Konfigurace sousedních směrovačů BGP jiných než SD-WAN není na úrovni profilu použitelná. Sousední směrovače NSD lze konfigurovat pouze na úrovni Edge.

O této úloze:

Protokol BGP se používá k vytvoření souseda BGP přes tunely IPsec do lokalit jiných než SD-WAN. K vytvoření bezpečné komunikace mezi SD-WAN Edge a cílem jiným než SD-WAN (NSD) se používají přímé tunely IPsec. V předchozích verzích VMware podporoval tunely NSD ze zařízení SD-WAN Edge se schopností přidávat statické směru NVS. Ve verzi 4.3 je tato funkce rozšířena o podporu protokolu BGP přes IPSec na koncový bod NSD pro VPN založené na směrech.

VMware SD-WAN podporuje 4bajtové ASN BGP. Další informace získáte v tématu Konfigurace BGP.
Poznámka: Funkce automatizace Azure vWAN ze zařízení Edge není kompatibilní s protokolem BGP přes IPsec. To je způsobeno tím, že při automatizaci připojení ze zařízení Edge k síti Azure vWAN jsou podporovány pouze statické směru.

Případy použití

Případ použití 1: BGP přes IPsec ze zařízení Edge do Azure VPN

Každá brána Azure VPN přidělí jednu sadu veřejných virtuálních veřejných IP adres (VIP) pro zařízení Edge ve větvi pro vytvoření tunelů IPsec. Stejně tak Azure také přidělí jednu interní privátní podsíť a přiřadí jednu interní IP adresu na VIP. Tento interní tunnel-ip (tunnel-ip druhé strany) se použije k vytvoření partnerského vztahu BGP s bránou Azure.

Prostředí Azure má omezení, že IP adresa zařízení druhé strany BGP (místní tunnel-ip zařízení Edge) nesmí být ve stejné připojené podsíti nebo podsíti 169.x.x.x, a proto musí zařízení Edge podporovat protokol BGP s více skoky. V případě protokolu BGP se místní adresa tunnel-ip mapuje na zdrojovou adresu BGP a adresu druhé strany tunnel-ip na adresu souseda / uzlu druhé strany (neighbor/peer address). Je třeba vytvořit síť připojení BGP – jedno na tunel NSD, aby mohlo být u zpětného provozu z NVS vyrovnáváno zatížení (na základě toku) – což je opatření na straně brány Azure. V níže uvedeném diagramu pro fyzické zařízení Edge máme dva veřejné linky WAN, a tudíž čtyři tunely k bráně Azure. Každý tunel je asociován s jedním připojením BGP jednoznačně identifikovaným místním tunnel_ip a vzdáleným tunnel_ip druhé strany. Jediným rozdílem ve virtuálním zařízení Edge je, že k bráně Azure existuje jedna veřejná linka WAN a maximálně dva tunely a dvě relace BGP.

Poznámka: Když je zařízení SD-WAN Edge připojeno ke stejnému koncovému bodu Azure pomocí více linek WAN, je možné konfigurovat maximálně dva sousední směrovače NSD-BGP (protože vzdálený konec má pouze dvě public_ips a dvě peer_ips NSD-BGP). Oba sousední směrovače NSD-BGP mohou být konfigurovány pomocí stejného linku (primární/sekundární tunel) nebo tunelů na různých lincích. Pokud se zákazník pokusí nakonfigurovat více než dva sousední směrovače NSD-BGP a nakonfigurovat stejnou peer_ip NSD-BGP na více než jednom tunelu, poslední nakonfigurované nbr_ip + local_ip BGP bude na zařízení SD-WAN Edge a ve službě směrování volného dosahu (FRR).

Případ použití 2: BGP přes IPsec ze zařízení Edge do brány AWS VPN / tranzitní brány

Na rozdíl od prostředí Azure brána AWS VPN přidělí jednu sadu veřejných VIP na každý odkaz zařízení Edge na větvi. Celkový počet veřejných IP adres přidělených k zařízení Edge ve větvi z brány AWS se bude rovnat počtu veřejných linků WAN zařízení Edge, které se připojí k bráně AWS VPN. Podobně by byla alokována /30 interní/privátní podsíť pro každý tunel, což se používá pro peering BGP v tomto tunelu. Tyto IP adresy mohou být ručně přepsány v konfiguraci brány AWS, aby se zajistilo, že jsou jedinečné v různých zónách dostupnosti.

Podobně jako u případu použití Azure bude zařízení Edge tvořit připojení BGP – jedno pro každý tunel k bráně AWS. To umožní vyrovnávání zatížení zpětného provozu z brány AWS VPN – což je opatření na straně AWS. Podle následujícího diagramu pro fyzická zařízení Edge brána AWS přidělí jednu sadu veřejných IP adres a jednu sadu tunelových IP (/30) pro každý link Edge WAN. Existují celkem čtyři tunely, ale jsou ukončeny v různých veřejných IP adresách na bráně AWS a čtyřech připojeních BGP.

Případ použití 3: Připojení zařízení Edge k bránám AWS i Azure VPN (hybridní cloud)

Zařízení Edge v jedné větvi může být připojeno k bráně Azure i bráně AWS za účelem redundance nebo pro některá pracovním zatížení / aplikace hostované v jednom poskytovateli cloudu a jiná pracovní zatížení / aplikace hostované v jiném poskytovateli cloudu. Bez ohledu na případ použití vytvoří zařízení Edge vždy jednu relaci BGP pro každý tunel a předá směru mezi sítí SD-WAN a IaaS. Níže uvedený diagram zobrazuje příklad jedné větve zařízení Edge připojené ke cloudům Azure i AWS.

Případ použití 4: Cluster hubu se připojuje k tranzitním branám Azure/AWS

Členové clusteru hubu mohou tvořit tunely IPsec k tranzitním branám Azure/AWS a využívat tranzitní brány jako vrstvu 3 pro směrování provozu mezi různými sítěmi VPC. Bez nativní funkce BGP přes IPsec v centru Hub se musí centrum Hub připojit ke směrovači L3 (často se zde používá Cisco CSR) za použití nativního protokolu BGP a směrovače L3, čímž tvoří síť tunelů IPsec s různými sítěmi VPC. Směrovač L3 slouží jako tranzitní koncový bod mezi různými sítěmi VPC. Případ použití 1 (níže uvedený diagram vlevo): Centrum Hub použijte jako transitní uzel mezi různými sítěmi VPC v různých zónách dostupnosti (VPC), aby jedna VPC mohla komunikovat s jinou VPC. Případ použití 2 (níže uvedený diagram vpravo): Všechna centra Hub v clusteru připojte přímo ke cloudové tranzitní bráně a cloudovou bránu můžete použít jako směrovač PE(L3) k distribuci směrů mezi členy clusteru. V obou případech se centrum Hub bez podpory protokolu BGP přes protokol IPsec v centru Hub připojí ke směrovači L3, jako je CSR, za použití nativních druhých stran BGP a CSR s tranzitní/VPC bránou za pomocí protokolu BGP přes IPsec.

Případ použití 5: Podpora funkčnosti tranzitu u cloudových poskytovatelů bez nativní podpory

Někteří poskytovatelé cloudu, jako je Google Cloud nebo AliCloud, nemají nativní podporu tranzitních funkcí (žádné tranzitní brány) a s podporou protokolu BGP přes IPsec mohou využívat zařízení SD-WAN Edge/Hub zavedené v cloudu, aby bylo dosaženo funkčnosti tranzitu mezi různými sítěmi VPC/VNET. Bez podpory protokolu BGP přes IPsec musíte k dosažení tranzitu použít směrovač L3, jako je CSR (řešení (2)).

Poznámka: Před vydáním verze 4.3 budou upřednostňovány toky dat zařízení Edge SD-WAN z jiných větví u těch zákazníků, kteří mají přístup ke stejnému statickému cíli NVS prostřednictvím NVS z brán (NVS-From-Gateway) a NVS z Edge (NVS-From-Edge). Pokud zákazníci upgradují svou síť na verzi 4.3 nebo novější, tato cesta toku dat ze zařízení SD-WAN Edge z jiných větví bude preferovat cestu prostřednictvím NVS-Edge. Zákazníci proto musí podle předvolby cesty přenosu dat aktualizovat metriku statického cíle NVS (NVS-Static-Destination) pro NSD-Edge a NSD-Gateway.

Požadavky:

Postup (Procedure)

Aktivace protokolu BGP u sousedů jiných než SD-WAN:

  1. Ve službě SD-WAN podnikového portálu klikněte na možnost Konfigurovat (Configure).
  2. V levé nabídce vyberte možnost Zařízení Edge (Edges). Zobrazí se stránka Zařízení Edge (Edges).
  3. Klikněte na zařízení Edge v seznamu dostupných zařízení Edge.
  4. V uživatelském rozhraní přejděte do části Směrování a NAT (Routing & NAT) a klikněte na šipku vedle protokolu BGP.
  5. V oblasti BGP zaškrtněte pole Přepsat (Override) a přepněte přepínač z možnosti Vypnuto (Off) na Zapnuto (On).

    V okně Editor protokolu BGP konfigurujte následující nastavení:

  6. Zadejte místní číslo autonomního systému (ASN) a poté na kartě Zařízení (Device) nakonfigurujte následující nastavení v části Nastavení protokolu BGP (DNS Settings).
  7. Nakonfigurujte nastavení protokolu BGP podle popisu v následující tabulce.
    Možnost Popis
    ID směrovače (Router ID) Zadejte ID směrovače globálního BGP. Pokud nezadáte žádnou hodnotu, ID se přiřadí automaticky. Pokud jste pro zařízení Edge nakonfigurovali rozhraní zpětné smyčky, bude jako ID směrovače přiřazena IP adresa rozhraní zpětné smyčky.
    Interval zkoušky spojení (Keep Alive) Zadejte interval zkoušky spojení v sekundách, který určuje trvání mezi prezenčními zprávami posílanými druhé straně. Rozsah je od 0 do 65 535 sekund. Výchozí hodnota je 60 sekund.
    Časovač čekací doby (Hold Timer) Zadejte časovač čekací doby v sekundách. Pokud není zpráva intervalu zkoušky spojení přijata po zadanou dobu, uvažuje se o druhé straně, jako by byla mimo provoz. Rozsah je od 0 do 65 535 sekund. Výchozí hodnota je 180 sekund.
    Komunita odchozího připojení (Uplink Community)

    Zadejte řetězec komunity, který bude považován za směru odchozího připojení.

    Odchozí připojení (Uplink) odkazuje na linku připojenou k zařízení Edge poskytovatele (PE). Příchozí směru směrem k Edge vyhovující specifické hodnotě komunity budou považovány za směru odchozího připojení. Hub/Edge není pro tyto směru považován za vlastníka.

    Zadejte hodnotu v číselném formátu sahající od 1 do 4294967295 nebo ve formátu AA:NN.
    Zaškrtávací políčko Povolit řádný restart Při výběru tohoto zaškrtávacího políčka vezměte v potaz:

    Místní směrovač nepodporuje předávání během restartu roviny směrování. Tato funkce podporuje zachování předávání a směrování v případě restartu druhé strany.
  8. Kliknutím na tlačítko +Přidat (+Add) v oblasti Seznam filtrů (Filter list) vytvoříte jeden nebo více filtrů. Tyto filtry se aplikují na souseda za účelem zakázání nebo změny atributů směru. Stejný filtr může být použit u více sousedů.

  9. V příslušných textových polích nastavte pravidla pro filtr, jak je popsáno v tabulce níže.
    Možnost Popis
    Název filtru (Filter Name) Zadejte popisný název BGP filtru.
    Shoda typu a hodnoty (Match Type and Value) Zvolte typ směrů, které mají být sladěny s filtrem:
    • Předpona pro IPv4 nebo IPv6 (Prefix for IPv4 or IPv6): zvolte, aby odpovídala předponě pro adresu IPv4 nebo IPv6 a zadejte odpovídající IP adresu předpony do pole Hodnota (Value).
    • Komunita (Community): zvolte, aby odpovídala komunitě a zadejte řetězec komunity do pole Hodnota (Value).
    Přesná shoda (Exact Match) Tato akce filtru se provádí pouze v případě, že se směru BGP přesně shodují se specifikovanou předponou nebo řetězcem komunity. Ve výchozím nastavení je tato možnost povolena.
    Typ akce (Action Type) Zvolte akci, která se provede, když se směru BGP shodují se specifikovanou předponou nebo s řetězcem komunity. Přenášená data můžete buď povolit (Permit) nebo zamítnout (Deny).
    Akce nastavená Pokud budou směru BGP odpovídat specifikovaným kritériím, můžete nastavit směrování provozu do sítě na základě atributů cesty. Z rozevírací nabídky zvolte jednu z následujících možností:
    • Žádné (None): atributy odpovídajících směrů zůstávají stejné.
    • Lokální preference (Local Preference): odpovídající provoz je směrován na cestu se specifikovanou lokální preferencí.
    • Komunita (Community): odpovídající směru jsou filtrovány dle určeného řetězce komunity. Můžete také zvolit pole Doplněk komunity (Community Additive), abyste aktivovali možnost doplňku, který připojí hodnotu komunity k existujícím komunitám.
    • Metrika (Metric): odpovídající přenos je směrován na cestu se specifikovanou hodnotou metriky.
    • Předřazení-cesty-AS-Path (AS-Path-Prepend): umožňuje předřazovat více vstupů Autonomního systému (AS) směru BGP.
  10. Pro přidání více odpovídajících pravidel k filtru klikněte na ikonu plus (+).
  11. Klikněte na tlačítko OK pro vytvoření filtru.

    Konfigurované filtry jsou zobrazeny v okně Editor protokolu BGP (BGP Editor).

  12. Nakonfigurujte sousední směrovače underlay pro adresy IPv4 a IPv6, dle potřeby. Další informace naleznete v tématu Konfigurace protokolu BGP z Edge na sousedními směrovači underlay v novém uživatelském rozhraní nástroje Orchestrator.
    Poznámka: Maximální počet podporovaných pravidel shody/sady BGPv4 je 512 (příchozí 256, odchozí 256). Překročení celkového počtu pravidel shody/sady 512 není podporováno a může způsobit problémy s výkonem, což může vést k přerušení podnikové sítě.
  13. V části Sousední směrovače NSD (NSD Neighbors) nakonfigurujte následující nastavení dle popisu v tabulce níže.
    Možnost Popis
    Název NSD (NSD Name) Vyberte z rozevíracího seznamu název NSD (NSD name). NSD již nakonfigurované v části Větev do cíle jiného než SD-WAN prostřednictvím Edge (Branch to Non SD-WAN Destination via Edge) nástroje SASE Orchestrator se zobrazují v rozevírací nabídce.
    Název linku (Link Name) Zvolte název linku WAN přidruženého k sousednímu směrovači NSD.
    Typ tunelu (Tunnel Type) Zvolte typ tunelu zařízení druhé strany jako primární nebo sekundární.
    Sousední IP adresa (Neighbor IP) Zadejte IP adresu sousedního směrovače NSD.
    ASN Zadejte ASN pro sousední směrovač NSD.
    Filtr příchozí komunikace (Inbound Filter) Vyberte příchozí filtr z rozevíracího seznamu.
    Filtr odchozí komunikace (Outbound Filter) Vyberte odchozí filtr z rozevíracího seznamu.
    Další možnosti (Additional Options) – klikněte na odkaz Zobrazit vše (View all) a nakonfigurujte následující dodatečná nastavení:
    Odchozí připojení (Uplink) Používá se k označení typu souseda do odchozího připojení (Uplink). Vyberte tento příznak, pokud se používá jako overlay WAN směrem k MPLS. Použije se jako příznak k rozhodnutí, zda se lokalita stane tranzitní lokalitou (např. hubem SD-WAN) přenášením směrů odkloněných přes overlay SD-WAN k lince WAN směrem k MPLS. Pokud potřebujete vytvořit tranzitní stránku, vyberte políčko Předpona overlay přes odchozí připojení (Overlay Prefix Over Uplink) v nastavení Rozšířené (Advanced).
    Místní IP (Local IP)

    Místní IP adresa je povinná pro konfiguraci sousedů SD-WAN.

    Místní IP adresa (Local IP Address) je ekvivalentem IP adresy zpětné smyčky. Zadejte IP adresu, kterou mohou sousedské BGP použít jako zdrojovou IP adresu odchozích paketů.
    Max. hop (Max-hop) Zadejte maximální počet přeskoků, abyste umožnili více skoků pro partnerské BGP. Pro verzi 5.1 a novější je rozsah od 2 do 255 a výchozí hodnota je 2.
    Poznámka: Při aktualizaci na verzi 5.1 se každá hodnota max-hop 1 automaticky aktualizuje na hodnotu max-hop 2.
    Poznámka: Pokud se místní ASN a sousední ASN liší, je toto pole dostupné pouze pro sousední zařízení eBGP. Pokud jsou obě ASN stejné, je s iBGP více skoků ve výchozím nastavení deaktivovány a toto pole nelze konfigurovat.
    Povolit AS (Allow AS) Zaškrtnutím políčka povolíte, aby byly směry BGP přijaty a zpracovány i v případě, že Edge zjistí své vlastní ASN v cestě AS.
    Výchozí směr (Default Route) Výchozí směr přidá do konfigurace protokolu BGP prohlášení o síti pro oznamování výchozí směru sousednímu směrovači.
    Aktivovat BFD (Enable BFD) Umožňuje odběr stávající relace BFD pro BGP souseda.
    Poznámka: Jednoskoková relace BFD není podporována pro protokol BGP přes protokol IPsec se sousedními směrovači NSD. Podporováno je ale víceskokové BFD. Místní IP adresa je povinný údaj pro relace NSD-BGP na zařízení SD-WAN Edge. Zařízení SD-WAN Edge zpracovává pouze IP adresy připojeného rozhraní jako BFD s jedním přeskokem.
    Interval zkoušky spojení (Keep Alive) Zadejte interval zkoušky spojení v sekundách, který určuje trvání mezi prezenčními zprávami posílanými druhé straně. Rozsah je od 0 do 65 535 sekund. Výchozí hodnota je 60 sekund.
    Časovač čekací doby (Hold Timer) Zadejte časovač čekací doby v sekundách. Pokud není zpráva intervalu zkoušky spojení přijata po zadanou dobu, uvažuje se o druhé straně, jako by byla mimo provoz. Rozsah je od 0 do 65 535 sekund. Výchozí hodnota je 180 sekund.
    Připojit (Connect) Zadejte časový interval pro vyzkoušení nového spojení TCP s druhou stranou, pokud bude zjištěno, že relace TCP není pasivní. Výchozí hodnota je 120 sekund.
    Ověření MD5 (MD5 Auth) Vyberte zaškrtávací políčko k povolení autentizace BGP MD5. Tato možnost se používá pro starší nebo federální sítě a je běžné, že BGP MD5 je použit jako bezpečnostní strážce pro partnerství BGP.
    Heslo MD5 (MD5 Password) Zadejte heslo pro autentizaci MD5.
    Poznámka: Počínaje verzí 4.5 již není podporováno použití speciálního znaku „<“ v heslu. Pokud uživatelé používali znak „<“ ve svých heslech v předchozích verzích, musí jej odstranit, jinak se změny neuloží.
    Poznámka: Přes BGP s více skoky se systém může naučit směru, které vyžadují rekurzivní vyhledávání. Tyto směru mají IP adresy dalšího skoku, které nejsou v připojené podsíti a nemají platné ukončovací rozhraní. V takovém případě musí mít směru IP adresy dalšího skoku vyřešené s použitím jiné směru ve směrovací tabulce, která má ukončovací rozhraní. Pokud existuje provoz pro cíl, který tyto směru potřebuje vyhledat, směru vyžadující rekurzivní vyhledávání se budou řešit s propojenými IP adresami dalšího skoku a rozhraním. Dokud nedojde k rekurzivnímu řešení, budou rekurzivní směru ukazovat na zprostředkující rozhraní. Další informace o směrech BGP s více skoky naleznete v tématu „Vzdálené diagnostické testy na zařízeních Edge“ v dokumentu Průvodce řešením potíží VMware SD-WAN (VMware SD-WAN Troubleshooting Guide) na https://docs.vmware.com/cz/VMware-SD-WAN/index.html.
  14. Kliknutím na tlačítko Upřesnit (Advanced) nakonfigurujte následující nastavení, jak je popsáno v tabulce níže.
    Poznámka: Rozšířená nastavení jsou sdílena mezi sousedy BGP underlay i sousedy NSD BGP.
    Možnost Popis
    Předpona overlay (Overlay Prefix) Toto políčko zaškrtněte, chcete-li redistribuovat předpony naučené z overlay.
    Vypnout příkaz „Přenést přes cestu AS-Path“ Ve výchozím nastavení by měla tato možnost zůstat nezaškrtnutá. Zaškrtnutím políčka vypněte příkaz „Přenést přes cestu AS-PATH“. V určitých topologiích bude vypnutí přenosu AS PATH ovlivňovat odchozí AS PATH, aby směrovače L3 upřednostňovaly cestu k Edge nebo hubu.
    Upozornění: Když je přenesení přes cestu AS-PATH vypnuto, nalaďte svou síť, abyste se vyhnuli směrovacím smyčkám.
    Připojené směru (Connected Routes) Chcete-li redistribuovat všechny podsítě připojených rozhraní, zaškrtněte toto políčko.
    Protokol OSPF (OSPF) Chcete-li aktivovat redistribuci OSPF do BGP, zaškrtněte toto políčko.
    Nastavení metriky (Set Metric) Aktivujte-li protokol OSPF, zadejte metriku BGP pro redistribuované směru OSPF. Výchozí hodnota je 20.
    Výchozí směr (Default Route)

    Toto políčko zaškrtněte, pokud chcete redistribuovat výchozí směr pouze v případě, že se Edge naučí směry BGP prostřednictvím overlay nebo underlay.

    Pokud vyberete možnost Výchozí směr (Default Route), je možnost Oznamovat (Advertise) k dispozici jako podmíněná (Conditional).
    Předpony overlay přes odchozí připojení (Uplink) Pokud chcete rozšiřovat směry naučené z overlay na sousední směrovač s příznakem pro odchozí připojení, zaškrtněte toto políčko.
    Sítě (Networks) Zadejte síťovou adresu, kterou bude BGP oznamovat partnerům. K přidání více síťových adres klikněte na ikonu plus (+).

    Pokud aktivujete možnost Výchozí směr (Default Route), směry BGP budou oznamovány na základě výchozího nastavení směru globálně a podle sousedního BGP, jak je znázorněno v následující tabulce:

    Výběr výchozí směru Možnosti oznamování
    Globální Podle sousedního BGP
    Ano Ano Konfigurace sousedního BGP má před globální konfigurací přednost, a proto je výchozí směr vždy oznamována BGP druhé strany.
    Ano Ne BGP redistribuuje výchozí směr k sousedovi pouze v případě, že se Edge naučí explicitní výchozí směr přes overlay nebo underlay.
    Ne Ano Výchozí směr je vždy oznamována BGP druhé strany.
    Ne Ne Výchozí směr není oznamována BGP druhé strany.
  15. K uložení nakonfigurovaných filtrů a sousedních směrovačů NSD klikněte na možnost OK.

    V sekci Nastavení protokolu BGP (BGP Settings) se zobrazí nastavení konfigurace.

    Shrnutí směru (Route Summarization)

    Funkce Shrnutí směru (Route Summarization) je k dispozici ve verzi 5.2. Přehled a případ použití této funkce viz Shrnutí směru. Podrobnosti konfigurace naleznete v níže uvedených krocích.

  16. V oblasti Shrnutí směru (Route Summarization) klikněte na tlačítko +Přidat. Do oblasti Shrnutí směru (Route Summarization) je přidán nový řádek. Viz obrázek níže.

  17. Ve sloupci Podsíť (Subnet) zadejte rozsah sítě, který chcete shrnout, ve formátu A, B, C, D/M společně s podsítí IP adres.
  18. Ve sloupci Sada AS (AS Set) zaškrtněte pole Ano (Yes), pokud je to relevantní.
  19. Ve sloupci Pouze přehled (Summary Only) zaškrtněte pole Ano (Yes), a povolte tak odesílání pouze shrnutí směru.
  20. Podle potřeby kliknutím na možnost +Přidat (+Add) přidejte další směry. Chcete-li shrnutí směru naklonovat nebo odstranit, použijte příslušná tlačítka umístěná vedle možnosti +Přidat (+Add).

    V sekci Nastavení protokolu BGP (BGP Settings) se zobrazí nastavení konfigurace BGP.

  21. Chcete-li uložit konfiguraci, po dokončení klepněte na tlačítko Uložit změny (Save Changes).

Můžete také nakonfigurovat protokol BGP z Edge pro sousední směrovače underlay. Další informace naleznete v tématu Konfigurace protokolu BGP ze zařízení Edge na sousední směrovače underlay v novém uživatelském rozhraní nástroje Orchestrator.