BGP můžete konfigurovat na segment pro profil nebo Edge. Tato část obsahuje postup konfigurace protokolu BGP se sousedními směrovači jinými než SD-WAN, což je podporováno od verze 4.3.

O tomto procesu:

Protokol BGP se používá k vytvoření souseda BGP přes tunely IPsec do lokalit jiných než SD-WAN. Přímé tunely IPsec se používají k vytvoření bezpečné komunikace mezi zařízením SD-WAN Edge a cílem mimo SD-WAN (NSD). V předchozích verzích VMware podporoval tunely NSD ze zařízení SD-WAN Edge se schopností přidávat statické trasy NVS. Ve verzi 4.3 je tato funkce rozšířena o podporu protokolu BGP přes IPSec na koncový bod NSD pro VPN založené na trasách.

VMware Rovněž podporuje 4bajtové ASN BGP. Další informace získáte v tématu Konfigurace BGP.

Poznámka: Ve verzi 4.3.0 není automatizace Azure vWAN Automation z Edge kompatibilní s protokolem BGP přes IPsec. To je způsobeno tím, že při automatizaci připojení ze zařízení Edge k síti Azure vWAN jsou podporovány pouze statické trasy.

Příklady použití

Případ použití 1: BGP přes IPsec ze zařízení Edge do Azure VPN

Každá brána Azure VPN přidělí jednu sadu veřejných virtuálních veřejných IP adres (VIP) pro zařízení Edge ve větvi pro vytvoření tunelů IPsec. Stejně tak Azure také přidělí jednu interní privátní podsíť a přiřadí jednu interní IP adresu na VIP. Tento interní tunnel-ip (partnerský tunnel-ip) se použije k vytvoření partnerského vztahu BGP s bránou Azure.

Prostředí Azure má omezení, že IP adresa partnerského zařízení BGP (místní tunnel-ip zařízení Edge) nesmí být ve stejné připojené podsíti nebo podsíti 169.x.x.x, a proto musí zařízení Edge podporovat protokol BGP s více přeskoky. V případě protokolu BGP se místní adresa tunnel-ip mapuje na zdrojovou adresu BGP a adresu partnera tunnel-ip na adresu souseda/partnera. Je třeba vytvořit síť připojení BGP – jedno na tunel NSD, aby mohlo být u zpětného provozu z NVS vyrovnáváno zatížení (na základě toku) – což je opatření na straně brány Azure. V níže uvedeném diagramu pro fyzické zařízení Edge máme dva veřejné linky WAN, a tudíž čtyři tunely k bráně Azure. Každý tunel je asociován s jedním připojením BGP jednoznačně identifikovaným místním tunnel_ip a vzdáleným partnerským tunnel_ip. Jediným rozdílem ve virtuálním zařízení Edge je, že k bráně Azure existuje jeden veřejný link WAN a maximálně dva tunely a dvě relace BGP.

Poznámka: Když je zařízení SD-WAN Edge připojeno ke stejnému koncovému bodu Azure pomocí více linek WAN, je možné konfigurovat maximálně dva sousední směrovače NSD-BGP (protože vzdálený konec má pouze dvě public_ips a dvě peer_ips NSD-BGP). Oba sousední směrovače NSD-BGP mohou být konfigurovány pomocí stejného linku (primární/sekundární tunel) nebo tunelů na různých lincích. Pokud se zákazník pokusí nakonfigurovat více než dva sousední směrovače NSD-BGP a nakonfigurovat stejnou peer_ip NSD-BGP na více než jednom tunelu, poslední nakonfigurované nbr_ip + local_ip BGP bude na zařízení SD-WAN Edge a ve službě směrování volného dosahu (FRR).

Případ použití 2: BGP přes IPsec ze zařízení Edge do brány AWS VPN / tranzitní brány

Na rozdíl od prostředí Azure brána AWS VPN přidělí jednu sadu veřejných VIP na každý odkaz zařízení Edge na větvi. Celkový počet veřejných IP adres přidělených k zařízení Edge ve větvi z brány AWS se bude rovnat počtu veřejných linků WAN zařízení Edge, které se připojí k bráně AWS VPN. Podobně by byla alokována /30 interní/privátní podsíť pro každý tunel, což se používá pro peering BGP v tomto tunelu. Tyto IP adresy mohou být ručně přepsány v konfiguraci brány AWS, aby se zajistilo, že jsou jedinečné v různých zónách dostupnosti.

Podobně jako u případu použití Azure bude zařízení Edge tvořit připojení BGP – jedno pro každý tunel k bráně AWS. To umožní vyrovnávání zatížení zpětného provozu z brány AWS VPN – což je opatření na straně AWS. Podle následujícího diagramu pro fyzická zařízení Edge brána AWS přidělí jednu sadu veřejných IP adres a jednu sadu tunelových IP (/30) pro každý link Edge WAN. Existují celkem čtyři tunely, ale jsou ukončeny v různých veřejných IP adresách na bráně AWS a čtyřech připojeních BGP.

Případ použití 3: Připojení zařízení Edge k bránám AWS i Azure VPN (hybridní cloud)

Zařízení Edge v jedné větvi může být připojeno k bráně Azure i bráně AWS za účelem redundance nebo pro některá pracovním zatížení / aplikace hostované v jednom poskytovateli cloudu a jiná pracovní zatížení / aplikace hostované v jiném poskytovateli cloudu. Bez ohledu na případ použití vytvoří zařízení Edge vždy jednu relaci BGP pro každý tunel a předá trasy mezi sítí SD-WAN a IaaS. Níže uvedený diagram zobrazuje příklad jedné větve zařízení Edge připojené ke cloudům Azure i AWS.

Případ použití 4: Cluster hubu se připojuje k tranzitním branám Azure/AWS

Členové clusteru hubu mohou tvořit tunely IPsec k tranzitním branám Azure/AWS a využívat tranzitní brány jako vrstvu 3 pro směrování provozu mezi různými sítěmi VPC. Bez nativní funkce BGP přes IPsec v centru Hub se musí centrum Hub připojit ke směrovači L3 (často se zde používá Cisco CSR) za použití nativního protokolu BGP a směrovače L3, čímž tvoří síť tunelů IPsec s různými sítěmi VPC. Směrovač L3 slouží jako tranzitní koncový bod mezi různými sítěmi VPC. Případ použití 1 (níže uvedený diagram vlevo): Centrum Hub použijte jako transitní uzel mezi různými sítěmi VPC v různých zónách dostupnosti (VPC), aby jedna VPC mohla komunikovat s jinou VPC. Případ použití 2 (níže uvedený diagram vpravo): Všechna centra Hub v clusteru připojte přímo ke cloudové tranzitní bráně a cloudovou bránu můžete použít jako směrovač PE(L3) k distribuci tras mezi členy clusteru. V obou případech se centrum Hub bez podpory protokolu BGP přes protokol IPsec v centru Hub připojí ke směrovači L3, jako je CSR, za použití nativních partnerů BGP a CSR s tranzitní/VPC bránou za pomocí protokolu BGP přes IPsec.

Případ použití 5: Podpora funkčnosti tranzitu u cloudových poskytovatelů bez nativní podpory

Někteří poskytovatelé cloudu, jako je Google Cloud nebo AliCloud, nemají nativní podporu tranzitních funkcí (žádné tranzitní brány) a s podporou protokolu BGP přes IPsec mohou využívat zařízení SD-WAN Edge/Hub zavedené v cloudu, aby bylo dosaženo funkčnosti tranzitu mezi různými sítěmi VPC/VNET. Bez podpory protokolu BGP přes IPsec musíte k dosažení tranzitu použít směrovač L3, jako je CSR (řešení (2)).

Poznámka: Před vydáním verze 4.3 budou upřednostňovány toky dat zařízení Edge SD-WAN z jiných větví u těch zákazníků, kteří mají přístup ke stejnému statickému cíli NVS prostřednictvím NVS z brán (NVS-From-Gateway) a NVS z Edge (NVS-From-Edge). Pokud zákazníci upgradují svou síť na verzi 4.3 nebo novější, tato cesta toku dat ze zařízení SD-WAN Edge z jiných větví bude preferovat cestu prostřednictvím NVS-Edge. Zákazníci proto musí podle předvolby cesty přenosu dat aktualizovat metriku statického cíle NVS (NVS-Static-Destination) pro NSD-Edge a NSD-Gateway.

Předpoklady:

Postup

Aktivace protokolu BGP u sousedů jiných než SD-WAN:

  1. Na podnikovém portálu klikněte na možnost Konfigurovat Edge (Configure Edge) a vyberte zařízení SD-WAN Edge ke konfiguraci.
  2. Klikněte na kartu Zařízení (Device).
  3. V kartě Zařízení (Device) sjeďte dolů do části Nastavení protokolu BGP (BGP Settings), překlikněte posuvník do polohy Zap. (ON) a pak klikněte na tlačítko Upravit (Edit).

  4. Editoru protokolu BGP (BGP Editor) přidejte filtry.
    1. Chcete-li vytvořit jeden nebo více filtrů, klikněte na tlačítko Přidat filtr (Add Filter). Filtry se aplikují na souseda za účelem zakázání nebo změny atributů trasy. Stejný filtr lze použít u více sousedů, včetně sousedů i sousedních směrovačů NSD.

      Zobrazí se dialogové okno Vytvořit filtr BGP (Create BGP Filter).

    2. V oblasti Vytvořit filtr BGP (Create BGP Filter) nastavte pravidla filtru (viz následující obrázek). V následující tabulce naleznete popis polí v dialogovém okně Vytvořit filtr BGP (Create BGP Filter).

      Možnost Popis
      Název filtru (Filter Name) Zadejte popisný název BGP filtru.
      Shoda typu a hodnoty (Match Type and Value) Zvolte typ tras, které mají být sladěny s filtrem:
      • Předpona (Prefix): zvolte, aby odpovídala předponě a zadejte IP adresu předpony do pole Hodnota (Value).
      • Komunita (Community): zvolte, aby odpovídala komunitě a zadejte řetězec komunity do pole Hodnota (Value).
      Přesná shoda (Exact Match) Tato akce filtru se provádí pouze v případě, že se trasy BGP přesně shodují se specifikovanou předponou nebo řetězcem komunity. Ve výchozím nastavení je tato možnost povolena.
      Typ akce (Action Type) Zvolte akci, která se provede, když se trasy BGP shodují se specifikovanou předponou nebo s řetězcem komunity. Přenášená data můžete buď povolit (Permit) nebo zamítnout (Deny).
      Nastavit (Set) Pokud budou trasy BGP odpovídat specifikovaným kritériím, můžete nastavit směrování provozu do sítě na základě atributů cesty. Z rozevírací nabídky zvolte jednu z následujících možností:
      • Žádné (None): atributy odpovídajících tras zůstávají stejné.
      • Lokální preference (Local Preference): odpovídající provoz je směrován na cestu se specifikovanou lokální preferencí.
      • Komunita (Community): odpovídající trasy jsou filtrovány dle určeného řetězce komunity. Můžete také zvolit pole Doplněk komunity (Community Additive), abyste aktivovali možnost doplňku, který připojí hodnotu komunity k existujícím komunitám.
      • Metrika (Metric): odpovídající přenos je směrován na cestu se specifikovanou hodnotou metriky.
      • Předřazení-cesty-AS-Path (AS-Path-Prepend): umožňuje předřazovat více vstupů Autonomního systému (AS) trase BGP.
    3. Pro přidání více odpovídajících pravidel k filtru klikněte na ikonu plus (+).
    4. Klikněte na tlačítko OK pro vytvoření filtru.

      Konfigurované filtry jsou zobrazeny v okně Editor protokolu BGP (BGP Editor).

  5. V dialogovém okně Editor protokolu BGP (BGP Editor) označte místní ASN ve vhodném textovém poli pro zařízení, které má být konfigurováno.
  6. Nakonfigurujte sousedy spodní vrstvy.
    Poznámka: Postup konfigurace sousedů spodní vrstvy ve verzi 4.3 je stejný jako u předchozích verzí. Pokud chcete získat konkrétní informace o tomto kroku, prohlédněte si část s názvem Konfigurace protokolu BGP pomocí sousedních směrovačů v datové síti typu „underlay“.
  7. Nakonfigurujte sousední směrovače NSD.
    Poznámka: Verze 4.3 podporuje sousední směrovače mimo síť SD-WAN (NSD). Všechna globální nastavení budou sdílena oběma sousedy a seznam filtrů může být také použit pro oba typy sousedů. Než nakonfigurujete sousední směrovače NSD, přečtěte si část Předpoklady. Přečtěte si níže uvedený postup konfigurace sousedních směrovačů NSD nebo si prohlédněte následující tabulku s popisem polí editoru protokolu BGP pro sousedy spodní vrstvy a sousední směrovače NSD.

    1. V rozevírací nabídce Název NSD (NSD Name) vyberte sousední směrovač NSD. To je třeba nejprve nakonfigurovat ve větvi pro oblast Cíl jiný než SD-WAN prostřednictvím Edge (Non SD-WAN Destination via Edge) nástroje SD-WAN Orchestrator, aby se zobrazovala v rozevírací nabídce.
    2. V rozevírací nabídce Název linku (Link Name) vyberte odkaz přidružený k vybranému sousednímu směrovači NSD.
    3. Z rozevírací nabídky Typ tunelu (Tunnel Type) vyberte typ tunelu (Primární nebo Sekundární). Pokud pro sousední směrovač NSD nebyla konfigurována sekundární IP adresa, rozevírací nabídka zobrazí pouze primární možnost a nezobrazí možnost sekundární.
    4. Zadejte ASN pro vybraný sousední směrovač NSD.
    5. Vyberte příchozí filtr z rozevíracího seznamu. (Tato funkce je volitelná.)
    6. Vyberte odchozí filtr z rozevíracího seznamu. (Tato funkce je volitelná.)

      Popis polí sousedních směrovačů NSD naleznete v následující tabulce.

      Možnost Popis
      Místní ASN (Local ASN) Zadejte místní číslo autonomního systému (ASN)
      Sousední IP adresa (Neighbor IP) Zadejte IP adresu souseda BGP
      Název NSD (NSD Name) Vyberte název NSD, který byl konfigurován ve větvi do cíle jiného než SD-WAN prostřednictvím Edge v systému SD-WAN Orchestrator.
      Název linku (Link Name) Zvolte název linku WAN, který je přidružen k sousednímu směrovači NSD.
      ASN Zadejte ASN pro sousední směrovač NSD.
      Typ tunelu (Tunnel Type) Zvolte typ tunelu (primární nebo sekundární) partnerského zařízení.
      Filtr příchozí komunikace (Inbound Filter) Vyberte příchozí filtr z rozevíracího seznamu.
      Filtr odchozí komunikace (Outbound Filter) Vyberte odchozí filtr z rozevíracího seznamu.
      Další možnosti (Additional Options) – klikněte na odkaz Zobrazit vše (View all) a nakonfigurujte následující dodatečná nastavení:
      Odchozí připojení (Uplink) Používá se k označení typu souseda do odchozího spojení. Vyberte tento příznak, pokud se používá jako překrytí WAN směrem k MPLS. Použije se jako příznak k rozhodnutí, zda se lokalita stane tranzitní lokalitou (např. hubem SD-WAN) přenášením tras odkloněných přes překrytí SD-WAN k lince WAN směrem k MPLS. Pokud je potřeba vytvořit tranzitní lokalitu, zaškrtněte v nabídce Rozšířená nastavení (Advanced Settings) také pole „Předpona overlay přes odchozí připojení (Overlay Prefix Over Uplink)“.
      Místní IP (Local IP)

      Místní IP adresa je povinná pro konfiguraci sousedů SD-WAN.

      Lokální IP adresa je ekvivalentem IP adresy zpětné smyčky. Zadejte IP adresu, kterou mohou sousedské BGP použít jako zdrojovou IP adresu odchozích paketů.
      Max. hop (Max-hop) Zadejte maximální počet přeskoků, abyste umožnili vícenásobné přeskoky pro partnerské BGP. Rozsah je 1 až 255, přičemž výchozí hodnota je 1.
      Poznámka: Pokud se místní ASN a sousední ASN liší, je toto pole dostupné pouze pro sousedy eBGP. Pokud jsou obě ASN stejné, jsou s iBGP vícenásobné přeskoky ve výchozím nastavení zakázány a toto pole nelze konfigurovat.
      Povolit AS (Allow AS) Zaškrtnutím políčka povolíte, aby byly trasy BGP přijaty a zpracovány i v případě, že Edge zjistí své vlastní ASN v cestě AS.
      Výchozí trasa (Default Route) Výchozí trasa přidá do konfigurace protokolu BGP prohlášení o síti pro oznámení výchozí trasy sousednímu směrovači.
      Aktivovat BFD (Enable BFD) Umožňuje odběr stávající relace BFD pro BGP souseda.
      Poznámka: Jednohopová relace BFD není podporována pro protokol BGP přes protokol IPsec se sousedními směrovači NSD. Podporováno je ale vícehopové BFD. Local_ip pro relace NSD-BGP na zařízení SD-WAN Edge je povinný údaj. Zařízení SD-WAN Edge zpracovává pouze IP adresy připojeného rozhraní jako jednohopové BFD.
      Keep-Alive (Keep Alive) Zadejte čas prezenčního signálu v sekundách, který určuje trvání mezi prezenčními zprávami posílanými partnerovi. Rozsah je od 0 do 65 535 sekund. Výchozí hodnota je 60 sekund.
      Časovač blokování (Hold Timer) Zadejte časovač blokování v sekundách. Pokud není zpráva keepalive přijata po zadanou dobu, uvažuje se o partnerovi, jako by byl mimo provoz. Rozsah je od 0 do 65 535 sekund. Výchozí hodnota je 180 sekund.
      Připojit (Connect) Zadejte časový interval pro vyzkoušení nového spojení TCP s partnerem, pokud bude zjištěno, že relace TCP není pasivní. Výchozí hodnota je 120 sekund.
      Ověření MD5 (MD5 Auth) Chcete-li aktivovat autentizaci protokolu BGP algoritmem MD5, zaškrtněte toto políčko. Tato možnost se používá pro starší nebo federální sítě a je běžné, že BGP MD5 je použit jako bezpečnostní strážce pro partnerství BGP.
      Heslo MD5 (MD5 Password) Zadejte heslo pro autentizaci MD5. Heslo nesmí obsahovat znak $ následovaný čísly. Například $1, $123 a heslo$123 jsou neplatná zadání.
      Poznámka: Autentizace MD5 se nezdaří, pokud má heslo znak $ následovaný čísly.
      Poznámka: Přes BGP s více přeskoky se systém může naučit trasy, které vyžadují rekurzivní vyhledávání. Tyto trasy mají IP adresy dalšího přeskoku, které nejsou v připojené podsíti a nemají platné ukončovací rozhraní. V takovém případě musí mít trasy IP adresy dalšího přeskoku vyřešené s použitím jiné trasy ve směrovací tabulce, která má ukončovací rozhraní. Pokud existuje provoz pro cíl, který tyto trasy potřebuje vyhledat, trasy vyžadující rekurzivní vyhledávání se budou řešit s propojenými IP adresami dalšího kroku a rozhraním. Dokud nedojde k rekurzivnímu řešení, budou rekurzivní trasy ukazovat na zprostředkující rozhraní. Více informací naleznete v tématu Trasy BGP s vícenásobným přeskokem .
    7. Pokud chcete konfigurovat další možnosti pro sousední směrovače NSD, klikněte na tlačítko Rozšířená nastavení (Advanced Settings).
      Poznámka: Rozšířená nastavení jsou sdílena mezi běžnými sousedy BGP spodní vrstvy i sousedy NSD-BGP. V následující tabulce naleznete popis všech polí v oblasti Rozšířená nastavení (Advanced Settings) pro sousední směrovače NSD. Ve verzi 4.3 nejsou u těchto nastavení pro sousední směrovače NSD žádné změny.
    8. Další sousední směrovače NSD mohou být vytvořeny nebo klonovány kliknutím na ikonu plus. Pokud chcete odstranit vytvořené nebo naklonované sousední směrovače NSD, klikněte na ikonu mínus.
      Možnost Popis
      ID směrovače (Router ID) Zadejte ID směrovače globálního BGP. Pokud nezadáte žádnou hodnotu, ID se přiřadí automaticky.
      Keep-Alive (Keep Alive) Zadejte čas prezenčního signálu v sekundách, který určuje trvání mezi prezenčními zprávami posílanými partnerovi. Rozsah je od 0 do 65 535 sekund. Výchozí hodnota je 60 sekund.
      Časovač blokování (Hold Timer) Zadejte časovač blokování v sekundách. Pokud není zpráva keepalive přijata po zadanou dobu, uvažuje se o partnerovi, jako by byl mimo provoz. Rozsah je od 0 do 65 535 sekund. Výchozí hodnota je 180 sekund.
      Komunita odchozího připojení (Uplink Community)

      Zadejte řetězec komunity, který bude považován za trasy odchozího připojení.

      Odchozí připojení odkazuje na linku připojenou k Edge poskytovatele (PE). Příchozí trasy směrem k Edge vyhovující specifické hodnotě komunity budou považovány za trasy odchozího připojení. Hub/Edge není pro tyto trasy považován za vlastníka.

      Zadejte hodnotu v číselném formátu sahající od 1 do 4294967295 nebo ve formátu AA:NN.

      Předpona překrytí (Overlay Prefix) Toto políčko zaškrtněte, chcete-li redistribuovat předpony naučené z překrytí.
      Deaktivovat příkaz „Přenést přes cestu AS-PATH“ (Disable AS-Path carry over) Ve výchozím nastavení by měla tato možnost zůstat nezaškrtnutá. Zaškrtnutím políčka deaktivujete příkaz „Přenést přes cestu AS-PATH“. V určitých topologiích bude deaktivace přenosu AS PATH ovlivňovat odchozí AS PATH, aby směrovače L3 dávaly přednost cestě k Edge nebo hubu.
      Upozornění: Nalaďte svou síť, když je přenesení přes cestu AS-PATH deaktivováno, abyste se vyhnuli trasovacím smyčkám.
      Připojené trasy (Connected Routes) Chcete-li redistribuovat všechny podsítě připojených rozhraní, zaškrtněte toto políčko.
      Protokol OSPF (OSPF) Chcete-li aktivovat redistribuci OSPF do BGP, zaškrtněte toto políčko.
      Nastavení metriky (Set Metric) Aktivujte-li protokol OSPF, zadejte metriku BGP pro redistribuované trasy OSPF. Výchozí hodnota je 20.
      Výchozí trasa (Default Route)

      Toto políčko zaškrtněte, pokud chcete redistribuovat výchozí trasu pouze v případě, že se Edge naučí trasy BGP prostřednictvím softwarové a fyzické topologie.

      Pokud vyberete možnost Výchozí trasa (Default Route), je možnost Vysílat (Advertise) k dispozici jako podmíněná (Conditional).

      Předpony overlay přes odchozí připojení Pokud chcete rozšiřovat trasy naučené z překrytí na sousední směrovač s příznakem pro odchozí připojení, zaškrtněte toto políčko.
      Sítě (Networks) Zadejte síťovou adresu, kterou bude BGP vysílat partnerům. K přidání více síťových adres klikněte na ikonu plus (+).
      Pokud aktivujete možnost Výchozí trasa (Default Route), trasy BGP budou vysílány na základě výchozího nastavení trasy globálně a podle sousedního BGP, jak je znázorněno v následující tabulce:
      Výběr výchozí trasy Možnosti vysílání
      Globální Podle sousedního BGP
      Ano Ano Konfigurace sousedního BGP má před globální konfigurací přednost, a proto je výchozí trasa vždy vysílána partnerskému BGP.
      Ano Ne BGP redistribuuje výchozí trasu k sousedovi pouze v případě, že se Edge naučí explicitní výchozí trasu přes softwarovou nebo fyzickou síť.
      Ne Ano Výchozí trasa je vždy vysílána partnerskému BGP.
      Ne Ne Výchozí trasa není vysílána partnerskému BGP.
  8. K uložení konfigurovaných filtrů a sousedních směrovačů NSD klikněte na možnost OK a zavřete Editor protokolu BGP (BGP Editor).

    V sekci Nastavení protokolu BGP (BGP Settings) se zobrazí nastavení konfigurace BGP.

  9. Klikněte na Uložit změny (Save Changes) na obrazovce Zařízení (Device), abyste uložili konfiguraci.

Když konfigurujete nastavení protokolu BGP pro profil, konfigurace sousedních směrovačů BGP jiných než SD-WAN není na úrovni profilu použitelná. Lze ji nakonfigurovat pouze na úrovni přepsání zařízení Edge. Je-li třeba, můžete přepsat konfiguraci pro konkrétní Edge. Další informace získáte v tématu Konfigurace BGP.