Skip to main content
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Configurar LIFs ONTAP virtual IP (VIP)

Colaboradores

Alguns data centers de última geração usam mecanismos de rede de camada 3 (IP) que exigem falha de LIFs nas sub-redes. O ONTAP suporta LIFs de dados de IP virtual (VIP) e o protocolo de roteamento associado, protocolo de gateway de borda (BGP), para atender aos requisitos de failover dessas redes de próxima geração.

Sobre esta tarefa

Um LIF de dados VIP é um LIF que não faz parte de qualquer sub-rede e é acessível a partir de todas as portas que hospedam um LIF BGP no mesmo espaço IPspace. Um LIF de dados VIP elimina a dependência de um host em interfaces de rede individuais. Como vários adaptadores físicos transportam o tráfego de dados, toda a carga não se concentra em um único adaptador e na sub-rede associada. A existência de um LIF de dados VIP é anunciada para roteadores peer através do protocolo de roteamento, Border Gateway Protocol (BGP).

Os LIFs de dados VIP oferecem as seguintes vantagens:

  • Portabilidade de LIF além de um domínio de broadcast ou sub-rede: LIFs de dados VIP podem falhar em qualquer sub-rede na rede, anunciando a localização atual de cada LIF de dados VIP para roteadores através do BGP.

  • Taxa de transferência agregada: Os LIFs de dados VIP podem oferecer suporte a taxa de transferência agregada que excede a largura de banda de qualquer porta individual porque os LIFs VIP podem enviar ou receber dados de várias sub-redes ou portas simultaneamente.

Configurar o protocolo de gateway de borda (BGP)

Antes de criar LIFs VIP, você deve configurar o BGP, que é o protocolo de roteamento usado para anunciar a existência de um LIF VIP para roteadores peer.

A partir do ONTAP 9.9,1, o VIP fornece automação de rota padrão opcional usando grupos de pares BGP para simplificar a configuração.

O ONTAP tem uma maneira simples de aprender rotas padrão usando os pares BGP como roteadores de próximo salto quando o par BGP está na mesma sub-rede. Para usar o recurso, defina o -use-peer-as-next-hop atributo como true. Por padrão, esse atributo é false.

Se você tiver rotas estáticas configuradas, elas ainda serão preferidas sobre essas rotas padrão automatizadas.

Antes de começar

O roteador peer deve ser configurado para aceitar uma conexão BGP do BGP LIF para o ASN (número de sistema autônomo) configurado.

Observação O ONTAP não processa quaisquer anúncios de rota de entrada a partir do router; por conseguinte, deve configurar o router ponto-a-ponto para não enviar quaisquer atualizações de rota para o cluster. Isso reduz o tempo necessário para que a comunicação com o peer se torne totalmente funcional e reduz o uso de memória interna no ONTAP.
Sobre esta tarefa

Configurar o BGP envolve, opcionalmente, criar uma configuração BGP, criar um BGP LIF e criar um grupo de pares BGP. O ONTAP cria automaticamente uma configuração BGP padrão com valores padrão quando o primeiro grupo de pares BGP é criado em um determinado nó.

Um BGP LIF é usado para estabelecer sessões BGP TCP com roteadores peer. Para um roteador peer, um BGP LIF é o próximo salto para alcançar um VIP LIF. O failover está desativado para o BGP LIF. Um grupo de pares BGP anuncia as rotas VIP para todos os SVMs no IPspace usado pelo grupo de pares. O IPspace usado pelo grupo de pares é herdado do BGP LIF.

A partir do ONTAP 9.16,1, a autenticação MD5 é suportada em grupos de pares BGP para proteger sessões BGP. Quando o MD5 está ativado, as sessões de BGP só podem ser estabelecidas e processadas entre pares autorizados, evitando possíveis interrupções da sessão por um ator não autorizado.

Os seguintes campos foram adicionados network bgp peer-group create aos comandos e network bgp peer-group modify:

  • -md5-enabled <true/false>

  • -md5-secret <md5 secret in string or hex format>

Esses parâmetros permitem configurar um grupo de pares BGP com uma assinatura MD5 para maior segurança. Os seguintes requisitos aplicam-se ao uso da autenticação MD5.1X:

  • Só é possível especificar o -md5-secret parâmetro quando o -md5-enabled parâmetro estiver definido como true.

  • O IPsec deve estar ativado globalmente antes de poder ativar a autenticação BGP MD5. O BGP LIF não é necessário para ter uma configuração IPsec ativa. "Configurar a segurança IP (IPsec) através da criptografia por fio"Consulte a .

  • A NetApp recomenda que você configure o MD5 no roteador antes de configurá-lo no controlador ONTAP.

A partir de ONTAP 9.9,1, estes campos foram adicionados:

  • -asn Ou -peer-asn (valor de 4 bytes) o atributo em si não é novo, mas agora usa um inteiro de 4 bytes.

  • -med

  • -use-peer-as-next-hop

Pode fazer seleções de rota avançadas com suporte Multi-Exit discriminator (MED) para a priorização de caminho. MED é um atributo opcional na mensagem de atualização do BGP que informa aos roteadores para selecionar a melhor rota para o tráfego. O MED é um número inteiro de 32 bits não assinado (0 - 4294967295); valores mais baixos são preferidos.

A partir de ONTAP 9.8, esses campos foram adicionados ao network bgp peer-group comando:

  • -asn-prepend-type

  • -asn-prepend-count

  • -community

Esses atributos BGP permitem que você configure os atributos caminho COMO e comunidade para o grupo de pares BGP.

Observação Embora o ONTAP ofereça suporte aos atributos BGP acima, os roteadores não precisam honrá-los. A NetApp recomenda fortemente que você confirme quais atributos são suportados pelo seu roteador e configure os grupos de pares BGP de acordo. Para obter detalhes, consulte a documentação BGP fornecida pelo seu roteador.
Passos
  1. Inicie sessão no nível de privilégio avançado:

    set -privilege advanced

  2. Opcional: Crie uma configuração BGP ou modifique a configuração BGP padrão do cluster executando uma das seguintes ações:

    1. Criar uma configuração BGP:

      network bgp config create -node {node_name | local} -asn <asn_number> -holdtime
      <hold_time> -routerid <router_id>
      Observação
      • O -routerid parâmetro aceita um valor de 32 bits decimal pontilhado que só precisa ser exclusivo dentro de um DOMÍNIO AS. A NetApp recomenda que você use o endereço IP de gerenciamento de nós (v4) para <router_id> o qual garanta a exclusividade.

      • Embora o ONTAP BGP suporte números ASN de 32 bits, apenas a notação decimal padrão é suportada. Notação ASN pontilhada, como 65000,1 em vez de 4259840001 para um ASN privado, não é suportada.

      Amostra com um ASN de 2 bytes:

      network bgp config create -node node1 -asn 65502 -holdtime 180 -routerid 1.1.1.1

      Amostra com um ASN de 4 bytes:

    network bgp config create -node node1 -asn 85502 -holdtime 180 -routerid 1.1.1.1
    1. Modifique a configuração padrão do BGP:

      network bgp defaults modify -asn <asn_number> -holdtime <hold_time>
      network bgp defaults modify -asn 65502 -holdtime 60
      • <asn_number> Especifica o número ASN. Começando com ONTAP 9.8, o ASN para BGP suporta um inteiro não negativo de 2 bytes. Este é um número de 16 bits (1 a 65534 valores disponíveis). Começando com ONTAP 9.9,1, o ASN para BGP suporta um inteiro não negativo de 4 bytes (1 a 4294967295). O ASN padrão é 65501. O ASN 23456 é reservado para estabelecimento de sessão ONTAP com pares que não anunciam capacidade ASN de 4 bytes.

      • <hold_time> especifica o tempo de espera em segundos. O valor padrão é 180s.

        Observação O ONTAP suporta apenas um global <asn_number>, , <hold_time> e <router_id>, mesmo que você configure o BGP para vários IPspaces. O BGP e todas as informações de roteamento IP são completamente isolados dentro de um espaço IPspace. Um espaço IPspace é equivalente a uma instância de roteamento e encaminhamento virtual (VRF).
  3. Crie um BGP LIF para o SVM do sistema:

    Para o IPspace padrão, o nome do SVM é o nome do cluster. Para IPspaces adicionais, o nome SVM é idêntico ao nome IPspace.

    network interface create -vserver <system_svm> -lif <lif_name> -service-policy default-route-announce -home-node <home_node> -home-port <home_port> -address <ip_address> -netmask <netmask>

    Você pode usar a default-route-announce política de serviço para o BGP LIF ou qualquer política de serviço personalizado que contenha o serviço "Management-bgp".

    network interface create -vserver cluster1 -lif bgp1 -service-policy default-route-announce -home-node cluster1-01 -home-port e0c -address 10.10.10.100 -netmask 255.255.255.0
  4. Crie um grupo de pares BGP que seja usado para estabelecer sessões BGP com os roteadores peer remotos e configurar as informações de rota VIP que são anunciadas aos roteadores peer:

    Exemplo 1: Crie um grupo de pares sem uma rota padrão automática

    Neste caso, o administrador precisa criar uma rota estática para o peer BGP.

    network bgp peer-group create -peer-group <group_name> -ipspace <ipspace_name> -bgp-lif <bgp_lif> -peer-address <peer-router_ip_address> -peer-asn <peer_asn_number> {-route-preference <integer>} {-asn-prepend-type <ASN_prepend_type>} {-asn-prepend-count <integer>} {-med <integer>} {-community BGP community list <0-65535>:<0-65535>}
    network bgp peer-group create -peer-group group1 -ipspace Default -bgp-lif bgp1 -peer-address 10.10.10.1 -peer-asn 65503 -route-preference 100 -asn-prepend-type local-asn -asn-prepend-count 2 -med 100 -community 9000:900,8000:800

    Exemplo 2: Crie um grupo de pares com uma rota padrão automática

    network bgp peer-group create -peer-group <group_name> -ipspace <ipspace_name> -bgp-lif <bgp_lif> -peer-address <peer-router_ip_address> -peer-asn <peer_asn_number> {-use-peer-as-next-hop true} {-route-preference <integer>} {-asn-prepend-type <ASN_prepend_type>} {-asn-prepend-count <integer>} {-med <integer>} {-community BGP community list <0-65535>:<0-65535>}
    network bgp peer-group create -peer-group group1 -ipspace Default -bgp-lif bgp1 -peer-address 10.10.10.1 -peer-asn 65503 -use-peer-as-next-hop true -route-preference 100 -asn-prepend-type local-asn -asn-prepend-count 2 -med 100 -community 9000:900,8000:800

    Exemplo 3: Crie um grupo de pares com o MD5 ativado

    1. Ativar IPsec:

      security ipsec config modify -is-enabled true

    2. Crie o grupo de pares BGP com o MD5 ativado:

      network bgp peer-group create -ipspace Default -peer-group <group_name> -bgp-lif bgp_lif -peer-address <peer_router_ip_address> {-md5-enabled true} {-md5-secret <md5 secret in string or hex format>}

      Exemplo usando uma chave sextavada:

      network bgp peer-group create -ipspace Default -peer-group peer1 -bgp-lif bgp_lif1 -peer-address 10.1.1.100 -md5-enabled true -md5-secret 0x7465737420736563726574

      Exemplo usando uma cadeia de carateres:

    network bgp peer-group create -ipspace Default -peer-group peer1 -bgp-lif bgp_lif1 -peer-address 10.1.1.100 -md5-enabled true -md5-secret "test secret"
Observação Depois de criar o grupo de pares BGP, uma porta ethernet virtual (começando com v0a..v0z,v1a…​) é listada quando você executa o network port show comando. A MTU desta interface é sempre relatada em 1500. A MTU real usada para tráfego é derivada da porta física (BGP LIF), que é determinada quando o tráfego é enviado.

Crie um IP virtual (VIP) data LIF

A existência de um LIF de dados VIP é anunciada para roteadores peer através do protocolo de roteamento, Border Gateway Protocol (BGP).

Antes de começar
  • O grupo de pares BGP deve ser configurado e a sessão BGP para o SVM no qual o LIF deve ser criado deve estar ativa.

  • Uma rota estática para o roteador BGP ou qualquer outro roteador na sub-rede BGP LIF deve ser criada para qualquer tráfego VIP de saída para o SVM.

  • Você deve ativar o roteamento multipath para que o tráfego VIP de saída possa utilizar todas as rotas disponíveis.

    Se o roteamento multipath não estiver habilitado, todo o tráfego VIP de saída será de uma única interface.

Passos
  1. Crie um LIF de dados VIP:

    network interface create -vserver <svm_name> -lif <lif_name> -role data -data-protocol
    {nfs|cifs|iscsi|fcache|none|fc-nvme} -home-node <home_node> -address <ip_address> -is-vip true -failover-policy broadcast-domain-wide

    Uma porta VIP será selecionada automaticamente se você não especificar a porta inicial com o network interface create comando.

    Por padrão, o LIF de dados VIP pertence ao domínio de broadcast criado pelo sistema chamado 'VIP', para cada espaço IPspace. Não é possível modificar o domínio de transmissão VIP.

    Um LIF de dados VIP é acessível simultaneamente em todas as portas que hospedam um LIF BGP de um IPspace. Se não houver uma sessão de BGP ativa para o SVM do VIP no nó local, o LIF de dados VIP fará failover para a próxima porta VIP no nó que tiver uma sessão de BGP estabelecida para esse SVM.

  2. Verifique se a sessão BGP está no status up para o SVM do LIF de dados VIP:

    network bgp vserver-status show
    
    Node        Vserver  bgp status
    	    ----------  -------- ---------
    	    node1       vs1      up

    Se o status do BGP for down para o SVM em um nó, o LIF de dados VIP fará o failover para um nó diferente no qual o status do BGP está ativo para o SVM. Se o status do BGP estiver down em todos os nós, o LIF de dados VIP não pode ser hospedado em qualquer lugar e tem status de LIF como inativo.

Comandos para gerenciar o BGP

A partir do ONTAP 9.5, você usa os network bgp comandos para gerenciar as sessões BGP no ONTAP.

Gerenciar a configuração do BGP

Se você quiser…​

Use este comando…​

Crie uma configuração BGP

network bgp config create

Modificar a configuração do BGP

network bgp config modify

Eliminar configuração BGP

network bgp config delete

Apresentar a configuração BGP

network bgp config show

Exibe o status do BGP para o SVM do VIP LIF

network bgp vserver-status show

Gerenciar valores padrão BGP

Se você quiser…​

Use este comando…​

Modificar valores padrão BGP

network bgp defaults modify

Exibir valores padrão BGP

network bgp defaults show

Gerenciar grupos de pares BGP

Se você quiser…​

Use este comando…​

Crie um grupo de pares BGP

network bgp peer-group create

Modificar um grupo de pares BGP

network bgp peer-group modify

Excluir um grupo de pares BGP

network bgp peer-group delete

Exibir informações de grupos de pares BGP

network bgp peer-group show

Renomeie um grupo de pares BGP

network bgp peer-group rename

Gerencie grupos de pares BGP com MD5

A partir do ONTAP 9.16,1, você pode ativar ou desativar a autenticação MD5 em um grupo de pares BGP existente.

Observação Se você ativar ou desativar o MD5 em um grupo de pares BGP existente, a conexão BGP será encerrada e recriada para aplicar as alterações de configuração do MD5.

Se você quiser…​

Use este comando…​

Ative MD5 em um grupo de pares BGP existente

network bgp peer-group modify -ipspace Default -peer-group <group_name> -bgp-lif <bgp_lif> -peer-address <peer_router_ip_address> -md5-enabled true -md5-secret <md5 secret in string or hex format>

Desative o MD5 em um grupo de pares BGP existente

network bgp peer-group modify -ipspace Default -peer-group <group_name> -bgp-lif <bgp_lif> -md5-enabled false

Informações relacionadas

"Referência do comando ONTAP"