Configurer BGP

Pour activer l'accès entre vos VM et le monde extérieur, vous pouvez configurer une connexion BGP externe ou interne (eBGP ou iBGP) entre une passerelle de niveau 0 et un routeur dans votre infrastructure physique.

Lors de la configuration de BGP, vous devez configurer un nombre AS (Autonomous System) local pour la passerelle de niveau 0. Vous devez également configurer le nombre AS distant. Les voisins EBGP doivent être connectés directement et se trouver dans le même sous-réseau que la liaison montante de niveau 0. S'ils ne se trouvent pas dans le même sous-réseau, une traversée de tronçons multiples BGP doit être utilisée.

BGPv6 est pris en charge pour les tronçons uniques et multiples. La redistribution, la liste de préfixes et les cartes de route sont pris en charge avec des préfixes IPv6.

RFC-5549 permet aux sessions BGPv6 d'échanger des routes IPv4 avec un tronçon suivant IPv6. Pour réduire le nombre de sessions BGP et d'adresses IPv4, vous pouvez échanger des routes IPv4 et IPv6 sur une session BGP. La prise en charge du codage et du traitement d'une route IPv4 avec un tronçon suivant IPv6 est négociée dans le cadre de l'échange de capacité dans le message BGP OPEN. Si les deux côtés d'une session d'homologation prennent en charge la capacité, les routes IPv4 sont annoncées avec un tronçon suivant IPv6. MP-BGP (Multi-protocol BGP) est utilisé pour annoncer les informations d'accessibilité de la couche réseau d'une famille d'adresses IPv4 à l'aide du tronçon suivant d'une famille d'adresses IPv6.

Une passerelle de niveau 0 en mode actif-actif prend en charge iBGP inter-SR (routeur de service). Si la passerelle 1 ne parvient pas à communiquer avec un routeur physique ascendant, le trafic est réacheminé vers la passerelle 2 dans le cluster actif-actif. Si la passerelle 2 est capable de communiquer avec le routeur physique, le trafic entre la passerelle 1 et le routeur physique n'est pas affecté. Une route apprise par un nœud Edge à partir d'un routeur ascendant sera toujours préférée à la même route apprise sur iBGP inter-SR. Il n'est pas possible de modifier cette préférence.

L'implémentation d'ECMP sur NSX Edge est basée sur les 5 tuples du numéro de protocole, des adresses source et de destination, ainsi que des ports source et de destination.

La fonctionnalité iBGP présente les capacités et restrictions suivantes :

La redistribution, les listes de préfixes et les cartes d'itinéraire sont prises en charge.
Les réflecteurs d'itinéraire ne sont pas pris en charge.
La confédération BGP n'est pas prise en charge.

NSX 4.1.0 introduit la prise en charge des fonctions suivantes :

Numéro de système autonome BGP par passerelle VRF de niveau 0 et voisin BGP : vous pouvez configurer un autre ASN BGP par passerelle VRF de niveau 0 et également par voisin BGP. Pour plus d'informations , reportez-vous à la section Numéro de système autonome BGP par passerelle VRF de niveau 0 et voisin BGP.
Routage inter-VRF : vous pouvez configurer le routage inter-VRF à l'aide de workflows plus faciles en important et en exportant des routes entre des VRF. Pour plus d'informations, reportez-vous à la section Routage Inter-VRF.
Identifiant BGP autonome à l'échelle du système : NSX prend en charge RFC6286 pour assouplir l'identité de l'ID de routeur entre les homologues BGP dans AS. BGP formera un voisinage sur AS, même si les routeurs ont le même ID de routeur.
Note : Ce nouveau comportement d'acceptation du même ID de routeur BGP sera la valeur par défaut dans le système et ne peut pas être modifié.

Détermination de l'ID de routeur BGP (RID) :

S'il n'y a pas d'interface de bouclage, BGP prend l'adresse IP d'interface la plus élevée en tant qu'ID de routeur.
Si BGP a déjà choisi l'adresse IP d'interface la plus élevée comme ID de routeur, l'ajout d'une interface de bouclage n'affectera pas le voisinage BGP et l'ID de routeur n'est pas modifié.
Si l'ID de routeur est l'adresse IP d'interface la plus élevée et que le bouclage est présent, la désactivation et l'activation de BGP ne modifieront pas l'ID de routeur.
Si l'ID de routeur est l'adresse IP d'interface la plus élevée et que le bouclage est présent, le redémarrage du nœud Edge, l'activation du mode de maintenance sur le nœud Edge ou le redémarrage du processus de routage ne modifieront pas l'ID de routeur.
Si l'ID de routeur est l'adresse IP d'interface la plus élevée et qu'un bouclage est présent, le redéploiement ou le remplacement du nœud de transport Edge modifiera l'ID de routeur sur l'adresse IP de l'interface reçue en premier par le processus de routage du nœud Edge.
Si l'ID de routeur est l'adresse IP d'interface la plus élevée et qu'un bouclage est présent, la modification ou la suppression de l'adresse IP de l'interface la plus élevée modifiera l'ID de routeur sur l'adresse IP de l'interface de bouclage.
Si l'ID de routeur est l'adresse IP de l'interface de bouclage, la modification ou la suppression de l'adresse IP d'interface la plus élevée ne modifiera pas l'ID de routeur.
L'effacement des voisins BGP modifiera l'ID de routeur. Il conserve uniquement l'ancien ID de routeur.
Si l'interface de bouclage a une adresse IPv6, BGP ne l'utilise pas en tant qu'ID de routeur. Il faut l'adresse IP d'interface IPv4 la plus élevée.
Un redémarrage logiciel ou matériel de la contiguïté BGP à partir d'un site distant n'affecte pas l'ID de routeur BGP.

Capacités BGP prises en charge

Tel que défini dans https://datatracker.ietf.org/doc/html/rfc2842, un routeur BGP détermine les capacités prises en charge par son homologue en examinant la liste des capacités présentes dans le paramètre Capacités facultatives dans le message OPEN que le routeur reçoit de l'homologue. NSX prend en charge les capacités suivantes :

Code de capacité	Description de la capacité	Familles d'adresses prises en charge	Prise en charge annoncée de la passerelle de niveau 0	Pris en charge par la passerelle de niveau 0 lorsque reçu de la part de l'homologue	Comportement par défaut	Configurable
1	Extensions multiprotocoles, avec : AFI=1, SAFI=1 : monodiffusion IPv4 AFI=2, SAFI=1 : monodiffusion IPv6 AFI=25, SAFI=70 : L2VPN EVPN	Monodiffusion IPv4 Monodiffusion IPv6 EVPN L2VPN	Oui	Oui	La famille d'adresses Monodiffusion IPv4 est activée et annoncée par défaut lorsqu'un voisin IPv4 est configuré ou ajouté manuellement dans les paramètres de filtre de route sous la configuration du voisin BGP. La famille d'adresses Monodiffusion IPv6 est activée et annoncée par défaut lorsqu'un voisin IPv6 est configuré ou ajouté manuellement dans les paramètres de filtre de route sous la configuration du voisin BGP. La famille d'adresses EVPN L2VPN est activée et annoncée lorsqu'elle est configurée dans les paramètres de filtre de route sous la configuration du voisin BGP. La famille d'adresses Monodiffusion IPv4 est obligatoire dans NSX et automatiquement activée lors de l'ajout de la famille d'adresses L2VPN EVPN.	Oui
2	Actualisation de la route	Monodiffusion IPv4 Monodiffusion IPv6 EVPN L2VPN	Oui	Oui	Annoncé par défaut	Non
5	Codage du tronçon suivant étendu	Monodiffusion IPv6	Oui	Oui	Non annoncé par défaut. Pour activer cette capacité, vous devez fournir une famille d'adresses IPv4 avec la famille d'adresses IPv6 pour l'adresse IP de l'homologue BGP IPv6.	Oui
64	Redémarrage normal	Monodiffusion IPv4 Monodiffusion IPv6 EVPN L2VPN	Oui	Oui	Non annoncé par défaut (le nœud Edge par défaut est une assistance)	Oui
65	Prise en charge du numéro AS à 4 octets	Monodiffusion IPv4 Monodiffusion IPv6 EVPN L2VPN	Oui	Oui	Annoncé par défaut	Non
69	Chemin-AJOUTER, avec : AFI=1/2/25, SAFI=1/70 Envoyer/Recevoir=1 (Envoyer uniquement) Envoyer/Recevoir=2 (Recevoir uniquement) Envoyer/Recevoir=3 (les deux)	Monodiffusion IPv4 Monodiffusion IPv6 EVPN L2VPN	Oui (recevoir uniquement)	Oui (envoyer et recevoir)	La capacité de réception uniquement est prise en charge et annoncée par défaut. Lorsque le nœud Edge reçoit le même préfixe BGP plusieurs fois, mais avec la même mesure, si ECMP est activé, tous les chemins d'accès sont installés et actifs. Lorsque le nœud Edge reçoit le même préfixe BGP plusieurs fois avec différentes mesures (par exemple, une longueur ASPATH plus grande), la meilleure route de chemin sera installée et active. Les chemins moins préférés seront conservés dans la table de routage BGP pour améliorer la convergence du plan de contrôle.	Non
73	Nom de domaine complet	Monodiffusion IPv4 Monodiffusion IPv6 EVPN L2VPN	Oui	Oui	Annoncé par défaut	Non
128	Actualisation de route (Cisco)	Monodiffusion IPv4 Monodiffusion IPv6 EVPN L2VPN	Oui	Oui	Annoncé par défaut	Non

Événements BGP inactifs

Si un événement BGP inactif se produit, une alarme est déclenchée. Pour plus d'informations sur l'alarme , reportez-vous au tableau Événements de routage dans Catalogue d'événements NSX. Dans cette version, des informations supplémentaires sont fournies sur la raison des modifications d'état de l'homologue BGP.

Vous pouvez également utiliser la méthode PUT ou PATCH avec les API suivantes pour désactiver un homologue BGP spécifique. Cela empêchera la génération d'alarmes lorsque cet homologue ne s'affiche pas.

/policy/api/v1/infra/tier-0s/{tier-0-id}/locale-services/{locale-service-id}/bgp/neighbors/{neighbor-id}
/policy/api/v1/global-infra/tier-0s/{tier-0-id}/locale-services/{locale-service-id}/bgp/neighbors/{neighbor-id}

Pour désactiver un homologue BGP, définissez le paramètre enabled sur false. Par exemple :

PATCH https://<nsx-mgr>/policy/api/v1/infra/tier-0s/T0-1/locale-services/default/bgp/neighbors/peer-1
{
  "enabled": "false"
}

Vous pouvez également utiliser la méthode GET pour afficher la valeur du paramètre enabled et d'autres paramètres.

Note : Si le pare-feu de passerelle de niveau 0 est configuré avec une règle de Drop ou de Reject par défaut, vous devez ajouter manuellement une règle de Allow pour BGP et pour BFD s'il est configuré.

Attention : Prenez connaissance des scénarios suivants en cas d'échecs de la connexion impliquant BGP ou BFD :

Lorsque BGP uniquement est configuré, si tous les voisins BGP sont arrêtés, l'état du routeur de service est inactif.
Lorsque BFD uniquement est configuré, si tous les voisins BFD sont arrêtés, l'état du routeur de service est inactif.
Lorsque BGP et BFD sont configurés, si tous les voisins BGP et BFD sont arrêtés, l'état du routeur de service est inactif.
Lorsque les routes BGP et statiques sont configurées, si tous les voisins BGP sont arrêtés, l'état du routeur de service est inactif.
Lorsque les routes statiques uniquement sont configurées, l'état du routeur de service est toujours actif, sauf si le nœud subit une panne ou est en mode de maintenance.

Procédure

Avec des privilèges d'administrateur, connectez-vous à NSX Manager.
Sélectionnez Mise en réseau > Passerelles de niveau 0.
Pour modifier une passerelle de niveau 0, cliquez sur l'icône de menu (trois points) et sélectionnez Modifier.
Cliquez sur BGP.
1. Entrez le nombre AS local.
  En mode actif-actif, la valeur ASN par défaut, 65 000, est déjà renseignée. En mode actif-en veille, il n'existe pas de valeur ASN par défaut.
2. Cliquez sur le bouton bascule BGP pour activer ou désactiver BGP.
  En mode actif-actif, BGP est activé par défaut. En mode actif-en veille, BGP est désactivé par défaut.
3. Si cette passerelle est en mode actif-actif, cliquez sur le bouton bascule iBGP Inter SR pour activer ou désactiver iBGP inter-SR. iBGP inter-SR est activé par défaut.
  Si la passerelle est en mode actif-en veille, cette fonctionnalité n'est pas disponible.
4. Cliquez sur le bouton bascule ECMP pour activer ou désactiver ECMP.
5. Cliquez sur le bouton bascule Alléger les chemins multiples pour activer ou désactiver le partage de charge sur plusieurs chemins qui diffèrent uniquement par les valeurs d'attribut de chemin AS, mais qui ont la même longueur de chemin AS.
  
  Note : ECMP doit être activé pour que Alléger les chemins multiples fonctionne.
6. Dans le champ Redémarrage normal, sélectionnez Désactiver, Assistance uniquement ou Redémarrage normal et assistance.
  Vous pouvez éventuellement modifier les options Temporisateur de redémarrage normal et Temporisateur caduc de redémarrage normal.
  Par défaut, le mode Redémarrage normal est défini sur Assistance uniquement. Le mode Assistance est utile pour éliminer et/ou réduire l'interruption du trafic associé aux routes apprises par un voisin capable de redémarrer normalement. Le voisin doit pouvoir conserver sa table de transfert lorsqu'il est en cours de redémarrage.
  
  Pour EVPN, seul le mode Assistance uniquement est pris en charge.
  
  Il n'est pas recommandé d'activer la fonctionnalité de redémarrage normal sur les passerelles de niveau 0, car les homologations BGP de toutes les passerelles sont toujours actives. Lors d'un basculement, la capacité de redémarrage normal augmente la durée nécessaire à un voisin distant pour sélectionner une autre passerelle de niveau 0. Cela retardera la convergence basée sur BFD.
  
  Remarque : sauf si la configuration spécifique au voisin est remplacée, la configuration de niveau 0 s'applique à tous les voisins BGP.
  
  Le redémarrage normal n'est pas pris en charge lorsqu'une passerelle de niveau 0 ne dispose que d'un seul homologue BGP, car le SR de niveau 0 tombe en panne par conception lorsque cet homologue BGP unique tombe en panne.
Configurez Agrégation de route en ajoutant des préfixes d'adresses IP.
1. Cliquez sur Définir pour Agrégation de route.
2. Cliquez sur Ajouter un préfixe.
3. Entrez un préfixe d'adresse IP au format CIDR.
4. Pour l'option Résumé - uniquement, sélectionnez Oui ou Non.
Cliquez sur Appliquer.
Vous devez enregistrer la configuration globale de BGP avant de pouvoir configurer les voisins BGP.

Configurez Voisins BGP.

Cliquez sur Définir pour Voisins BGP.
Cliquez sur Ajouter un voisin BGP.
Entrez l'adresse IP du voisin.
Activez ou désactivez BFD.
Entrez une valeur pour Nombre d'AS distants.
Pour iBGP, entrez le même nombre AS que celui de l'étape 4a. Pour eBGP, entrez le nombre AS du routeur physique.
Sous Filtre de route, cliquez sur Définir pour ajouter un ou plusieurs filtres de route.
Pour Famille d'adresses IP, vous pouvez sélectionner IPv4, IPv6 ou L2VPN EVPN. Les combinaisons suivantes sont prises en charge :
- IPv4 et IPv6
- IPv4 et L2VPN EVPN
La combinaison d'IPv6 et L2VPN EVPN n'est pas prise en charge.

Pour la fonctionnalité RFC-5549, assurez-vous de fournir une famille d'adresses IPv4 avec la famille d'adresses IPv6 pour l'adresse IP de l'homologue BGP IPv6.

Pour Filtre sortant et Filtre entrant, cliquez sur Configurer et sélectionnez des filtres, puis cliquez sur Enregistrer.

Pour Routes maximales, vous pouvez spécifier une valeur comprise entre 1 et 1 million. Lorsque le nombre de routes BGP reçues de l'homologue atteint 75 % de la limite configurée ou lorsqu'il dépasse la limite configurée pour la première fois, un message d'avertissement est consigné dans le fichier /var/log/frr.log. Outre le message du journal, la sortie de la commande CLI de NSX get bgp neighbor indique si le nombre de préfixes reçus dépasse la limite configurée. Notez que la passerelle continuera d'accepter les routes du voisin BGP, même après que la limite Routes maximales est atteinte.

Note : Si vous configurez un voisin BGP avec une famille d'adresses, par exemple, EVPN L2VPN, puis que vous ajoutez ensuite une deuxième famille d'adresses, la connexion BGP établie sera réinitialisée.
Activez ou désactivez la fonctionnalité Allowas-in.
Elle est désactivée par défaut. Avec cette fonctionnalité activée, les voisins BGP peuvent recevoir des routes avec le même AS, par exemple, lorsque vous avez deux emplacements interconnectés à l'aide du même fournisseur de services. Cette fonctionnalité s'applique à toutes les familles d'adresses et ne peut pas être appliquée à des familles d'adresses spécifiques.
Dans le champ Adresses source, vous pouvez sélectionner une adresse source pour établir une session d'homologation avec un voisin à l'aide de cette adresse source spécifique. Si vous ne sélectionnez aucune instance, la passerelle configurera automatiquement une session d'appairage avec le voisin sur chaque SR de niveau 0. Si un SR de niveau 0 ne dispose pas d'une interface dans le sous-réseau du voisin, la session BGP configurée sur ce SR de niveau 0 restera inactive.
Entrez une valeur pour Limite de tronçon maximale.

Dans le champ Redémarrage normal, vous pouvez sélectionner Désactiver, Assistance uniquement ou Redémarrage normal et assistance.

Option	Description
Aucune sélection	Le redémarrage normal de ce voisin suivra la configuration BGP de la passerelle de niveau 0.
Désactiver	Si BGP de passerelle de niveau 0 est configuré avec Désactiver, le redémarrage normal sera désactivé pour ce voisin. Si BGP de passerelle de niveau 0 est configuré avec Assistance uniquement, le redémarrage normal sera désactivé pour ce voisin. Si BGP de passerelle de niveau 0 est configuré avec Redémarrage normal et assistance, le redémarrage normal sera désactivé pour ce voisin.
Assistance uniquement	Si BGP de passerelle de niveau 0 est configuré avec Désactiver, le redémarrage normal sera configuré comme Assistance uniquement pour ce voisin. Si BGP de passerelle de niveau 0 est configuré avec Assistance uniquement, le redémarrage normal sera configuré comme Assistance uniquement pour ce voisin. Si BGP de passerelle de niveau 0 est configuré avec Redémarrage normal et assistance, le redémarrage normal sera configuré comme Assistance uniquement pour ce voisin.
Redémarrage normal et assistance	Si BGP de passerelle de niveau 0 est configuré avec Désactiver, le redémarrage normal sera configuré comme Redémarrage normal et assistance pour ce voisin. Si BGP de passerelle de niveau 0 est configuré avec Assistance uniquement, le redémarrage normal sera configuré comme Redémarrage normal et assistance pour ce voisin. Si BGP de passerelle de niveau 0 est configuré avec Redémarrage normal et assistance, le redémarrage normal sera configuré comme Redémarrage normal et assistance pour ce voisin.

Note : Pour EVPN, seul le mode Assistance uniquement est pris en charge.

Le redémarrage normal n'est pas pris en charge lorsqu'une passerelle de niveau 0 ne dispose que d'un seul homologue BGP, car le SR de niveau 0 tombe en panne par conception lorsque cet homologue BGP unique tombe en panne.

Activez Configurer l'AS local du voisin si nécessaire.
- Choisissez « Oui » si vous souhaitez remplacer le nombre AS local pour ce voisin
- Choisissez « Non » si vous ne souhaitez pas remplacer le nombre AS local pour ce voisin
Note : Les champs AS local du voisin et Modificateur de chemin AS s'affichent après l'activation de Configurer l'AS local du voisin.
Entrez le nombre AS local remplacé dont vous souhaitez remplacer le nombre AS local pour ce voisin, dans AS local voisin.
Choisissez l'option Chemin AS dans Modificateur de chemin AS :
- Par défaut : BGP attribue la valeur AS local du voisin au chemin AS pour les annonces de route sortantes et entrantes du voisin homologue. Vous pouvez modifier l'action de préfixe par défaut sur le chemin AS dans le sens entrant et sortant.
- Aucun préfixe : le routeur local ne place pas l'annonce entrante de l'homologue avec l'AS local du voisin. Le chemin d'AS annoncé précède uniquement l'AS local BGP du routeur.
- Aucun préfixe ne remplace l'AS : les routes locales sont annoncées avec l'AS local du voisin au lieu de l'AS local de BGP pour homologuer le routeur.
Cliquez sur Temporisateurs et mot de passe.
Entrez une valeur pour Intervalle BFD.
L'unité est en millisecondes. Pour un nœud Edge en cours d'exécution dans une machine virtuelle, la valeur minimale est de 500. Pour un nœud Edge bare metal, la valeur minimale est de 50.
Entrez une valeur pour Multiplicateur BFD.
Entrez une valeur en secondes pour la durée de retenue et la durée de survie.
La durée de survie spécifie la fréquence à laquelle les messages de survie (keep alive) sont envoyés. La valeur doit être comprise entre 0 et 65535. Zéro signifie qu'aucun message de survie (keep alive) ne sera envoyé.
La durée de retenue spécifie la durée pendant laquelle la passerelle attendra un message de survie (keep alive) d'un voisin avant de le considérer comme mort. La valeur peut être 0 ou comprise entre 3 et 65535. Zéro signifie qu'aucun message de survie (keep alive) n'est envoyé entre les voisins BGP et que le voisin ne sera jamais considéré comme inaccessible.

La durée de retenue doit être au moins trois fois supérieure à la valeur de la durée de survie.
Entrez un mot de passe.
Ceci est nécessaire si vous configurez l'authentification MD5 entre des homologues BGP.

Cliquez sur Enregistrer.
(Facultatif) Après l'ajout d'un voisin BGP, vous pouvez enregistrer ses routes annoncées et apprises.
1. Cliquez sur le nombre dans le champ Voisins BGP.
2. Dans la boîte de dialogue Définir des voisins BGP, cliquez sur l'icône de menu (3 points) d'un voisin BGP et sélectionnez Télécharger les routes annoncées ou Télécharger les routes apprises.