Puede configurar los ajustes de BGP para Instancias de SD-WAN Gateway mediante túneles de IPsec.

Acerca de esta tarea:

Solo se admite eBGP con BGP a través de IPsec.
Nota: Se recomienda utilizar eBGP entre sitios de SD-WAN Gateway y NSD. Si se utiliza iBGP, la aplicación de la preferencia local no funciona con el filtro saliente. En ese caso, el cliente debe elegir las opciones de métrica o anteposición de AS-PATH para lograr un enrutamiento deseable.

VMware permite a los usuarios empresariales definir y configurar una instancia de destino que no es de SD-WAN para establecer un túnel de IPsec seguro a un destino que no es de SD-WAN a través de una puerta de enlace de SD-WAN.

Nota: Para la versión 5.2, cuando se configuran varios NSD para el mismo segmento, todos los NSD deben tener el mismo conjunto de configuraciones de ruta de resumen.
Antes de comenzar:
Nota: La función de automatización de Azure vWAN de una puerta de enlace no es compatible con BGP a través de IPsec. Esto se debe a que solo se admiten rutas estáticas al automatizar la conectividad desde una puerta de enlace a una instancia de Azure vWAN.

Asegúrese de haber configurado lo siguiente:

Nota: Se recomienda activar el Cálculo de costes distribuidos (Distributed Cost Calculation) para obtener el mejor rendimiento y el mejor escalado cuando se utiliza BGP a través de IPsec a través de la puerta de enlace. El Cálculo de costes distribuidos (Distributed Cost Calculation) se admite a partir de la versión 3.4.0.

Para obtener más información sobre Cálculo de costes distribuidos (Distributed Cost Calculation), consulte la sección Configurar el cálculo de costes distribuidos de la Guía del operador de VMware SD-WAN, disponible en: https://docs.vmware.com/es/VMware-SD-WAN/index.html.

Procedimiento
  1. Vaya a Configurar (Configure) > Servicios de red (Network Services) y, a continuación, en Destinos que no son de SD-WAN (Non SD-WAN Destinations), expanda Destinos que no son de SD-WAN a través de la puerta de enlace (Non SD-WAN Destinations via Gateway).
    Nota: Si no hay nuevos, se mostrará la opción Nuevo NSD a través de la puerta de enlace (New NSD via Gateway), solo cuando no hay elementos en la tabla. Siga los pasos 2 y 3 para crear un nuevo destino que no es de SD-WAN.

  2. Haga clic en +Nuevo (+New) para crear un nuevo destino que no es de SD-WAN.

    Se mostrará el cuadro de diálogo Destinos que no son de SD-WAN a través de la puerta de enlace (Non SD-WAN Destinations via Gateway), como se puede ver en la siguiente imagen.

  3. En el área Destinos que no son de SD-WAN a través de la puerta de enlace (Non SD-WAN Destinations via Gateway) (consulte la imagen anterior), configure los siguientes campos como se indica en la siguiente tabla.
    Opción Descripción
    Nombre (Name) En el cuadro de texto, escriba un nombre para Destinos que no son de SD-WAN (Non SD-WAN Destination).
    Tipo (Type) Seleccione un tipo de túnel de IPsec en el menú desplegable.
    Modo de túnel (Tunnel Mode) El modo Activo/En espera en caliente (Active/Hot-Standby) permite configurar un máximo de 2 endpoints de túnel o puertas de enlace.
    El modo Activo/Activo (Active/Active) permite configurar un máximo de 4 endpoints de túnel o puertas de enlace. Todos los túneles activos pueden enviar y recibir tráfico a través de ECMP.
    Puerta de enlace de VPN 1 Introduzca una dirección IP válida
    Puerta de enlace de VPN 2 Introduzca una dirección IP válida. Este campo es opcional

    Se crean destinos que no son de SD-WAN a través de la puerta de enlace, como se muestra en la siguiente imagen.

  4. En el área Destinos que no son de SD-WAN a través de la puerta de enlace (Non SD-WAN Destinations via Gateway), deslice la barra gris hasta el extremo derecho de la columna BGP.

    Haga clic en el vínculo Editar (Edit) de la columna BGP.

    Si el vínculo Editar (Edit) no aparece en la columna BGP, consulte la sección titulada "Configurar un túnel entre una sucursal y un destino que no es de SD-WAN a través de Edge" para habilitar una instancia de Edge a destinos que no son de SD-WAN a través de la puerta de enlace.

    Después de hacer clic en el vínculo Editar (Edit) de la columna BGP, se mostrará el cuadro de diálogo Editar BGP (Edit BGP).

  5. Mueva el botón de opción BGP activado (BGP Activated) a la derecha para cambiarlo a verde.
  6. Haga clic en +Agregar (+Add) para crear uno o varios filtros. Estos filtros se aplican al vecino para denegar o cambiar los atributos de la ruta. Se puede utilizar el mismo filtro para varios vecinos.
  7. Configure las opciones en el área Lista de filtros (Filter List) como se describe en la siguiente tabla.
    Opción Descripción
    Nombre del filtro (Filter Name) Introduzca un nombre descriptivo para el filtro de BGP.
    Coincidir tipo y valor (Match Type and Value)

    Elija el tipo de rutas que desea que coincidan con el filtro:

    • Prefijo para IPv4 o IPv6: elija que coincida con un prefijo para la dirección IPv4 o IPv6 e introduzca la

    dirección IP del prefijo correspondiente en el campo Valor (Value).

    • Comunidad (Community): seleccione esta opción para buscar coincidencias con una comunidad e introduzca la cadena de comunidad en el campo Valor (Value).
    Coincidencia exacta (Exact Match) La acción de filtrado se realiza solo cuando las rutas BGP coinciden exactamente con la cadena de prefijo o de comunidad especificada. Esta opción está habilitada de forma predeterminada.
    Tipo de acción (Action Type) Elija la acción que se realizará cuando las rutas de BGP coincidan con la cadena de prefijo o de comunidad especificada. Puede permitir o denegar el tráfico.
    Conjunto de acciones (Action Set) Cuando las rutas de BGP coinciden con los criterios especificados, se puede configurar la dirección del tráfico a una red en función de los atributos de la ruta. En la lista desplegable, seleccione una de las siguientes opciones:
    • Ninguna (None): los atributos de las rutas coincidentes permanecen invariables.
    • Preferencia local (Local Preference): el tráfico coincidente se dirige a la ruta con la preferencia local especificada.
    • Comunidad (Community): las rutas coincidentes se filtran por la cadena de comunidad especificada. También puede seleccionar la casilla de verificación Aditivo de comunidad (Community Additive) para habilitar la opción de adición, que agrega el valor de comunidad a comunidades existentes.
    • Métrica (Metric): el tráfico coincidente se dirige a la ruta de acceso con el valor de métrica especificado.
    • Anteposición de AS-PATH (AS-Path-Prepend): permite anteponer varias entradas de sistema autónomo (AS) a una ruta de BGP.
  8. Haga clic en el icono de signo más (+) para agregar reglas de coincidencia adicionales al filtro. Repita el procedimiento para crear más filtros.

    Los filtros configurados se muestran en el área Lista de filtros (Filter List).

    Nota: Estos vecinos de BGP se asignan a sus respectivos túneles exclusivamente para el establecimiento de la relación de vecindad y para los posteriores intercambios de control, lo que garantiza que esta comunicación se produce únicamente a través de los túneles designados.
  9. En la ventana Editor de BGP (BGP Editor), configure los ajustes de BGP para las puertas de enlace principal y secundaria.
    Nota: La opción Puerta de enlace secundaria (Secondary Gateway) solo está disponible si configuró una puerta de enlace secundaria para el destino que no es de SD-WAN.
    Nota: En una implementación de cliente donde un destino que no es VMware SD-WAN (NSD) a través de una puerta de enlace está configurado para utilizar túneles redundantes y puertas de enlace redundantes, si las puertas de enlace principal y secundaria anuncian un prefijo con una ruta de acceso de AS igual a los túneles NSD principal y secundario, el túnel NSD principal preferirá una ruta de puerta de enlace redundante a la puerta de enlace principal. El hecho de que el túnel de NSD principal a través de una puerta de enlace prefiera la ruta de puerta de enlace redundante a la puerta de enlace principal solo afecta al tráfico de retorno hacia la puerta de enlace desde el destino NSD.

    Si no desea que el enrutador BGP prefiera la puerta de enlace redundante, la solución alternativa es configurar la anteponeción de AS-PATH y establecer el filtro de métricas en una métrica superior (3 o más) para el prefijo anunciado en la puerta de enlace redundante. Al hacerlo, se garantiza que el túnel principal del NSD elija la puerta de enlace principal para el tráfico de retorno.

  10. En la sección Puerta de enlace de nube principal (Primary Cloud Gateway), introduzca el ASN local y el identificador de enrutador (Router ID).
  11. Desplácese hacia abajo hasta el área Vecinos (Neighbors) y haga clic en +Agregar (+Add).
  12. Configure los siguientes ajustes en el área Vecinos (Neighbors) como se describe en la siguiente tabla.
    Opción Descripción
    ASN local (Local ASN) Introduzca el número de sistema autónomo (ASN) local
    Identificador de enrutador (Router ID) Introduzca el identificador de enrutador de BGP
    IP del vecino (Neighbor IP) Introduzca la dirección IP del vecino de BGP
    ASN Introduzca el ASN del vecino
    Filtro de entrada (Inbound Filter) Seleccionar un filtro de entrada en la lista desplegable
    Filtro de salida (Outbound Filter) Seleccionar un filtro de salida de la lista desplegable
    Opciones adicionales (Additional Options): haga clic en el vínculo ver todo (view all) para configurar los siguientes ajustes adicionales:
    IP local (Local IP) La dirección IP local equivale a una dirección IP de bucle invertido. Introduzca una dirección IP que las vecindades de BGP pueden usar como dirección IP de origen de los paquetes salientes.
    Límite máximo de saltos (Max-hop) Introduzca la cantidad máxima de saltos para habilitar el salto múltiple para los elementos del mismo nivel de BGP. Para la versión 5.1 y posteriores, el rango es de 2 a 255 y el valor predeterminado es 2.
    Nota: Al actualizar a la versión 5.1, cualquier valor de límite máximo de saltos de 1 se actualizará automáticamente a un valor de límite máximo de saltos de 2.
    Nota: Este campo solo está disponible para vecinos de eBGP, cuando el ASN local y el ASN de vecindad son diferentes.
    Permitir AS (Allow AS) Seleccione la casilla de verificación para permitir que las rutas BGP se reciban y se procesen incluso si la puerta de enlace detecta su propio ASN en la ruta de AS.
    Ruta predeterminada (Default Route) La ruta predeterminada agrega una instrucción de red en la configuración de BGP para anunciar la ruta predeterminada al vecino.
    Habilitar BFD (Enable BFD) Habilita la suscripción a la sesión de BFD existente para el vecino de BGP.
    Conexión persistente (Keep Alive) Introduzca el temporizador de conexión persistente (Keep Alive) en segundos, que es la duración entre los mensajes de conexión persistente que se envían al elemento del mismo nivel. El rango es de 1 a 65535 segundos. El valor predeterminado es 60 segundos.
    Temporizador de retención (Hold Timer) Introduzca el tiempo de retención en segundos. Cuando no se recibe el mensaje de conexión persistente (Keep Alive) durante el tiempo especificado, el elemento del mismo nivel se considera inactivo. El rango es de 1 a 65535 segundos. El valor predeterminado es 180 segundos.
    Conectar (Connect) Introduzca el intervalo para intentar una nueva conexión TCP con el nodo del mismo nivel si se detecta que la sesión de TCP no es pasiva. El valor predeterminado es 120 segundos.
    Autenticación MD5 (MD5 Auth) Seleccione la casilla de verificación para habilitar la autenticación MD5 de BGP. Esta opción se utiliza en una red federal o heredada, y se utiliza como protección de seguridad para el intercambio de tráfico de BGP.
    Contraseña MD5 (MD5 Password) Introduzca una contraseña para la autenticación MD5.
    Nota: A partir de la versión 4.5, ya no se admite el uso del carácter especial "<" en la contraseña. En los casos en los que los usuarios ya hayan utilizado "<" en sus contraseñas en versiones anteriores, deben eliminar el carácter para guardar los cambios en la página.

    Los vecinos configurados se muestran en el área Vecinos (Neighbors).

    Haga clic en Guardar (Save) para guardar todos los cambios.

    Nota: A través de BGP de salto múltiple, el sistema puede aprender rutas que requieren búsqueda recursiva. Estas rutas tienen una dirección IP de próximo salto que no se encuentra en una subred conectada y no tienen una interfaz de salida válida. En este caso, las rutas deben tener la dirección IP de siguiente salto resuelta mediante otra ruta en la tabla de enrutamiento que tenga una interfaz de salida. Cuando haya tráfico para un destino que necesite que se busquen estas rutas, las rutas que requieran la búsqueda recursiva se resolverán en una interfaz y una dirección IP de próximo salto conectados. Hasta que se produzca la resolución recursiva, las rutas recursivas apuntan a una interfaz intermedia. Para obtener más información sobre las rutas BGP de salto múltiple, consulte la sección "Pruebas de diagnósticos remotos en instancias de Edge" de la Guía de solución de problemas de VMware SD-WAN publicada en https://docs.vmware.com/es/VMware-SD-WAN/index.html.

    Resumen de ruta (Route Summarization)

    La función Resumen de ruta (Route Summarization) está disponible en la versión 5.2. Para obtener una descripción general y un caso práctico de esta funcionalidad, consulte Resumen de ruta (Route Summarization). Para obtener más información sobre la configuración, siga los pasos que aparecen a continuación.

  13. Desplácese hacia abajo hasta el área Resumen de ruta (Route Summarization).
  14. En el área Resumen de ruta (Route Summarization), haga clic en +Agregar (+Add). Se agregará una fila nueva al área Resumen de ruta (Route Summarization).

    Configure el resumen de ruta como se describe en la siguiente tabla.

    Opción Descripción
    Nombre del filtro (Filter Name) Introduzca un nombre descriptivo para el filtro de BGP.
    Subred (Subnet) Introduzca la subred IP.
    Conjunto de AS (AS Set) Genere información de ruta de acceso del conjunto de AS a partir de las rutas resumidas (mientras se anuncia la ruta de resumen en el elemento del mismo nivel). En la columna Conjunto de AS (AS set), haga clic en la casilla de verificación Sí (Yes) si corresponde.
    Solo resumen (Summary Only) Haga clic en la casilla de verificación Sí (Yes) para permitir que solo se envíe la ruta resumida.
  15. Si es necesario agregar otras rutas, haga clic en +Agregar (+Add). Para clonar o eliminar un resumen de ruta, utilice los botones adecuados, situados junto a +Agregar (+Add).

    La sección Configuración de BGP (BGP Settings) muestra las opciones de configuración de BGP.

  16. Cuando finalice, haga clic en Guardar cambios (Save Changes) para guardar la configuración.
Nota:
  • Solo las puertas de enlace que ejecutan la versión 6.0 o posterior tienen una opción para configurar hasta 4 túneles en función del tipo de VPN. Además, esos túneles destinados a ser puertas de enlace que no son de SD-WAN pueden funcionar en los modos AA o A-HS para lograr las preferencias de uso compartido o de carga del usuario.
  • En el caso de las puertas de enlace que ejecutan una versión anterior a 6.0, todas las configuraciones activo-activo se interpretan como activo-en espera en caliente, con el túnel 1 activo y el túnel 2, en espera en caliente.