BGP můžete konfigurovat na segment pro profil nebo zařízení Edge. Tato část obsahuje postup konfigurace protokolu BGP se sousedními směrovači jinými než SD-WAN, což je podporováno od verze 4.3.
O této úloze:
Protokol BGP se používá k vytvoření souseda BGP přes tunely IPsec do lokalit jiných než SD-WAN. K vytvoření bezpečné komunikace mezi SD-WAN Edge a cílem jiným než SD-WAN (NSD) se používají přímé tunely IPsec. V předchozích verzích VMware podporoval tunely NSD ze zařízení SD-WAN Edge se schopností přidávat statické směru NVS. Ve verzi 4.3 je tato funkce rozšířena o podporu protokolu BGP přes IPSec na koncový bod NSD pro VPN založené na směrech.
VMware Rovněž podporuje 4bajtové ASN BGP. Další informace získáte v tématu Konfigurace BGP.
Příklady použití
Případ použití 1: BGP přes IPsec ze zařízení Edge do Azure VPN
Každá brána Azure VPN přidělí jednu sadu veřejných virtuálních veřejných IP adres (VIP) pro zařízení Edge ve větvi pro vytvoření tunelů IPsec. Stejně tak Azure také přidělí jednu interní privátní podsíť a přiřadí jednu interní IP adresu na VIP. Tento interní tunnel-ip (tunnel-ip druhé strany) se použije k vytvoření partnerského vztahu BGP s bránou Azure.
Prostředí Azure má omezení, že IP adresa zařízení druhé strany BGP (místní tunnel-ip zařízení Edge) nesmí být ve stejné připojené podsíti nebo podsíti 169.x.x.x, a proto musí zařízení Edge podporovat protokol BGP s více skoky. V případě protokolu BGP se místní adresa tunnel-ip mapuje na zdrojovou adresu BGP a adresu druhé strany tunnel-ip na adresu souseda / uzlu druhé strany (neighbor/peer address). Je třeba vytvořit síť připojení BGP – jedno na tunel NSD, aby mohlo být u zpětného provozu z NVS vyrovnáváno zatížení (na základě toku) – což je opatření na straně brány Azure. V níže uvedeném diagramu pro fyzické zařízení Edge máme dva veřejné linky WAN, a tudíž čtyři tunely k bráně Azure. Každý tunel je asociován s jedním připojením BGP jednoznačně identifikovaným místním tunnel_ip a vzdáleným tunnel_ip druhé strany. Jediným rozdílem ve virtuálním zařízení Edge je, že k bráně Azure existuje jedna veřejná linka WAN a maximálně dva tunely a dvě relace BGP.
Případ použití 2: BGP přes IPsec ze zařízení Edge do brány AWS VPN / tranzitní brány
Na rozdíl od prostředí Azure brána AWS VPN přidělí jednu sadu veřejných VIP na každý odkaz zařízení Edge na větvi. Celkový počet veřejných IP adres přidělených k zařízení Edge ve větvi z brány AWS se bude rovnat počtu veřejných linků WAN zařízení Edge, které se připojí k bráně AWS VPN. Podobně by byla alokována /30 interní/privátní podsíť pro každý tunel, což se používá pro peering BGP v tomto tunelu. Tyto IP adresy mohou být ručně přepsány v konfiguraci brány AWS, aby se zajistilo, že jsou jedinečné v různých zónách dostupnosti.
Podobně jako u případu použití Azure bude zařízení Edge tvořit připojení BGP – jedno pro každý tunel k bráně AWS. To umožní vyrovnávání zatížení zpětného provozu z brány AWS VPN – což je opatření na straně AWS. Podle následujícího diagramu pro fyzická zařízení Edge brána AWS přidělí jednu sadu veřejných IP adres a jednu sadu tunelových IP (/30) pro každý link Edge WAN. Existují celkem čtyři tunely, ale jsou ukončeny v různých veřejných IP adresách na bráně AWS a čtyřech připojeních BGP.
Případ použití 3: Připojení zařízení Edge k bránám AWS i Azure VPN (hybridní cloud)
Zařízení Edge v jedné větvi může být připojeno k bráně Azure i bráně AWS za účelem redundance nebo pro některá pracovním zatížení / aplikace hostované v jednom poskytovateli cloudu a jiná pracovní zatížení / aplikace hostované v jiném poskytovateli cloudu. Bez ohledu na případ použití vytvoří zařízení Edge vždy jednu relaci BGP pro každý tunel a předá směru mezi sítí SD-WAN a IaaS. Níže uvedený diagram zobrazuje příklad jedné větve zařízení Edge připojené ke cloudům Azure i AWS.
Případ použití 4: Cluster hubu se připojuje k tranzitním branám Azure/AWS
Členové clusteru hubu mohou tvořit tunely IPsec k tranzitním branám Azure/AWS a využívat tranzitní brány jako vrstvu 3 pro směrování provozu mezi různými sítěmi VPC. Bez nativní funkce BGP přes IPsec v centru Hub se musí centrum Hub připojit ke směrovači L3 (často se zde používá Cisco CSR) za použití nativního protokolu BGP a směrovače L3, čímž tvoří síť tunelů IPsec s různými sítěmi VPC. Směrovač L3 slouží jako tranzitní koncový bod mezi různými sítěmi VPC. Případ použití 1 (níže uvedený diagram vlevo): Centrum Hub použijte jako transitní uzel mezi různými sítěmi VPC v různých zónách dostupnosti (VPC), aby jedna VPC mohla komunikovat s jinou VPC. Případ použití 2 (níže uvedený diagram vpravo): Všechna centra Hub v clusteru připojte přímo ke cloudové tranzitní bráně a cloudovou bránu můžete použít jako směrovač PE(L3) k distribuci směrů mezi členy clusteru. V obou případech se centrum Hub bez podpory protokolu BGP přes protokol IPsec v centru Hub připojí ke směrovači L3, jako je CSR, za použití nativních partnerů BGP a CSR s tranzitní/VPC bránou za pomocí protokolu BGP přes IPsec.
Případ použití 5: Podpora funkčnosti tranzitu u cloudových poskytovatelů bez nativní podpory
Někteří poskytovatelé cloudu, jako je Google Cloud nebo AliCloud, nemají nativní podporu tranzitních funkcí (žádné tranzitní brány) a s podporou protokolu BGP přes IPsec mohou využívat zařízení SD-WAN Edge/Hub zavedené v cloudu, aby bylo dosaženo funkčnosti tranzitu mezi různými sítěmi VPC/VNET. Bez podpory protokolu BGP přes IPsec musíte k dosažení tranzitu použít směrovač L3, jako je CSR (řešení (2)).
Předpoklady:
- Větev do cíle jiného než SD-WAN prostřednictvím Edge je nutné nejprve nakonfigurovat.
- Místní IP adresa je povinná (lokální IP adresa ze zařízení Edge).
Postup
Aktivace protokolu BGP u sousedů jiných než SD-WAN:
- Na podnikovém portálu klikněte na možnost Konfigurovat Edge (Configure Edge) a vyberte zařízení SD-WAN Edge ke konfiguraci.
- Klikněte na kartu Zařízení (Device).
- V kartě Zařízení (Device) sjeďte dolů do části Nastavení protokolu BGP (BGP Settings), překlikněte posuvník do polohy Zap. (ON) a pak klikněte na tlačítko Upravit (Edit).
- V Editoru protokolu BGP (BGP Editor) přidejte filtry.
- Chcete-li vytvořit jeden nebo více filtrů, klikněte na tlačítko Přidat filtr (Add Filter). Filtry se aplikují na souseda za účelem zakázání nebo změny atributů směru. Stejný filtr lze použít u více sousedů, včetně sousedů i sousedních směrovačů NSD.
Zobrazí se dialogové okno Vytvořit filtr BGP (Create BGP Filter).
- V oblasti Vytvořit filtr BGP (Create BGP Filter) nastavte pravidla filtru (viz následující obrázek). V následující tabulce naleznete popis polí v dialogovém okně Vytvořit filtr BGP (Create BGP Filter).
Možnost Popis Název filtru (Filter Name) Zadejte popisný název BGP filtru. Shoda typu a hodnoty (Match Type and Value) Zvolte typ směrů, které mají být sladěny s filtrem: - Předpona (Prefix): zvolte, aby odpovídala předponě a zadejte IP adresu předpony do pole Hodnota (Value).
- Komunita (Community): zvolte, aby odpovídala komunitě a zadejte řetězec komunity do pole Hodnota (Value).
Přesná shoda (Exact Match) Tato akce filtru se provádí pouze v případě, že se směru BGP přesně shodují se specifikovanou předponou nebo řetězcem komunity. Ve výchozím nastavení je tato možnost povolena. Typ akce (Action Type) Zvolte akci, která se provede, když se směru BGP shodují se specifikovanou předponou nebo s řetězcem komunity. Přenášená data můžete buď povolit (Permit) nebo zamítnout (Deny). Nastavit (Set) Pokud budou směru BGP odpovídat specifikovaným kritériím, můžete nastavit směrování provozu do sítě na základě atributů cesty. Z rozevírací nabídky zvolte jednu z následujících možností: - Žádné (None): atributy odpovídajících směrů zůstávají stejné.
- Lokální preference (Local Preference): odpovídající provoz je směrován na cestu se specifikovanou lokální preferencí.
- Komunita (Community): odpovídající směru jsou filtrovány dle určeného řetězce komunity. Můžete také zvolit pole Doplněk komunity (Community Additive), abyste aktivovali možnost doplňku, který připojí hodnotu komunity k existujícím komunitám.
- Metrika (Metric): odpovídající přenos je směrován na cestu se specifikovanou hodnotou metriky.
- Předřazení-cesty-AS-Path (AS-Path-Prepend): umožňuje předřazovat více vstupů Autonomního systému (AS) směru BGP.
- Pro přidání více odpovídajících pravidel k filtru klikněte na ikonu plus (+).
- Klikněte na tlačítko OK pro vytvoření filtru.
Konfigurované filtry jsou zobrazeny v okně Editor protokolu BGP (BGP Editor).
- Chcete-li vytvořit jeden nebo více filtrů, klikněte na tlačítko Přidat filtr (Add Filter). Filtry se aplikují na souseda za účelem zakázání nebo změny atributů směru. Stejný filtr lze použít u více sousedů, včetně sousedů i sousedních směrovačů NSD.
- V dialogovém okně Editor protokolu BGP (BGP Editor) označte místní ASN ve vhodném textovém poli pro zařízení, které má být konfigurováno.
- Nakonfigurujte sousedy spodní vrstvy.
Poznámka: Postup konfigurace sousedů spodní vrstvy ve verzi 4.3 je stejný jako u předchozích verzí. Pokud chcete získat konkrétní informace o tomto kroku, prohlédněte si část s názvem Konfigurace protokolu BGP pomocí sousedních směrovačů v datové síti typu „underlay“.
- Nakonfigurujte sousední směrovače NSD.
Poznámka: Verze 4.3 podporuje sousední směrovače mimo síť SD-WAN (NSD). Všechna globální nastavení budou sdílena oběma sousedy a seznam filtrů může být také použit pro oba typy sousedů. Než nakonfigurujete sousední směrovače NSD, přečtěte si část Předpoklady. Přečtěte si níže uvedený postup konfigurace sousedních směrovačů NSD nebo si prohlédněte následující tabulku s popisem polí editoru protokolu BGP pro sousedy spodní vrstvy a sousední směrovače NSD.
- V rozevírací nabídce Název NSD (NSD Name) vyberte sousední směrovač NSD. To je třeba nejprve nakonfigurovat ve větvi pro oblast Cíl jiný než SD-WAN prostřednictvím Edge (Non SD-WAN Destination via Edge) nástroje SD-WAN Orchestrator, aby se zobrazovala v rozevírací nabídce.
- V rozevírací nabídce Název linku (Link Name) vyberte odkaz přidružený k vybranému sousednímu směrovači NSD.
- Z rozevírací nabídky Typ tunelu (Tunnel Type) vyberte typ tunelu (Primární nebo Sekundární). Pokud pro sousední směrovač NSD nebyla konfigurována sekundární IP adresa, rozevírací nabídka zobrazí pouze primární možnost a nezobrazí možnost sekundární.
- Zadejte ASN pro vybraný sousední směrovač NSD.
- Vyberte příchozí filtr z rozevíracího seznamu. (Tato funkce je volitelná.)
- Vyberte odchozí filtr z rozevíracího seznamu. (Tato funkce je volitelná.)
Popis polí sousedních směrovačů NSD naleznete v následující tabulce.
Možnost Popis Místní ASN (Local ASN) Zadejte místní číslo autonomního systému (ASN) Sousední IP adresa (Neighbor IP) Zadejte IP adresu souseda BGP Název NSD (NSD Name) Vyberte název NSD, který byl konfigurován ve větvi do cíle jiného než SD-WAN prostřednictvím Edge v systému SD-WAN Orchestrator. Název linku (Link Name) Zvolte název linku WAN, který je přidružen k sousednímu směrovači NSD. ASN Zadejte ASN pro sousední směrovač NSD. Typ tunelu (Tunnel Type) Zvolte typ tunelu (primární nebo sekundární) zařízení druhé strany. Filtr příchozí komunikace (Inbound Filter) Vyberte příchozí filtr z rozevíracího seznamu. Filtr odchozí komunikace (Outbound Filter) Vyberte odchozí filtr z rozevíracího seznamu. Další možnosti (Additional Options) – klikněte na odkaz Zobrazit vše (View all) a nakonfigurujte následující dodatečná nastavení: Odchozí připojení (Uplink) Používá se k označení typu souseda do odchozího připojení (Uplink). Vyberte tento příznak, pokud se používá jako překrytí WAN směrem k MPLS. Použije se jako příznak k rozhodnutí, zda se lokalita stane tranzitní lokalitou (např. hubem SD-WAN) přenášením směrů odkloněných přes překrytí SD-WAN k lince WAN směrem k MPLS. Pokud je potřeba vytvořit tranzitní lokalitu, zaškrtněte v nabídce Rozšířená nastavení (Advanced Settings) také pole „Předpona overlay přes odchozí připojení (Overlay Prefix Over Uplink)“. Místní IP (Local IP) Místní IP adresa je povinná pro konfiguraci sousedů SD-WAN.
Místní IP adresa (Local IP Address) je ekvivalentem IP adresy zpětné smyčky. Zadejte IP adresu, kterou mohou sousedské BGP použít jako zdrojovou IP adresu odchozích paketů.Max. hop (Max-hop) Zadejte maximální počet přeskoků, abyste umožnili více skoků pro partnerské BGP. Rozsah je 1 až 255, přičemž výchozí hodnota je 1. Poznámka: Pokud se místní ASN a sousední ASN liší, je toto pole dostupné pouze pro sousední zařízení eBGP. Pokud jsou obě ASN stejné, jsou s iBGP vícenásobné přeskoky ve výchozím nastavení zakázány a toto pole nelze konfigurovat.Povolit AS (Allow AS) Zaškrtnutím políčka povolíte, aby byly směru BGP přijaty a zpracovány i v případě, že Edge zjistí své vlastní ASN v cestě AS. Výchozí směr (Default Route) Výchozí směr přidá do konfigurace protokolu BGP prohlášení o síti pro oznamování výchozí směru sousednímu směrovači. Aktivovat BFD (Enable BFD) Umožňuje odběr stávající relace BFD pro BGP souseda. Poznámka: Jednoskoková relace BFD není podporována pro protokol BGP přes protokol IPsec se sousedními směrovači NSD. Podporováno je ale víceskokové BFD. Local_ip pro relace NSD-BGP na zařízení SD-WAN Edge je povinný údaj. Zařízení SD-WAN Edge zpracovává pouze IP adresy připojeného rozhraní jako jednohopové BFD.Interval zkoušky spojení (Keep Alive) Zadejte čas prezenčního signálu v sekundách, který určuje trvání mezi prezenčními zprávami posílanými druhé straně. Rozsah je od 0 do 65 535 sekund. Výchozí hodnota je 60 sekund. Časovač čekací doby (Hold Timer) Zadejte časovač čekací doby v sekundách. Pokud není zpráva keepalive přijata po zadanou dobu, uvažuje se o druhé straně, jako by byla mimo provoz. Rozsah je od 0 do 65 535 sekund. Výchozí hodnota je 180 sekund. Připojit (Connect) Zadejte časový interval pro vyzkoušení nového spojení TCP s druhou stranou, pokud bude zjištěno, že relace TCP není pasivní. Výchozí hodnota je 120 sekund. Ověření MD5 (MD5 Auth) Chcete-li aktivovat autentizaci protokolu BGP algoritmem MD5, zaškrtněte toto políčko. Tato možnost se používá pro starší nebo federální sítě a je běžné, že BGP MD5 je použit jako bezpečnostní strážce pro partnerství BGP. Heslo MD5 (MD5 Password) Zadejte heslo pro autentizaci MD5. Heslo nesmí obsahovat znak $ následovaný čísly. Například $1, $123 a heslo$123 jsou neplatná zadání. Poznámka: Autentizace MD5 se nezdaří, pokud má heslo znak $ následovaný čísly.Poznámka: Přes BGP s více skoky se systém může naučit směru, které vyžadují rekurzivní vyhledávání. Tyto směru mají IP adresy dalšího skoku, které nejsou v připojené podsíti a nemají platné ukončovací rozhraní. V takovém případě musí mít směru IP adresy dalšího skoku vyřešené s použitím jiné směru ve směrovací tabulce, která má ukončovací rozhraní. Pokud existuje provoz pro cíl, který tyto směru potřebuje vyhledat, směru vyžadující rekurzivní vyhledávání se budou řešit s propojenými IP adresami dalšího skoku a rozhraním. Dokud nedojde k rekurzivnímu řešení, budou rekurzivní směru ukazovat na zprostředkující rozhraní. Více informací naleznete v tématu Víceskokové směry BGP. - Pokud chcete konfigurovat další možnosti pro sousední směrovače NSD, klikněte na tlačítko Rozšířená nastavení (Advanced Settings).
Poznámka: Rozšířená nastavení jsou sdílena mezi běžnými sousedy BGP spodní vrstvy i sousedy NSD-BGP. V následující tabulce naleznete popis všech polí v oblasti Rozšířená nastavení (Advanced Settings) pro sousední směrovače NSD. Ve verzi 4.3 nejsou u těchto nastavení pro sousední směrovače NSD žádné změny.
- Další sousední směrovače NSD mohou být vytvořeny nebo klonovány kliknutím na ikonu plus. Pokud chcete odstranit vytvořené nebo naklonované sousední směrovače NSD, klikněte na ikonu mínus.
Možnost Popis ID směrovače (Router ID) Zadejte ID směrovače globálního BGP. Pokud nezadáte žádnou hodnotu, ID se přiřadí automaticky. Interval zkoušky spojení (Keep Alive) Zadejte čas prezenčního signálu v sekundách, který určuje trvání mezi prezenčními zprávami posílanými druhé straně. Rozsah je od 0 do 65 535 sekund. Výchozí hodnota je 60 sekund. Časovač čekací doby (Hold Timer) Zadejte časovač čekací doby v sekundách. Pokud není zpráva keepalive přijata po zadanou dobu, uvažuje se o druhé straně, jako by byla mimo provoz. Rozsah je od 0 do 65 535 sekund. Výchozí hodnota je 180 sekund. Komunita odchozího připojení (Uplink Community) Zadejte řetězec komunity, který bude považován za směru odchozího připojení.
Odchozí připojení (Uplink) odkazuje na linku připojenou k Edge poskytovatele (PE). Příchozí směru směrem k Edge vyhovující specifické hodnotě komunity budou považovány za směru odchozího připojení. Hub/Edge není pro tyto směru považován za vlastníka.
Zadejte hodnotu v číselném formátu sahající od 1 do 4294967295 nebo ve formátu AA:NN.
Předpona overlay (Overlay Prefix) Toto políčko zaškrtněte, chcete-li redistribuovat předpony naučené z překrytí. Deaktivovat příkaz „Přenést přes cestu AS-PATH“ (Disable AS-Path carry over) Ve výchozím nastavení by měla tato možnost zůstat nezaškrtnutá. Zaškrtnutím políčka deaktivujete příkaz „Přenést přes cestu AS-PATH“. V určitých topologiích bude deaktivace přenosu AS PATH ovlivňovat odchozí AS PATH, aby směrovače L3 dávaly přednost cestě k Edge nebo hubu. Upozornění: Nalaďte svou síť, když je přenesení přes cestu AS-PATH deaktivováno, abyste se vyhnuli trasovacím smyčkám.Připojené směru (Connected Routes) Chcete-li redistribuovat všechny podsítě připojených rozhraní, zaškrtněte toto políčko. Protokol OSPF (OSPF) Chcete-li aktivovat redistribuci OSPF do BGP, zaškrtněte toto políčko. Nastavení metriky (Set Metric) Aktivujte-li protokol OSPF, zadejte metriku BGP pro redistribuované směru OSPF. Výchozí hodnota je 20. Výchozí směr (Default Route) Toto políčko zaškrtněte, pokud chcete redistribuovat výchozí směr pouze v případě, že se Edge naučí směru BGP prostřednictvím softwarové a fyzické topologie.
Pokud vyberete možnost Výchozí směr (Default Route), je možnost Oznamovat (Advertise) k dispozici jako podmíněná (Conditional).
Předpony overlay přes odchozí připojení (Uplink) Pokud chcete rozšiřovat směru naučené z overlay na sousední směrovač s příznakem pro odchozí připojení, zaškrtněte toto políčko. Sítě (Networks) Zadejte síťovou adresu, kterou bude BGP oznamovat partnerům. K přidání více síťových adres klikněte na ikonu plus (+). Výběr výchozí směru Možnosti oznamování Globální Podle sousedního BGP Ano Ano Konfigurace sousedního BGP má před globální konfigurací přednost, a proto je výchozí směr vždy oznamována BGP druhé strany. Ano Ne BGP redistribuuje výchozí směr k sousedovi pouze v případě, že se Edge naučí explicitní výchozí směr přes softwarovou nebo fyzickou síť. Ne Ano Výchozí směr je vždy oznamována BGP druhé strany. Ne Ne Výchozí směr není oznamována BGP druhé strany.
- K uložení konfigurovaných filtrů a sousedních směrovačů NSD klikněte na možnost OK a zavřete Editor protokolu BGP (BGP Editor).
V sekci Nastavení protokolu BGP (BGP Settings) se zobrazí nastavení konfigurace BGP.
- Klikněte na Uložit změny (Save Changes) na obrazovce Zařízení (Device), abyste uložili konfiguraci.
Když konfigurujete nastavení protokolu BGP pro profil, konfigurace sousedních směrovačů BGP jiných než SD-WAN není na úrovni profilu použitelná. Lze ji nakonfigurovat pouze na úrovni přepsání zařízení Edge. Je-li třeba, můžete přepsat konfiguraci pro konkrétní Edge. Další informace získáte v tématu Konfigurace BGP.