Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Configuration des LIF ONTAP Virtual IP (VIP

Contributeurs
PDF

Certains data centers nouvelle génération utilisent des mécanismes réseau de couche 3 (IP) qui nécessitent le basculement des LIF sur les sous-réseaux. ONTAP prend en charge les LIF de données IP virtuelles (VIP) et le protocole de routage associé, BGP (Border Gateway Protocol), afin de répondre aux exigences de basculement de ces réseaux nouvelle génération.

Description de la tâche

Une LIF de données VIP est une LIF qui ne fait pas partie d'un sous-réseau et est accessible depuis tous les ports qui hébergent une LIF BGP dans le même IPspace. Une LIF de données VIP élimine la dépendance d'un hôte sur des interfaces réseau individuelles. Étant donné que plusieurs adaptateurs physiques transportent le trafic des données, la charge entière n'est pas concentrée sur un seul adaptateur et le sous-réseau associé. L'existence d'une LIF de données VIP est annoncée pour les routeurs homologues par le biais du protocole de routage, BGP (Border Gateway Protocol).

Les LIF de données VIP offrent les avantages suivants :

  • Portabilité de LIF au-delà d'un domaine de broadcast ou d'un sous-réseau : les LIF de données VIP peuvent basculer vers n'importe quel sous-réseau du réseau en annonçant l'emplacement actuel de chaque LIF de données VIP vers des routeurs via BGP.

  • Débit global : la LIF de données VIP peut prendre en charge un débit global supérieur à celui d'un port individuel, car les LIF VIP peuvent envoyer ou recevoir simultanément des données provenant de plusieurs sous-réseaux ou ports.

Configuration du protocole BGP (Border Gateway Protocol)

Avant de créer des LIF VIP, vous devez configurer le protocole BGP, qui est le protocole de routage utilisé pour annoncer l'existence d'une LIF VIP pour les routeurs de l'égal.

À partir de ONTAP 9.9.1, VIP fournit une automatisation de route par défaut facultative à l'aide de groupes de pairs BGP pour simplifier la configuration.

ONTAP offre un moyen simple d'apprendre les routes par défaut en utilisant les pairs BGP comme routeurs de saut suivant lorsque l'homologue BGP se trouve sur le même sous-réseau. Pour utiliser la fonction, définissez l' -use-peer-as-next-hop attribut à true. Par défaut, cet attribut est false.

Si vous avez des routes statiques configurées, celles-ci sont encore préférées sur ces routes automatisées par défaut.

Avant de commencer

Le routeur homologue doit être configuré pour accepter une connexion BGP à partir du LIF BGP pour le numéro de système autonome configuré (ASN).

Remarque ONTAP ne traite aucune annonce de route entrante à partir du routeur ; par conséquent, vous devez configurer le routeur homologue pour qu'il n'envoie aucune mise à jour de route au cluster. Cela réduit le temps nécessaire à la communication avec l'homologue pour devenir entièrement fonctionnel et réduit l'utilisation de la mémoire interne dans ONTAP.
Description de la tâche

La configuration du protocole BGP implique la création d'une configuration BGP, la création d'une LIF BGP et la création d'un groupe de pairs BGP. ONTAP crée automatiquement une configuration BGP par défaut avec des valeurs par défaut lorsque le premier groupe de pairs BGP est créé sur un nœud donné.

Une LIF BGP est utilisée pour établir des sessions TCP BGP avec des routeurs homologues. Pour un routeur homologue, une LIF BGP est le prochain saut pour atteindre une LIF VIP. Le basculement est désactivé pour le LIF BGP. Un groupe de pairs BGP annonce les routes VIP pour tous les SVM dans l'IPspace utilisé par le groupe de pairs. L'IPspace utilisé par le groupe de pairs est hérité de la LIF BGP.

À partir de ONTAP 9.16.1, l'authentification MD5 est prise en charge sur les groupes de pairs BGP pour protéger les sessions BGP. Lorsque MD5 est activé, les sessions BGP ne peuvent être établies et traitées que parmi les pairs autorisés, ce qui empêche les interruptions potentielles de la session par un acteur non autorisé.

Les champs suivants ont été ajoutés aux network bgp peer-group create commandes et network bgp peer-group modify :

  • -md5-enabled <true/false>

  • -md5-secret <md5 secret in string or hex format>

Ces paramètres vous permettent de configurer un groupe de pairs BGP avec une signature MD5 pour une sécurité renforcée. Les conditions suivantes s'appliquent à l'utilisation de l'authentification MD5 :

  • Vous ne pouvez spécifier le paramètre que -md5-secret lorsque le -md5-enabled paramètre est défini sur true.

  • IPSec doit être activé globalement avant de pouvoir activer l'authentification MD5 BGP. La LIF BGP n'est pas nécessaire pour avoir une configuration IPsec active. Reportez-vous à la "Configurez la sécurité IP (IPsec) sur le cryptage filaire".

  • NetApp vous recommande de configurer MD5 sur le routeur avant de le configurer sur le contrôleur ONTAP.

Depuis ONTAP 9.9.1, ces champs ont été ajoutés :

  • -asn Ou -peer-asn (valeur de 4 octets) l'attribut lui-même n'est pas nouveau, mais il utilise maintenant un entier de 4 octets.

  • -med

  • -use-peer-as-next-hop

Vous pouvez effectuer des sélections avancées de route grâce à la prise en charge du décriminateur multi-sortie (MED) pour la hiérarchisation des chemins. MED est un attribut facultatif du message de mise à jour BGP qui indique aux routeurs de sélectionner le meilleur itinéraire pour le trafic. Le MED est un entier 32 bits non signé (0 - 4294967295) ; les valeurs inférieures sont préférées.

Depuis ONTAP 9.8, ces champs ont été ajoutés au network bgp peer-group commande :

  • -asn-prepend-type

  • -asn-prepend-count

  • -community

Ces attributs BGP permettent de configurer le EN TANT qu'attributs de chemin et de communauté pour le groupe de pairs BGP.

Remarque Bien que ONTAP prenne en charge les attributs BGP ci-dessus, les routeurs n'ont pas besoin de les honorer. NetApp vous recommande fortement de confirmer les attributs pris en charge par votre routeur et de configurer les groupes de pairs BGP en conséquence. Pour plus de détails, reportez-vous à la documentation BGP fournie par votre routeur.
Étapes

  1. Connectez-vous au niveau de privilège avancé :

    set -privilege advanced

  2. Facultatif : créez une configuration BGP ou modifiez la configuration par défaut du cluster en effectuant l'une des opérations suivantes :

    1. Créez une configuration BGP :

      network bgp config create -node {node_name | local} -asn <asn_number> -holdtime
<hold_time> -routerid <router_id>
      Remarque

      • Le -routerid paramètre accepte une valeur de 32 bits à virgule décimale à points qui ne doit être unique que dans un domaine AS. NetApp vous recommande d'utiliser l'adresse IP de gestion des nœuds (v4) <router_id> pour garantir leur caractère unique.

      • Bien que ONTAP BGP prenne en charge les nombres ASN 32 bits, seule la notation décimale standard est prise en charge. La notation ASN en pointillés, telle que 65000.1 au lieu de 4259840001 pour un ASN privé, n'est pas prise en charge.

      Échantillon avec un ASN de 2 octets :

      network bgp config create -node node1 -asn 65502 -holdtime 180 -routerid 1.1.1.1

      Exemple avec un ASN de 4 octets :

    network bgp config create -node node1 -asn 85502 -holdtime 180 -routerid 1.1.1.1

    1. Modifiez la configuration BGP par défaut :

      network bgp defaults modify -asn <asn_number> -holdtime <hold_time>
network bgp defaults modify -asn 65502 -holdtime 60

      • <asn_number> Spécifie le numéro ASN. À partir de ONTAP 9.8, ASN pour BGP prend en charge un entier non négatif de 2 octets. Il s'agit d'un nombre de 16 bits (1 à 65534 valeurs disponibles). À partir de ONTAP 9.9.1, ASN pour BGP prend en charge un entier non négatif de 4 octets (1 à 4294967295). L'ASN par défaut est 65501. ASN 23456 est réservé à l'établissement de session ONTAP avec des pairs qui n'annoncent pas la capacité ASN de 4 octets.

      • <hold_time> spécifie le temps de maintien en secondes. La valeur par défaut est 180s.

        Remarque ONTAP ne prend en charge qu'un seul global <asn_number>, <hold_time>, , et <router_id>, même si vous configurez BGP pour plusieurs IPspaces. Le BGP et toutes les informations de routage IP sont complètement isolés au sein d'un IPspace. Un IPspace est équivalent à une instance de routage et de transfert virtuel (VRF).

  3. Créez une LIF BGP pour le SVM du système :

    Pour l'IPspace par défaut, le nom du SVM correspond au nom du cluster. Pour les IPspaces supplémentaires, le nom du SVM est identique au nom IPspace.

    network interface create -vserver <system_svm> -lif <lif_name> -service-policy default-route-announce -home-node <home_node> -home-port <home_port> -address <ip_address> -netmask <netmask>

    Vous pouvez utiliser le default-route-announce Politique de service pour le LIF BGP ou toute règle de services personnalisée qui contient le service « management-bgp ».

    network interface create -vserver cluster1 -lif bgp1 -service-policy default-route-announce -home-node cluster1-01 -home-port e0c -address 10.10.10.100 -netmask 255.255.255.0

  4. Créez un groupe d'homologues BGP utilisé pour établir des sessions BGP avec les routeurs homologues distants et configurer les informations de routage VIP annoncées aux routeurs homologues :

    Exemple 1 : créez un groupe de pairs sans route par défaut automatique

    Dans ce cas, l'administrateur doit créer une route statique vers l'homologue BGP.

    network bgp peer-group create -peer-group <group_name> -ipspace <ipspace_name> -bgp-lif <bgp_lif> -peer-address <peer-router_ip_address> -peer-asn <peer_asn_number> {-route-preference <integer>} {-asn-prepend-type <ASN_prepend_type>} {-asn-prepend-count <integer>} {-med <integer>} {-community BGP community list <0-65535>:<0-65535>}
    network bgp peer-group create -peer-group group1 -ipspace Default -bgp-lif bgp1 -peer-address 10.10.10.1 -peer-asn 65503 -route-preference 100 -asn-prepend-type local-asn -asn-prepend-count 2 -med 100 -community 9000:900,8000:800

    Exemple 2 : créez un groupe de pairs avec une route par défaut automatique

    network bgp peer-group create -peer-group <group_name> -ipspace <ipspace_name> -bgp-lif <bgp_lif> -peer-address <peer-router_ip_address> -peer-asn <peer_asn_number> {-use-peer-as-next-hop true} {-route-preference <integer>} {-asn-prepend-type <ASN_prepend_type>} {-asn-prepend-count <integer>} {-med <integer>} {-community BGP community list <0-65535>:<0-65535>}
    network bgp peer-group create -peer-group group1 -ipspace Default -bgp-lif bgp1 -peer-address 10.10.10.1 -peer-asn 65503 -use-peer-as-next-hop true -route-preference 100 -asn-prepend-type local-asn -asn-prepend-count 2 -med 100 -community 9000:900,8000:800

    Exemple 3 : créez un groupe de pairs avec MD5 activé

    1. Activer IPsec :

      security ipsec config modify -is-enabled true

    2. Créez le groupe de pairs BGP avec MD5 activé :

      network bgp peer-group create -ipspace Default -peer-group <group_name> -bgp-lif bgp_lif -peer-address <peer_router_ip_address> {-md5-enabled true} {-md5-secret <md5 secret in string or hex format>}

      Exemple avec une clé hexagonale :

      network bgp peer-group create -ipspace Default -peer-group peer1 -bgp-lif bgp_lif1 -peer-address 10.1.1.100 -md5-enabled true -md5-secret 0x7465737420736563726574

      Exemple d'utilisation d'une chaîne :

    network bgp peer-group create -ipspace Default -peer-group peer1 -bgp-lif bgp_lif1 -peer-address 10.1.1.100 -md5-enabled true -md5-secret "test secret"
Remarque Après avoir créé le groupe de pairs BGP, un port ethernet virtuel (en commençant par v0a..v0z,v1a…​) apparaît lorsque vous exécutez la network port show commande. Le MTU de cette interface est toujours indiqué à 1500. Le MTU réel utilisé pour le trafic est dérivé du port physique (BGP LIF), qui est déterminé lors de l'envoi du trafic.

Créer une LIF de données VIP (Virtual IP

L'existence d'une LIF de données VIP est annoncée pour les routeurs homologues par le biais du protocole de routage, BGP (Border Gateway Protocol).

Avant de commencer

  • Le groupe de pairs BGP doit être configuré et la session BGP pour le SVM sur lequel la LIF est créée doit être active.

  • Une route statique vers le routeur BGP ou tout autre routeur du sous-réseau de la LIF BGP doit être créée pour tout trafic VIP sortant pour la SVM.

  • Vous devez activer le routage multichemin afin que le trafic VIP sortant puisse utiliser toutes les routes disponibles.

    Si le routage multichemin n'est pas activé, tout le trafic VIP sortant passe à partir d'une interface unique.

Étapes

  1. Créer une LIF de données VIP :

    network interface create -vserver <svm_name> -lif <lif_name> -role data -data-protocol
{nfs|cifs|iscsi|fcache|none|fc-nvme} -home-node <home_node> -address <ip_address> -is-vip true -failover-policy broadcast-domain-wide

    Un port VIP est automatiquement sélectionné si vous ne spécifiez pas le port d'accueil avec le network interface create commande.

    Par défaut, la LIF de données VIP appartient au domaine de diffusion créé par le système, nommé « VIP », pour chaque IPspace. Vous ne pouvez pas modifier le broadcast domain VIP.

    Une LIF de données VIP est accessible simultanément sur tous les ports hébergeant une LIF BGP d'un IPspace. En l'absence de session BGP active pour le SVM de VIP sur le nœud local, la LIF de données VIP bascule vers le port VIP suivant sur le nœud sur lequel une session BGP est établie pour ce SVM.

  2. Vérifier que la session BGP est au statut up pour le SVM de la LIF de données VIP :

    network bgp vserver-status show

Node        Vserver  bgp status
	    ----------  -------- ---------
	    node1       vs1      up

    Si le statut BGP est de down Pour le SVM sur un nœud, la LIF de données VIP bascule vers un nœud différent où l'état BGP est activé pour le SVM. Si le statut BGP est de down Sur tous les nœuds, la LIF de données VIP ne peut pas être hébergée n'importe où et possède le statut LIF comme étant arrêté.

Commandes de gestion du protocole BGP

À partir de ONTAP 9.5, vous utilisez le network bgp Commandes permettant de gérer les sessions BGP dans ONTAP.

Gérer la configuration BGP

Les fonctions que vous recherchez…​

Utilisez cette commande…​

Créez une configuration BGP

network bgp config create

Modifiez la configuration BGP

network bgp config modify

Supprimez la configuration BGP

network bgp config delete

Affiche la configuration BGP

network bgp config show

Affiche l'état BGP pour le SVM de la LIF VIP

network bgp vserver-status show

Gérer les valeurs par défaut du protocole BGP

Les fonctions que vous recherchez…​

Utilisez cette commande…​

Modifiez les valeurs par défaut du protocole BGP

network bgp defaults modify

Affiche les valeurs par défaut du protocole BGP

network bgp defaults show

Gérez les groupes de pairs BGP

Les fonctions que vous recherchez…​

Utilisez cette commande…​

Créez un groupe de pairs BGP

network bgp peer-group create

Modifiez un groupe de pairs BGP

network bgp peer-group modify

Supprimez un groupe de pairs BGP

network bgp peer-group delete

Affiche les informations sur les groupes de pairs BGP

network bgp peer-group show

Renommez un groupe d'homologues BGP

network bgp peer-group rename

Gérez les groupes de pairs BGP avec MD5

À partir de ONTAP 9.16.1, vous pouvez activer ou désactiver l'authentification MD5 sur un groupe de pairs BGP existant.

Remarque Si vous activez ou désactivez MD5 sur un groupe de pairs BGP existant, la connexion BGP est interrompue et recréée pour appliquer les modifications de configuration MD5.

Les fonctions que vous recherchez…​

Utilisez cette commande…​

Activez MD5 sur un groupe de pairs BGP existant

network bgp peer-group modify -ipspace Default -peer-group <group_name> -bgp-lif <bgp_lif> -peer-address <peer_router_ip_address> -md5-enabled true -md5-secret <md5 secret in string or hex format>

Désactivez MD5 sur un groupe de pairs BGP existant

network bgp peer-group modify -ipspace Default -peer-group <group_name> -bgp-lif <bgp_lif> -md5-enabled false
Informations associées

"Référence de commande ONTAP"