您可以为配置文件或 Edge 的每个分段配置 BGP。本节提供了如何为 BGP 配置非 SD-WAN 邻居(在 4.3 版本中支持)的步骤。

关于该任务:

BGP 用于在到非 SD-WAN 站点的 IPsec 隧道上建立 BGP 邻居关系。直接 IPsec 隧道用于在 SD-WAN Edge 和非 SD-WAN 目标 (NSD) 之间建立安全通信。在先前版本中,VMware 支持来自 SD-WAN Edge 的 NSD 隧道,并且能够添加 NVS 静态路由。在 4.3 版本中,扩展了此功能,现在基于路由的 VPN 支持到 NSD 端点的“IPSec 上的 BGP”。

VMware 还支持 4 字节 ASN BGP。有关更多信息,请参阅标题为配置 BGP 的章节。

注: 对于 4.3.0 版本,从 Edge 到 Azure vWAN 的自动化功能与“IPsec 上的 BGP”不兼容。这是因为自动从 Edge 连接到 Azure vWAN 时,仅支持静态路由。

用例

用例 1:从 Edge 到 Azure VPN 的 IPsec 上的 BGP

每个 Azure VPN 网关为分支 Edge 分配一组虚拟公用 IP (Virtual Public IP, VIP) 以建立 IPsec 隧道。同样,Azure 还分配一个内部专用子网,并为每个 VIP 分配一个内部 IP。该内部隧道 IP(对等隧道 IP)将用于创建与 Azure 网关的 BGP 对等连接。

Azure 具有一个限制,即 BGP 对等 IP(Edge 的本地隧道 IP)不应位于连接的同一子网或 169.x.x.x 子网中,因此,我们需要在 Edge 上支持多跃点 BGP。在 BGP 术语中,本地隧道 IP 映射到 BGP 源地址,对等隧道 IP 映射到邻居/对等地址。我们需要建立 BGP 连接网格 - 每个 NSD 隧道一个 BGP 连接,以便对来自 NVS 的返回流量进行负载均衡(基于流量)- Azure 网关端的设计。在下面的物理 Edge 图表中,我们具有两个公用 WAN 链路,因此,具有 4 个到 Azure 网关的隧道。每个隧道与一个 BGP 连接相关联,该连接由本地隧道 IP 和远程对等隧道 IP 唯一地进行标识。在虚拟 Edge 上,唯一的区别是我们具有一个公用 WAN 链路,最多具有两个到 Azure 网关的隧道和 BGP 会话。

注: 使用多个 WAN 链路将 SD-WAN Edge 连接到同一 Azure 端点时,最多可以配置两个 NSD-BGP 邻居(因为远程端只有两个 public_ips 和两个 NSD-BGP peer_ips)。两个 NSD-BGP 邻居可以在同一链路(主/辅助隧道)上配置,也可以在不同链路的隧道上配置。如果客户尝试配置两个以上的 NSD-BGP 邻居,并在多个隧道上配置相同的 NSD-BGP peer_ip,则最后配置的 BGP nbr_ip + local_ip 将在 SD-WAN Edge 和可用范围路由 (Free Range Routing, FRR) 上。

用例 2:从 Edge 到 AWS VPN/转换网关的 IPsec 上的 BGP

与 Azure 不同,AWS VPN 网关为到分支 Edge 的每个链路分配一组公用 VIP。从 AWS 网关分配给分支 Edge 的公用 IP 总数等于将连接到 AWS VPN 网关的 Edge 公用 WAN 链路数。同样,将为每个隧道分配一个 /30 内部/专用子网,它用于该隧道上的 BGP 对等连接。可以在 AWS 网关配置中手动覆盖这些 IP,以确保它们在不同的可用区之间是唯一的。

与 Azure 用例类似,Edge 将建立 BGP 连接网格 - 到 AWS 网关的每个隧道一个 BGP 连接。这样,就可以对来自 AWS VPN 网关的返回流量进行负载均衡 - AWS 端的设计。在下面的图表中,对于物理 Edge,AWS 网关为每个 Edge WAN 链路分配一组公用 IP 和一组隧道 IP (/30)。共有 4 个隧道,但在 AWS 网关和 4 个 BGP 连接上的不同公用 IP 中终止。

用例 3:Edge 连接到 AWS 和 Azure VPN 网关(混合云)

一个分支 Edge 可能同时连接到 Azure 网关和 AWS 网关以实现冗余目的,或者,在一个云提供商中托管一些工作负载/应用程序,而在另一个云提供商中托管其他工作负载/应用程序。无论用例如何,Edge 始终为每个隧道建立一个 BGP 会话,并传播 SD-WAN 和 IaaS 之间的路由。下图是一个分支 Edge 同时连接到 Azure 和 AWS 云的示例。

用例 4:Hub 集群连接到 Azure/AWS 转换网关

Hub 集群成员可以建立到 Azure/AWS 转换网关的 IPsec 隧道,并将转换网关作为第 3 层以在不同 VPC 之间路由流量。如果在 Hub 上没有本机“IPsec 上的 BGP”功能,则 Hub 需要连接到使用本机 BGP 的 L3 路由器(此处是广泛使用的 Cisco CSR),并且 L3 路由器与不同的 VPC 之间建立“IPsec 上的 BGP”隧道网格。L3 路由器用作不同 VPC 之间的转换端点。用例 1(下面的左侧图表):将 Hub 作为不同的 VPC(包含不同的可用区 (Availability Zone, AZ))之间的转换节点,以便一个 VPC 可以与另一个 VPC 进行通信。用例 2(下面的右侧图表):将集群中的所有 Hub 直接连接到云转换网关,并且可以将云网关作为 PE (L3) 路由器以在集群成员之间分配路由。在这两种用例中,如果在 Hub 上不支持“IPsec 上的 BGP”,Hub 将连接到使用本机 BGP 的 L3 路由器(如 CSR),并且 CSR 使用“IPsec 上的 BGP”与转换/VPC 网关之间建立对等连接。

用例 5:在没有本机支持的云提供商中支持转换功能

一些云提供商(例如 Google Cloud 和 AliCloud)不提供对转换功能的本机支持(没有转换网关),借助于“IPsec 上的 BGP”支持,这些提供商可以依靠云中部署的 SD-WAN Edge/Hub 在不同的 VPC/VNET 之间实现转换功能。如果不支持“IPsec 上的 BGP”,您必须使用 CSR(解决方案 (2))等 L3 路由器以实现转换功能。

注: 在 4.3 版本之前,对于可以通过 NVS-From-Gateway 和 NVS-From-Edge 访问同一 NVS 静态目标的客户,其他分支 SD-WAN Edge 的流量将首先选择通过 NVS-Gateway 的路径。客户将其网络升级到 4.3 或更高版本后,来自其他分支 SD-WAN Edge 的此流量路径将首先选择通过 NVS-Edge 的路径。因此,客户必须根据其流量路径首选项更新 NSD-Edge 和 NSD-Gateway 的 NVS 静态目标衡量指标。

必备条件:

过程

要允许与非 SD-WAN 邻居之间使用 BGP,请执行以下操作:

  1. 在企业门户中,单击配置 Edge (Configure Edge) 并选择要配置的 SD-WAN Edge。
  2. 单击设备 (Device) 选项卡。
  3. 设备 (Device) 选项卡中,向下滚动到 BGP 设置 (BGP Settings) 部分,单击滑块以移动到开启 (ON) 位置,然后单击编辑 (Edit) 按钮。

  4. BGP 编辑器 (BGP Editor) 对话框中,添加筛选器。
    1. 单击添加筛选器 (Add Filter) 按钮以创建一个或多个筛选器。筛选器将应用于邻居以拒绝或更改路由的属性。可以将同一筛选器用于多个邻居,包括“邻居”(Neighbors) 和“NSD 邻居”(NSD Neighbors)。

      将显示创建 BGP 筛选器 (Create BGP Filter) 对话框。

    2. 创建 BGP 筛选器 (Create BGP Filter) 区域中,设置筛选器的规则(请参阅下图)。有关创建 BGP 筛选器 (Create BGP Filter) 对话框中的字段说明,请参阅下表。

      选项 描述
      筛选器名称 (Filter Name) 为 BGP 筛选器输入描述性名称。
      匹配类型和值 (Match Type and Value) 选择要与筛选器匹配的路由类型:
      • 前缀 (Prefix):选择该选项以与前缀匹配,并在值 (Value) 字段中输入前缀 IP 地址。
      • 社区 (Community):选择该选项以与社区匹配,并在值 (Value) 字段中输入社区字符串。
      精确匹配 (Exact Match) 只有在 BGP 路由与指定的前缀或社区字符串完全匹配时,才会执行筛选操作。默认情况下,将启用该选项。
      操作类型 (Action Type) 选择在 BGP 路由与指定前缀或社区字符串匹配时执行的操作。您可以允许或拒绝流量。
      设置 (Set) 在 BGP 路由与指定条件匹配时,您可以进行设置以根据路径属性将流量路由到网络。从下拉列表中选择以下选项之一:
      • 无 (None):匹配的路由的属性保持不变。
      • 本地首选项 (Local Preference):匹配的流量将路由到具有指定本地首选项的路径。
      • 社区 (Community):按指定的社区字符串筛选匹配的路由。您还可以选中社区附加项 (Community Additive) 复选框以启用附加选项,这会将社区值附加到现有社区后面。
      • 衡量指标 (Metric):匹配的流量将路由到具有指定衡量指标值的路径。
      • AS-Path-Prepend:允许在 BGP 路由前面添加多个自治系统 (Autonomous System, AS) 条目。
    3. 要将更多匹配规则添加到筛选器中,请单击加号 (+) 图标。
    4. 单击确定 (OK) 以创建筛选器。

      配置的筛选器显示在 BGP 编辑器 (BGP Editor) 窗口中。

  5. BGP 编辑器 (BGP Editor) 对话框中,在要配置的设备的相应文本框中指定本地 ASN。
  6. 配置底层网络邻居。
    注: 为 4.3 版本配置底层网络邻居的步骤与以前的版本相同。如果要了解该步骤的特定信息,请参阅标题为“为 BGP 配置底层网络邻居”的章节。
  7. 配置 NSD 邻居。
    注: 4.3 版本支持非 SD-WAN (NSD) 邻居。两种邻居将共享所有全局设置,也可以将筛选器列表用于两种类型的邻居。在配置 NSD 邻居之前,请参阅上面的 必备条件一节。请参阅下面的步骤以配置 NSD 邻居,或参阅下表以了解底层网络邻居和 NSD 邻居的“BGP 编辑器”(BGP Editor) 字段说明。

    1. NSD 名称 (NSD Name) 下拉菜单中选择一个 NSD 邻居。必须以前在 SD-WAN Orchestrator分支到通过 Edge 的非 SD-WAN 目标 (Branch to Non SD-WAN Destination via Edge) 区域中配置了该邻居,才会在下拉菜单中显示该邻居。
    2. 链路名称 (Link Name) 下拉菜单中,选择与选定 NSD 邻居关联的链路。
    3. 隧道类型 (Tunnel Type) 下拉菜单中选择隧道类型:“主要”(Primary) 或“辅助”(Secondary)。如果还没有为 NSD 邻居配置辅助 IP,下拉菜单仅显示“主要”(Primary) 选项,而不显示“辅助”(Secondary) 选项。
    4. 输入选定 NSD 邻居的 ASN。
    5. 从下拉列表中选择一个入站筛选器。(该功能是可选的。)
    6. 从下拉列表中选择一个出站筛选器。(该功能是可选的。)

      有关 NSD 邻居的字段说明,请参阅下表。

      选项 描述
      本地 ASN (Local ASN) 输入本地自治系统编号 (Autonomous System Number, ASN)
      邻居 IP (Neighbor IP) 输入 BGP 邻居的 IP 地址
      NSD 名称 选择在 SD-WAN Orchestrator 的“分支到通过 Edge 的非 SD-WAN 目标”(Branch to Non SD-WAN Destination via Edge) 区域中配置的 NSD 名称。
      链路名称 (Link Name) 选择与 NSD 邻居关联的 WAN 链路的名称。
      ASN 输入 NSD 邻居的 ASN。
      隧道类型 (Tunnel Type) 选择对等项的隧道类型(“主要”(Primary) 或“辅助”(Secondary))。
      入站筛选器 (Inbound Filter) 从下拉列表中选择一个入站筛选器。
      出站筛选器 (Outbound Filter) 从下拉列表中选择一个出站筛选器。
      其他选项 (Additional Options) - 单击查看全部 (view all) 链接以配置以下其他设置:
      上行链路 (Uplink) 用于将邻居类型标记为上行链路。如果将其作为到 MPLS 的 WAN 覆盖网络,请选择该标记选项。它将作为标记以确定站点是否成为转换站点(例如 SD-WAN Hub),方法是将在 SD-WAN 覆盖网络上发现的路由传播至到 MPLS 的 WAN 链路。如果需要使其成为转换站点,还要在“高级设置”(Advanced Settings) 区域中选中“上行链路上的覆盖网络前缀”(Overlay Prefix Over Uplink)。
      本地 IP (Local IP)

      本地 IP 是配置非 SD-WAN 邻居所必需的。

      本地 IP 地址相当于环回 IP 地址。输入一个 IP 地址,BGP 邻居可以将其作为出站数据包的源 IP 地址。
      最大跃点 (Max-hop) 输入最大跃点数,以便为 BGP 对等项启用多跃点。范围是 1 到 255,默认值为 1。
      注: 该字段仅适用于 eBGP 邻居,此时,本地 ASN 和相邻 ASN 不相同。对于 iBGP,两个 ASN 相同,默认情况下会禁用多跃点,因而无法配置该字段。
      允许 AS (Allow AS) 选中该复选框以允许接收和处理 BGP 路由,即使 Edge 在 AS-Path 中检测到自己的 ASN。
      默认路由 (Default Route) “默认路由”(Default Route) 在 BGP 配置中添加一条网络语句,以向邻居通告默认路由。
      启用 BFD (Enable BFD) 为 BGP 邻居启用对现有 BFD 会话的订阅。
      注: 具有 NSD 邻居的 IPsec 上的 BGP 不支持单跃点 BFD 会话。但是,支持多跃点 BFD。对于 SD-WAN Edge 上的 NSD-BGP 会话,Local_ip 是必需的。SD-WAN Edge 仅将已连接的接口 IP 作为单跃点 BFD 处理。
      保持活动状态 (Keep Alive) 输入保持活动状态定时器(以秒为单位),这是发送到对等项的保持活动状态消息间隔的持续时间。范围是 0 到 65535 秒。默认值为 60 秒。
      保持定时器 (Hold Timer) 输入保持定时器(以秒为单位)。在指定时间内未收到保持活动状态消息时,对等项将被视为关闭。范围是 0 到 65535 秒。默认值为 180 秒。
      连接 (Connect) 输入在检测到 TCP 会话不是被动时尝试与对等项建立新的 TCP 连接的时间间隔。默认值为 120 秒。
      MD5 身份验证 (MD5 Auth) 选中该复选框以启用 BGP MD5 身份验证。该选项在旧网络或联邦网络中使用,通常将 BGP MD5 作为 BGP 对等的安全防护机制。
      MD5 密码 (MD5 Password) 为 MD5 身份验证输入密码。密码不应包含后跟数字的字符 $。例如,$1、$123 和 password$123 是无效的输入。
      注: 如果密码包含后跟数字的字符 $,MD5 身份验证将失败。
      注: 通过多跃点 BGP,系统可能会发现需要递归查找的路由。这些路由的下一跃点 IP 没有位于连接的子网中,并且这些路由没有有效的退出接口。在这种情况下,路由必须使用路由表中另一个具有退出接口的路由以解析下一跃点 IP。在需要查找这些路由的目标具有流量时,需要递归查找的路由将解析为连接的下一跃点 IP 地址和接口。在进行递归解析之前,递归路由指向中间接口。有关更多信息,请参阅 多跃点 BGP 路由
    7. 要为 NSD 邻居配置其他选项,请单击高级设置 (Advanced Settings) 按钮。
      注: 高级设置是在常规底层网络 BGP 邻居和 NSD BGP 邻居之间共享的。有关 NSD 邻居的 高级设置 (Advanced Settings) 区域中的所有字段的说明,请参阅下表。在 4.3 版本中,未更改 NSD 邻居的这些设置。
    8. 可以单击加号图标以创建或克隆其他 NSD 邻居。要删除创建或克隆的 NSD 邻居,请单击减号图标。
      选项 描述
      路由器 ID (Router ID) 输入全局 BGP 路由器 ID。如果未指定任何值,则自动分配该 ID。
      保持活动状态 (Keep Alive) 输入保持活动状态定时器(以秒为单位),这是发送到对等项的保持活动状态消息间隔的持续时间。范围是 0 到 65535 秒。默认值为 60 秒。
      保持定时器 (Hold Timer) 输入保持定时器(以秒为单位)。在指定时间内未收到保持活动状态消息时,对等项将被视为关闭。范围是 0 到 65535 秒。默认值为 180 秒。
      上行链路社区 (Uplink Community)

      输入将被视为上行链路路由的社区字符串。

      上行链路是指连接到提供商 Edge (PE) 的链路。通往 Edge 并与指定社区值匹配的入站路由将被视为上行链路路由。不会将 Hub/Edge 视为这些路由的所有者。

      使用范围在 1 到 4294967295 之间的数值格式或 AA:NN 格式输入值。

      覆盖网络前缀 (Overlay Prefix) 选中该复选框以重新分发从覆盖网络中发现的前缀。
      禁用 AS-PATH 转移 (Disable AS-Path carry over) 默认情况下,该字段应保持未选中状态。选中该复选框以禁用 AS-PATH 转移。在某些拓扑中,禁用 AS 路径转移将会影响出站 AS 路径,以使 L3 路由器优先使用到 Edge 或 Hub 的路径。
      警告: 如果禁用了 AS-PATH 转移,请调整网络以避免路由循环。
      连接的路由 (Connected Routes) 选中该复选框以重新分发所有连接的接口子网。
      OSPF 选中该复选框以允许将 OSPF 重新分发到 BGP。
      设置衡量指标 (Set Metric) 在启用 OSPF 时,为重新分发的 OSPF 路由输入 BGP 衡量指标。默认值为 20。
      默认路由 (Default Route)

      选中该复选框,以仅在 Edge 通过覆盖网络或底层网络发现 BGP 路由时重新分发默认路由。

      在选择默认路由 (Default Route) 选项时,通告 (Advertise) 选项将作为有条件 (Conditional) 列出。

      通过上行链路的覆盖网络前缀 (Overlay Prefixes over Uplink) 选中该复选框以通过上行链路标记将从覆盖网络中发现的路由传播到邻居。
      网络 (Networks) 输入 BGP 将向对等项通告的网络地址。可以单击加号 (+) 图标以添加更多网络地址。
      在启用默认路由 (Default Route) 选项时,将根据以全局方式或针对每个 BGP 邻居选择的默认路由以通告 BGP 路由,如下表中所示。
      默认路由选择 通告选项
      全局 每个 BGP 邻居
      每个 BGP 邻居配置覆盖全局配置,因此,始终向 BGP 对等项通告默认路由。
      只有在 Edge 通过覆盖网络或底层网络发现明确的默认路由时,BGP 才会将默认路由重新分发到邻居。
      始终向 BGP 对等项通告默认路由。
      不向 BGP 对等项通告默认路由。
  8. 单击确定 (OK) 以保存配置的筛选器和 NSD 邻居,然后关闭 BGP 编辑器 (BGP Editor)

    BGP 设置 (BGP Settings) 部分显示 BGP 配置设置。

  9. 设备 (Device) 屏幕中单击保存更改 (Save Changes) 以保存配置。

为配置文件配置 BGP 设置时,非 SD-WAN BGP 邻居配置不适用于配置文件级别。只能在 Edge 覆盖级别对其进行配置。如果需要,您可以覆盖特定 Edge 的配置。有关更多信息,请参阅标题为“配置 BGP”的章节。