Sie können ein Gateway für die Übergabe an Partner konfigurieren. Das Gateway fungiert als Partner-Gateway, und Sie können die Übergabeschnittstelle, statische Routen, BGP, BFD und andere Einstellungen konfigurieren.

Stellen Sie sicher, dass dem Gateway, das an den Produktions-Orchestrator übergeben werden soll, die Partner-Gateway-Rolle zugewiesen ist und die statischen Routen gemäß Ihren Topologieanforderungen konfiguriert sind.

Klicken Sie im Orchestrator-Portal auf Gateways und dann auf den Link zu einem vorhandenen Gateway. Im Abschnitt Eigenschaften (Properties) des ausgewählten Gateways können Sie die Rolle „Partner-Gateway“ aktivieren.

Die Adresse des Produktions-Orchestrator wird als sichere Routen annonciert, indem Subnetze oder statische Routen für das Partner-Gateway konfiguriert werden. Weitere Informationen zum Konfigurieren von statischen Routen finden Sie im Abschnitt Konfigurieren von Gateways im VMware SD-WAN Operator-Handbuch unter https://docs.vmware.com/de/VMware-SD-WAN/index.html.

Navigieren Sie zum Konfigurieren der Übergabeeinstellungen zur Seite Kundenkonfiguration (Customer Configuration).

  • Klicken Sie im Operator-Portal auf Kunden verwalten (Manage Customers).
  • Wählen Sie den Kunden aus und klicken Sie auf Aktionen (Actions) > Ändern (Modify) oder auf den Link des Kunden.
  • Klicken Sie im Kunden- oder Unternehmensportal auf Konfigurieren (Configure) > Kunde (Customer).
  • Navigieren Sie in der Kundenkonfiguration (Customer Configuration) zum Abschnitt Gateway-Pool (Gateway Pool) und aktivieren Sie das Kontrollkästchen Übergabe an Partner aktivieren (Enable Partner Handoff).

Konfigurieren Sie die folgenden Einstellungen:

BGP-Priorität des Kunden (Customer BGP Priority)

  • Klicken Sie auf die Registerkarte IPv4 oder IPv6 und konfigurieren Sie die Einstellungen entsprechend.
  • Wählen Sie Community-Zuordnung aktivieren (Enable Community Mapping) aus, um die Community-Attribute festzulegen, die in den annoncierten BGP-Routen getaggt werden.
  • Die Community-Zuordnung ist standardmäßig auf alle Segmente festgelegt. Wenn Sie Community-Attribute für ein bestimmtes Segment konfigurieren möchten, wählen Sie Pro Segment (Per Segment) und dann das Segment in der Dropdown-Liste aus.
  • Aktivieren Sie das Kontrollkästchen Community-Zusatz (Community Additive), um die mit einer bestimmten automatischen Community-Konfiguration verknüpfte Zusatzoption zu aktivieren. Mit dieser Option werden die eingehenden Community-Attribute für ein Präfix aus dem Overlay beibehalten und die konfigurierte automatische Community an das Präfix auf dem Partner-Gateway angehängt. Dies führt dazu, dass MPLS PE-seitig Präfixe mit allen Community-Attributen, einschließlich der automatischen Community-Attribute, empfangen werden.
  • Geben Sie die Community-Attribute in den Feldern Community und Community 2 ein. Klicken Sie auf das Plussymbol (+), um weitere Community-Attribute hinzuzufügen.

Übergabe konfigurieren (Configure Hand Off)

  • Die Übergabekonfiguration wird standardmäßig auf alle Gateways angewendet. Wenn Sie ein bestimmtes Gateway konfigurieren möchten, wählen Sie Pro Gateway (Per Gateway) und dann das Gateway in der Dropdown-Liste aus.
  • Die Übergabekonfiguration wird standardmäßig auf das globale Segment angewendet. Wenn Sie ein bestimmtes Segment konfigurieren möchten, wählen Sie das Segment in der Dropdown-Liste aus.
  • Klicken Sie für die Konfiguration aller Gateways auf die Option Bearbeiten (Edit). Wenn Sie ein bestimmtes Gateway ausgewählt haben, klicken Sie auf den Link Zum Konfigurieren hier klicken (Click here to configure).

Das Fenster Übergabedetails (Hand Off Details) wird angezeigt, und Sie können die Optionen konfigurieren, die in der folgenden Abbildung angezeigt werden. In der nachstehenden Tabelle finden Sie eine Beschreibung der Optionen für die Übergabedetails.

Beschreibung der Übergabedetails
Option Beschreibung
Übergabeschnittstelle (Hand Off Interface)
Tag-Typ (Tag Type) Wählen Sie den Tag-Typ in der Kapselung aus, in der das Gateway Kundendatenverkehr an den Router übergibt. Folgende Tag-Typen stehen zur Verfügung:
  • Keine (None) – Nicht gekennzeichnet. Wählen Sie diese Option während der Übergabe eines einzelnen Mandanten oder der Übergabe an eine gemeinsam genutzte Dienst-VRF aus.
  • 802.1q – Einzelnes VLAN-Tag.
  • 802.1ad / QinQ(0x8100) / QinQ(0x9100) – Doppeltes VLAN-Tag.
Transport-VLAN (Transport LAN VLAN) Diese Option steht nur zur Verfügung, wenn Sie den Tag-Typ „802.1ad / QinQ(0x8100) / QinQ(0x9100)“ auswählen. Wählen Sie diesen Tag-Typ aus, um die Transport-VLANs zu konfigurieren.
C-Tag (Kunden-Tag) (C-Tag (Customer tag)) Geben Sie das VLAN-Tag des Kunden ein.
S-Tag (Dienst-Tag) (S-Tag (Service tag)) Geben Sie das vom Dienstanbieter definierte VLAN-Tag ein.
BFD aktivieren (Enable BFD) Aktivieren Sie das Kontrollkästchen, um das BFD-Abonnement für BGP-Nachbarn zu aktivieren und die BFD-Einstellungen zu konfigurieren.
BGP aktivieren Aktivieren Sie das Kontrollkästchen, um BGP zu aktivieren und die BGP-Konfiguration einzurichten.
Kunden-ASN (Customer ASN) Geben Sie die autonome Systemnummer des Kunden für BGP ein.
Router-ID (Router ID) Geben Sie die Router-ID zur Angabe des BGP-Routers ein.
IPv4/IPv6 – Klicken Sie auf die Registerkarte „IPv4“ oder „IPv6“, um die folgenden Einstellungen mit IPv4- oder IPv6-Adressen zu konfigurieren.
Lokale IP-Adresse (Local IP Address) Geben Sie die lokale IPv4- oder IPv6-Adresse für die logische Übergabeschnittstelle ein.
Für private Tunnel verwenden (Use for Private Tunnels) Aktivieren Sie das Kontrollkästchen, damit private WAN-Links eine Verbindung zur privaten IP-Adresse des Partner-Gateways herstellen können. Wenn die private WAN-Verbindung auf einem Gateway aktiviert ist, führt der Orchestrator eine Überprüfung durch, um sicherzustellen, dass die lokale IP-Adresse für jedes Gateway innerhalb eines Unternehmens eindeutig ist.
Über BGP annoncieren (Advertise via BGP) Aktivieren Sie das Kontrollkästchen, um die private WAN-IP des Partner-Gateways über BGP zu annoncieren. Die Verbindung wird mithilfe der vorhandenen lokalen IP-Adressen bereitgestellt.
Statische Routen (Static Routes) – Klicken Sie auf das Plussymbol (+), um weitere Routen hinzuzufügen.
Subnetze (Subnets) Geben Sie die IPv4 IPv6-Adresse des Subnetzes der statischen Route ein, das vom Gateway beim Edge annonciert werden soll.
Kosten (Cost) Geben Sie die Kosten ein, um Gewichtung auf die Routen anzuwenden. Der Bereich liegt zwischen 0 und 255.
Verschlüsseln (Encrypt) Aktivieren Sie das Kontrollkästchen, um den Datenverkehr zwischen Edge und Gateway zu verschlüsseln.
Übergabe (Hand off) Wählen Sie „VLAN“ oder „NAT“ als Übergabetyp aus.
Beschreibung Geben Sie optional beschreibenden Text für die statische Route ein.
BFD
Peer-Adresse (Peer Address) Geben Sie die IPv4- oder IPv6-Adresse des Remote-Peers ein, um eine BFD-Sitzung zu initiieren.
Lokale Adresse (Local Address) Geben Sie eine lokal konfigurierte IPv4- oder IPv6-Adresse für den Peer-Listener ein. Diese Adresse wird zum Senden der Pakete verwendet.
Multiplikator erkennen (Detect Multiplier) Geben Sie den Multiplikator für die Erkennungszeit ein. Das Remoteübertragungsintervall wird mit diesem Wert multipliziert, um den Erkennungs-Timer für den Verbindungsverlust zu ermitteln. Der Bereich liegt zwischen 3 und 50. Der Standardwert ist 3.
Empfangsintervall (Receive Interval) Geben Sie das minimale Zeitintervall in Millisekunden ein, in dem das System die Steuerungspakete vom BFD-Peer empfangen kann. Der Bereich liegt zwischen 300 und 60.000 Millisekunden. Der Standardwert ist 300 Millisekunden.
Übertragungsintervall (Transmit Interval) Geben Sie das minimale Zeitintervall in Millisekunden ein, in dem das lokale System die BFD-Steuerungspakete senden kann. Der Bereich liegt zwischen 300 und 60.000 Millisekunden. Der Standardwert ist 300 Millisekunden.
BGP
Nachbar-IP (Neighbor IP) Geben Sie die IPv4- oder IPv6-Adresse des konfigurierten BGP-Nachbarnetzwerks ein.
Nachbar-ASN (Neighbor-ASN) Geben Sie die ASN des Nachbarnetzwerks ein.
Sichere BGP-Routen (Secure BGP Routes) Aktivieren Sie das Kontrollkästchen, um Verschlüsselung für die Datenweiterleitung über BGP-Routen zu aktivieren.
Max. Hop (Max-hop)

Geben Sie die maximale Anzahl an Hops ein, um mehrere Hops für die BGP-Peers zu aktivieren.

Der Bereich für Max. Hop umfasst die Werte von 1 bis 255. Der Standardwert ist 1.

Hinweis: Dieses Feld ist nur für mit IPv4-Adresse konfigurierte eBGP-Nachbarn verfügbar, wenn sich die lokale ASN und die benachbarte ASN unterscheiden. Mehrere Hops werden für IPv6 nicht unterstützt.
Lokale BGP-IP

Die lokale IP-Adresse ist das Äquivalent zu einer Loopback-IP-Adresse. Geben Sie eine IP-Adresse ein, die die BGP-Nachbarschaften als Quell-IP-Adresse für die ausgehenden BGP-Pakete verwenden können. Wenn Sie keinen Wert eingeben, wird die IP-Adresse der Übergabeschnittstelle als Quell-IP-Adresse verwendet.

Hinweis: Bei eBGP ist dieses Feld nur verfügbar, wenn BGP mit einer IPv4-Adresse konfiguriert ist und der Wert für „Max. Hop“ mehr als 1 beträgt. Diese Option wird für IPv6 nicht unterstützt.
IP-Adresse für nächsten Hop Geben Sie die IP-Adresse für nächsten Hop ein, die von BGP verwendet wird, um den BGP-Peer mit mehreren Hops zu erreichen.
Hinweis: Dieses Feld ist nur für eBGP mit mehreren Hops verfügbar, die mit einer IPv4-Adresse und einem Wert für „Max. Hop“ größer als 1 konfiguriert sind. Diese Option wird für IPv6 nicht unterstützt.
BGP-Eingangs-/Ausgangsfilter (BGP Inbound/Outbound Filters) – Klicken Sie auf das Plussymbol (+), um weitere Filter hinzuzufügen.
Typ (Übereinstimmung) (Type (Match)) Wählen Sie den Typ des BGP-Attributs aus, das zum Abgleich mit dem Datenverkehrsfluss berücksichtigt werden soll. Sie können eine der folgenden Optionen auswählen:
  • Präfix für IPv4 (Prefix for IPv4) – Verfügbar, wenn Sie die Registerkarte „IPv4“ auswählen.
  • Präfix für IPv6 (Prefix for IPv6) – Verfügbar, wenn Sie die Registerkarte „IPv6“ auswählen.
  • Community
Wert (Value) Geben Sie den Wert entsprechend dem als Typ ausgewählten BGP-Attribut ein.
Genaue Übereinstimmung (Exact Match) Aktivieren Sie das Kontrollkästchen, um die Attribute genau aufeinander abzustimmen.
Typ (Aktion) (Type (Action)) Wählen Sie bei Übereinstimmung die durchzuführende Aktion aus. Sie können den Datenverkehr entweder zulassen oder verweigern.
Festlegen (Set)

Sie können die Werte der Attribute für die Routen festlegen, die mit den Filterkriterien übereinstimmen.

Treffen Sie eine Auswahl aus den folgenden Attributen und geben Sie die entsprechenden Werte ein, die für die übereinstimmenden Routen festgelegt werden sollen:

  • Keine (None): Die Attribute der übereinstimmenden Routen bleiben unverändert.
  • Lokale Präferenz (Local Preference): Der übereinstimmende Datenverkehr wird an den Pfad mit der angegebenen lokalen Präferenz weitergeleitet.
  • Community: Die übereinstimmenden Routen werden nach der angegebenen Community-Zeichenfolge gefiltert. Sie können auch das Kontrollkästchen Community-Zusatz (Community Additive) aktivieren, um die Option „Zusatz (Additive)“ zu aktivieren. Mit dieser Option wird der Community-Wert an vorhandene Communitys angefügt.
  • Metrik (Metric): Der übereinstimmende Datenverkehr wird an den Pfad mit dem angegebenen Metrikwert weitergeleitet.
  • AS für Pfad voranstellen (AS-Path-Prepend): Ermöglicht das Voranstellen mehrerer Einträge des autonomen Systems (AS) bei einer BGP-Route.
Optionale BGP-Einstellungen (BGP Optional Settings)
BFD Aktivieren Sie das Kontrollkästchen, um die BFD-Sitzung zu abonnieren.
Keep Alive Geben Sie die Keep Alive-Zeit für das BGP in Sekunden ein. Der Standard-Timer ist auf 60 Sekunden eingestellt.
Hold-Timer (Hold Timers) Geben Sie den Hold-Timer für das BGP in Sekunden ein. Der Standard-Timer ist auf 180 Sekunden eingestellt.
AS-PATH-Übernahme ausschalten Markieren Sie das Kontrollkästchen zum Ausschalten der AS-PATH-Übernahme, was sich so auf den ausgehenden AS-PATH auswirkt, dass die L3-Router einen Pfad zu einer PE bevorzugen. Optimieren Sie Ihr Netzwerk bei Auswahl dieser Option so, dass Routing-Schleifen vermieden werden. Von der Aktivierung dieses Kontrollkästchens wird abgeraten.
MD5-Authentifizierung (MD5 Auth) Aktivieren Sie das Kontrollkästchen, um die BGP-MD5-Authentifizierung zu aktivieren. Diese Option wird in einem Legacy-Netzwerk oder einem bundesweiten Netzwerk verwendet und wird als Sicherheitswächter für BGP-Peering verwendet.
Hinweis: Die Aktivierung der MD5-Authentifizierung für BGP würde das Partner-Gateway als nicht FIPS-konform einstufen.
MD5-Kennwort (MD5 Password) Geben Sie ein Kennwort für die MD5-Authentifizierung ein.
Hinweis: Ab Version 4.5 wird die Verwendung des Sonderzeichens „<“ im Kennwort nicht mehr unterstützt. Wenn Benutzer das Sonderzeichen „<“ bereits in früheren Versionen in ihren Kennwörtern verwendet haben, muss es entfernt werden, um Änderungen an der Seite speichern zu können.

Die folgende Abbildung zeigt die Übergabedetails für IPv6:

Klicken Sie nach dem Konfigurieren der erforderlichen Einstellungen auf Aktualisieren (Update), um sie zu speichern. Klicken Sie außerdem auf Änderungen speichern (Save Changes) auf der Seite Kundenkonfiguration (Customer Configuration), um die Einstellungen zu aktivieren.