Pour activer l'accès entre vos VM et le monde extérieur, vous pouvez configurer une connexion BGP externe ou interne (eBGP ou iBGP) entre une passerelle de niveau 0 et un routeur dans votre infrastructure physique.

Lors de la configuration de BGP, vous devez configurer un nombre AS (Autonomous System) local pour la passerelle de niveau 0. Vous devez également configurer le nombre AS distant. Les voisins EBGP doivent être connectés directement et se trouver dans le même sous-réseau que la liaison montante de niveau 0. S'ils ne se trouvent pas dans le même sous-réseau, une traversée de tronçons multiples BGP doit être utilisée.

BGPv6 est pris en charge pour les tronçons uniques et multiples. La redistribution, la liste de préfixes et les cartes de route sont pris en charge avec des préfixes IPv6.

RFC-5549 permet aux sessions BGPv6 d'échanger des routes IPv4 avec un tronçon suivant IPv6. Pour réduire le nombre de sessions BGP et d'adresses IPv4, vous pouvez échanger des routes IPv4 et IPv6 sur une session BGP. La prise en charge du codage et du traitement d'une route IPv4 avec un tronçon suivant IPv6 est négociée dans le cadre de l'échange de capacité dans le message BGP OPEN. Si les deux côtés d'une session d'homologation prennent en charge la capacité, les routes IPv4 sont annoncées avec un tronçon suivant IPv6. MP-BGP (Multi-protocol BGP) est utilisé pour annoncer les informations d'accessibilité de la couche réseau d'une famille d'adresses IPv4 à l'aide du tronçon suivant d'une famille d'adresses IPv6.

Une passerelle de niveau 0 en mode actif-actif prend en charge iBGP inter-SR (routeur de service). Si la passerelle 1 ne parvient pas à communiquer avec un routeur physique ascendant, le trafic est réacheminé vers la passerelle 2 dans le cluster actif-actif. Si la passerelle 2 est capable de communiquer avec le routeur physique, le trafic entre la passerelle 1 et le routeur physique n'est pas affecté. Une route apprise par un nœud Edge à partir d'un routeur ascendant sera toujours préférée à la même route apprise sur iBGP inter-SR. Il n'est pas possible de modifier cette préférence.

L'implémentation d'ECMP sur NSX Edge est basée sur les 5 tuples du numéro de protocole, des adresses source et de destination, ainsi que des ports source et de destination.

La fonctionnalité iBGP présente les capacités et restrictions suivantes :
  • La redistribution, les listes de préfixes et les cartes d'itinéraire sont prises en charge.
  • Les réflecteurs d'itinéraire ne sont pas pris en charge.
  • La confédération BGP n'est pas prise en charge.
Détermination de l'ID de routeur BGP (RID) :
  • S'il n'y a pas d'interface de bouclage, BGP prend l'adresse IP d'interface la plus élevée en tant qu'ID de routeur.
  • Si BGP a déjà choisi l'adresse IP d'interface la plus élevée comme ID de routeur, l'ajout d'une interface de bouclage n'affectera pas le voisinage BGP et l'ID de routeur n'est pas modifié.
  • Si l'ID de routeur est l'adresse IP d'interface la plus élevée et que le bouclage est présent, la désactivation et l'activation de BGP ne modifieront pas l'ID de routeur.
  • Si l'ID de routeur est l'adresse IP d'interface la plus élevée et que le bouclage est présent, le redémarrage du nœud Edge, l'activation du mode de maintenance sur le nœud Edge ou le redémarrage du processus de routage ne modifieront pas l'ID de routeur.
  • Si l'ID de routeur est l'adresse IP d'interface la plus élevée et qu'un bouclage est présent, le redéploiement ou le remplacement du nœud de transport Edge modifiera l'ID de routeur sur l'adresse IP de l'interface reçue en premier par le processus de routage du nœud Edge.
  • Si l'ID de routeur est l'adresse IP d'interface la plus élevée et qu'un bouclage est présent, la modification ou la suppression de l'adresse IP de l'interface la plus élevée modifiera l'ID de routeur sur l'adresse IP de l'interface de bouclage.
  • Si l'ID de routeur est l'adresse IP de l'interface de bouclage, la modification ou la suppression de l'adresse IP d'interface la plus élevée ne modifiera pas l'ID de routeur.
  • L'effacement des voisins BGP modifiera l'ID de routeur. Il conserve uniquement l'ancien ID de routeur.
  • Si l'interface de bouclage a une adresse IPv6, BGP ne l'utilise pas en tant qu'ID de routeur. Il faut l'adresse IP d'interface IPv4 la plus élevée.
  • Un redémarrage logiciel ou matériel de la contiguïté BGP à partir d'un site distant n'affecte pas l'ID de routeur BGP.
Capacités BGP prises en charge

Tel que défini dans https://datatracker.ietf.org/doc/html/rfc2842, un routeur BGP détermine les capacités prises en charge par son homologue en examinant la liste des capacités présentes dans le paramètre Capacités facultatives dans le message OPEN que le routeur reçoit de l'homologue. NSX prend en charge les capacités suivantes :

Code de capacité Description de la capacité Familles d'adresses prises en charge Prise en charge annoncée de la passerelle de niveau 0 Pris en charge par la passerelle de niveau 0 lorsque reçu de la part de l'homologue Comportement par défaut Configurable
1 Extensions multiprotocoles, avec :
  • AFI=1, SAFI=1 : monodiffusion IPv4
  • AFI=2, SAFI=1 : monodiffusion IPv6
  • AFI=25, SAFI=70 : L2VPN EVPN

Monodiffusion IPv4

Monodiffusion IPv6

EVPN L2VPN

Oui Oui

La famille d'adresses Monodiffusion IPv4 est activée et annoncée par défaut lorsqu'un voisin IPv4 est configuré ou ajouté manuellement dans les paramètres de filtre de route sous la configuration du voisin BGP.

La famille d'adresses Monodiffusion IPv6 est activée et annoncée par défaut lorsqu'un voisin IPv6 est configuré ou ajouté manuellement dans les paramètres de filtre de route sous la configuration du voisin BGP.

La famille d'adresses EVPN L2VPN est activée et annoncée lorsqu'elle est configurée dans les paramètres de filtre de route sous la configuration du voisin BGP. La famille d'adresses Monodiffusion IPv4 est obligatoire dans NSX et automatiquement activée lors de l'ajout de la famille d'adresses L2VPN EVPN.

Oui
2 Actualisation de la route

Monodiffusion IPv4

Monodiffusion IPv6

EVPN L2VPN

Oui Oui Annoncé par défaut Non
5 Codage du tronçon suivant étendu Monodiffusion IPv6 Oui Oui Non annoncé par défaut. Pour activer cette capacité, vous devez fournir une famille d'adresses IPv4 avec la famille d'adresses IPv6 pour l'adresse IP de l'homologue BGP IPv6. Oui
64 Redémarrage normal

Monodiffusion IPv4

Monodiffusion IPv6

EVPN L2VPN

Oui Oui Non annoncé par défaut (le nœud Edge par défaut est une assistance) Oui
65 Prise en charge du numéro AS à 4 octets

Monodiffusion IPv4

Monodiffusion IPv6

EVPN L2VPN

Oui Oui Annoncé par défaut Non
69 Chemin-AJOUTER, avec :
  • AFI=1/2/25, SAFI=1/70
  • Envoyer/Recevoir=1 (Envoyer uniquement)
  • Envoyer/Recevoir=2 (Recevoir uniquement)
  • Envoyer/Recevoir=3 (les deux)

Monodiffusion IPv4

Monodiffusion IPv6

EVPN L2VPN

Oui (recevoir uniquement) Oui (envoyer et recevoir)

La capacité de réception uniquement est prise en charge et annoncée par défaut.

Lorsque le nœud Edge reçoit le même préfixe BGP plusieurs fois, mais avec la même mesure, si ECMP est activé, tous les chemins d'accès sont installés et actifs.

Lorsque le nœud Edge reçoit le même préfixe BGP plusieurs fois avec différentes mesures (par exemple, une longueur ASPATH plus grande), la meilleure route de chemin sera installée et active. Les chemins moins préférés seront conservés dans la table de routage BGP pour améliorer la convergence du plan de contrôle.

Non
73 Nom de domaine complet

Monodiffusion IPv4

Monodiffusion IPv6

EVPN L2VPN

Oui Oui Annoncé par défaut Non
128 Actualisation de route (Cisco)

Monodiffusion IPv4

Monodiffusion IPv6

EVPN L2VPN

Oui Oui Annoncé par défaut Non
Note : Si le pare-feu de passerelle de niveau 0 est configuré avec une règle de Drop ou de Reject par défaut, vous devez ajouter manuellement une règle de Allow pour BGP et pour BFD s'il est configuré.
Attention : Prenez connaissance des scénarios suivants en cas d'échecs de la connexion impliquant BGP ou BFD :
  • Lorsque BGP uniquement est configuré, si tous les voisins BGP sont arrêtés, l'état du routeur de service est inactif.
  • Lorsque BFD uniquement est configuré, si tous les voisins BFD sont arrêtés, l'état du routeur de service est inactif.
  • Lorsque BGP et BFD sont configurés, si tous les voisins BGP et BFD sont arrêtés, l'état du routeur de service est inactif.
  • Lorsque les routes BGP et statiques sont configurées, si tous les voisins BGP sont arrêtés, l'état du routeur de service est inactif.
  • Lorsque les routes statiques uniquement sont configurées, l'état du routeur de service est toujours actif, sauf si le nœud subit une panne ou est en mode de maintenance.

Procédure

  1. Avec des privilèges d'administrateur, connectez-vous à NSX Manager.
  2. Sélectionnez Mise en réseau > Passerelles de niveau 0.
  3. Pour modifier une passerelle de niveau 0, cliquez sur l'icône de menu (trois points) et sélectionnez Modifier.
  4. Cliquez sur BGP.
    1. Entrez le nombre AS local.
      En mode actif-actif, la valeur ASN par défaut, 65 000, est déjà renseignée. En mode actif-en veille, il n'existe pas de valeur ASN par défaut.
    2. Cliquez sur le bouton bascule BGP pour activer ou désactiver BGP.
      En mode actif-actif, BGP est activé par défaut. En mode actif-en veille, BGP est désactivé par défaut.
    3. Si cette passerelle est en mode actif-actif, cliquez sur le bouton bascule iBGP Inter SR pour activer ou désactiver iBGP inter-SR. iBGP inter-SR est activé par défaut.
      Si la passerelle est en mode actif-en veille, cette fonctionnalité n'est pas disponible.
    4. Cliquez sur le bouton bascule ECMP pour activer ou désactiver ECMP.
    5. Cliquez sur le bouton bascule Alléger les chemins multiples pour activer ou désactiver le partage de charge sur plusieurs chemins qui diffèrent uniquement par les valeurs d'attribut de chemin AS, mais qui ont la même longueur de chemin AS.
      Note : ECMP doit être activé pour que Alléger les chemins multiples fonctionne.
    6. Dans le champ Redémarrage normal, sélectionnez Désactiver, Assistance uniquement ou Redémarrage normal et assistance.
      Vous pouvez éventuellement modifier les options Temporisateur de redémarrage normal et Temporisateur caduc de redémarrage normal.

      Par défaut, le mode Redémarrage normal est défini sur Assistance uniquement. Le mode Assistance est utile pour éliminer et/ou réduire l'interruption du trafic associé aux routes apprises par un voisin capable de redémarrer normalement. Le voisin doit pouvoir conserver sa table de transfert lorsqu'il est en cours de redémarrage.

      Pour EVPN, seul le mode Assistance uniquement est pris en charge.

      Il n'est pas recommandé d'activer la fonctionnalité de redémarrage normal sur les passerelles de niveau 0, car les homologations BGP de toutes les passerelles sont toujours actives. Lors d'un basculement, la capacité de redémarrage normal augmente la durée nécessaire à un voisin distant pour sélectionner une autre passerelle de niveau 0. Cela retardera la convergence basée sur BFD.

      Remarque : sauf si la configuration spécifique au voisin est remplacée, la configuration de niveau 0 s'applique à tous les voisins BGP.

  5. Configurez Agrégation de route en ajoutant des préfixes d'adresses IP.
    1. Cliquez sur Définir pour Agrégation de route.
    2. Cliquez sur Ajouter un préfixe.
    3. Entrez un préfixe d'adresse IP au format CIDR.
    4. Pour l'option Résumé - uniquement, sélectionnez Oui ou Non.
  6. Cliquez sur Appliquer.
    Vous devez enregistrer la configuration globale de BGP avant de pouvoir configurer les voisins BGP.
  7. Configurez Voisins BGP.
    1. Cliquez sur Définir pour Voisins BGP.
    2. Cliquez sur Ajouter un voisin BGP.
    3. Entrez l'adresse IP du voisin.
    4. Activez ou désactivez BFD.
    5. Entrez une valeur pour Nombre d'AS distants.
      Pour iBGP, entrez le même nombre AS que celui de l'étape 4a. Pour eBGP, entrez le nombre AS du routeur physique.
    6. Sous Filtre de route, cliquez sur Définir pour ajouter un ou plusieurs filtres de route.
      Pour Famille d'adresses IP, vous pouvez sélectionner IPv4, IPv6 ou L2VPN EVPN. Les combinaisons suivantes sont prises en charge :
      • IPv4 et IPv6
      • IPv4 et L2VPN EVPN

      La combinaison d'IPv6 et L2VPN EVPN n'est pas prise en charge.

      Pour la fonctionnalité RFC-5549, assurez-vous de fournir une famille d'adresses IPv4 avec la famille d'adresses IPv6 pour l'adresse IP de l'homologue BGP IPv6.

      Pour Filtre sortant et Filtre entrant, cliquez sur Configurer et sélectionnez des filtres, puis cliquez sur Enregistrer.

      Pour Routes maximales, vous pouvez spécifier une valeur comprise entre 1 et 1 million. Lorsque le nombre de routes BGP reçues de l'homologue atteint 75 % de la limite configurée ou lorsqu'il dépasse la limite configurée pour la première fois, un message d'avertissement est consigné dans le fichier /var/log/frr.log. Outre le message du journal, la sortie de la commande CLI de NSX get bgp neighbor indique si le nombre de préfixes reçus dépasse la limite configurée. Notez que la passerelle continuera d'accepter les routes du voisin BGP, même après que la limite Routes maximales est atteinte.

      Note : Si vous configurez un voisin BGP avec une famille d'adresses, par exemple, EVPN L2VPN, puis que vous ajoutez ensuite une deuxième famille d'adresses, la connexion BGP établie sera réinitialisée.
    7. Activez ou désactivez la fonctionnalité Allowas-in.
      Elle est désactivée par défaut. Avec cette fonctionnalité activée, les voisins BGP peuvent recevoir des routes avec le même AS, par exemple, lorsque vous avez deux emplacements interconnectés à l'aide du même fournisseur de services. Cette fonctionnalité s'applique à toutes les familles d'adresses et ne peut pas être appliquée à des familles d'adresses spécifiques.
    8. Dans le champ Adresses source, vous pouvez sélectionner une adresse source pour établir une session d'homologation avec un voisin à l'aide de cette adresse source spécifique. Si vous ne sélectionnez aucune instance, la passerelle configurera automatiquement une session d'appairage avec le voisin sur chaque SR de niveau 0. Si un SR de niveau 0 ne dispose pas d'une interface dans le sous-réseau du voisin, la session BGP configurée sur ce SR de niveau 0 restera inactive.
    9. Entrez une valeur pour Limite de tronçon maximale.
    10. Dans le champ Redémarrage normal, vous pouvez sélectionner Désactiver, Assistance uniquement ou Redémarrage normal et assistance.
      Option Description
      Aucune sélection Le redémarrage normal de ce voisin suivra la configuration BGP de la passerelle de niveau 0.
      Désactiver
      • Si BGP de passerelle de niveau 0 est configuré avec Désactiver, le redémarrage normal sera désactivé pour ce voisin.
      • Si BGP de passerelle de niveau 0 est configuré avec Assistance uniquement, le redémarrage normal sera désactivé pour ce voisin.
      • Si BGP de passerelle de niveau 0 est configuré avec Redémarrage normal et assistance, le redémarrage normal sera désactivé pour ce voisin.
      Assistance uniquement
      • Si BGP de passerelle de niveau 0 est configuré avec Désactiver, le redémarrage normal sera configuré comme Assistance uniquement pour ce voisin.
      • Si BGP de passerelle de niveau 0 est configuré avec Assistance uniquement, le redémarrage normal sera configuré comme Assistance uniquement pour ce voisin.
      • Si BGP de passerelle de niveau 0 est configuré avec Redémarrage normal et assistance, le redémarrage normal sera configuré comme Assistance uniquement pour ce voisin.
      Redémarrage normal et assistance
      • Si BGP de passerelle de niveau 0 est configuré avec Désactiver, le redémarrage normal sera configuré comme Redémarrage normal et assistance pour ce voisin.
      • Si BGP de passerelle de niveau 0 est configuré avec Assistance uniquement, le redémarrage normal sera configuré comme Redémarrage normal et assistance pour ce voisin.
      • Si BGP de passerelle de niveau 0 est configuré avec Redémarrage normal et assistance, le redémarrage normal sera configuré comme Redémarrage normal et assistance pour ce voisin.
      Note : Pour EVPN, seul le mode Assistance uniquement est pris en charge.
    11. Cliquez sur Temporisateurs et mot de passe.
    12. Entrez une valeur pour Intervalle BFD.
      L'unité est en millisecondes. Pour un nœud Edge en cours d'exécution dans une machine virtuelle, la valeur minimale est de 500. Pour un nœud Edge bare metal, la valeur minimale est de 50.
    13. Entrez une valeur pour Multiplicateur BFD.
    14. Entrez une valeur en secondes pour la durée de retenue et la durée de survie.
      La durée de survie spécifie la fréquence à laquelle les messages de survie (keep alive) sont envoyés. La valeur doit être comprise entre 0 et 65535. Zéro signifie qu'aucun message de survie (keep alive) ne sera envoyé.

      La durée de retenue spécifie la durée pendant laquelle la passerelle attendra un message de survie (keep alive) d'un voisin avant de le considérer comme mort. La valeur peut être 0 ou comprise entre 3 et 65535. Zéro signifie qu'aucun message de survie (keep alive) n'est envoyé entre les voisins BGP et que le voisin ne sera jamais considéré comme inaccessible.

      La durée de retenue doit être au moins trois fois supérieure à la valeur de la durée de survie.

    15. Entrez un mot de passe.
      Ceci est nécessaire si vous configurez l'authentification MD5 entre des homologues BGP.
  8. Cliquez sur Enregistrer.
  9. (Facultatif) Après l'ajout d'un voisin BGP, vous pouvez enregistrer ses routes annoncées et apprises.
    1. Cliquez sur le nombre dans le champ Voisins BGP.
    2. Dans la boîte de dialogue Définir des voisins BGP, cliquez sur l'icône de menu (3 points) d'un voisin BGP et sélectionnez Télécharger les routes annoncées ou Télécharger les routes apprises.