Nastavení protokolu BGP můžete nakonfigurovat pro brány Brány SD-WAN Gateway přes tunely IPsec.

U protokolu BGP přes IPsec je podporován pouze eBGP.

Poznámka: Doporučujeme používat eBGP mezi bránou SD-WAN a lokalitami NSD. Pokud se používá iBGP, použití místní předvolby nefunguje s filtrem odchozí komunikace. V takovém případě musí zákazník pro dosažení vhodného směrování zvolit možnosti předřazených cesty AS.

Konfigurace nastavení protokolu BGP pro bránu:

Požadavky

Poznámka: Funkce automatizace Azure vWAN z brány není kompatibilní s protokolem BGP přes IPsec. To je způsobeno tím, že při automatizaci připojení z brány k síti Azure vWAN jsou podporovány pouze statické směry.

Ujistěte se, že máte nakonfigurováno následující:

Poznámka: Pro zajištění nejlepšího výkonu a škálování při použití protokolu BGP přes protokol IPsec prostřednictvím brány doporučujeme zapnout funkci Distribuovaný výpočet směru (Distributed Cost Calculation). Funkce Distribuovaný výpočet směru (Distributed Cost Calculation) je podporována od verze 3.4.0.

Další informace o Distribuovaný výpočet směru (Distributed Cost Calculation) naleznete v oddílu Konfigurace distribuovaného výpočtu směru (Configure Distributed Cost Calculation)Příručce pro správu VMware SD-WAN dostupné na adrese: https://docs.vmware.com/cz/VMware-SD-WAN/index.html.

Procedura

  1. V podnikovém portálu klikněte na možnost Konfigurovat (Configure) > Síťové služby (Network Services).
  2. V oblasti Cíle jiné než SD-WAN prostřednictvím brány (Non SD-WAN Destinations via Gateway) klikněte na odkaz Upravit (Edit) ve sloupci BGP, který odpovídá Cíl jiný než SD-WAN.
  3. V okně Editor protokolu BGP (BGP Editor) klikněte na posuvný prvek na Zapnuto (ON) a nakonfigurujte nastavení protokolu BGP.
    1. Klikněte na Přidat filtr (Add Filter), abyste vytvořili jeden nebo více filtrů. Tyto filtry se aplikují na souseda za účelem zakázání nebo změny atributů směru. Stejný filtr může být použit u více sousedů.
      Nastavte pravidla filtru v okně Vytvořit filtr BGP.
      Možnost Popis
      Název filtru (Filter Name) Zadejte popisný název BGP filtru.
      Shoda typu a hodnoty (Match Type and Value) Zvolte typ směrů, které mají být sladěny s filtrem:
      • Předpona (Prefix): zvolte, aby odpovídala předponě a zadejte IP adresu předpony do pole Hodnota (Value).
      • Komunita (Community): zvolte, aby odpovídala komunitě a zadejte řetězec komunity do pole Hodnota (Value).
      Přesná shoda (Exact Match) Tato akce filtru se provádí pouze v případě, že se směru BGP přesně shodují se specifikovanou předponou nebo řetězcem komunity. Ve výchozím nastavení je tato možnost povolena.
      Typ akce (Action Type) Zvolte akci, která se provede, když se směru BGP shodují se specifikovanou předponou nebo s řetězcem komunity. Přenášená data můžete buď povolit (Permit) nebo zamítnout (Deny).
      Nastavit (Set) Pokud budou směru BGP odpovídat specifikovaným kritériím, můžete nastavit směrování provozu do sítě na základě atributů cesty. Z rozevírací nabídky zvolte jednu z následujících možností:
      • Žádné (None): atributy odpovídajících směrů zůstávají stejné.
      • Lokální preference (Local Preference): odpovídající provoz je směrován na cestu se specifikovanou lokální preferencí.
      • Komunita (Community): odpovídající směru jsou filtrovány dle určeného řetězce komunity.
      • Metrika (Metric): odpovídající přenos je směrován na cestu se specifikovanou hodnotou metriky.
      • Předřazení-cesty-AS-Path (AS-Path-Prepend): umožňuje předřazovat více vstupů Autonomního systému (AS) směru BGP.
      Kliknutím na ikonu plus ( +) přidáte další odpovídající pravidla filtrování.
      Klikněte na tlačítko OK.
      K vytvoření více filtrů BGP postup opakujte.
      Konfigurované filtry jsou zobrazeny v okně Editor protokolu BGP (BGP Editor).
    2. V okně Editor protokolu BGP (BGP Editor) nakonfigurujte nastavení protokolu BGP pro primární a sekundární bránu.
      Poznámka: Možnost Sekundární brána (Secondary Gateway) je k dispozici pouze, pokud jste nakonfigurovali sekundární bránu pro odpovídající Cíl jiný než SD-WAN.
      Poznámka: U nasazení zákazníka, kde je cíl jiný než VMware SD-WAN (NSD) prostřednictvím brány nakonfigurován tak, aby používal redundantní tunely, pokud primární a sekundární brána vysílá předponu se stejnou cestou AS k primárním a sekundárním tunelům NSD, bude primární tunel NSD upřednostňovat redundantní cestu brány přes primární bránu. Primární NSD na tunel brány upřednostňující cestu redundantní bránou před primární bránou se stává pouze u zpětného provozu do brány z NSD.

      Pokud nechcete, aby váš směrovač BGP dával přednost redundantní bráně, náhradním řešením je konfigurace předčíslí parametru směru AS-PATH a nastavení filtru metrik na vyšší (3 nebo více) metriku pro oznamovanou předponu v redundantní bráně. Tím se zajistí, že primární tunel NSD vybere pro zpětný provoz primární bránu.

      Možnost Popis
      Místní ASN (Local ASN) Zadejte místní číslo autonomního systému (ASN)
      ID směrovače (Router ID) Zadejte ID směrovače BGP
      Sousední IP adresa (Neighbor IP) Zadejte IP adresu souseda BGP
      ASN Zadejte ASN souseda
      Filtr příchozí komunikace (Inbound Filter) Vyberte příchozí filtr z rozevíracího seznamu.
      Filtr odchozí komunikace (Outbound Filter) Vyberte odchozí filtr z rozevíracího seznamu.
      Další možnosti (Additional Options) – klikněte na odkaz Zobrazit vše (View all) a nakonfigurujte následující dodatečná nastavení:
      Místní IP (Local IP) Místní IP adresa (Local IP Address) je ekvivalentem IP adresy zpětné smyčky. Zadejte IP adresu, kterou mohou sousedské BGP použít jako zdrojovou IP adresu odchozích paketů.
      Max. hop (Max-hop) Zadejte maximální počet přeskoků, abyste umožnili více skoků pro partnerské BGP. Pro verzi 5.1 a novější je rozsah od 2 do 255 a výchozí hodnota je 2.
      Poznámka: Při aktualizaci na verzi 5.1 se každá hodnota max-hop 1 automaticky aktualizuje na hodnotu max-hop 2.
      Poznámka: Pokud se místní ASN a sousední ASN liší, je toto pole dostupné pouze pro sousední zařízení eBGP.
      Povolit AS (Allow AS) Zaškrtnutím políčka povolíte, aby byly směru BGP přijaty a zpracovány i v případě, že brána zjistí své vlastní ASN v cestě AS.
      Výchozí směr (Default Route) Výchozí směr přidá do konfigurace protokolu BGP prohlášení o síti pro oznamování výchozí směru sousednímu směrovači.
      Aktivovat BFD (Enable BFD) Umožňuje odběr stávající relace BFD pro BGP souseda.
      Interval zkoušky spojení (Keep Alive) Zadejte čas prezenčního signálu v sekundách, který určuje trvání mezi prezenčními zprávami posílanými druhé straně. Rozsah je od 1 do 65 535 sekund. Výchozí hodnota je 60 sekund.
      Časovač čekací doby (Hold Timer) Zadejte časovač čekací doby v sekundách. Pokud není zpráva keepalive přijata po zadanou dobu, uvažuje se o druhé straně, jako by byla mimo provoz. Rozsah je od 1 do 65 535 sekund. Výchozí hodnota je 180 sekund.
      Připojit (Connect) Zadejte časový interval pro vyzkoušení nového spojení TCP s druhou stranou, pokud bude zjištěno, že relace TCP není pasivní. Výchozí hodnota je 120 sekund.
      Ověření MD5 (MD5 Auth) Chcete-li aktivovat autentizaci protokolu BGP algoritmem MD5, zaškrtněte toto políčko. Tato možnost se používá pro starší nebo federální sítě a slouží jako bezpečnostní strážce pro partnerství BGP.
      Heslo MD5 (MD5 Password) Zadejte heslo pro autentizaci MD5.
    3. Kliknutím na tlačítko OK změny uložíte.