Puede configurar BGP por segmento para un perfil o una instancia de Edge. Esta sección proporciona pasos sobre cómo configurar BGP con vecinos que no son de SD-WAN, una opción admitida en la versión 4.3.
Acerca de esta tarea:
BGP se utiliza para establecer la vecindad de BGP a través de los túneles de IPsec a los sitios que no son de SD-WAN. Los túneles de IPsec directos se utilizan para establecer una comunicación segura entre SD-WAN Edge y el destino que no es de SD-WAN (NSD). En versiones anteriores, VMware admitía túneles NSD desde SD-WAN Edge con la capacidad de agregar rutas estáticas de NVS. En la versión 4.3, esta funcionalidad se amplía para admitir BGP a través de IPsec al endpoint de NSD para una VPN basada en rutas.
VMware también admite BGP ASN de 4 bytes. Consulte la sección Configurar BGP para obtener más información.
Casos prácticos
Caso práctico 1: BGP a través de IPSec desde Edge a una VPN de Azure
Cada puerta de enlace VPN de Azure asigna un conjunto de IP virtuales públicas (VIP) para que una instancia de Edge de sucursal forme túneles de IPsec. De forma similar, Azure también asigna una subred privada interna y asigna una IP interna por VIP. Esta IP de túnel interna (IP de túnel del mismo nivel) se utilizará para crear el intercambio de tráfico de BGP con la puerta de enlace de Azure.
Azure tiene una restricción por la que la IP del mismo nivel de BGP (IP de túnel local de Edge) no debe estar en la misma subred conectada ni en la subred 169.x.x.x. Por lo tanto, es necesario admitir BGP de saltos múltiples en Edge. En la terminología de BGP, la IP de túnel local se asigna a la dirección de origen de BGP y la direcciones IP de túnel del elemento del mismo nivel se asigna a la dirección del vecino o del elemento mismo nivel. Es necesario formar una malla de conexiones BGP: una por túnel NSD, para que el tráfico de retorno del NVS pueda tener equilibrio de carga (basado en flujos), un diseño en el lado de la puerta de enlace de Azure. En el diagrama siguiente para la instancia física de Edge, tenemos dos vínculos WAN públicos y, por lo tanto, cuatro túneles a una puerta de enlace de Azure. Cada túnel se asocia con una conexión BGP identificada de forma exclusiva por el grupo de IP de túnel local e IP de túnel de elementos del mismo nivel. En la instancia de Edge virtual, la única diferencia es que tenemos un vínculo de WAN público y un máximo de dos túneles y dos sesiones de BGP con la puerta de enlace de Azure.
Caso práctico 2: BGP a través de IPSec desde Edge a una puerta de enlace de tránsito/VPN de AWS
A diferencia de Azure, la puerta de enlace de VPN de AWS asigna un conjunto de VIP públicas por vínculo a una instancia de Edge de sucursal. El total de conjuntos de IP públicas asignadas a una instancia de Edge de sucursal desde una puerta de enlace de AWS será igual al número de vínculos WAN públicos de Edge que se conectarán a la puerta de enlace de VPN de AWS. De forma similar, se asignará una subred interna/privada /30 por túnel, que se utiliza para el intercambio de tráfico de BGP en ese túnel. Estas IP pueden anularse manualmente en la configuración de la puerta de enlace de AWS para garantizar que sean únicas en diferentes zonas de disponibilidad.
De forma similar al caso práctico de Azure, Edge formará una malla de conexiones BGP, una por túnel a la puerta de enlace de AWS. Esto permite equilibrar la carga del tráfico de retorno desde la puerta de enlace de VPN de AWS, un diseño en el lado de AWS. En el siguiente diagrama, para la instancia física de Edge, la puerta de enlace de AWS asigna un conjunto de direcciones IP públicas y un conjunto de direcciones IP de túnel (/30) para cada vínculo WAN de Edge. Hay un total de cuatro túneles, pero terminan en diferentes IP públicas en la puerta de enlace de AWS y cuatro conexiones BGP.
Caso práctico 3: Conexión de Edge a las puertas de enlace de VPN de Azure y AWS (nube híbrida)
Una instancia de Edge de sucursal puede conectarse a la puerta de enlace de Azure y la puerta de enlace de AWS con fines de redundancia o a algunas cargas de trabajo/aplicaciones alojadas en un proveedor de nube mientras que otras cargas de trabajo/aplicaciones se alojan en un proveedor de nube diferente. Independientemente del caso de uso, la instancia de Edge siempre establece una sesión BGP por túnel y propaga las rutas entre SD-WAN e IaaS. El diagrama siguiente es un ejemplo de una instancia de Edge de sucursal conectada a las nubes de Azure y AWS.
Caso práctico 4: Clúster de hub que se conecta a puertas de enlace de tránsito de Azure/AWS
Los miembros del clúster de hub pueden formar túneles de IPsec a las puertas de enlace de tránsito de Azure/AWS y aprovechar las puertas de enlace de tránsito como de capa 3 para enrutar el tráfico entre diferentes VPC. Sin la funcionalidad de BGP nativo a través de IPsec en hub, el hub debe conectarse a un enrutador de capa 3 (Cisco CSR se utiliza ampliamente aquí) mediante BGP nativo y el enrutador de capa 3 formando una malla de BGP sobre túneles IPsec con diferentes VPC. El enrutador de capa 3 funciona como un punto de tránsito entre diferentes VPC. Caso práctico 1 (diagrama izquierdo a continuación): utilice el hub como nodo de tránsito entre diferentes VPC en diferentes zonas de disponibilidad (Availability Zones, AZ) para que una VPC pueda comunicarse con otra VPC. Caso práctico 2 (diagrama derecho a continuación): se conectan todos los hubs del clúster directamente a una puerta de enlace de tránsito de nube y se puede utilizar la puerta de enlace de nube como enrutador PE (capa 3) para la distribución de rutas entre los miembros del clúster. En ambos casos prácticos, sin compatibilidad con BGP a través de IPsec en hub, el hub se conecta a un enrutador de capa 3, como CSR, que utiliza BGP nativo y pares de CSR con la puerta de enlace de tránsito/VPC mediante BGP sobre IPsec.
Caso práctico 5: Compatibilidad con la funcionalidad de tránsito en proveedores de nube sin soporte nativo
Algunos proveedores de nube, como Google Cloud y AliCloud, no tienen compatibilidad nativa para la funcionalidad de tránsito (sin puertas de enlace de tránsito) y, con la compatibilidad con BGP a través de IPsec, pueden confiar en SD-WAN Edge/Hub implementado en la nube para lograr la funcionalidad de tránsito entre diferentes VPC/VNET. Sin la compatibilidad con BGP a través de IPsec, debe utilizar un enrutador de capa 3 como CSR (solución n.º 2) para lograr la funcionalidad de tránsito.
Requisitos previos:
- Primero debe configurar la Sucursal a destinos que no son de SD-WAN a través de Edge (Branch to Non SD-WAN Destination via Edge).
- La IP local es obligatoria (la dirección IP local de Edge).
Procedimiento
Para habilitar BGP con vecinos que no son de SD-WAN:
- En el portal para empresas, haga clic en Configurar Edge (Configure Edge) y seleccione una instancia de SD-WAN Edge para configurarla.
- Haga clic en la pestaña Dispositivo (Device).
- En la pestaña Dispositivo (Device), desplácese hasta la sección Configuración de BGP (BGP Settings), haga clic en el control deslizante para la posición Encendida (ON) y posteriormente haga clic en el botón Editar (Edit).
- En el cuadro de diálogo Editor de BGP (BGP Editor), agregue filtros.
- Haga clic en el botón Agregar filtro (Add Filter) para crear uno o varios filtros. Se aplican filtros al vecino para denegar o cambiar los atributos de la ruta. Se puede utilizar el mismo filtro para varios vecinos, incluidos vecinos y vecinos de NSD.
Se muestra el cuadro de diálogo Crear filtro BGP (Create BGP Filter).
- En el área Crear filtro BGP (Create BGP Filter), establezca las reglas del filtro (consulte la imagen a continuación). Consulte la siguiente tabla para obtener una descripción de los campos en el cuadro de diálogo Crear filtro BGP (Create BGP Filter).
Opción Descripción Nombre del filtro (Filter Name) Introduzca un nombre descriptivo para el filtro de BGP. Coincidir tipo y valor (Match Type and Value) Elija el tipo de rutas que desea que coincidan con el filtro: - Prefijo (Prefix): seleccione esta opción para buscar coincidencias con un prefijo e introduzca la dirección IP del prefijo en el campo Valor (Value).
- Comunidad (Community): seleccione esta opción para buscar coincidencias con una comunidad e introduzca la cadena de comunidad en el campo Valor (Value).
Coincidencia exacta (Exact Match) La acción de filtrado se realiza solo cuando las rutas BGP coinciden exactamente con la cadena de prefijo o de comunidad especificada. Esta opción está habilitada de forma predeterminada. Tipo de acción (Action Type) Elija la acción que se realizará cuando las rutas de BGP coincidan con la cadena de prefijo o de comunidad especificada. Puede permitir o denegar el tráfico. Establecer (Set) Cuando las rutas de BGP coinciden con los criterios especificados, se puede configurar la dirección del tráfico a una red en función de los atributos de la ruta. En la lista desplegable, seleccione una de las siguientes opciones: - Ninguna (None): los atributos de las rutas coincidentes permanecen invariables.
- Preferencia local (Local Preference): el tráfico coincidente se dirige a la ruta con la preferencia local especificada.
- Comunidad (Community): las rutas coincidentes se filtran por la cadena de comunidad especificada. También puede seleccionar la casilla de verificación Aditivo de comunidad (Community Additive) para habilitar la opción de adición, que agrega el valor de comunidad a comunidades existentes.
- Métrica (Metric): el tráfico coincidente se dirige a la ruta de acceso con el valor de métrica especificado.
- Anteposición de AS-PATH (AS-Path-Prepend): permite anteponer varias entradas de sistema autónomo (AS) a una ruta de BGP.
- Para agregar más reglas que coincidan con el filtro, haga clic en el icono Más (+).
- Haga clic en Aceptar (OK) para crear el filtro.
Los filtros configurados se muestran en la ventana del Editor de BGP (BGP Editor).
- Haga clic en el botón Agregar filtro (Add Filter) para crear uno o varios filtros. Se aplican filtros al vecino para denegar o cambiar los atributos de la ruta. Se puede utilizar el mismo filtro para varios vecinos, incluidos vecinos y vecinos de NSD.
- En el cuadro de diálogo Editor de BGP (BGP Editor), indique el ASN local en el cuadro de texto adecuado para el dispositivo que se configurará.
- Configuración de vecinos subyacentes.
Nota: Los pasos para configurar los vecinos subyacentes para la versión 4.3 son los mismos que los de las versiones anteriores. Si desea obtener información específica sobre este paso, consulte la sección titulada Configurar BGP con vecinos subyacentes.
- Configuración de vecinos de NSD.
Nota: La versión 4.3 admite vecinos que no son de SD-WAN (NSD). Ambos vecinos compartirán toda la configuración global, y la lista de filtros también se puede utilizar para ambos tipos de vecinos. Consulte la sección Requisitos previos anterior antes de configurar los vecinos de NSD. Consulte los pasos a continuación para configurar los vecinos de NSD o consulte la tabla siguiente para obtener una descripción de los campos del editor de BGP para los vecinos subyacentes y los vecinos de NSD.
- Elija un vecino de NSD en el menú desplegable Nombre de NSD (NSD Name). Esta opción debe estar configurada anteriormente en el área de Sucursal a destinos que no son de SD-WAN a través de Edge (Branch to Non SD-WAN Destination via Edge) de SD-WAN Orchestrator para que se muestre en el menú desplegable.
- En el menú desplegable Nombre del vínculo (Link Name), elija el vínculo asociado con el vecino de NSD seleccionado.
- Elija el tipo de túnel (principal o secundario) en el menú desplegable Tipo de túnel (Tunnel Type). Si no se configuró una dirección IP secundaria para el vecino de NSD, el menú desplegable solo mostrará la opción Principal (Primary) y no la opción Secundario (Secondary).
- Introduzca el ASN para el vecino de NSD seleccionado.
- Seleccione un filtro de entrada de la lista desplegable. (Este paso es opcional).
- Seleccione un filtro de salida de la lista desplegable. (Este paso es opcional).
Consulte la tabla a continuación para obtener una descripción de los vecinos de NSD.
Opción Descripción ASN local (Local ASN) Introduzca el número de sistema autónomo (ASN) local IP del vecino (Neighbor IP) Introduzca la dirección IP del vecino de BGP Nombre de NSD (NSD Name) Elija el nombre de NSD que se configuró en la Sucursal a destinos que no son de SD-WAN a través de Edge de SD-WAN Orchestrator. Nombre del vínculo (Link Name) Elija el nombre del vínculo de WAN que está asociado con el vecino NSD. ASN Introduzca el ASN para el vecino de NSD. Tipo de túnel (Tunnel Type) Elija el tipo de túnel (principal o secundario) del elemento del mismo nivel. Filtro de entrada (Inbound Filter) Seleccione un filtro de entrada de la lista desplegable. Filtro de salida (Outbound Filter) Seleccione un filtro de salida de la lista desplegable. Opciones adicionales (Additional Options): haga clic en el vínculo ver todo (view all) para configurar los siguientes ajustes adicionales: Vínculo superior (Uplink) Se usa para marcar el tipo de vecino en Vínculo superior (Uplink). Seleccione esta opción de marca si se utiliza como superposición de WAN hacia MPLS. Se utilizará como marca para determinar si el sitio se convertirá en un sitio de tránsito (p. ej., SD-WAN Hub) propagando rutas de superposición de SD-WAN a un vínculo WAN hacia MPLS. Si necesita convertirlo en un sitio de tránsito, compruebe también "Prefijo de superposición sobre enlace ascendente" (Overlay Prefix Over Uplink) en el área Configuración avanzada (Advanced Settings). IP local (Local IP) La IP local es obligatoria para configurar vecinos que no son de SD-WAN.
La dirección IP local equivale a una dirección IP de bucle invertido. Introduzca una dirección IP que las vecindades de BGP pueden usar como dirección IP de origen de los paquetes salientes.Límite máximo de saltos (Max-hop) Introduzca la cantidad máxima de saltos para habilitar el salto múltiple para los elementos del mismo nivel de BGP. El rango es de 1 a 255 y el valor predeterminado es 1. Nota: Este campo solo está disponible para vecinos de eBGP, cuando el ASN local y el ASN de vecindad son diferentes. Con iBGP, cuando ambos ASN son iguales, el salto múltiple se deshabilita de forma predeterminada y este campo no se puede configurar.Permitir AS (Allow AS) Seleccione la casilla de verificación para permitir que las rutas BGP se reciban y se procesen incluso si la instancia de Edge detecta su propio ASN en la ruta de AS. Ruta predeterminada (Default Route) La ruta predeterminada agrega una instrucción de red en la configuración de BGP para anunciar la ruta predeterminada al vecino. Habilitar BFD (Enable BFD) Habilita la suscripción a la sesión de BFD existente para el vecino de BGP. Nota: No se admite una sesión de BFD de salto único para BGP a través de IPsec con vecinos NSD. Sin embargo, se admite BFD de salto múltiple. Local_ip es obligatorio para las sesiones de NSD-BGP en SD-WAN Edge. SD-WAN Edge controla solo las IP de la interfaz conectada como BFD de salto único.Conexión persistente (Keep Alive) Introduzca el temporizador de conexión persistente (Keep Alive) en segundos, que es la duración entre los mensajes de conexión persistente que se envían al elemento del mismo nivel. El rango es de 0 a 65535 segundos. El valor predeterminado es 60 segundos. Temporizador de retención (Hold Timer) Introduzca el tiempo de retención en segundos. Cuando no se recibe el mensaje de conexión persistente (Keep Alive) durante el tiempo especificado, el elemento del mismo nivel se considera inactivo. El rango es de 0 a 65535 segundos. El valor predeterminado es 180 segundos. Conectar (Connect) Introduzca el intervalo para intentar una nueva conexión TCP con el nodo del mismo nivel si se detecta que la sesión de TCP no es pasiva. El valor predeterminado es 120 segundos. Autenticación MD5 (MD5 Auth) Seleccione la casilla de verificación para habilitar la autenticación MD5 de BGP. Esta opción se utiliza en una red federal o heredada, y es común que se use MD5 de BGP como protección de seguridad para el intercambio de tráfico de BGP. Contraseña MD5 (MD5 Password) Introduzca una contraseña para la autenticación MD5. La contraseña no debe contener el carácter $ seguido de números. Por ejemplo, $1, $123, password$123 no son entradas válidas. Nota: Se produce un error en la autenticación MD5 si la contraseña tiene el carácter $ seguido de números.Nota: A través de BGP de salto múltiple, el sistema puede aprender rutas que requieren búsqueda recursiva. Estas rutas tienen una dirección IP de próximo salto que no se encuentra en una subred conectada y no tienen una interfaz de salida válida. En este caso, las rutas deben tener la dirección IP de siguiente salto resuelta mediante otra ruta en la tabla de enrutamiento que tenga una interfaz de salida. Cuando haya tráfico para un destino que necesite que se busquen estas rutas, las rutas que requieran la búsqueda recursiva se resolverán en una interfaz y una dirección IP de próximo salto conectados. Hasta que se produzca la resolución recursiva, las rutas recursivas apuntan a una interfaz intermedia. Para obtener más información, consulte Rutas BGP de salto múltiple. - Para configurar opciones adicionales para los vecinos de NSD, haga clic en el botón Configuración avanzada (Advanced Settings).
Nota: La configuración avanzada se comparte entre los vecinos de BGP subyacentes normales y los vecinos de NSD-BGP. Consulte la siguiente tabla para obtener una descripción de todos los campos del área Configuración avanzada (Advanced Settings) para los vecinos de NSD. No hay cambios en la versión 4.3 de esta configuración para los vecinos de NSD.
- Puede crear o clonar vecinos de NSD adicionales haciendo clic en el icono de Más (+). Para eliminar vecinos de NSD creados o clonados, haga clic en el icono de Menos (-).
Opción Descripción Identificador de enrutador (Router ID) Introduzca el identificador de enrutador de BGP global. Si no especifica ningún valor, el identificador se asigna automáticamente. Conexión persistente (Keep Alive) Introduzca el temporizador de conexión persistente (Keep Alive) en segundos, que es la duración entre los mensajes de conexión persistente que se envían al elemento del mismo nivel. El rango es de 0 a 65535 segundos. El valor predeterminado es 60 segundos. Temporizador de retención (Hold Timer) Introduzca el tiempo de retención en segundos. Cuando no se recibe el mensaje de conexión persistente (Keep Alive) durante el tiempo especificado, el elemento del mismo nivel se considera inactivo. El rango es de 0 a 65535 segundos. El valor predeterminado es 180 segundos. Comunidad de vínculo superior (Uplink Community) Introduzca la cadena de comunidad que se tratará como rutas de vínculo superior.
El vínculo superior se refiere al vínculo conectado a la instancia de Edge de proveedor (PE). Las rutas entrantes hacia la instancia de Edge que coincidan con el valor de la comunidad especificada se tratarán como rutas de enlace ascendente. La instancia de Edge o hub no se considera la propietaria de estas rutas.
Introduzca el valor en formato numérico, de 1 a 4294967295, o con el formato AA:NN.
Prefijo de superposición (Overlay Prefix) Seleccione la casilla de verificación para redistribuir los prefijos aprendidos desde la superposición. Deshabilitar la continuación de AS-PATH (Disable AS-PATH Carry Over) De forma predeterminada, esta casilla debe dejarse desactivada. Seleccione la casilla de verificación para deshabilitar la continuación de AS-PATH. En determinadas topologías, al deshabilitar la continuación de AS-PATH, se influye en la AS-PATH saliente para que los enrutadores de capa 3 prefieran una ruta de acceso hacia una instancia de Edge o un hub. Advertencia: Al deshabilitar la continuación de AS-PATH, ajuste la red para evitar bucles de enrutamiento.Rutas conectadas (Connected Routes) Seleccione la casilla de verificación para redistribuir todas las subredes de interfaces conectadas. OSPF Seleccione la casilla de verificación para habilitar la redistribución de OSPF en BGP. Establecer métrica (Set Metric) Cuando habilite OSPF, introduzca la métrica de BGP para las rutas OSPF redistribuidas. El valor predeterminado es 20. Ruta predeterminada (Default Route) Seleccione la casilla de verificación para redistribuir la ruta predeterminada solo cuando la instancia de Edge aprenda las rutas de BGP a través de superposición o subyacente.
Al seleccionar la opción Ruta predeterminada (Default Route), la opción Anunciar (Advertise) está disponible como Condicional (Conditional).
Superponer prefijos sobre enlace ascendente (Overlay Prefixes Over Uplink) Seleccione la casilla de verificación para propagar las rutas aprendidas desde la superposición al vecino con la marca de vínculo superior. Redes (Networks) Introduzca la dirección de red que BGP va a anunciar a los elementos del mismo nivel. Haga clic en el icono de signo más (+) para agregar más direcciones de red. Selección de ruta predeterminada Opciones de anuncio Global Por vecino de BGP Sí Sí La configuración por vecino de BGP reemplaza la configuración global y, por lo tanto, la ruta predeterminada siempre se anuncia en el elemento BGP del mismo nivel. Sí No BGP redistribuye la ruta predeterminada a su vecino solo cuando la instancia de Edge aprende una ruta predeterminada explícita a través de la red de superposición o subyacente. No Sí La ruta predeterminada siempre se anuncia al elemento BGP del mismo nivel. No No La ruta predeterminada no se anuncia al elemento BGP del mismo nivel.
- Haga clic en Aceptar (OK) para guardar los filtros configurados y los vecinos de NSD y cerrar el Editor de BGP (BGP Editor).
La sección Configuración de BGP (BGP Settings) muestra las opciones de configuración de BGP.
- Haga clic en Guardar cambios (Save Changes) en la ventana Dispositivos (Device) para guardar la configuración.
Al configurar las opciones de BGP para un perfil, la configuración de vecinos de BGP que no son de SD-WAN no se puede aplicar en el nivel de perfil. Solo se puede configurar en el nivel de anulación de Edge. Si es necesario, puede anular la configuración para una instancia específica de Edge. Consulte la sección Configurar BGP para obtener más información.