La configuration des BGP Neighbors non-SD-WAN ne s'applique pas au niveau du profil. Vous pouvez configurer les neighbors NSD uniquement au niveau du dispositif Edge.

À propos de cette tâche :

BGP est utilisé pour établir le BGP Neighborship sur les tunnels IPsec vers les instances de Non SD-WAN Site. Des tunnels IPsec directs sont utilisés pour établir une communication sécurisée entre SD-WAN Edge et la destination non-SD-WAN (NSD). Dans les versions précédentes, VMware prenait en charge les tunnels NSD depuis SD-WAN Edge avec la capacité d'ajouter des routes statiques NVS. Dans la version 4.3, cette fonctionnalité est étendue pour prendre en charge BGP sur IPsec jusqu'au point de terminaison NSD pour un VPN basé sur une route.

VMware SD-WAN prend en charge le protocole BGP du numéro de système autonome (ASN, Autonomous System Number) 4 octets. Pour plus d'informations, reportez-vous à la section Configurer BGP.

Note : La fonctionnalité d'automatisation d'Azure vWAN provenant du dispositif Edge n'est pas compatible avec BGP sur IPsec. Cela est dû au fait que seules les routes statiques sont prises en charge lors de l'automatisation de la connectivité entre un dispositif Edge et une instance d'Azure vWAN.

Cas d'utilisation

Cas d'utilisation 1 : BGP sur IPsec d'un dispositif Edge vers un VPN Azure

Chaque passerelle VPN Azure alloue un ensemble d'adresses IP virtuelles publiques (VIP) pour un site distant Edge afin de former des tunnels IPsec. De même, Azure alloue également un sous-réseau privé interne et attribue une adresse IP interne par adresse IP virtuelle. Cette adresse IP de tunnel interne (adresse IP de tunnel peer) sera utilisée pour créer l'appairage BGP avec Azure Gateway.

Azure comprend une restriction selon laquelle l'adresse IP du peer BGP (adresse IP du tunnel local d'Edge) ne doit pas se trouver dans le même sous-réseau connecté ou dans le sous-réseau 169.x.x.x et, par conséquent, nous devons prendre en charge BGP multi-hop sur le dispositif Edge. Dans la terminologie BGP, l'adresse IP du tunnel local est associée à l'adresse source BGP et l'adresse IP du tunnel du peer est associée à l'adresse du neighbor/peer. Nous devons former un maillage de connexions BGP : une par tunnel NSD pour que le trafic de retour à partir du NVS puisse être équilibré en charge (basé sur les flux). Cette conception est réalisée du côté d'Azure Gateway. Dans le diagramme ci-dessous pour le dispositif Edge physique, nous avons deux liens WAN publics et donc quatre tunnels vers une passerelle Azure. Chaque tunnel est associé à une connexion BGP identifiée de manière unique par l'adresse IP tunnel_ip locale et l'adresse IP tunnel_ip du peer distant. Sur le dispositif Edge virtuel, la seule différence est que nous avons un lien WAN public et un maximum de deux tunnels et deux sessions BGP vers Azure Gateway.

Note : Lorsqu'un dispositif SD-WAN Edge est connecté au même point de terminaison Azure à l'aide de plusieurs liens WAN, vous pouvez configurer deux NSD-BGP Neighbors au maximum (étant donné que la terminaison distante ne comporte que deux public_ips et deux peer_ips NSD-BGP). Les deux NSD-BGP Neighbors peuvent être configurés sur le même lien (tunnel principal/secondaire) ou sur des tunnels de liens différents. Si un client tente de configurer plus de deux NSD-BGP Neighbors et de configurer la même peer_ip NSD-BGP sur plusieurs tunnels, les dernières valeurs nbr_ip + local_ip BGP configurées se trouveraient sur SD-WAN Edge et Free Range Routing (FRR).

Cas d'utilisation 2 : BGP sur IPsec d'un dispositif Edge vers un VPN AWS/une passerelle de transit

Contrairement à Azure, la passerelle VPN d'AWS alloue un ensemble d'adresses IP virtuelles publiques par lien à un site distant Edge. Le nombre total d'ensembles d'adresses IP publiques allouées à un site distant Edge à partir d'une passerelle AWS sera égal au nombre de liens WAN publics Edge qui se connecteront à la passerelle VPN d'AWS. De même, un sous-réseau /30 interne/privé est alloué par tunnel, qui est utilisé pour l'appairage BGP sur ce tunnel. Ces adresses IP peuvent être remplacées manuellement dans la configuration de la passerelle AWS pour s'assurer qu'elles sont uniques dans les différentes zones de disponibilité.

Comme pour le cas d'utilisation Azure, le dispositif Edge formera un maillage de connexions BGP, un par tunnel vers la passerelle AWS. Cela permet l'équilibrage de charge du trafic de retour à partir de la passerelle VPN d'AWS. Cette conception est réalisée du côté d'AWS. Dans le diagramme ci-dessous, pour le dispositif Edge physique, la passerelle AWS alloue un ensemble d'adresses IP publiques et un ensemble d'adresses IP de tunnel (/30) pour chaque lien WAN Edge. Il existe un total de quatre tunnels, mais qui se terminent sur différentes adresses IP publiques sur la passerelle AWS et quatre connexions BGP.

Cas d'utilisation 3 : Connexion d'Edge à la fois à des passerelles VPN d'AWS et d'Azure (cloud hybride)

Un site distant Edge peut être connectée à la fois à la passerelle Azure et à la passerelle AWS à des fins de redondance ou à certaines charges de travail/applications hébergées dans un fournisseur de cloud, tandis que d'autres charges de travail/applications sont hébergées dans un autre fournisseur de cloud. Quel que soit le cas d'utilisation, le dispositif Edge établit toujours une session BGP par tunnel et propage les routes entre SD-WAN et IaaS. Le diagramme ci-dessous montre un exemple d'un site distant Edge connecté aux clouds Azure et AWS.

Cas d'utilisation 4 : connexion du cluster du Hub aux passerelles de transit Azure/AWS

Les membres du cluster du Hub peuvent former des tunnels IPsec vers les passerelles de transit Azure/AWS et exploiter les passerelles de transit en tant que couche 3 pour router le trafic entre différents VPC. Sans la fonctionnalité BGP sur IPsec native sur le Hub, le Hub doit se connecter à un routeur L3 (CSR de Cisco largement utilisé ici) à l'aide de BGP natif et du routeur L3, ce qui forme un maillage de BGP sur des tunnels IPsec avec différents VPC. Le routeur L3 sert de point de fin de transit entre différents VPC. Cas d'utilisation 1 (diagramme de gauche ci-dessous) : utilisation d'un Hub comme nœud de transit entre différents VPC dans différentes zones de disponibilité (AZ) afin qu'un VPC puisse communiquer avec un autre VPC. Cas d'utilisation 2 (diagramme droit ci-dessous) : connexion de tous les Hubs du cluster directement à une passerelle de transit cloud et possibilité d'utiliser la passerelle de cloud comme routeur PE (L3) pour la distribution des routes entre les membres du cluster. Dans les deux cas d'utilisation, sans la prise en charge de BGP sur IPsec sur le Hub, le Hub se connecte à un routeur L3 tel que CSR en utilisant des peers BGP et CSR natifs avec la passerelle de transit/VPC utilisant BGP sur IPsec.

Cas d'utilisation 5 : prise en charge de la fonctionnalité de transit dans les fournisseurs de cloud sans prise en charge native

Certains fournisseurs de cloud tels que Google Cloud et AliCloud n'ont pas de prise en charge native de la fonctionnalité de transit (aucune passerelle de transit), et avec la prise en charge de BGP sur IPsec, ils peuvent s'appuyer sur SD-WAN Edge/le Hub déployé dans le cloud pour atteindre la fonctionnalité de transit entre différents VPC/VNET. Sans la prise en charge de BGP sur IPsec, vous devez utiliser un routeur L3 tel que CSR [solution (2)] pour obtenir la fonctionnalité de transit.

Note : Avant la version 4.3, pour les clients qui disposent de l'accessibilité à la même destination NVS-statique via NVS-depuis-Gateway et NVS-depuis-Edge, le trafic des autres dispositifs SD-WAN Edge du site distant préfère le chemin via NVS-Gateway. Lorsque les clients effectuent une mise à niveau de leur réseau vers la version 4.3 ou ultérieure, ce chemin de trafic provenant d'autres dispositifs SD-WAN Edge du site distant préfère le chemin via NVS-Edge. Par conséquent, les clients doivent mettre à jour la mesure de Destination-NVS-statique de NSD-Edge et de NSD-Gateway selon leur préférence de chemin de trafic.

Conditions préalables :

Procédure

Pour activer BGP avec des neighbors non-SD-WAN :

  1. Dans le portail d'entreprise, cliquez sur Configurer (Configure) > Dispositif Edge (Edge) et sélectionnez un dispositif SD-WAN Edge.
  2. Cliquez sur l'onglet Périphérique (Device).
  3. Dans l'onglet Périphérique (Device), faites défiler la liste vers le bas jusqu'à la section Paramètres BGP (BGP Settings) et cochez la case Activer le remplacement au niveau du dispositif Edge (Enable Edge Override).
  4. Cliquez sur le curseur pour passer en position Activé (ON), puis cliquez sur le bouton Modifier (Edit).

  5. Dans la fenêtre Éditeur BGP (BGP Editor), configurez les paramètres suivants :
    1. Entrez le numéro de système autonome (ASN) local, puis configurez les éléments suivants dans la section Paramètres BGP (BGP Settings).
      Option Description
      ID de routeur (Router ID) Entrez l'ID de routeur BGP global. Si vous ne spécifiez aucune valeur, l'ID est automatiquement attribué. Si vous avez configuré une interface Loopback pour le dispositif Edge, l'adresse IP de l'interface Loopback est attribuée en tant qu'ID de routeur.
      Keep-Alive (Keep Alive) Entrez le temporisateur keep-alive en secondes, qui correspond à la durée entre les messages keep-alive envoyés au peer. La plage est comprise entre 0 et 65 535 secondes. La valeur par défaut est de 60 secondes.
      Hold Timer Entrez le Hold Timer en secondes. Lorsque le message keep-alive n'est pas reçu pendant la période spécifiée, le peer est considéré comme inactif. La plage est comprise entre 0 et 65 535 secondes. La valeur par défaut est de 180 secondes.
      Communauté de lien montant (Uplink Community)

      Entrez la chaîne de communauté à traiter comme routes de lien montant.

      Le lien montant fait référence au lien connecté au routeur PE (Provider Edge). Les routes entrantes vers le dispositif Edge correspondant à la valeur de communauté spécifiée sont traitées comme routes de lien montant. Le Hub/dispositif Edge n'est pas considéré comme le propriétaire de ces routes.

      Entrez la valeur au format numérique comprise entre 1 et 4 294 967 295 ou au format AA:NN.

    2. Cliquez sur le bouton Ajouter un filtre (Add Filter) pour créer un ou plusieurs filtres. Ces filtres sont appliqués au neighbor pour refuser ou modifier les attributs de la route. Le même filtre peut être utilisé pour plusieurs neighbors, y compris les neighbors de sous-couche et les neighbors NSD.
    3. Dans la zone Créer un filtre BGP (Create BGP Filter), définissez les règles du filtre.

      Option Description
      Nom du filtre (Filter Name) Entrez un nom descriptif pour le filtre BGP.
      Type de correspondance et valeur (Match Type and Value) Choisissez le type des routes à faire correspondre avec le filtre :
      • Préfixe pour IPv4 ou IPv6 (Prefix for IPv4 or IPv6) : choisissez de faire correspondre un préfixe pour l'adresse IPv4 ou IPv6 et entrez l'adresse IP de préfixe correspondante dans le champ Valeur (Value).
      • Communauté (Community) : choisissez une correspondance avec une communauté et entrez la chaîne de communauté dans le champ Valeur (Value).
      Correspondance exacte (Exact Match) L'action de filtre n'est effectuée que lorsque les routes BGP correspondent exactement au préfixe ou à la chaîne de communauté spécifié. Par défaut, cette option est activée.
      Type d'action (Action Type) Choisissez l'action à exécuter lorsque les routes BGP correspondent au préfixe ou à la chaîne de communauté spécifié. Vous pouvez autoriser ou refuser le trafic.
      Définir (Set) Lorsque les routes BGP correspondent aux critères spécifiés, vous pouvez définir la valeur pour router le trafic vers un réseau en fonction des attributs du chemin. Sélectionnez l'une des options suivantes dans la liste déroulante :
      • Aucun (None) : les attributs des routes correspondantes restent identiques.
      • Préférence locale (Local Preference) : le trafic correspondant est routé vers le chemin avec la préférence locale spécifiée.
      • Communauté (Community) : les routes correspondantes sont filtrées selon la chaîne de communauté spécifiée. Vous pouvez également cocher la case Additif de la communauté (Community Additive) pour activer l'option d'additif, ce qui ajoute la valeur de communauté aux communautés existantes.
      • Mesure (Metric) : le trafic correspondant est routé vers le chemin avec la valeur de mesure spécifiée.
      • Préfixe de chemin AS (AS-Path-Prepend) : autorise l'ajout d'un préfixe à plusieurs entrées du système autonome (AS) à une route BGP.

      Pour ajouter d'autres règles correspondantes au filtre, cliquez sur l'icône Plus (+).

      Pour créer le filtre, cliquez sur OK.

      Les filtres configurés s'affichent dans la fenêtre Éditeur BGP (BGP Editor).

  6. Configurez les neighbors de sous-couche pour les adresses IPv4 et IPv6, si nécessaire. Pour plus d'informations, reportez-vous à la section Configurer BGP du dispositif Edge vers les neighbors de sous-couche.
  7. Configurez les neighbors NSD comme suit :
    Note : Les versions 4.3 et ultérieures prennent en charge les neighbors non-SD-WAN (NSD). Tous les paramètres globaux seront partagés par les neighbors de sous-couche et NSD. La liste de filtres peut alors également être utilisée pour les deux types de neighbors. Assurez-vous que vous avez configuré les Conditions préalables (Prerequisites) avant de configurer les neighbors NSD.

    1. Dans la fenêtre neighbors NSD (NSD Neighbors), configurez les paramètres suivants :
      Option Description
      Nom NSD Dans la liste déroulante, sélectionnez le nom NSD (NSD Name). Les NSD déjà configurés dans la zone Site distant vers destination non-SD-WAN via un dispositif Edge (Branch to Non SD-WAN Destination via Edge) de SD-WAN Orchestrator s'affichent dans la liste déroulante.
      Nom du lien (Link Name) Choisissez le nom du lien WAN associé au neighbor NSD.
      Type de tunnel (Tunnel Type) Choisissez le type de tunnel du peer comme principal ou secondaire.
      Adresse IP du Neighbor (Neighbor IP) Entrez l'adresse IP du neighbor NSD.
      ASN Entrez l'ASN du neighbor NSD.
      Filtre entrant (Inbound Filter) Sélectionnez un filtre entrant dans la liste déroulante.
      Filtre sortant (Outbound Filter) Sélectionnez un filtre sortant dans la liste déroulante.
      Options supplémentaires (Additional Options) : cliquez sur le lien Tout afficher (View all) pour configurer les paramètres supplémentaires suivants :
      Lien montant Permet d'indiquer le type de neighbor sur le lien montant. Sélectionnez cette option si l'indicateur est utilisé comme overlay WAN vers MPLS. Il sera utilisé comme l'indicateur pour déterminer si le site deviendra un site de transit (par exemple, SD-WAN Hub) en propageant des routes soutenues par un overlay SD-WAN sur un lien WAN vers MPLS. Si vous devez créer un site de transit, cochez la case Préfixe d'overlay via le lien montant (Overlay Prefix over Uplink) dans Paramètres avancés (Advanced Settings).
      Adresse IP locale (Local IP)

      L'adresse IP locale est obligatoire pour configurer des neighbors non SD-WAN.

      L'adresse IP locale est équivalente à une adresse IP Loopback. Entrez une adresse IP que les voisinages BGP peuvent utiliser comme adresse IP source pour les paquets sortants.
      Max-hop Entrez le nombre maximal de tronçons pour activer Multi-hop pour les homologues BGP. La plage est comprise entre 1 et 255, et la valeur par défaut est de 1.
      Note : Ce champ n'est disponible que pour les eBGP Neighbors, lorsque l'ASN local et l'ASN avoisinant sont différents. Avec iBGP, lorsque les deux ASN sont identiques, multi-hop est désactivé par défaut. Ce champ n'est alors pas configurable.
      Autoriser AS (Allow AS) Cochez cette case pour autoriser la réception et le traitement des routes BGP, même si le dispositif Edge détecte son propre ASN dans le chemin AS.
      Route par défaut (Default Route) La route par défaut ajoute une instruction réseau dans la configuration BGP pour annoncer la route par défaut au neighbor.
      Activer BFD (Enable BFD) Active l'abonnement à une session BFD existante pour le BGP Neighbor.
      Note : La session BFD à un seul tronçon n'est pas prise en charge pour BGP sur IPsec avec les neighbors NSD. Toutefois, BFD multi-hop est pris en charge. L'adresse IP locale est obligatoire pour les sessions NSD-BGP sur le dispositif SD-WAN Edge. Celui-ci gère uniquement les adresses IP de l'interface connectée en tant que BFD à un seul tronçon.
      Keep-Alive (Keep Alive) Entrez le temporisateur keep-alive en secondes, qui correspond à la durée entre les messages keep-alive envoyés au peer. La plage est comprise entre 0 et 65 535 secondes. La valeur par défaut est de 60 secondes.
      Hold Timer Entrez le Hold Timer en secondes. Lorsque le message keep-alive n'est pas reçu pendant la période spécifiée, le peer est considéré comme inactif. La plage est comprise entre 0 et 65 535 secondes. La valeur par défaut est de 180 secondes.
      Connecter (Connect) Entrez l'intervalle de temps en secondes pour tester une nouvelle connexion TCP avec le peer s'il détecte que la session TCP n'est pas passive. La valeur par défaut est de 120 secondes.
      Authentification MD5 (MD5 Auth) Cochez cette case pour activer l'authentification MD5 de BGP. Cette option est utilisée dans un réseau hérité ou fédéral, et l'utilisation de l'authentification MD5 de BGP comme protection de la sécurité pour l'appairage BGP est courante.
      Mot de passe MD5 Entrez un mot de passe pour l'authentification MD5. Le mot de passe ne doit pas contenir le caractère $ suivi de chiffres. Par exemple, $1, $123, motdepasse$123 sont des entrées non valides.
      Note : L'authentification MD5 échoue si le mot de passe contient le caractère $ suivi de chiffres.
      Note : Sur BGP multi-hop, le système peut apprendre les routes qui nécessitent une recherche récursive. Ces routes disposent d'une adresse IP de next-hop qui ne se trouve pas dans un sous-réseau connecté et qui ne comporte aucune interface de sortie valide. Dans ce cas, l'adresse IP de next-hop des routes doit être résolue à l'aide d'une autre route dans la table de routage qui dispose d'une interface de sortie. En cas de trafic pour une destination pour laquelle ces routes doivent être recherchées, les routes nécessitant une recherche récursive sont résolues en une interface et une adresse IP next-hop connectées. Tant que la résolution récursive n'a pas lieu, les routes récursives pointent vers une interface intermédiaire. Pour plus d'informations, reportez-vous à la section Routes BGP multi-hop.
    2. Cliquez sur Avancé (Advanced) pour configurer les paramètres suivants.
      Note : Les paramètres avancés sont partagés entre les BGP Neighbors de sous-couche et les BGP Neighbors de NSD.
      Option Description
      Préfixe d'overlay (Overlay Prefix) Cochez cette case pour redistribuer les préfixes appris de l'overlay.
      Désactiver la transmission AS-Path (Turn off AS-Path carry over) Par défaut, cette option reste décochée. Cochez cette case pour désactiver la transmission AS-PATH. Dans certaines topologies, la désactivation de la transmission AS-PATH influence l'AS-PATH sortant pour que les routeurs L3 optent pour un chemin vers un dispositif Edge ou un Hub.
      Avertissement : Lorsque l'option Transmission AS-PATH (AS-PATH Carry Over) est désactivée, réglez votre réseau pour éviter les boucles de routage.
      Routes connectées (Connected Routes) Cochez cette case pour redistribuer tous les sous-réseaux de l'interface connectée.
      OSPF Cochez cette case pour activer la redistribution OSPF dans BGP.
      Définir la mesure (Set Metric) Lorsque vous activez OSPF, entrez la mesure BGP pour les routes OSPF redistribuées. La valeur par défaut est de 20.
      Route par défaut (Default Route)

      Cochez cette case pour redistribuer la route par défaut uniquement lorsque le dispositif Edge apprend les routes BGP via l'overlay ou la sous-couche.

      Lorsque vous sélectionnez l'option Route par défaut (Default Route), l'option Annoncer (Advertise) est disponible avec l'état Conditionnel (Conditional).

      Préfixes d'overlay via le lien montant (Overlay Prefixes over Uplink) Cochez cette case pour propager les routes apprises à partir de l'overlay vers le neighbor avec l'indicateur de lien montant.
      Réseaux (Networks) Entrez l'adresse réseau que BGP annoncera aux peers. Cliquez sur l'icône Plus (+) pour ajouter d'autres adresses réseau.
      Lorsque vous activez l'option Route par défaut (Default Route), les routes BGP sont annoncées en fonction de la sélection globale de la route par défaut et par BGP Neighbor, comme indiqué dans le tableau suivant.
      Sélection de la route par défaut Options d'annonce
      Global Par BGP Neighbor
      Oui Oui La configuration par BGP Neighbor remplace la configuration globale et, par conséquent, la route par défaut est toujours annoncée au peer BGP.
      Oui Non BGP redistribue la route par défaut vers son neighbor uniquement lorsque le dispositif Edge apprend une route par défaut explicite via le réseau d'overlay ou de sous-couche.
      Non Oui La route par défaut est toujours annoncée au peer BGP.
      Non Non La route par défaut n'est pas annoncée au peer BGP.
  8. Cliquez sur OK pour enregistrer les filtres configurés et les neighbors NSD.

    La section Paramètres BGP (BGP Settings) affiche les paramètres configurés.

  9. Cliquez sur Enregistrer les modifications (Save Changes) dans l'écran Périphérique (Device) pour enregistrer la configuration.