您可以为 IPsec 隧道上的 SD-WAN 网关配置 BGP 设置。

关于此任务:

IPsec 上的 BGP 仅支持 eBGP。
注: 建议在 SDWAN 网关和 NSD 站点之间使用 eBGP。如果使用 iBGP,则应用本地首选项将无法与出站筛选器配合使用。在这种情况下,客户必须选择衡量指标或 AS 路径前置选项才能实现理想的路由。

VMware 允许企业用户定义和配置非 SD-WAN 目标实例,以便通过 SD-WAN 网关建立到非 SD-WAN 目标的安全 IPsec 隧道。

注: 在 5.2 版本中,如果为同一分段配置了多个 NSD,则所有 NSD 中必须存在一组相同的汇总路由配置。
开始之前:
注: 从网关到 Azure vWAN 的自动化功能与“IPsec 上的 BGP”不兼容。这是因为自动从网关连接到 Azure vWAN 时,仅支持静态路由。

确保您已配置以下内容:

注: 在通过网关的 IPSec 上使用 BGP 时,建议启用 分布式成本计算 (Distributed Cost Calculation),以实现最佳性能和扩展。从版本 3.4.0 开始,支持 分布式成本计算 (Distributed Cost Calculation)

有关分布式成本计算 (Distributed Cost Calculation) 的更多信息,请参阅《VMware SD-WAN 操作员指南》(网址为 https://docs.vmware.com/cn/VMware-SD-WAN/index.html)中的配置分布式成本计算一节。

过程
  1. 转到配置 (Configure) > 网络服务 (Network Services),然后在“非 SD-WAN 目标”(Non SD-WAN Destinations) 下,展开“通过网关的非 SD-WAN 目标”(Non SD-WAN Destinations via Gateway)。
    注: 仅当表中没有项目时,才会显示“新建通过网关的 NSD”(New NSD via Gateway) 选项。按照步骤 2 和 3 创建新的非 SD-WAN 目标。

  2. 单击 +新建 (+New) 以创建新的非 SD-WAN 目标。

    此时将显示通过网关的非 SD-WAN 目标 (Non SD-WAN Destinations via Gateway) 对话框,如下图中所示。

  3. 通过网关的非 SD-WAN 目标 (Non SD-WAN Destinations via Gateway) 区域(请参阅上图)中,配置以下字段,如下表中所述。
    选项 描述
    名称 (Name) 在文本框中输入非 SD-WAN 目标的名称。
    类型 (Type) 从下拉菜单中选择 IPsec 隧道类型。
    隧道模式 (Tunnel Mode) 活动/热备用 (Active/Hot-Standby) 模式支持最多设置 2 个隧道端点或网关。
    活动/活动 (Active/Active) 模式支持最多设置 4 个隧道端点或网关。所有活动隧道都可以通过 ECMP 发送和接收流量。
    VPN 网关 1 输入有效的 IP 地址
    VPN 网关 2 输入有效的 IP 地址。此字段为可选字段

    此时将创建通过网关的非 SD-WAN 目标,如下图中所示。

  4. 通过网关的非 SD-WAN 目标 (Non SD-WAN Destinations via Gateway) 区域中,将灰色条滑动到最右侧的“BGP”列。

    单击“BGP”列下的编辑 (Edit) 链接。

    如果“BGP”列下未显示编辑 (Edit) 链接,请参阅标题为“配置分支和通过 Edge 的非 SD-WAN 目标之间的隧道”的章节,以启用 Edge 到通过网关的非 SD-WAN。

    单击 BGP 列下的编辑 (Edit) 链接后,系统将显示编辑 BGP (Edit BGP) 对话框。

  5. 已激活 BGP (BGP Activated) 单选按钮切换到右侧以使其变为绿色。
  6. 单击 +添加 (+Add) 以创建一个或多个筛选器。这些筛选器将应用于邻居以拒绝或更改路由的属性。可以将同一筛选器用于多个邻居。
  7. 按照下表中所述,在筛选器列表 (Filter List) 区域中配置以下选项。
    选项 描述
    筛选器名称 (Filter Name) 为 BGP 筛选器输入描述性名称。
    匹配类型和值 (Match Type and Value)

    选择要与筛选器匹配的路由类型:

    • “IPv4 的前缀”(Prefix for IPv4) 或“IPv6 的前缀”(Prefix for IPv6):选择该选项以与 IPv4 或 IPv6 地址的前缀匹配,并在

    值 (Value) 字段中输入相应 IP 地址前缀。

    • 社区 (Community):选择该选项以与社区匹配,并在值 (Value) 字段中输入社区字符串。
    精确匹配 (Exact Match) 只有在 BGP 路由与指定的前缀或社区字符串完全匹配时,才会执行筛选操作。默认情况下,将启用该选项。
    操作类型 (Action Type) 选择在 BGP 路由与指定前缀或社区字符串匹配时执行的操作。您可以允许或拒绝流量。
    操作集 (Action Set) 在 BGP 路由与指定条件匹配时,您可以进行设置以根据路径属性将流量路由到网络。从下拉列表中选择以下选项之一:
    • 无 (None):匹配的路由的属性保持不变。
    • 本地首选项 (Local Preference):匹配的流量将路由到具有指定本地首选项的路径。
    • 社区 (Community):按指定的社区字符串筛选匹配的路由。您还可以选中社区附加项 (Community Additive) 复选框以启用附加选项,这会将社区值附加到现有社区后面。
    • 衡量指标 (Metric):匹配的流量将路由到具有指定衡量指标值的路径。
    • AS-Path-Prepend:允许在 BGP 路由前面添加多个自治系统 (AS) 条目。
  8. 单击加号 (+) 图标,以便为筛选器添加更多匹配规则。重复该过程以创建更多筛选器。

    配置的筛选器将显示在筛选器列表 (Filter List) 区域中。

    注: 这些 BGP 邻居将仅分配给其各自的隧道,用来建立邻居关系和进行后续控制交换,从而确保这些通信只通过指定的隧道进行。
  9. 在“BGP 编辑器”(BGP Editor) 窗口中,为主网关和辅助网关配置 BGP 设置。
    注: 仅当已为相应的非 SD-WAN 目标配置了辅助网关时,“辅助网关”(Secondary Gateway) 选项才可用。
    注: 对于将通过网关的非 VMware SD-WAN 目标 (NSD) 配置为使用冗余隧道的客户部署,如果主网关和辅助网关向主 NSD 隧道和辅助 NSD 隧道通告具有同等 AS 路径的前缀,主 NSD 隧道将优先选择冗余网关路径而非主网关。通过网关的主 NSD 隧道优先选择冗余网关路径而非主网关只会对从 NSD 返回网关的流量产生影响。

    如果您不希望 BGP 路由器首选冗余网关,解决办法是配置 AS-PATH 前置,并将冗余网关中通告的前缀的衡量指标筛选器设置为更高(3 或更多)的衡量指标。这样做可确保 NSD 的主隧道为返回流量选择主网关。

  10. 主云网关 (Primary Cloud Gateway) 部分中,输入本地 ASN 和路由器 ID。
  11. 向下滚动到“邻居”(Neighbors) 区域,然后单击 +添加 (+Add)
  12. 按照下表中所述,在邻居 (Neighbors) 区域中配置以下设置。
    选项 描述
    本地 ASN (Local ASN) 输入本地自治系统编号 (Autonomous System Number, ASN)
    路由器 ID (Router ID) 输入 BGP 路由器 ID
    邻居 IP (Neighbor IP) 输入 BGP 邻居的 IP 地址
    ASN 输入邻居的 ASN
    入站筛选器 (Inbound Filter) 从下拉列表中选择入站筛选器
    出站筛选器 (Outbound Filter) 从下拉列表中选择出站筛选器
    其他选项 (Additional Options) - 单击查看全部 (view all) 链接以配置以下其他设置:
    本地 IP (Local IP) 本地 IP 地址相当于环回 IP 地址。输入一个 IP 地址,BGP 邻居可以将其作为出站数据包的源 IP 地址。
    最大跳数 (Max-hop) 输入最大跳数,以便为 BGP 对等体启用多跳。对于 5.1 和更高版本,范围是 2 到 255,默认值为 2。
    注: 在升级到 5.1 版本时,任何 max-hop 值 1 将自动更新为 max-hop 值 2。
    注: 该字段仅适用于 eBGP 邻居,此时,本地 ASN 和相邻 ASN 不相同。
    允许 AS (Allow AS) 选中该复选框可允许接收和处理 BGP 路由,即使网关在 AS-Path 中检测到自己的 ASN 也是如此。
    默认路由 (Default Route) “默认路由”(Default Route) 在 BGP 配置中添加一条网络语句,以向邻居通告默认路由。
    启用 BFD (Enable BFD) 为 BGP 邻居启用对现有 BFD 会话的订阅。
    保持活动状态 (Keep Alive) 输入保持活动状态定时器(以秒为单位),这是发送到对等体的保持活动状态消息间隔的持续时间。范围是 1 到 65535 秒。默认值为 60 秒。
    保持定时器 (Hold Timer) 输入保持定时器(以秒为单位)。在指定时间内未收到保持活动状态消息时,对等体将被视为关闭。范围是 1 到 65535 秒。默认值为 180 秒。
    连接 (Connect) 输入在检测到 TCP 会话不是被动时尝试与对等体建立新 TCP 连接的时间间隔。默认值为 120 秒。
    MD5 身份验证 (MD5 Auth) 选中该复选框可启用 BGP MD5 身份验证。该选项在旧网络或联邦网络中使用,作为 BGP 对等的安全防护机制。
    MD5 密码 (MD5 Password) 为 MD5 身份验证输入密码。
    注: 从版本 4.5 开始,不再支持在密码中使用特殊字符“<”。如果用户已在之前版本的密码中使用了“<”,则必须将其移除才能保存页面上的任何更改。

    配置的邻居将显示在邻居 (Neighbors) 区域中。

    单击保存更改 (Save Changes) 按钮以保存所有更改。

    注: 通过多跳 BGP,系统可能会学习需要递归查找的路由。这些路由的下一跃点 IP 没有位于连接的子网中,并且这些路由没有有效的退出接口。在这种情况下,这些路由必须使用路由表中另一个具有退出接口的路由来解析下一跃点 IP。在需要查找这些路由的目标具有流量时,需要递归查找的路由将解析为连接的下一跃点 IP 地址和接口。在进行递归解析之前,递归路由指向中间接口。有关多跳 BGP 路由的更多信息,请参阅在 https://docs.vmware.com/cn/VMware-SD-WAN/index.html 上发布的《VMware SD-WAN 故障排除指南》 中的“Edge 上的远程诊断测试”一节。

    路由汇总 (Route Summarization)

    路由汇总功能在 5.2 版本中可用,有关此功能的概述和用例,请参阅路由汇总。有关配置详细信息,请参阅以下步骤。

  13. 向下滚动到路由汇总 (Route Summarization) 区域。
  14. 路由汇总 (Route Summarization) 区域中,单击 +添加 (+Add)。此时,路由汇总 (Route Summarization) 区域中会添加一个新行。

    按照下表中所述,配置路由汇总。

    选项 描述
    筛选器名称 (Filter Name) 为 BGP 筛选器输入描述性名称。
    子网 (Subnet) 输入 IP 子网。
    AS 集 (AS Set) 从汇总路由生成 AS 集路径信息(同时向对等体通告汇总路由)。在 AS 集 (AS Set) 列下,单击是 (Yes) 复选框(如果适用)。
    仅汇总 (Summary Only) 单击是 (Yes) 复选框以仅允许发送汇总路由。
  15. 如有必要,请单击 +添加 (+Add) 以添加其他路由。要克隆或删除路由汇总,请使用 +添加 (+Add) 旁边的相应按钮。

    BGP 设置 (BGP Settings) 部分显示 BGP 配置设置。

  16. 完成后,单击保存更改 (Save Changes) 以保存配置。
注:
  • 仅运行版本 6.0 或更高版本的网关才可以根据 VPN 类型选择最多配置 4 条隧道。此外,那些要用作非 SDWAN 网关的隧道可以在 AA 或 A-HS 模式下运行,以实现用户的负载共享/承载首选项。
  • 对于运行版本低于 6.0 的网关,所有活动-活动配置将被视为活动-热备用配置,其中隧道 1 处于活动状态,隧道 2 处于热备用状态。