非 SD-WAN BGP 邻居配置不适用于配置文件级别。只能在 Edge 级别配置 NSD 邻居。

关于此任务:

BGP 用于在到非 SD-WAN 站点的 IPSec 隧道上建立 BGP 邻居关系。直接 IPSec 隧道用于在 SD-WAN Edge 和非 SD-WAN 目标 (NSD) 之间建立安全通信。在先前版本中,VMware 支持来自 SD-WAN Edge 的 NSD 隧道,并且能够添加 NVS 静态路由。在 4.3 版本中,扩展了此功能,现在基于路由的 VPN 支持到 NSD 端点的“IPSec 上的 BGP”。

VMware SD-WAN 支持 4 字节 ASN BGP。有关更多信息,请参阅 配置 BGP
注: 从 Edge 到 Azure vWAN 的自动化功能与“IPSec 上的 BGP”不兼容。这是因为自动从 Edge 连接到 Azure vWAN 时,仅支持静态路由。

用例

用例 1:从 Edge 到 Azure VPN 的 IPSec 上的 BGP

每个 Azure VPN 网关为分支 Edge 分配一组虚拟公用 IP (VIP) 以建立 IPSec 隧道。同样,Azure 还分配一个内部专用子网,并为每个 VIP 分配一个内部 IP。该内部隧道 IP(对等隧道 IP)将用于创建与 Azure 网关的 BGP 对等连接。

Azure 具有一个限制,即 BGP 对等 IP(Edge 的本地隧道 IP)不应位于连接的同一子网或 169.x.x.x 子网中,因此,我们需要在 Edge 上支持多跳 BGP。在 BGP 术语中,本地隧道 IP 映射到 BGP 源地址,对等隧道 IP 映射到邻居/对等地址。我们需要建立 BGP 连接网格 - 每个 NSD 隧道一个 BGP 连接,以便对来自 NVS 的返回流量进行负载均衡(基于流量)- Azure 网关端的设计。在下面的物理 Edge 图表中,我们具有两个公用 WAN 链路,因此,具有 4 个到 Azure 网关的隧道。每个隧道与一个 BGP 连接相关联,该连接由本地隧道 IP 和远程对等隧道 IP 唯一地进行标识。在虚拟 Edge 上,唯一的区别是我们具有一个公用 WAN 链路,最多具有两个到 Azure 网关的隧道和 BGP 会话。

注: 使用多个 WAN 链路将 SD-WAN Edge 连接到同一 Azure 端点时,最多可以配置两个 NSD-BGP 邻居(因为远程端只有两个 public_ips 和两个 NSD-BGP peer_ips)。两个 NSD-BGP 邻居可以在同一链路(主/辅助隧道)上配置,也可以在不同链路的隧道上配置。如果客户尝试配置两个以上的 NSD-BGP 邻居,并在多个隧道上配置相同的 NSD-BGP peer_ip,则最后配置的 BGP nbr_ip + local_ip 将在 SD-WAN Edge 和可用范围路由 (Free Range Routing, FRR) 上。

用例 2:从 Edge 到 AWS VPN/转换网关的 IPSec 上的 BGP

与 Azure 不同,AWS VPN 网关为到分支 Edge 的每个链路分配一组公用 VIP。从 AWS 网关分配给分支 Edge 的公用 IP 总数等于将连接到 AWS VPN 网关的 Edge 公用 WAN 链路数。同样,将为每个隧道分配一个 /30 内部/专用子网,它用于该隧道上的 BGP 对等连接。可以在 AWS 网关配置中手动覆盖这些 IP,以确保它们在不同的可用区之间是唯一的。

与 Azure 用例类似,Edge 将建立 BGP 连接网格 - 到 AWS 网关的每个隧道一个 BGP 连接。这样,就可以对来自 AWS VPN 网关的返回流量进行负载均衡 - AWS 端的设计。在下面的图表中,对于物理 Edge,AWS 网关为每个 Edge WAN 链路分配一组公用 IP 和一组隧道 IP (/30)。共有 4 个隧道,但在 AWS 网关和 4 个 BGP 连接上的不同公用 IP 中终止。

用例 3:Edge 连接到 AWS 和 Azure VPN 网关(混合云)

一个分支 Edge 可能同时连接到 Azure 网关和 AWS 网关以实现冗余目的,或者,在一个云提供商中托管一些工作负载/应用程序,而在另一个云提供商中托管其他工作负载/应用程序。无论用例如何,Edge 始终为每个隧道建立一个 BGP 会话,并传播 SD-WAN 和 IaaS 之间的路由。下图是一个分支 Edge 同时连接到 Azure 和 AWS 云的示例。

用例 4:Hub 集群连接到 Azure/AWS 转换网关

Hub 集群成员可以建立到 Azure/AWS 转换网关的 IPSec 隧道,并将转换网关用作 L3 以在不同 VPC 之间路由流量。如果 Hub 上没有本机“IPSec 上的 BGP”功能,则 Hub 需要连接到使用本机 BGP 的 L3 路由器(此处是广泛使用的 Cisco CSR),并且 L3 路由器与不同 VPC 之间建立“IPSec 上的 BGP”隧道网格。L3 路由器用作不同 VPC 之间的转换端点。用例 1(下面的左侧图表):将 Hub 作为不同的 VPC(包含不同的可用区 (Availability Zone, AZ))之间的转换节点,以便一个 VPC 可以与另一个 VPC 进行通信。用例 2(下面的右侧图表):将集群中的所有 Hub 直接连接到云转换网关,并且可以将云网关作为 PE (L3) 路由器以在集群成员之间分配路由。在这两种用例中,如果 Hub 上不支持“IPSec 上的 BGP”,Hub 将连接到使用本机 BGP 的 L3 路由器(如 CSR),并且 CSR 使用“IPSec 上的 BGP”与转换/VPC 网关之间建立对等连接。

用例 5:在没有本机支持的云提供商中支持转换功能

一些云提供商(例如 Google Cloud 和 AliCloud)不提供对转换功能的本机支持(没有转换网关),借助于“IPSec 上的 BGP”支持,这些提供商可以依靠云中部署的 SD-WAN Edge/Hub 在不同的 VPC/VNET 之间实现转换功能。如果不支持“IPSec 上的 BGP”,您必须使用 CSR 等 L3 路由器(解决方案 (2))以实现转换功能。

注: 在 4.3 版本之前,对于可以通过 NVS-From-Gateway 和 NVS-From-Edge 访问同一 NVS 静态目标的客户,其他分支 SD-WAN Edge 的流量将首先选择通过 NVS-Gateway 的路径。客户将其网络升级到 4.3 或更高版本后,来自其他分支 SD-WAN Edge 的此流量路径将首先选择通过 NVS-Edge 的路径。因此,客户必须根据其流量路径首选项更新 NSD-Edge 和 NSD-Gateway 的 NVS 静态目标衡量指标。

必备条件:

过程

要允许与非 SD-WAN 邻居之间使用 BGP,请执行以下操作:

  1. 在企业门户的 SD-WAN 服务中,单击配置 (Configure)
  2. 从左侧菜单中,选择 Edge (Edges)。此时将显示 Edge (Edges) 页面。
  3. 单击可用 Edge 列表中的某个 Edge。
  4. 转到 UI 中的路由和 NAT (Routing & NAT) 部分,然后单击“BGP”旁边的箭头。
  5. BGP 区域中,选中覆盖 (Override) 复选框,并将单选按钮从“关闭”(Off) 切换到“开启”(On)。

    BGP 编辑器 (BGP Editor) 窗口中,配置以下设置:

  6. 输入本地自治系统编号 (ASN),然后在 BGP 设置 (BGP Settings) 部分中配置以下内容。
  7. 按照下表中所述,配置 BGP 设置。
    选项 描述
    路由器 ID (Router ID) 输入全局 BGP 路由器 ID。如果未指定任何值,则自动分配该 ID。如果您为 Edge 配置了环回接口,环回接口的 IP 地址将分配为路由器 ID。
    保持活动状态 (Keep Alive) 输入保持活动状态定时器(以秒为单位),这是发送到对等体的保持活动状态消息间隔的持续时间。范围是 0 到 65535 秒。默认值为 60 秒。
    保持定时器 (Hold Timer) 输入保持定时器(以秒为单位)。在指定时间内未收到保持活动状态消息时,对等体将被视为关闭。范围是 0 到 65535 秒。默认值为 180 秒。
    上行链路社区 (Uplink Community)

    输入将被视为上行链路路由的社区字符串。

    上行链路是指连接到提供商 Edge (PE) 的链路。通往 Edge 并与指定社区值匹配的入站路由将被视为上行链路路由。不会将 Hub/Edge 视为这些路由的所有者。

    使用范围在 1 到 4294967295 之间的数值格式或 AA:NN 格式输入值。

    “启用平滑重启”(Enable Graceful Restart) 复选框 选中此复选框时,请注意:

    本地路由器不支持在路由平面重新启动期间进行转发。此功能支持在对等体重新启动时保留转发和路由。

  8. 单击筛选器列表 (Filter List) 区域中的 +添加 (+Add),以创建一个或多个筛选器。这些筛选器将应用于邻居以拒绝或更改路由的属性。可以将同一筛选器用于多个邻居。

  9. 在相应文本字段中,设置筛选器规则,如下表中所述。
    选项 描述
    筛选器名称 (Filter Name) 为 BGP 筛选器输入描述性名称。
    匹配类型和值 (Match Type and Value) 选择要与筛选器匹配的路由类型:
    • IPv4 的前缀 (Prefix for IPv4) 或 IPv6 的前缀 (Prefix for IPv6):选择该选项以与 IPv4 或 IPv6 地址的前缀匹配,然后在值 (Value) 字段中输入相应的前缀 IP 地址。
    • 社区 (Community):选择该选项以与社区匹配,并在值 (Value) 字段中输入社区字符串。
    精确匹配 (Exact Match) 只有在 BGP 路由与指定的前缀或社区字符串完全匹配时,才会执行筛选操作。默认情况下,将启用该选项。
    操作类型 (Action Type) 选择在 BGP 路由与指定前缀或社区字符串匹配时执行的操作。您可以允许或拒绝流量。
    操作集 (Action Set) 在 BGP 路由与指定条件匹配时,您可以进行设置以根据路径属性将流量路由到网络。从下拉列表中选择以下选项之一:
    • 无 (None):匹配的路由的属性保持不变。
    • 本地首选项 (Local Preference):匹配的流量将路由到具有指定本地首选项的路径。
    • 社区 (Community):按指定的社区字符串筛选匹配的路由。您还可以选中社区附加项 (Community Additive) 复选框以启用附加选项,这会将社区值附加到现有社区后面。
    • 衡量指标 (Metric):匹配的流量将路由到具有指定衡量指标值的路径。
    • AS-Path-Prepend:允许在 BGP 路由前面添加多个自治系统 (AS) 条目。
  10. 要将更多匹配规则添加到筛选器中,请单击加号 (+) 图标。
  11. 单击确定 (OK) 以创建筛选器。

    配置的筛选器显示在 BGP 编辑器 (BGP Editor) 窗口中。

  12. 根据需要为 IPv4 和 IPv6 地址配置底层网络邻居。有关更多信息,请参阅使用新 Orchestrator UI 配置从 Edge 到底层网络邻居的 BGP
    注: 支持的最大 BGPv4“匹配”/“设置”规则数为 512 个(其中,256 个入站规则、256 个出站规则)。“匹配”/“设置”规则总数不得超过 512 个,否则可能会导致性能问题,从而致使企业网络中断。
  13. 在“NSD 邻居”(NSD Neighbors) 部分中,配置以下设置,如下表中所述。
    选项 描述
    NSD 名称 (NSD Name) 从下拉列表中选择 NSD 名称。已经在 SASE Orchestrator分支到通过 Edge 的非 SD-WAN 目标 (Branch to Non SD-WAN Destination via Edge) 区域中配置的 NSD 会显示在下拉列表中。
    链路名称 (Link Name) 选择与 NSD 邻居关联的 WAN 链路的名称。
    隧道类型 (Tunnel Type) 选择对等体的隧道类型:“主要”(Primary) 或“辅助”(Secondary)。
    邻居 IP (Neighbor IP) 输入 NSD 邻居的 IP 地址。
    ASN 输入 NSD 邻居的 ASN。
    入站筛选器 (Inbound Filter) 从下拉列表中选择一个入站筛选器。
    出站筛选器 (Outbound Filter) 从下拉列表中选择一个出站筛选器。
    其他选项 (Additional Options) - 单击查看全部 (view all) 链接以配置以下其他设置:
    上行链路 (Uplink) 用于将邻居类型标记为上行链路。如果将其作为到 MPLS 的 WAN 覆盖网络,请选择该标记选项。它将作为标记以确定站点是否成为转换站点(例如 SD-WAN Hub),方法是将在 SD-WAN 覆盖网络上学习的路由传播至到 MPLS 的 WAN 链路。如果需要使其成为转换站点,请选中高级设置 (Advanced Settings) 中的通过上行链路的覆盖网络前缀 (Overlay Prefix Over Uplink) 复选框。
    本地 IP (Local IP)

    本地 IP 是配置非 SD-WAN 邻居所必需的。

    本地 IP 地址相当于环回 IP 地址。输入一个 IP 地址,BGP 邻居可以将其作为出站数据包的源 IP 地址。
    最大跳数 (Max-hop) 输入最大跳数,以便为 BGP 对等体启用多跳。对于 5.1 和更高版本,范围是 2 到 255,默认值为 2。
    注: 在升级到 5.1 版本时,任何 max-hop 值 1 将自动更新为 max-hop 值 2。
    注: 该字段仅适用于 eBGP 邻居,此时,本地 ASN 和相邻 ASN 不相同。对于 iBGP,两个 ASN 相同,默认情况下会停用多跳,因而无法配置该字段。
    允许 AS (Allow AS) 选中该复选框可允许接收和处理 BGP 路由,即使 Edge 在 AS-Path 中检测到自己的 ASN 也是如此。
    默认路由 (Default Route) “默认路由”(Default Route) 在 BGP 配置中添加一条网络语句,以向邻居通告默认路由。
    启用 BFD (Enable BFD) 为 BGP 邻居启用对现有 BFD 会话的订阅。
    注: 具有 NSD 邻居的 IPSec 上的 BGP 不支持单跳 BFD 会话。但是,支持多跳 BFD。对于 SD-WAN Edge 上的 NSD-BGP 会话,本地 IP 是必需的。SD-WAN Edge 仅将已连接的接口 IP 作为单跳 BFD 处理。
    保持活动状态 (Keep Alive) 输入保持活动状态定时器(以秒为单位),这是发送到对等体的保持活动状态消息间隔的持续时间。范围是 0 到 65535 秒。默认值为 60 秒。
    保持定时器 (Hold Timer) 输入保持定时器(以秒为单位)。在指定时间内未收到保持活动状态消息时,对等体将被视为关闭。范围是 0 到 65535 秒。默认值为 180 秒。
    连接 (Connect) 输入在检测到 TCP 会话不是被动时尝试与对等体建立新的 TCP 连接的时间间隔。默认值为 120 秒。
    MD5 身份验证 (MD5 Auth) 选中该复选框可启用 BGP MD5 身份验证。该选项在旧网络或联邦网络中使用,通常将 BGP MD5 作为 BGP 对等的安全防护机制。
    MD5 密码 (MD5 Password) 为 MD5 身份验证输入密码。
    注: 从版本 4.5 开始,不再支持在密码中使用特殊字符“<”。如果用户已在之前版本的密码中使用了“<”,则必须将其移除才能保存页面上的任何更改。
    注: 通过多跳 BGP,系统可能会学习需要递归查找的路由。这些路由的下一跃点 IP 没有位于连接的子网中,并且这些路由没有有效的退出接口。在这种情况下,路由必须使用路由表中另一个具有退出接口的路由以解析下一跃点 IP。在需要查找这些路由的目标具有流量时,需要递归查找的路由将解析为连接的下一跃点 IP 地址和接口。在进行递归解析之前,递归路由指向中间接口。有关多跳 BGP 路由的更多信息,请参阅在 https://docs.vmware.com/cn/VMware-SD-WAN/index.html 上发布的《VMware SD-WAN 故障排除指南》 中的“Edge 上的远程诊断测试”一节。
  14. 单击高级 (Advanced) 以配置以下设置,如下表中所述。
    注: 高级设置将在底层网络 BGP 邻居和 NSD BGP 邻居之间共享。
    选项 描述
    覆盖网络前缀 (Overlay Prefix) 选中该复选框可重新分发从覆盖网络中学习的前缀。
    禁用 AS-PATH 转移 (Turn off AS-Path carry over) 默认情况下,该字段应保持未选中状态。选中该复选框可禁用 AS-PATH 转移。在某些拓扑中,禁用 AS-PATH 转移将会影响出站 AS-PATH,以使 L3 路由器优先使用到 Edge 或 Hub 的路径。
    警告: 如果禁用了 AS-PATH 转移,请调整网络以避免路由循环。
    连接的路由 (Connected Routes) 选中该复选框可重新分发所有连接的接口子网。
    OSPF 选中该复选框可允许将 OSPF 重新分发到 BGP。
    设置衡量指标 (Set Metric) 在启用 OSPF 时,为重新分发的 OSPF 路由输入 BGP 衡量指标。默认值为 20。
    默认路由 (Default Route)

    选中该复选框可仅在 Edge 通过覆盖网络或底层网络学习 BGP 路由时重新分发默认路由。

    在选择默认路由 (Default Route) 选项时,通告 (Advertise) 选项将作为有条件 (Conditional) 列出。

    通过上行链路的覆盖网络前缀 (Overlay Prefixes over Uplink) 选中该复选框可通过上行链路标记将从覆盖网络中学习的路由传播到邻居。
    网络 (Networks) 输入 BGP 将向对等体通告的网络地址。可以单击加号 (+) 图标以添加更多网络地址。

    在启用默认路由 (Default Route) 选项时,将根据以全局方式或针对每个 BGP 邻居选择的默认路由以通告 BGP 路由,如下表中所示。

    默认路由选择 通告选项
    全局 每个 BGP 邻居
    每个 BGP 邻居配置覆盖全局配置,因此,始终向 BGP 对等体通告默认路由。
    只有在 Edge 通过覆盖网络或底层网络学习明确的默认路由时,BGP 才会将默认路由重新分发到邻居。
    始终向 BGP 对等体通告默认路由。
    不向 BGP 对等体通告默认路由。
  15. 单击确定 (OK) 以保存配置的筛选器和 NSD 邻居。

    BGP 设置 (BGP Settings) 部分显示配置的设置。

    路由汇总 (Route Summarization)

    路由汇总功能在 5.2 版本中可用,有关此功能的概述和用例,请参阅路由汇总。有关配置详细信息,请参阅以下步骤。

  16. 路由汇总 (Route Summarization) 区域中,单击 +添加 (+Add)。此时,“路由汇总”(Route Summarization) 区域中会添加一个新行。请参阅下图。

  17. 子网 (Subnet) 列下,输入要以 A.B.C.D/M 格式进行汇总的网络范围以及 IP 子网。
  18. AS 集 (AS Set) 列下,单击是 (Yes) 复选框(如果适用)。
  19. 仅汇总 (Summary Only) 列下,单击是 (Yes) 复选框以仅允许发送汇总路由。
  20. 如有必要,请单击 +添加 (+Add) 以添加其他路由。要克隆或删除路由汇总,请使用 +添加 (+Add) 旁边的相应按钮。

    “BGP 设置”(BGP Settings) 部分将显示 BGP 配置设置。

  21. 完成后,单击保存更改 (Save Changes) 以保存配置。

您还可以配置从 Edge 到底层网络邻居的 BGP。有关更多信息,请参阅使用新 Orchestrator UI 配置从 Edge 到底层网络邻居的 BGP