Sie können BGP-Einstellungen für SD-WAN Gateways über IPSec-Tunnel konfigurieren.

Nur eBGP wird mit BGP über IPsec unterstützt.

Hinweis: Es wird empfohlen, eBGP zwischen SDWAN-Gateway- und NSD-Sites zu verwenden. Bei Verwendung von iBGP kann die lokale Voreinstellung nicht mit dem ausgehenden Filter angewendet werden. In diesem Fall muss der Kunde Metrik- oder AS-Pfad-Prepending-Optionen auswählen, um das gewünschte Routing zu erzielen.

So konfigurieren Sie die BGP-Einstellungen für ein Gateway:

Voraussetzungen

Hinweis: Die Azure vWAN Automation from Gateway-Funktion ist nicht mit BGP über IPsec kompatibel. Dies liegt daran, dass nur statische Routen unterstützt werden, wenn die Konnektivität von einem Gateway zu einem Azure vWAN automatisiert wird.

Stellen Sie sicher, dass Sie Folgendes konfiguriert haben:

Hinweis: Es wird empfohlen, die Funktion DCC (Distributed Cost Calculation) zu aktivieren, um optimale Leistung und Skalierung zu erzielen, wenn BGP über IPsec über Gateway verwendet wird. Die Funktion DCC (Distributed Cost Calculation) wird ab Version 3.4.0 unterstützt.

Weitere Informationen zur Funktion DCC (Distributed Cost Calculation) finden Sie im Abschnitt Konfigurieren von DCC (Distributed Cost Calculation) im VMware SD-WAN Operator-Handbuch, verfügbar unter: https://docs.vmware.com/de/VMware-SD-WAN/index.html.

Prozedur

  1. Klicken Sie im Unternehmensportal auf Konfigurieren (Configure) > Netzwerkdienste (Network Services).
  2. Klicken Sie im Bereich Nicht-SD-WAN-Ziele über Gateway (Non SD-WAN Destinations via Gateway) auf den Link Bearbeiten (Edit) in der Spalte BGP , der mit dem Nicht-SD-WAN-Ziel übereinstimmt.
  3. Ziehen Sie im Fenster BGP-Editor (BGP Editor) den Schieberegler auf EIN (ON), um die BGP-Einstellungen zu konfigurieren.
    1. Klicken Sie auf Filter hinzufügen (Add Filter), um einen oder mehrere Filter zu erstellen. Diese Filter werden auf den Nachbarn angewendet, um die Attribute der Route zu verweigern oder zu ändern. Derselbe Filter kann für mehrere Nachbarn verwendet werden.
      Legen Sie im Fenster BGP-Filter erstellen (Create BGP Filter) die Regeln für den Filter fest.
      Option Beschreibung
      Filtername (Filter Name) Geben Sie einen beschreibenden Namen für den BGP-Filter ein.
      Übereinstimmungstyp und -wert (Match Type and Value) Wählen Sie aus, welche Art von Routen mit dem Filter abgeglichen werden sollen:
      • Präfix (Prefix): Wählen Sie eine Übereinstimmung mit einem Präfix aus und geben Sie die Präfix-IP-Adresse im Feld Wert (Value) ein.
      • Community: Wählen Sie eine Übereinstimmung mit einer Community aus und geben Sie die Community-Zeichenfolge im Feld Wert (Value) ein.
      Genaue Übereinstimmung (Exact Match) Die Filteraktion wird nur ausgeführt, wenn die BGP-Routen genau mit dem angegebenen Präfix bzw. der angegebenen Community-Zeichenfolge übereinstimmen. Diese Option ist standardmäßig aktiviert.
      Aktionstyp (Action Type) Wählen Sie die Aktion aus, die ausgeführt werden soll, wenn die BGP-Routen mit dem angegebenen Präfix oder der angegebenen Community-Zeichenfolge übereinstimmen. Sie können den Datenverkehr entweder zulassen oder verweigern.
      Festlegen (Set) Wenn die BGP-Routen mit den angegebenen Kriterien übereinstimmen, können Sie festlegen, dass der Datenverkehr basierend auf den Attributen des Pfads an ein Netzwerk weitergeleitet wird. Wählen Sie in der Dropdown-Liste eine der folgenden Optionen aus:
      • Keine (None): Die Attribute der übereinstimmenden Routen bleiben unverändert.
      • Lokale Präferenz (Local Preference): Der übereinstimmende Datenverkehr wird an den Pfad mit der angegebenen lokalen Präferenz weitergeleitet.
      • Community: Die übereinstimmenden Routen werden nach der angegebenen Community-Zeichenfolge gefiltert.
      • Metrik (Metric): Der übereinstimmende Datenverkehr wird an den Pfad mit dem angegebenen Metrikwert weitergeleitet.
      • AS für Pfad voranstellen (AS-Path-Prepend): Ermöglicht das Voranstellen mehrerer Einträge des autonomen Systems (AS) bei einer BGP-Route.
      Klicken Sie auf das Plussymbol ( +), um weitere Übereinstimmungsregeln für den Filter hinzuzufügen.
      Klicken Sie auf OK.
      Wiederholen Sie das Verfahren, um weitere BGP-Filter zu erstellen.
      Die konfigurierten Filter werden im Fenster BGP-Editor (BGP Editor) angezeigt.
    2. Konfigurieren Sie im Fenster BGP-Editor (BGP Editor) die BGP-Einstellungen für die primären und sekundären Gateways.
      Hinweis: Die Option „Sekundäres Gateway (Secondary Gateway)“ ist nur verfügbar, wenn Sie ein sekundäres Gateway für das entsprechende Nicht-SD-WAN-Ziel konfiguriert haben.
      Hinweis: Bei einer Kundenbereitstellung, bei der ein Nicht-VMware SD-WAN-Ziel (NSD) über ein Gateway so konfiguriert ist, dass redundante Tunnel zum Einsatz kommen, wird der primäre NSD-Tunnel einen redundanten Gateway-Pfad gegenüber dem primären Gateway bevorzugen, wenn das primäre und das sekundäre Gateway ein Präfix mit einem identischen AS-Pfad zu den primären und sekundären NSD-Tunneln annoncieren. Die Auswirkungen des primären NSD-über-Gateway-Tunnels, der den redundanten Gateway-Pfad über das primäre Gateway bevorzugt, treten nur für den Rückdatenverkehr zum Gateway vom NSD auf.

      Wenn Sie nicht möchten, dass Ihr BGP-Router das redundante Gateway bevorzugt, besteht die Problemumgehung darin, AS-PATH voranstellen zu konfigurieren und den Metrikfilter auf eine höhere (3 oder mehr) Metrik für das angekündigte Präfix im redundanten Gateway festzulegen. Dadurch wird sichergestellt, dass der primäre Tunnel des NSD das primäre Gateway für den Rückverkehr auswählt.

      Option Beschreibung
      Lokale ASN (Local ASN) Geben Sie die Autonome Systemnummer (ASN) des Kunden ein.
      Router-ID (Router ID) Geben Sie die BGP-Router-ID ein.
      Nachbar-IP (Neighbor IP) Geben Sie die IP-Adresse des BGP-Nachbarn ein.
      ASN Geben Sie die ASN des Nachbarn ein.
      Eingehender Filter (Inbound Filter) Wählen Sie einen eingehenden Filter in der Dropdown-Liste aus.
      Ausgehender Filter (Outbound Filter) Wählen Sie einen ausgehenden Filter in der Dropdown-Liste aus.
      Weitere Optionen (Additional Options): Klicken Sie auf den Link alle anzeigen (view all), um die folgenden zusätzlichen Einstellungen zu konfigurieren:
      Lokale IP (Local ASN) Die lokale IP-Adresse ist das Äquivalent zu einer Loopback-IP-Adresse. Geben Sie eine IP-Adresse ein, die die BGP-Nachbarschaften als Quell-IP-Adresse für die ausgehenden Pakete verwenden können.
      Max. Hop (Max-hop) Geben Sie die maximale Anzahl an Hops ein, um mehrere Hops für die BGP-Peers zu aktivieren. Bei Version 5.1 und höher liegt der Bereich zwischen 2 und 255. Der Standardwert ist 2.
      Hinweis: Beim Upgrade auf die Version 5.1 wird jeder Max. Hop-Wert von 1 automatisch auf einen Max. Hop-Wert von 2 aktualisiert.
      Hinweis: Dieses Feld ist nur für eBGP-Nachbarn verfügbar, wenn der lokale ASN und der benachbarte ASN verschieden sind.
      AS zulassen (Allow AS) Aktivieren Sie das Kontrollkästchen, um den Empfang und die Verarbeitung der BGP-Routen zuzulassen, selbst wenn das Gateway seine eigene ASN im AS-Pfad erkennt.
      Standardroute (Default Route) Die Standardroute fügt eine Netzwerkauszugsdatei in der BGP-Konfiguration hinzu, um die Standardroute für den Nachbarn zu annoncieren.
      BFD aktivieren (Enable BFD) Aktivieren Sie das Abonnement der bestehenden BFD-Sitzung für den BGP-Nachbarn.
      Keep Alive Geben Sie die Keep Alive-Zeit in Sekunden ein, d. h. die Dauer zwischen den Keep Alive-Nachrichten, die an den Peer gesendet werden. Der Bereich liegt zwischen 1 und 65535 Sekunden. Der Standardwert beträgt 60 Sekunden.
      Hold-Timer (Hold Timer) Geben Sie den Hold-Timer in Sekunden ein. Wenn die Keep Alive-Nachricht für die angegebene Zeit nicht empfangen wird, gilt der Peer als inaktiv. Der Bereich liegt zwischen 1 und 65535 Sekunden. Der Standardwert beträgt 180 Sekunden.
      Verbinden (Connect) Geben Sie das Intervall ein, in dem ein neuer TCP-Verbindungsversuch mit dem Peer unternommen wird, wenn erkannt wird, dass die TCP-Sitzung nicht passiv ist. Der Standardwert beträgt 120 Sekunden.
      MD5-Authentifizierung (MD5 Auth) Aktivieren Sie das Kontrollkästchen, um die BGP-MD5-Authentifizierung zu aktivieren. Diese Option wird in einem Legacy-Netzwerk oder einem bundesweiten Netzwerk verwendet und wird als Sicherheitswächter für BGP-Peering verwendet.
      MD5-Kennwort (MD5 Password) Geben Sie ein Kennwort für die MD5-Authentifizierung ein.
    3. Klicken Sie auf OK, um die Änderungen zu speichern.