您可以为 IPSec 隧道上的 SD-WAN 网关 配置 BGP 设置。

IPsec 上的 BGP 仅支持 eBGP。

注: 建议在 SDWAN 网关和 NSD 站点之间使用 eBGP。如果使用 iBGP,则应用本地首选项将无法与出站筛选器配合使用。在这种情况下,客户必须选择衡量指标或 AS 路径前置选项才能实现理想的路由。

要为网关配置 BGP 设置,请执行以下操作:

前提条件

注: 从网关到 Azure vWAN 的自动化功能与“IPsec 上的 BGP”不兼容。这是因为自动从网关连接到 Azure vWAN 时,仅支持静态路由。

确保您已配置以下内容:

注: 在通过网关的 IPSec 上使用 BGP 时,建议启用 分布式成本计算 (Distributed Cost Calculation),以实现最佳性能和扩展。从版本 3.4.0 开始,支持 分布式成本计算 (Distributed Cost Calculation)

有关分布式成本计算 (Distributed Cost Calculation) 的更多信息,请参阅《VMware SD-WAN 操作员指南》(网址为 https://docs.vmware.com/cn/VMware-SD-WAN/index.html)中的配置分布式成本计算一节。

过程

  1. 在企业门户中,单击配置 (Configure) > 网络服务 (Network Services)
  2. 通过网关的非 SD-WAN 目标 (Non SD-WAN Destinations via Gateway) 区域中,单击 非 SD-WAN 目标 对应的 BGP 列中的编辑 (Edit) 链接。
  3. BGP 编辑器 (BGP Editor) 窗口中,单击相应滑块将其移动到开启 (ON),以配置 BGP 设置。
    1. 单击添加筛选器 (Add Filter) 以创建一个或多个筛选器。这些筛选器将应用于邻居以拒绝或更改路由的属性。可以将同一筛选器用于多个邻居。
      创建 BGP 筛选器 (Create BGP Filter) 窗口中,设置筛选器的规则。
      选项 描述
      筛选器名称 (Filter Name) 为 BGP 筛选器输入描述性名称。
      匹配类型和值 (Match Type and Value) 选择要与筛选器匹配的路由类型:
      • 前缀 (Prefix):选择该选项以与前缀匹配,并在值 (Value) 字段中输入前缀 IP 地址。
      • 社区 (Community):选择该选项以与社区匹配,并在值 (Value) 字段中输入社区字符串。
      精确匹配 (Exact Match) 只有在 BGP 路由与指定的前缀或社区字符串完全匹配时,才会执行筛选操作。默认情况下,将启用该选项。
      操作类型 (Action Type) 选择在 BGP 路由与指定前缀或社区字符串匹配时执行的操作。您可以允许或拒绝流量。
      设置 (Set) 在 BGP 路由与指定条件匹配时,您可以进行设置以根据路径属性将流量路由到网络。从下拉列表中选择以下选项之一:
      • 无 (None):匹配的路由的属性保持不变。
      • 本地首选项 (Local Preference):匹配的流量将路由到具有指定本地首选项的路径。
      • 社区 (Community):按指定的社区字符串筛选匹配的路由。
      • 衡量指标 (Metric):匹配的流量将路由到具有指定衡量指标值的路径。
      • AS-Path-Prepend:允许在 BGP 路由前面添加多个自治系统 (Autonomous System, AS) 条目。
      单击加号 ( +) 图标,以便为筛选器添加更多匹配规则。
      单击 确定 (OK)
      重复该过程以创建更多 BGP 筛选器。
      配置的筛选器显示在 BGP 编辑器 (BGP Editor) 窗口中。
    2. BGP 编辑器 (BGP Editor) 窗口中,为主网关和辅助网关配置 BGP 设置。
      注: 仅当已为相应 非 SD-WAN 目标 配置了辅助网关时,“辅助网关”(Secondary Gateway) 选项才可用。
      注: 对于将通过网关的非 VMware SD-WAN 目标 (NSD) 配置为使用冗余隧道的客户部署,如果主网关和辅助网关向主 NSD 隧道和辅助 NSD 隧道通告具有同等 AS 路径的前缀,主 NSD 隧道将优先选择冗余网关路径而非主网关。通过网关的主 NSD 隧道优先选择冗余网关路径而非主网关只会对从 NSD 返回网关的流量产生影响。

      如果您不希望 BGP 路由器首选冗余网关,解决办法是配置 AS-PATH 前置,并将冗余网关中通告的前缀的衡量指标筛选器设置为更高(3 或更多)的衡量指标。这样做可确保 NSD 的主隧道为返回流量选择主网关。

      选项 描述
      本地 ASN (Local ASN) 输入本地自治系统编号 (Autonomous System Number, ASN)
      路由器 ID (Router ID) 输入 BGP 路由器 ID
      邻居 IP (Neighbor IP) 输入 BGP 邻居的 IP 地址
      ASN 输入邻居的 ASN
      入站筛选器 (Inbound Filter) 从下拉列表中选择入站筛选器
      出站筛选器 (Outbound Filter) 从下拉列表中选择出站筛选器
      其他选项 (Additional Options) - 单击查看全部 (view all) 链接以配置以下其他设置:
      本地 IP (Local IP) 本地 IP 地址相当于环回 IP 地址。输入一个 IP 地址,BGP 邻居可以将其作为出站数据包的源 IP 地址。
      最大跳数 (Max-hop) 输入最大跳数,以便为 BGP 对等体启用多跳。对于 5.1 和更高版本,范围是 2 到 255,默认值为 2。
      注: 在升级到 5.1 版本时,任何 max-hop 值 1 将自动更新为 max-hop 值 2。
      注: 该字段仅适用于 eBGP 邻居,此时,本地 ASN 和相邻 ASN 不相同。
      允许 AS (Allow AS) 选中该复选框以允许接收和处理 BGP 路由,即使网关在 AS-Path 中检测到自身的 ASN。
      默认路由 (Default Route) “默认路由”(Default Route) 在 BGP 配置中添加一条网络语句,以向邻居通告默认路由。
      启用 BFD (Enable BFD) 为 BGP 邻居启用对现有 BFD 会话的订阅。
      保持活动状态 (Keep Alive) 输入保持活动状态定时器(以秒为单位),这是发送到对等体的保持活动状态消息间隔的持续时间。范围是 1 到 65535 秒。默认值为 60 秒。
      保持定时器 (Hold Timer) 输入保持定时器(以秒为单位)。在指定时间内未收到保持活动状态消息时,对等体将被视为关闭。范围是 1 到 65535 秒。默认值为 180 秒。
      连接 (Connect) 输入在检测到 TCP 会话不是被动时尝试与对等体建立新 TCP 连接的时间间隔。默认值为 120 秒。
      MD5 身份验证 (MD5 Auth) 选中该复选框以启用 BGP MD5 身份验证。该选项在旧网络或联邦网络中使用,作为 BGP 对等的安全防护机制。
      MD5 密码 (MD5 Password) 为 MD5 身份验证输入密码。
    3. 单击确定 (OK) 以保存更改。