketはCato PoP間のトンネル接続が切れると自動で別のPoPに接続しますが、IPsec接続はトンネルが切れたら切れっぱなしです。これを避けるために、Catoは別PoPに2本のトンネルを張っておくことを推奨しています。
その時、Cato~クラウド間でBGPを使用しておけば、トンネルが1本切れても残りのトンネルに自動で迂回させることができます。
図.3はOCIとの接続で、OCIのSite-to-Site VPNを使用して2つのIPsecトンネルで冗長リンクを構成した例です。
図.3 OCIとのIPsec接続例
BGPの使用例 – Cloud Interconnectサイトの冗長
Cloud Interconnectは、Cato版ダイレクトアクセスです。現在はAWS, Azure, GCP, OCIとCatoクラウドを専用線で接続できます。
この場合も、上記図.3と同様の構成となります。
Cloud Interconnectについては、次の記事を参照下さい。
BGPのパラメータ
では、BGPのパラメータを見てみましょう。ここでは、Socket拠点のルーティグでBGPを使用する場合を例にします。
設定箇所は各サイトのSite Configuration >BGPで、設定項目は以下の通りです。
内容 | |||
General | Name | L3機器(BGPネイバー)毎にBGPピアを設定できるので、その識別の為にユニークな名前をつけます。 | |
ASN | Peer | L3機器側のAS番号を設定します。プライベート空間なので64512~65534の中から割り当てます。既にBGPを使用している場合、既存のAS番号を設定可能ですがCato側のAS番号を被らない事、またBGPピアの拡張性を考慮したナンバリングにする必要があります。 | |
Cato | Cato側のAS番号を設定します。Catoのデフォルト値は64515なので、既存ネットワーク側と重複しなければデフォルト値で登録します。 | ||
IP | Peer | L3機器のアドレスを設定します。もちろんSocketのNative IP Ranges内でないとエラーとなり設定できません。 | |
Cato | 自動設定なので設定する必要はありませんが、結局のところSocketのLANアドレスが割り当てられます。 注)SocketのHA構成時はVRRPの共有アドレスとなります。Socketの実アドレスではBGPネイバーを確立する事ができません。 |
||
Policy | Advertise | Default route | SocketからL3機器にデフォルトルートを広告します。 |
All routes | Catoに接続する拠点やモバイルアドレスレンジの全ルートを広告します。 | ||
Summary routes | 複数ルートを単一のサマリールートとして広告できます。 | ||
Accept | Dynamic routes | BGPネイバーからCatoが動的に学習するIPレンジを指定できます。所謂ルートフィルタの設定がここで出来ます。 | |
NAT | Perform NAT to public IPs | この設定を有効にすると、そのBGPネイバー経由で送信される全ての送信トラフィックに対してSource NAT(SNAT)が実行されます。 Catoからのトラフィックの送信元IPアドレスを統一する事ができます。 |
|
Additional Settings | BGPセッションでMD5認証を使用できます。事前共有秘密鍵を使用してBGPピア間の認証を行う事ができます。 | ||
Metric | BGPネイバーの優先度を決定する値で低い方が優先されます。デフォルト値は100です | ||
Hold time | BGPネイバーがダウンしていると判断するまでに待機する時間です。デフォルト値は60秒です。 | ||
Keepalive interval | BGPセッションを維持するために、BGPネイバーにキープアライブメッセージを送信する間隔です。デフォルト値は20秒です。 | ||
Track | Email Notification | BGPセッションの確立や切断が発生した際に、設定してあるメーリングリスト等に通知メールを送信する事ができます。 |
最近のBGPに関するアップデート情報
毎週公開されるCatoのアップデート情報から、BGPに関するものを拾ってみました。
以下は2024年後半から現在までのものです。利用ニーズはそんなにないと思うのですが、その割には機能強化されてるなという印象です。
・サイト接続の制御を強化するために、BGPの構成および監視をサポートするAPIを追加
・BGPルートを1つのサマリールートに集約
・BFDによるBGPコンバージェンスの高速化
・4 Bytes-ASNピアでBGPを確立する
さいごに
BGPの利用は、Socket拠点のルーティングよりもIPsecサイトの冗長化の方がニーズが高いように思われます。現在vSocketが利用できるAWS、Azure、GCPではvSocket接続すればよいのですが、その他のクラウドとの接続はIPsec接続になります。IPsecのシングル接続の場合、Cato PoPのメンテナンスによりリンク断となるので冗長化は必須です。その時にはこの記事を参考にしていただければ幸いです。