Nastavení BGP můžete nakonfigurovat pro brány Brány SD-WAN Gateway přes tunely IPsec.

O této úloze:

U protokolu BGP přes IPsec je podporován pouze eBGP.
Poznámka: Doporučujeme používat eBGP mezi bránou SD-WAN a lokalitami NSD. Pokud se používá iBGP, použití místní předvolby nefunguje s filtrem odchozí komunikace. V takovém případě musí zákazník pro dosažení vhodného směrování zvolit možnosti předřazených cesty AS.

VMware umožňuje podnikovým uživatelům definovat a konfigurovat instanci cíle jiného než SD-WAN, aby bylo možné vytvořit bezpečné tunelové propojení IPsec do cíle jiného než SD-WAN skrze bránu SD-WAN.

Poznámka: Pokud je ve verzi 5.2 konfigurováno více NSD pro stejný segment, musí být ve všech NSD přítomna stejná sada konfigurací shrnutí směrů.
Než začnete: (Before you begin:)
Poznámka: Funkce automatizace Azure vWAN z brány není kompatibilní s protokolem BGP přes IPsec. To je způsobeno tím, že při automatizaci připojení z brány k síti Azure vWAN jsou podporovány pouze statické směry.

Ujistěte se, že máte nakonfigurováno následující:

Poznámka: Pro zajištění nejlepšího výkonu a škálování při použití protokolu BGP přes protokol IPsec prostřednictvím brány doporučujeme zapnout funkci Distribuovaný výpočet směru (Distributed Cost Calculation). Funkce Distribuovaný výpočet směru (Distributed Cost Calculation) je podporována od verze 3.4.0.

Další informace o Distribuovaný výpočet směru (Distributed Cost Calculation) naleznete v oddílu Konfigurace distribuovaného výpočtu směru (Configure Distributed Cost Calculation)Příručce pro správu VMware SD-WAN dostupné na adrese: https://docs.vmware.com/cz/VMware-SD-WAN/index.html.

Postup (Procedure)
  1. Přejděte do části Konfigurovat (Configure) > Síťové služby (Network Services) a poté v oblasti Cíle jiné než SD-WAN (Non SD-WAN Destinations) rozbalte Cíle jiné než SD-WAN prostřednictvím brány (Non SD-WAN Destinations via Gateway).
    Poznámka: Pokud není k dispozici nic nového, možnost Nové NSD prostřednictvím brány (New NSD via Gateway) se zobrazí pouze v případě, že v tabulce nejsou žádné položky. Postupujte podle kroků 2 a 3 a vytvořte nový cíl jiný než SD-WAN.

  2. Kliknutím na možnost +New (+Nový) vytvoříte nový cíl jiný než SD-WAN.

    Zobrazí se dialogové okno Cíle jiné než SD-WAN prostřednictvím brány (Non SD-WAN Destinations via Gateway), jak je znázorněno na níže uvedeném obrázku.

  3. V oblasti Cíle jiné než SD-WAN prostřednictvím brány (Non SD-WAN Destinations via Gateway) (viz obrázek výše) nakonfigurujte následující pole dle popisu v následující tabulce.
    Možnost Popis
    Název (Name) Do textového pole zadejte název pro cíl jiný než SD-WAN.
    Typ (Type) V rozevírací nabídce vyberte typ tunelu IPsec.
    Režim tunelu (Tunnel Mode) Aktivní/pohotovostní režim (Active/ Hot-Standby) podporuje nastavení maximálně 2 koncových bodů tunelového propojení nebo bran.
    Aktivní/aktivní (Active/Active) režim podporuje nastavení maximálně 4 koncových bodů tunelů nebo bran. Všechny aktivní tunely mohou odesílat a přijímat provoz přes ECMP.
    Brána VPN 1 Zadejte platnou IP adresu.
    Brána VPN 2 Zadejte platnou IP adresu. Toto pole je volitelné.

    Cíle jiné než SD-WAN prostřednictvím brány jsou vytvořeny, jak je znázorněno na následujícím obrázku.

  4. V oblasti Cíl jiný než SD-WAN prostřednictvím brány (Non SD-WAN Destination via Gateway) přesuňte šedou lištu úplně vpravo do sloupce BGP.

    Klikněte na odkaz Upravit (Edit) ve sloupci BGP.

    Pokud se odkaz Upravit (Edit) nezobrazí pod sloupcem BGP, informace o povolení připojení Edge k cíli jinému než SD-WAN prostřednictvím brány naleznete v části s názvem „Konfigurace tunelového propojení mezi větví a cíli jinými než SD-WAN prostřednictvím Edge“.

    Po kliknutí na odkaz Upravit (Edit) ve sloupci BGP se zobrazí dialogové okno Upravit BGP (Edit BGP).

  5. Přepněte přepínač BGP Aktivováno (BGP Activated) doprava, aby změnil barvu na zelenou.
  6. Klikněte na +Přidat (+Add), abyste vytvořili jeden nebo více filtrů. Tyto filtry se aplikují na souseda za účelem zakázání nebo změny atributů směru. Stejný filtr může být použit u více sousedů.
  7. Nakonfigurujte možnosti v oblasti Filter List (Seznam filtrů) podle popisu v následující tabulce.
    Možnost Popis
    Název filtru (Filter Name) Zadejte popisný název BGP filtru.
    Shoda typu a hodnoty (Match Type and Value)

    Zvolte typ směrů, které mají být sladěny s filtrem:

    • Předpona pro IPv4 nebo IPv6: Zvolte, aby odpovídala předponě pro adresu IPv4 nebo IPv6, a zadejte

    odpovídající předponu IP adresy do pole Hodnota (Value).

    • Komunita (Community): zvolte, aby odpovídala komunitě a zadejte řetězec komunity do pole Hodnota (Value).
    Přesná shoda (Exact Match) Tato akce filtru se provádí pouze v případě, že se směru BGP přesně shodují se specifikovanou předponou nebo řetězcem komunity. Ve výchozím nastavení je tato možnost povolena.
    Typ akce (Action Type) Zvolte akci, která se provede, když se směru BGP shodují se specifikovanou předponou nebo s řetězcem komunity. Přenášená data můžete buď povolit (Permit) nebo zamítnout (Deny).
    Akce nastavená Pokud budou směru BGP odpovídat specifikovaným kritériím, můžete nastavit směrování provozu do sítě na základě atributů cesty. Z rozevírací nabídky zvolte jednu z následujících možností:
    • Žádné (None): atributy odpovídajících směrů zůstávají stejné.
    • Lokální preference (Local Preference): odpovídající provoz je směrován na cestu se specifikovanou lokální preferencí.
    • Komunita (Community): odpovídající směru jsou filtrovány dle určeného řetězce komunity. Můžete také zvolit pole Doplněk komunity (Community Additive), abyste aktivovali možnost doplňku, který připojí hodnotu komunity k existujícím komunitám.
    • Metrika (Metric): odpovídající přenos je směrován na cestu se specifikovanou hodnotou metriky.
    • Předřazení-cesty-AS-Path (AS-Path-Prepend): umožňuje předřazovat více vstupů Autonomního systému (AS) směru BGP.
  8. Kliknutím na ikonu plus (+) přidáte další odpovídající pravidla filtrování. Za účelem vytvoření více filtrů postup opakujte.

    Nakonfigurované filtry se zobrazí v oblasti Seznam filtrů (Filter List).

    Poznámka: Tato sousední zařízení BGP jsou přiřazena ke svým příslušným tunelům výhradně pro vytvoření sousedního zařízení a následné kontrolní výměny, což zajišťuje, že tato komunikace probíhá výhradně určenými tunely.
  9. V okně Editor protokolu BGP (BGP Editor) nakonfigurujte nastavení protokolu BGP pro primární a sekundární bránu.
    Poznámka: Možnost Sekundární brána (Secondary Gateway) je k dispozici pouze, pokud jste nakonfigurovali sekundární bránu pro odpovídající cíl jiný než SD-WAN.
    Poznámka: U nasazení zákazníka, kde je cíl jiný než VMware SD-WAN (NSD) prostřednictvím brány nakonfigurován tak, aby používal redundantní tunely, pokud primární a sekundární brána vysílá předponu se stejnou cestou AS k primárním a sekundárním tunelům NSD, bude primární tunel NSD upřednostňovat redundantní cestu brány přes primární bránu. Primární NSD na tunel brány upřednostňující cestu redundantní bránou před primární bránou se stává pouze u zpětného provozu do brány z NSD.

    Pokud nechcete, aby váš směrovač BGP dával přednost redundantní bráně, náhradním řešením je konfigurace předčíslí parametru směru AS-PATH a nastavení filtru metrik na vyšší (3 nebo více) metriku pro oznamovanou předponu v redundantní bráně. Tím se zajistí, že primární tunel NSD vybere pro zpětný provoz primární bránu.

  10. V části Primární brána cloudu (Primary Cloud Gateway) zadejte Místní ASN (Local ASN) a ID směrovače (Router ID).
  11. Přejděte dolů do oblasti Sousední zařízení (Neighbors) a klikněte na možnost +Přidat (+Add).
  12. V oblasti Sousední zařízení (Neighbors) nakonfigurujte následující nastavení, jak je popsáno v tabulce níže.
    Možnost Popis
    Místní ASN (Local ASN) Zadejte místní číslo autonomního systému (ASN)
    ID směrovače (Router ID) Zadejte ID směrovače BGP
    Sousední IP adresa (Neighbor IP) Zadejte IP adresu souseda BGP
    ASN Zadejte ASN souseda
    Filtr příchozí komunikace (Inbound Filter) Vyberte příchozí filtr z rozevíracího seznamu.
    Filtr odchozí komunikace (Outbound Filter) Vyberte odchozí filtr z rozevíracího seznamu.
    Další možnosti (Additional Options) – klikněte na odkaz Zobrazit vše (View all) a nakonfigurujte následující dodatečná nastavení:
    Místní IP (Local IP) Místní IP adresa (Local IP Address) je ekvivalentem IP adresy zpětné smyčky. Zadejte IP adresu, kterou mohou sousedské BGP použít jako zdrojovou IP adresu odchozích paketů.
    Max. hop (Max-hop) Zadejte maximální počet přeskoků, abyste umožnili více skoků pro partnerské BGP. Pro verzi 5.1 a novější je rozsah od 2 do 255 a výchozí hodnota je 2.
    Poznámka: Při aktualizaci na verzi 5.1 se každá hodnota max-hop 1 automaticky aktualizuje na hodnotu max-hop 2.
    Poznámka: Pokud se místní ASN a sousední ASN liší, je toto pole dostupné pouze pro sousední zařízení eBGP.
    Povolit AS (Allow AS) Zaškrtnutím políčka povolíte, aby byly směry BGP přijaty a zpracovány i v případě, že brána zjistí své vlastní ASN v cestě AS.
    Výchozí směr (Default Route) Výchozí směr přidá do konfigurace protokolu BGP prohlášení o síti pro oznamování výchozí směru sousednímu směrovači.
    Aktivovat BFD (Enable BFD) Umožňuje odběr stávající relace BFD pro BGP souseda.
    Interval zkoušky spojení (Keep Alive) Zadejte interval zkoušky spojení v sekundách, který určuje trvání mezi prezenčními zprávami posílanými druhé straně. Rozsah je od 1 do 65 535 sekund. Výchozí hodnota je 60 sekund.
    Časovač čekací doby (Hold Timer) Zadejte časovač čekací doby v sekundách. Pokud není zpráva intervalu zkoušky spojení přijata po zadanou dobu, uvažuje se o druhé straně, jako by byla mimo provoz. Rozsah je od 1 do 65 535 sekund. Výchozí hodnota je 180 sekund.
    Připojit (Connect) Zadejte časový interval pro vyzkoušení nového spojení TCP s druhou stranou, pokud bude zjištěno, že relace TCP není pasivní. Výchozí hodnota je 120 sekund.
    Ověření MD5 (MD5 Auth) Vyberte zaškrtávací políčko k povolení autentizace BGP MD5. Tato možnost se používá pro starší nebo federální sítě a slouží jako bezpečnostní strážce pro partnerství BGP.
    Heslo MD5 (MD5 Password) Zadejte heslo pro autentizaci MD5.
    Poznámka: Počínaje verzí 4.5 již není podporováno použití speciálního znaku „<“ v heslu. Pokud uživatelé používali znak „<“ ve svých heslech v předchozích verzích, musí jej odstranit, jinak se změny neuloží.

    Nakonfigurovaná sousední zařízení se zobrazí v oblasti Sousední zařízení (Neighbors).

    Kliknutím na tlačítko Uložit změny (Save Changes) uložte všechny změny.

    Poznámka: Přes BGP s více skoky se systém může naučit směru, které vyžadují rekurzivní vyhledávání. Tyto směru mají IP adresy dalšího skoku, které nejsou v připojené podsíti a nemají platné ukončovací rozhraní. V takovém případě musí mít směru IP adresy dalšího skoku vyřešené s použitím jiné směru ve směrovací tabulce, která má ukončovací rozhraní. Pokud existuje provoz pro cíl, který tyto směru potřebuje vyhledat, směru vyžadující rekurzivní vyhledávání se budou řešit s propojenými IP adresami dalšího skoku a rozhraním. Dokud nedojde k rekurzivnímu řešení, budou rekurzivní směru ukazovat na zprostředkující rozhraní. Další informace o směrech BGP s více skoky naleznete v tématu „Vzdálené diagnostické testy na zařízeních Edge“ v dokumentu Průvodce řešením potíží VMware SD-WAN (VMware SD-WAN Troubleshooting Guide) na https://docs.vmware.com/cz/VMware-SD-WAN/index.html.

    Shrnutí směru (Route Summarization)

    Funkce Shrnutí směru (Route Summarization) je k dispozici ve verzi 5.2. Přehled a případ použití této funkce viz Shrnutí směru. Podrobnosti konfigurace naleznete v níže uvedených krocích.

  13. Sjeďte dolů na část Shrnutí směru (Route Summarization).
  14. V oblasti Shrnutí směru (Route Summarization) klikněte na tlačítko +Přidat. Do oblasti Shrnutí směru (Route Summarization) je přidán nový řádek.

    Nakonfigurujte shrnutí směru podle popisu v následující tabulce.

    Možnost Popis
    Název filtru (Filter Name) Zadejte popisný název BGP filtru.
    Podsíť (Subnet) Zadejte podsíť IP.
    Sada AS (AS Set) Ze souhrnů cesty vygenerujte informace o cestě sady AS (při oznamování shrnutí směru druhé straně). Ve sloupci Sada AS (AS Set) zaškrtněte pole Ano (Yes), pokud je to relevantní.
    Pouze shrnutí (Summary Only) Kliknutím na pole Ano (Yes) povolíte odesílání pouze shrnutí směru.
  15. Podle potřeby kliknutím na možnost +Přidat (+Add) přidejte další směry. Chcete-li shrnutí směru naklonovat nebo odstranit, použijte příslušná tlačítka umístěná vedle možnosti +Přidat (+Add).

    V sekci Nastavení protokolu BGP (BGP Settings) se zobrazí nastavení konfigurace BGP.

  16. Chcete-li uložit konfiguraci, po dokončení klikněte na tlačítko Uložit změny (Save Changes).
Poznámka:
  • Pouze brány se spuštěnou verzí 6.0 nebo novější mají možnost konfigurace až 4 tunelů na základě typu VPN. Kromě toho mohou tunely, které jsou určeny jako brány jiné než SD-WAN, fungovat v režimu AA nebo A-HS za účelem sdílení/zatížení uživatele.
  • U bran běžících na verzi nižší než 6.0 jsou všechny konfigurace aktivní-aktivní interpretovány jako aktivní-pohotovostní, přičemž tunel 1 je aktivní a tunel 2 je aktivní v pohotovostním režimu.