Sie können BGP-Einstellungen für SD-WAN Gateways über IPSec-Tunnel konfigurieren.
Über diese Aufgabe:
Nur eBGP wird mit BGP über IPsec unterstützt.
Hinweis: Es wird empfohlen, eBGP zwischen SDWAN-Gateway- und NSD-Sites zu verwenden. Bei Verwendung von iBGP kann die lokale Voreinstellung nicht mit dem ausgehenden Filter angewendet werden. In diesem Fall muss der Kunde Metrik- oder AS-Pfad-Prepending-Optionen auswählen, um das gewünschte Routing zu erzielen.
VMware ermöglicht Es Unternehmensbenutzern, eine Nicht-SD-WAN-Zielinstanz zu definieren und zu konfigurieren, um über ein SD-WAN Gateway einen sicheren IPSec-Tunnel zu einem Nicht-SD-WAN-Ziel einzurichten.
Hinweis: Wenn in Version 5.2 mehrere NSDs für dasselbe Segment konfiguriert sind, muss derselbe Satz zusammengefasster Routenkonfigurationen für alle NSDs vorhanden sein.
Bevor Sie beginnen:
Hinweis: Die Azure vWAN Automation from Gateway-Funktion ist nicht mit BGP über IPsec kompatibel. Dies liegt daran, dass nur statische Routen unterstützt werden, wenn die Konnektivität von einem Gateway zu einem Azure vWAN automatisiert wird.
Stellen Sie sicher, dass Sie Folgendes konfiguriert haben:
- Erstellen Sie ein Nicht-SD-WAN-Ziel über Gateway für eine der folgenden Sites:
- Konfigurieren eines Nicht-SD-WAN-Ziels vom Typ „AWS-VPN-Gateway“
- Konfigurieren eines Nicht-SD-WAN-Ziels vom Typ „Check Point“
- Konfigurieren eines Nicht-SD-WAN-Ziels vom Typ „Cisco ASA“
- Konfigurieren eines Nicht-SD-WAN-Ziels vom Typ „Cisco ISR“
- Konfigurieren eines Nicht-SD-WAN-Ziels vom Typ „Generischer IKEv2-Router (Routenbasiertes VPN)“
- Konfigurieren eines Nicht-SD-WAN-Ziels vom Typ „Microsoft Azure Virtual Hub“
- Konfigurieren eines Nicht-SD-WAN-Ziels vom Typ „Palo Alto“
- Konfigurieren eines Nicht-SD-WAN-Ziels vom Typ „SonicWALL“
- Konfigurieren eines Nicht-SD-WAN-Ziels vom Typ „Zscaler“
- Konfigurieren eines Nicht-SD-WAN-Ziels vom Typ „Generischer IKEv1-Router (routenbasiertes VPN) (Generic IKEv1 Router (Route Based VPN))“
- Konfigurieren eines Nicht-SD-WAN-Ziels vom Typ „Generische Firewall (richtlinienbasiertes VPN) (Generic Firewall (Policy Based VPN))“
- Ordnen Sie die Nicht-SD-WAN-Ziel einem Profil zu. Weitere Informationen finden Sie unter Konfigurieren eines Tunnels zwischen einer Zweigstelle und einem Nicht-SD-WAN-Ziel über Gateway.
Hinweis: Es wird empfohlen, die Funktion
DCC (Distributed Cost Calculation) zu aktivieren, um optimale Leistung und Skalierung zu erzielen, wenn BGP über IPsec über Gateway verwendet wird. Die Funktion
DCC (Distributed Cost Calculation) wird ab Version 3.4.0 unterstützt.
Weitere Informationen zur Funktion DCC (Distributed Cost Calculation) finden Sie im Abschnitt Konfigurieren von DCC (Distributed Cost Calculation) im VMware SD-WAN Operator-Handbuch, verfügbar unter: https://docs.vmware.com/de/VMware-SD-WAN/index.html.
Vorgehensweise
- Navigieren Sie zu Konfigurieren (Configure) > Netzwerkdienste (Network Services) und erweitern Sie dann unter „Nicht-SD-WAN-Ziele (Non SD-WAN Destinations)“ die Option „Nicht-SD-WAN-Ziele über Gateway (Non SD-WAN Destinations via Gateway)“.
Hinweis: Die Option „Neuer NSD über Gateway (New NSD via Gateway)“ wird nur angezeigt, wenn in der Tabelle keine Elemente vorhanden sind. Führen Sie die Schritte 2 und 3 aus, um ein neues Nicht-SD-WAN-Ziel zu erstellen.
- Klicken Sie auf +Neu (+New), um ein neues Nicht-SD-WAN-Ziel zu erstellen.
Das Dialogfeld Nicht-SD-WAN-Ziele über Gateway (Non SD-WAN Destinations via Gateway) wird angezeigt wie in der Abbildung unten dargestellt.
- Konfigurieren Sie im Bereich Nicht-SD-WAN-Ziele über Gateway (Non SD-WAN Destinations via Gateway) (siehe Abbildung oben) die folgenden Felder wie in der folgenden Tabelle beschrieben.
Option Beschreibung Name Geben Sie einen Namen für das Nicht-SD-WAN-Ziel in das Textfeld ein. Typ (Type) Wählen Sie im Dropdown-Menü einen IPsec-Tunneltyp aus. Tunnelmodus (Tunnel Mode) Der Modus Aktiv/Hot-Standby (Active/Hot-Standby) unterstützt die Einrichtung von maximal 2 Tunnel-Endpoints oder Gateways. Der Modus Aktiv/Aktiv (Active/Active) unterstützt die Einrichtung von maximal 4 Tunnel-Endpoints oder Gateways. Alle aktiven Tunnel können Datenverkehr über ECMP senden und empfangen. VPN-Gateway 1 Geben Sie eine gültige IP-Adresse ein. VPN-Gateway 2 Geben Sie eine gültige IP-Adresse ein. Dieses Feld ist optional Das Nicht-SD-WAN-Ziele über Gateway wird wie in der folgenden Abbildung dargestellt erstellt.
- Schieben Sie im Bereich Nicht-SD-WAN-Ziele über Gateway (Non SD-WAN Destinations via Gateway) die graue Leiste ganz nach rechts in die BGP-Spalte.
Klicken Sie unter der BGP-Spalte auf den Link Bearbeiten (Edit).
Wenn der Link Bearbeiten (Edit) nicht in der BGP-Spalte angezeigt wird, finden Sie weitere Informationen im Abschnitt „Konfigurieren eines Tunnels zwischen einer Zweigstelle und einem Nicht-SD-WAN-Ziel über Edge“, um einen Edge zu Nicht-SD-WAN über Gateway zu aktivieren.
Nachdem Sie auf den Link Bearbeiten (Edit) unter der Spalte BGP geklickt haben, wird das Dialogfeld BGP bearbeiten (Edit BGP) angezeigt.
- Schieben Sie das Optionsfeld BGP aktiviert (BGP Activated) nach rechts, damit es grün wird.
- Klicken Sie auf +Hinzufügen (+Add), um einen oder mehrere Filter zu erstellen. Diese Filter werden auf den Nachbarn angewendet, um die Attribute der Route zu verweigern oder zu ändern. Derselbe Filter kann für mehrere Nachbarn verwendet werden.
- Konfigurieren Sie die Optionen im Bereich Filterliste (Filter List), wie in der folgenden Tabelle beschrieben.
Option Beschreibung Filtername (Filter Name) Geben Sie einen beschreibenden Namen für den BGP-Filter ein. Übereinstimmungstyp und -wert (Match Type and Value) Wählen Sie aus, welche Art von Routen mit dem Filter abgeglichen werden sollen:
- Präfix für IPv4 oder IPv6 (Prefix for IPv4 or IPv6): Wählen Sie eine Übereinstimmung mit einem Präfix für die IPv4- oder IPv6-Adresse aus und geben Sie die
entsprechende Präfix-IP-Adresse im Feld Wert (Value) ein.
- Community: Wählen Sie eine Übereinstimmung mit einer Community aus und geben Sie die Community-Zeichenfolge im Feld Wert (Value) ein.
Genaue Übereinstimmung (Exact Match) Die Filteraktion wird nur ausgeführt, wenn die BGP-Routen genau mit dem angegebenen Präfix bzw. der angegebenen Community-Zeichenfolge übereinstimmen. Diese Option ist standardmäßig aktiviert. Aktionstyp (Action Type) Wählen Sie die Aktion aus, die ausgeführt werden soll, wenn die BGP-Routen mit dem angegebenen Präfix oder der angegebenen Community-Zeichenfolge übereinstimmen. Sie können den Datenverkehr entweder zulassen oder verweigern. Aktionssatz (Action Set) Wenn die BGP-Routen mit den angegebenen Kriterien übereinstimmen, können Sie festlegen, dass der Datenverkehr basierend auf den Attributen des Pfads an ein Netzwerk weitergeleitet wird. Wählen Sie in der Dropdown-Liste eine der folgenden Optionen aus: - Keine (None): Die Attribute der übereinstimmenden Routen bleiben unverändert.
- Lokale Präferenz (Local Preference): Der übereinstimmende Datenverkehr wird an den Pfad mit der angegebenen lokalen Präferenz weitergeleitet.
- Community: Die übereinstimmenden Routen werden nach der angegebenen Community-Zeichenfolge gefiltert. Sie können auch das Kontrollkästchen Community-Zusatz (Community Additive) aktivieren, um die Option „Zusatz (Additive)“ zu aktivieren. Mit dieser Option wird der Community-Wert an vorhandene Communitys angefügt.
- Metrik (Metric): Der übereinstimmende Datenverkehr wird an den Pfad mit dem angegebenen Metrikwert weitergeleitet.
- AS für Pfad voranstellen (AS-Path-Prepend): Ermöglicht das Voranstellen mehrerer Einträge des autonomen Systems (AS) bei einer BGP-Route.
- Klicken Sie auf das Plussymbol (+), um weitere Übereinstimmungsregeln für den Filter hinzuzufügen. Wiederholen Sie den Vorgang, um weitere Filter zu erstellen.
Die konfigurierten Filter werden im Bereich Filterliste (Filter List) angezeigt.
Hinweis: Diese BGP-Nachbarn werden ihren jeweiligen Tunneln alleinig für die Einrichtung der Nachbarschaft und den anschließenden Kontrollaustausch zugewiesen, um sicherzustellen, dass diese Kommunikation ausschließlich über die vorgesehenen Tunnel erfolgt. - Konfigurieren Sie im Fenster „BGP-Editor (BGP Editor)“ die BGP-Einstellungen für die primären und sekundären Gateways.
Hinweis: Die Option „Sekundäres Gateway (Secondary Gateway)“ ist nur verfügbar, wenn Sie ein sekundäres Gateway für das entsprechende Nicht-SD-WAN-Ziel konfiguriert haben.Hinweis: Bei einer Kundenbereitstellung, bei der ein Nicht-VMware SD-WAN-Ziel (NSD) über ein Gateway so konfiguriert ist, dass redundante Tunnel zum Einsatz kommen, wird der primäre NSD-Tunnel einen redundanten Gateway-Pfad gegenüber dem primären Gateway bevorzugen, wenn das primäre und das sekundäre Gateway ein Präfix mit einem identischen AS-Pfad zu den primären und sekundären NSD-Tunneln annoncieren. Die Auswirkungen des primären NSD-über-Gateway-Tunnels, der den redundanten Gateway-Pfad über das primäre Gateway bevorzugt, treten nur für den Rückdatenverkehr zum Gateway vom NSD auf.
Wenn Sie nicht möchten, dass Ihr BGP-Router das redundante Gateway bevorzugt, besteht die Problemumgehung darin, AS-PATH voranstellen zu konfigurieren und den Metrikfilter auf eine höhere (3 oder mehr) Metrik für das angekündigte Präfix im redundanten Gateway festzulegen. Dadurch wird sichergestellt, dass der primäre Tunnel des NSD das primäre Gateway für den Rückverkehr auswählt.
- Geben Sie im Abschnitt Primäres Cloud-Gateway (Primary Cloud Gateway) die lokale ASN und die Router-ID ein.
- Scrollen Sie nach unten zum Bereich „Nachbarn (Neighbors)“ und klicken Sie auf +Hinzufügen (+Add).
- Konfigurieren Sie die folgenden Einstellungen im Bereich Nachbarn (Neighbors), wie in der folgenden Tabelle beschrieben.
Option Beschreibung Lokale ASN (Local ASN) Geben Sie die Autonome Systemnummer (ASN) des Kunden ein. Router-ID (Router ID) Geben Sie die BGP-Router-ID ein. Nachbar-IP (Neighbor IP) Geben Sie die IP-Adresse des BGP-Nachbarn ein. ASN Geben Sie die ASN des Nachbarn ein. Eingehender Filter (Inbound Filter) Wählen Sie einen eingehenden Filter in der Dropdown-Liste aus. Ausgehender Filter (Outbound Filter) Wählen Sie einen ausgehenden Filter in der Dropdown-Liste aus. Weitere Optionen (Additional Options): Klicken Sie auf den Link alle anzeigen (view all), um die folgenden zusätzlichen Einstellungen zu konfigurieren: Lokale IP (Local ASN) Die lokale IP-Adresse ist das Äquivalent zu einer Loopback-IP-Adresse. Geben Sie eine IP-Adresse ein, die die BGP-Nachbarschaften als Quell-IP-Adresse für die ausgehenden Pakete verwenden können. Max. Hop (Max-hop) Geben Sie die maximale Anzahl an Hops ein, um mehrere Hops für die BGP-Peers zu aktivieren. Bei Version 5.1 und höher liegt der Bereich zwischen 2 und 255. Der Standardwert ist 2. Hinweis: Beim Upgrade auf die Version 5.1 wird jeder Max. Hop-Wert von 1 automatisch auf einen Max. Hop-Wert von 2 aktualisiert.Hinweis: Dieses Feld ist nur für eBGP-Nachbarn verfügbar, wenn der lokale ASN und der benachbarte ASN verschieden sind.AS zulassen (Allow AS) Aktivieren Sie das Kontrollkästchen, um den Empfang und die Verarbeitung der BGP-Routen zuzulassen, selbst wenn das Gateway seine eigene ASN im AS-PATH erkennt. Standardroute (Default Route) Die Standardroute fügt eine Netzwerkauszugsdatei in der BGP-Konfiguration hinzu, um die Standardroute für den Nachbarn zu annoncieren. BFD aktivieren (Enable BFD) Aktivieren Sie das Abonnement der bestehenden BFD-Sitzung für den BGP-Nachbarn. Keep Alive Geben Sie den Keep Alive-Timer in Sekunden ein, d. h. die Dauer zwischen den Keep Alive-Nachrichten, die an den Peer gesendet werden. Der Bereich liegt zwischen 1 und 65535 Sekunden. Der Standardwert beträgt 60 Sekunden. Hold-Timer (Hold Timer) Geben Sie den Hold-Timer in Sekunden ein. Wenn die Keep Alive-Nachricht für die angegebene Zeit nicht empfangen wird, gilt der Peer als inaktiv. Der Bereich liegt zwischen 1 und 65535 Sekunden. Der Standardwert beträgt 180 Sekunden. Verbinden (Connect) Geben Sie das Intervall ein, in dem ein neuer TCP-Verbindungsversuch mit dem Peer unternommen wird, wenn erkannt wird, dass die TCP-Sitzung nicht passiv ist. Der Standardwert beträgt 120 Sekunden. MD5-Authentifizierung (MD5 Auth) Aktivieren Sie das Kontrollkästchen, um die BGP-MD5-Authentifizierung zu aktivieren. Diese Option wird in einem Legacy-Netzwerk oder einem bundesweiten Netzwerk verwendet und wird als Sicherheitswächter für BGP-Peering verwendet. MD5-Kennwort (MD5 Password) Geben Sie ein Kennwort für die MD5-Authentifizierung ein. Hinweis: Ab Version 4.5 wird die Verwendung des Sonderzeichens „<“ im Kennwort nicht mehr unterstützt. Wenn Benutzer das Sonderzeichen „<“ bereits in früheren Versionen in ihren Kennwörtern verwendet haben, muss es entfernt werden, um Änderungen an der Seite speichern zu können.Die konfigurierten Nachbarn werden im Bereich Nachbarn (Neighbors) angezeigt.
Klicken Sie auf Änderungen speichern (Save Changes), um alle Änderungen zu speichern.
Hinweis: Über BGP mit mehreren Hops könnte das System Routen lernen, die eine rekursive Suche erfordern. Diese Routen besitzen eine IP-Adresse für den nächsten Hop, der sich nicht in einem angeschlossenen Subnetz befindet, und verfügen nicht über eine gültige Exit-Schnittstelle. In diesem Fall muss auf den Routen die IP-Adresse für nächsten Hop mithilfe einer anderen Route in der Routing-Tabelle aufgelöst werden, die über eine Exit-Schnittstelle verfügt. Wenn Datenverkehr für ein Ziel besteht, für das diese Routen gesucht werden müssen, werden Routen, die eine rekursive Suche erfordern, zu einer verbundenen IP-Adresse und Schnittstelle für nächsten Hop und aufgelöst. Bis zur rekursiven Auflösung verweisen die rekursiven Routen auf eine Zwischenschnittstelle. Weitere Informationen zu BGP-Routen mit mehreren Hops finden Sie im Abschnitt „Remote-Diagnosetests auf Edges“ im VMware SD-WAN-Handbuch zur Fehlerbehebung, veröffentlicht unter https://docs.vmware.com/de/VMware-SD-WAN/index.html.Routen-Aggregierung (Route Summarization)
Die Funktion „Routen-Aggregierung (Route Summarization)“ ist in Version 5.2 verfügbar. Eine Übersicht und einen Anwendungsfall dieser Funktion finden Sie unter Routen-Aggregierung. Führen Sie die folgenden Schritte aus, um Konfigurationsdetails zu erhalten.
- Scrollen Sie nach unten bis zum Bereich Routen-Aggregierung (Route Summarization).
- Klicken Sie im Bereich Routen-Aggregierung (Route Summarization) auf +Hinzufügen (+Add). Dem Bereich Routen-Aggregierung (Route Summarization) wird eine neue Zeile hinzugefügt.
Konfigurieren Sie die Routen-Aggregierung, wie in der folgenden Tabelle beschrieben.
Option Beschreibung Filtername (Filter Name) Geben Sie einen beschreibenden Namen für den BGP-Filter ein. Subnetz (Subnet) Geben Sie das IP-Subnetz ein. AS festgelegt (AS Set) Generieren Sie aus den zusammengefassten Routen AS-festgelegt-Pfadinformationen (während Sie die zusammengefasste Route dem Peer annoncieren). Klicken Sie in der Spalte AS festgelegt (AS Set) auf das Kontrollkästchen Ja (Yes) falls zutreffend. Nur Übersicht (Summary Only) Aktivieren Sie das Kontrollkästchen Ja (Yes), damit nur die zusammengefasste Route gesendet werden kann. - Fügen Sie bei Bedarf weitere Routen hinzu, indem Sie auf +Hinzufügen (+Add) klicken. Verwenden Sie zum Klonen oder Löschen einer Routen-Aggregierung die entsprechenden Schaltflächen neben +Hinzufügen (+Add).
Im Abschnitt BGP-Einstellungen (BGP Settings) werden die BGP-Konfigurationseinstellungen angezeigt.
- Klicken Sie auf Änderungen speichern (Save Changes), um die Konfiguration zu speichern.
Hinweis:
- Nur für Gateways unter Version 6.0 oder höher können bis zu 4 Tunnel auf Basis des VPN-Typs konfiguriert werden. Darüber hinaus können diese Tunnel, die als Nicht-SDWAN-Gateways vorgesehen sind, entweder im AA- oder im A-HS-Modus betrieben werden, um die vom Benutzer gewünschte Lastverteilung/Lastaufnahme zu erreichen.
- Für Gateways unter einer Version vor 6.0 werden alle Aktiv/Aktiv-Konfigurationen als Aktiv/Hot-Standby interpretiert, wobei Tunnel 1 auf „Aktiv“ und Tunnel 2 auf „Aktiv/Hot-Standby“ festgelegt ist.
