La configuration des voisins BGP non-SD-WAN ne s'applique pas au niveau du profil. Vous pouvez configurer les voisins NSD uniquement au niveau du dispositif Edge.

À propos de cette tâche :

BGP est utilisé pour établir le voisinage BGP sur les tunnels IPsec vers les instances de Non SD-WAN Site. Des tunnels IPsec directs sont utilisés pour établir une communication sécurisée entre SD-WAN Edge et la destination non-SD-WAN (NSD). Dans les versions précédentes, VMware prenait en charge les tunnels NSD depuis SD-WAN Edge avec la capacité d'ajouter des routes statiques NVS. Dans la version 4.3, cette fonctionnalité est étendue pour prendre en charge BGP sur IPsec jusqu'au point de terminaison NSD pour un VPN basé sur une route.

VMware SD-WAN prend en charge le protocole BGP du numéro de système autonome (ASN, Autonomous System Number) 4 octets. Pour plus d'informations, reportez-vous à la section Configurer BGP.

Note : Pour la version 4.3.0, la fonctionnalité d'automatisation d'Azure vWAN provenant du dispositif Edge n'est pas compatible avec BGP sur IPsec. Cela est dû au fait que seules les routes statiques sont prises en charge lors de l'automatisation de la connectivité entre un dispositif Edge et une instance d'Azure vWAN.

Cas d'utilisation

Cas d'utilisation 1 : BGP sur IPsec d'un dispositif Edge vers un VPN Azure

Chaque passerelle VPN Azure alloue un ensemble d'adresses IP virtuelles publiques (VIP) pour une branche Edge afin de former des tunnels IPsec. De même, Azure alloue également un sous-réseau privé interne et attribue une adresse IP interne par adresse IP virtuelle. Cette adresse IP de tunnel interne (adresse IP de tunnel homologue) sera utilisée pour créer l'appairage BGP avec Azure Gateway.

Azure comprend une restriction selon laquelle l'adresse IP homologue BGP (adresse IP du tunnel local d'Edge) ne doit pas se trouver dans le même sous-réseau connecté ou dans le sous-réseau 169.x.x.x et, par conséquent, nous devons prendre en charge BGP à tronçons multiples sur le dispositif Edge. Dans la terminologie BGP, l'adresse IP du tunnel local est associée à l'adresse source BGP et l'adresse IP du tunnel homologue est associée à l'adresse de voisin/homologue. Nous devons former un maillage de connexions BGP : une par tunnel NSD pour que le trafic de retour à partir du NVS puisse être équilibré en charge (basé sur les flux). Cette conception est réalisée du côté d'Azure Gateway. Dans le diagramme ci-dessous pour le dispositif Edge physique, nous avons deux liaisons WAN publiques et donc quatre tunnels vers une passerelle Azure. Chaque tunnel est associé à une connexion BGP identifiée de manière unique par l'adresse IP tunnel_ip locale et l'adresse IP tunnel_ip homologue distante. Sur le dispositif Edge virtuel, la seule différence est que nous avons une liaison WAN publique et un maximum de deux tunnels et deux sessions BGP vers Azure Gateway.

Note : Lorsqu'un dispositif SD-WAN Edge est connecté au même point de terminaison Azure à l'aide de plusieurs liaisons WAN, vous pouvez configurer deux voisins NSD-BGP au maximum (étant donné que la terminaison distante ne comporte que deux public_ips et deux peer_ips NSD-BGP). Les deux voisins NSD-BGP peuvent être configurés sur la même liaison (tunnel principal/secondaire) ou sur des tunnels de liaisons différentes. Si un client tente de configurer plus de deux voisins NSD-BGP et de configurer la même peer_ip NSD-BGP sur plusieurs tunnels, les dernières valeurs nbr_ip + local_ip BGP configurées se trouveraient sur SD-WAN Edge et Free Range Routing (FRR).

Cas d'utilisation 2 : BGP sur IPsec d'un dispositif Edge vers un VPN AWS/une passerelle de transit

Contrairement à Azure, la passerelle VPN d'AWS alloue un ensemble d'adresses IP virtuelles publiques par liaison à une branche Edge. Le nombre total d'ensembles d'adresses IP publiques allouées à une branche Edge à partir d'une passerelle AWS sera égal au nombre de liaisons WAN publiques Edge qui se connecteront à la passerelle VPN d'AWS. De même, un sous-réseau /30 interne/privé est alloué par tunnel, qui est utilisé pour l'appairage BGP sur ce tunnel. Ces adresses IP peuvent être remplacées manuellement dans la configuration de la passerelle AWS pour s'assurer qu'elles sont uniques dans les différentes zones de disponibilité.

Comme pour le cas d'utilisation Azure, le dispositif Edge formera un maillage de connexions BGP, un par tunnel vers la passerelle AWS. Cela permet l'équilibrage de charge du trafic de retour à partir de la passerelle VPN d'AWS. Cette conception est réalisée du côté d'AWS. Dans le diagramme ci-dessous, pour le dispositif Edge physique, la passerelle AWS alloue un ensemble d'adresses IP publiques et un ensemble d'adresses IP de tunnel (/30) pour chaque liaison WAN Edge. Il existe un total de quatre tunnels, mais qui se terminent sur différentes adresses IP publiques sur la passerelle AWS et quatre connexions BGP.

Cas d'utilisation 3 : Connexion d'Edge à la fois à des passerelles VPN d'AWS et d'Azure (cloud hybride)

Une branche Edge peut être connectée à la fois à la passerelle Azure et à la passerelle AWS à des fins de redondance ou à certaines charges de travail/applications hébergées dans un fournisseur de cloud, tandis que d'autres charges de travail/applications sont hébergées dans un autre fournisseur de cloud. Quel que soit le cas d'utilisation, le dispositif Edge établit toujours une session BGP par tunnel et propage les routes entre SD-WAN et IaaS. Le diagramme ci-dessous montre un exemple d'une branche Edge connectée aux clouds Azure et AWS.

Cas d'utilisation 4 : connexion du cluster du Hub aux passerelles de transit Azure/AWS

Les membres du cluster du Hub peuvent former des tunnels IPsec vers les passerelles de transit Azure/AWS et exploiter les passerelles de transit en tant que couche 3 pour acheminer trafic entre différents VPC. Sans la fonctionnalité BGP sur IPsec native sur le Hub, le Hub doit se connecter à un routeur L3 (CSR de Cisco largement utilisé ici) à l'aide de BGP natif et du routeur L3, ce qui forme un maillage de BGP sur des tunnels IPsec avec différents VPC. Le routeur L3 sert de point de fin de transit entre différents VPC. Cas d'utilisation 1 (diagramme de gauche ci-dessous) : utilisation d'un Hub comme nœud de transit entre différents VPC dans différentes zones de disponibilité (AZ) afin qu'un VPC puisse communiquer avec un autre VPC. Cas d'utilisation 2 (diagramme droit ci-dessous) : connexion de tous les Hubs du cluster directement à une passerelle de transit cloud et possibilité d'utiliser la passerelle de cloud comme routeur PE (L3) pour la distribution des routes entre les membres du cluster. Dans les deux cas d'utilisation, sans la prise en charge de BGP sur IPsec sur le Hub, le Hub se connecte à un routeur L3 tel que CSR en utilisant des homologues BGP et CSR natifs avec la passerelle de transit/VPC utilisant BGP sur IPsec.

Cas d'utilisation 5 : prise en charge de la fonctionnalité de transit dans les fournisseurs de cloud sans prise en charge native

Certains fournisseurs de cloud tels que Google Cloud et AliCloud n'ont pas de prise en charge native de la fonctionnalité de transit (aucune passerelle de transit), et avec la prise en charge de BGP sur IPsec, ils peuvent s'appuyer sur SD-WAN Edge/le Hub déployé dans le cloud pour atteindre la fonctionnalité de transit entre différents VPC/VNET. Sans la prise en charge de BGP sur IPsec, vous devez utiliser un routeur L3 tel que CSR [solution (2)] pour obtenir la fonctionnalité de transit.

Note : Avant la version 4.3, pour les clients qui disposent de l'accessibilité à la même destination NVS-statique via NVS-depuis-Gateway et NVS-depuis-Edge, le trafic des autres dispositifs SD-WAN Edge de la branche préfère le chemin via NVS-Gateway. Lorsque les clients effectuent une mise à niveau de leur réseau vers la version 4.3 ou ultérieure, ce chemin de trafic provenant d'autres dispositifs SD-WAN Edge de la branche préfère le chemin via NVS-Edge. Par conséquent, les clients doivent mettre à jour la mesure de Destination-NVS-statique de NSD-Edge et de NSD-Gateway selon leur préférence de chemin de trafic.

Conditions préalables :

Procédure

Pour activer BGP avec des voisins non-SD-WAN :

  1. Dans le portail d'entreprise, cliquez sur Configurer (Configure) > Dispositif Edge (Edge) et sélectionnez un dispositif SD-WAN Edge.
  2. Cliquez sur l'onglet Périphérique (Device).
  3. Dans l'onglet Périphérique (Device), faites défiler la liste vers le bas jusqu'à la section Paramètres BGP (BGP Settings) et cochez la case Activer le remplacement au niveau du dispositif Edge (Enable Edge Override).
  4. Cliquez sur le curseur pour passer en position Activé (ON), puis cliquez sur le bouton Modifier (Edit).

  5. Dans la fenêtre Éditeur BGP (BGP Editor), configurez les paramètres suivants :
    1. Entrez le numéro de système autonome (ASN) local, puis configurez les éléments suivants dans la section Paramètres BGP (BGP Settings).
      Option Description
      ID de routeur (Router ID) Entrez l'ID de routeur BGP global. Si vous ne spécifiez aucune valeur, l'ID est automatiquement attribué. Si vous avez configuré une interface de bouclage pour le dispositif Edge, l'adresse IP de l'interface de bouclage est attribuée en tant qu'ID de routeur.
      Survie (Keep Alive) Entrez le temporisateur de survie en secondes, qui correspond à la durée entre les messages de survie envoyés à l'homologue. La plage est comprise entre 0 et 65 535 secondes. La valeur par défaut est de 60 secondes.
      Temporisateur de retenue (Hold Timer) Entrez le temporisateur de retenue en secondes. Lorsque le message de survie n'est pas reçu pendant la période spécifiée, l'homologue est considéré comme inactif. La plage est comprise entre 0 et 65 535 secondes. La valeur par défaut est de 180 secondes.
      Communauté de liaison montante (Uplink Community)

      Entrez la chaîne de communauté à traiter comme routes de liaison montante.

      La liaison montante fait référence à la liaison connectée au routeur PE (Provider Edge). Les routes entrantes vers le dispositif Edge correspondant à la valeur de communauté spécifiée sont traitées comme routes de liaison montante. Le Hub/dispositif Edge n'est pas considéré comme le propriétaire de ces routes.

      Entrez la valeur au format numérique comprise entre 1 et 4 294 967 295 ou au format AA:NN.

    2. Cliquez sur le bouton Ajouter un filtre (Add Filter) pour créer un ou plusieurs filtres. Ces filtres sont appliqués au voisin pour refuser ou modifier les attributs de la route. Le même filtre peut être utilisé pour plusieurs voisins, y compris les voisins de sous-couche et les voisins NSD.
    3. Dans la zone Créer un filtre BGP (Create BGP Filter), définissez les règles du filtre.

      Option Description
      Nom du filtre (Filter Name) Entrez un nom descriptif pour le filtre BGP.
      Type de correspondance et valeur (Match Type and Value) Choisissez le type des routes à faire correspondre avec le filtre :
      • Préfixe pour IPv4 ou IPv6 (Prefix for IPv4 or IPv6) : choisissez de faire correspondre un préfixe pour l'adresse IPv4 ou IPv6 et entrez l'adresse IP de préfixe correspondante dans le champ Valeur (Value).
      • Communauté (Community) : choisissez une correspondance avec une communauté et entrez la chaîne de communauté dans le champ Valeur (Value).
      Correspondance exacte (Exact Match) L'action de filtre n'est effectuée que lorsque les routes BGP correspondent exactement au préfixe ou à la chaîne de communauté spécifié. Cette option est activée par défaut.
      Type d'action (Action Type) Choisissez l'action à exécuter lorsque les routes BGP correspondent au préfixe ou à la chaîne de communauté spécifié. Vous pouvez autoriser ou refuser le trafic.
      Définir (Set) Lorsque les routes BGP correspondent aux critères spécifiés, vous pouvez définir la valeur pour acheminer le trafic vers un réseau en fonction des attributs du chemin. Sélectionnez l'une des options suivantes dans la liste déroulante :
      • Aucun (None) : les attributs des routes correspondantes restent identiques.
      • Préférence locale (Local Preference) : le trafic correspondant est acheminé vers le chemin avec la préférence locale spécifiée.
      • Communauté (Community) : les routes correspondantes sont filtrées selon la chaîne de communauté spécifiée. Vous pouvez également cocher la case Additif de la communauté (Community Additive) pour activer l'option d'additif, ce qui ajoute la valeur de communauté aux communautés existantes.
      • Mesure (Metric) : le trafic correspondant est acheminé vers le chemin avec la valeur de mesure spécifiée.
      • Préfixe de chemin AS (AS-Path-Prepend) : autorise l'ajout d'un préfixe à plusieurs entrées du système autonome (AS) à une route BGP.

      Pour ajouter d'autres règles correspondantes au filtre, cliquez sur l'icône Plus (+).

      Pour créer le filtre, cliquez sur OK.

      Les filtres configurés s'affichent dans la fenêtre Éditeur BGP (BGP Editor).

  6. Configurez les voisins de sous-couche pour les adresses IPv4 et IPv6, si nécessaire. Pour plus d'informations, reportez-vous à la section Configurer BGP du dispositif Edge vers les voisins de sous-couche.
  7. Configurez les voisins NSD comme suit :
    Note : Les versions 4.3 et ultérieures prennent en charge les voisins non-SD-WAN (NSD). Tous les paramètres globaux seront partagés par les voisins de sous-couche et NSD. La liste de filtres peut alors également être utilisée pour les deux types de voisins. Assurez-vous que vous avez configuré les Conditions préalables (Prerequisites) avant de configurer les voisins NSD.

    1. Dans la fenêtre Voisins NSD (NSD Neighbors), configurez les paramètres suivants :
      Option Description
      Nom NSD Dans la liste déroulante, sélectionnez le nom NSD (NSD Name). Les NSD déjà configurés dans la zone Branche vers destination non-SD-WAN via un dispositif Edge (Branch to Non SD-WAN Destination via Edge) de SD-WAN Orchestrator s'affichent dans la liste déroulante.
      Nom de la liaison (Link Name) Choisissez le nom de la liaison WAN associé au voisin NSD.
      Type de tunnel (Tunnel Type) Choisissez le type de tunnel de l'homologue comme principal ou secondaire.
      Adresse IP du voisin (Neighbor IP) Entrez l'adresse IP du voisin NSD.
      ASN Entrez l'ASN du voisin NSD.
      Filtre entrant (Inbound Filter) Sélectionnez un filtre entrant dans la liste déroulante.
      Filtre sortant (Outbound Filter) Sélectionnez un filtre sortant dans la liste déroulante.
      Options supplémentaires (Additional Options) : cliquez sur le lien Tout afficher (View all) pour configurer les paramètres supplémentaires suivants :
      Liaison montante Permet d'indiquer le type de voisin sur la liaison montante. Sélectionnez cette option si l'indicateur est utilisé comme superposition WAN vers MPLS. Il sera utilisé comme l'indicateur pour déterminer si le site deviendra un site de transit (par exemple, SD-WAN Hub) en propageant des routes soutenues par une superposition SD-WAN sur une liaison WAN vers MPLS. Si vous devez créer un site de transit, cochez la case Préfixe de superposition via la liaison montante (Overlay Prefix over Uplink) dans Paramètres avancés (Advanced Settings).
      Adresse IP locale (Local IP)

      L'adresse IP locale est obligatoire pour configurer des voisins non SD-WAN.

      L'adresse IP locale est équivalente à une adresse IP de bouclage. Entrez une adresse IP que les voisinages BGP peuvent utiliser comme adresse IP source pour les paquets sortants.
      Tronçon maximal (Max-hop) Entrez le nombre maximal de tronçons pour activer les tronçons multiples pour les homologues BGP. La plage est comprise entre 1 et 255, et la valeur par défaut est de 1.
      Note : Ce champ n'est disponible que pour les voisins eBGP, lorsque l'ASN local et l'ASN avoisinant sont différents. Avec iBGP, lorsque les deux ASN sont identiques, plusieurs tronçons sont désactivés par défaut. Ce champ n'est alors pas configurable.
      Autoriser AS (Allow AS) Cochez cette case pour autoriser la réception et le traitement des routes BGP, même si le dispositif Edge détecte son propre ASN dans le chemin AS.
      Route par défaut (Default Route) La route par défaut ajoute une instruction réseau dans la configuration BGP pour annoncer la route par défaut au voisin.
      Activer BFD (Enable BFD) Active l'abonnement à une session BFD existante pour le voisin BGP.
      Note : La session BFD à un seul tronçon n'est pas prise en charge pour BGP sur IPsec avec les voisins NSD. Toutefois, BFD à tronçons multiples est pris en charge. L'adresse IP locale est obligatoire pour les sessions NSD-BGP sur le dispositif SD-WAN Edge. Celui-ci gère uniquement les adresses IP de l'interface connectée en tant que BFD à un seul tronçon.
      Survie (Keep Alive) Entrez le temporisateur de survie en secondes, qui correspond à la durée entre les messages de survie envoyés à l'homologue. La plage est comprise entre 0 et 65 535 secondes. La valeur par défaut est de 60 secondes.
      Temporisateur de retenue (Hold Timer) Entrez le temporisateur de retenue en secondes. Lorsque le message de survie n'est pas reçu pendant la période spécifiée, l'homologue est considéré comme inactif. La plage est comprise entre 0 et 65 535 secondes. La valeur par défaut est de 180 secondes.
      Connecter (Connect) Entrez l'intervalle de temps en secondes pour tester une nouvelle connexion TCP avec l'homologue s'il détecte que la session TCP n'est pas passive. La valeur par défaut est de 120 secondes.
      Authentification MD5 (MD5 Auth) Cochez cette case pour activer l'authentification MD5 de BGP. Cette option est utilisée dans un réseau hérité ou fédéral, et l'utilisation de l'authentification MD5 de BGP comme protection de la sécurité pour l'appairage BGP est courante.
      Mot de passe MD5 (MD5 Password) Entrez un mot de passe pour l'authentification MD5. Le mot de passe ne doit pas contenir le caractère $ suivi de chiffres. Par exemple, $1, $123, motdepasse$123 sont des entrées non valides.
      Note : L'authentification MD5 échoue si le mot de passe contient le caractère $ suivi de chiffres.
      Note : Sur BGP à tronçons multiples, le système peut apprendre les routes qui nécessitent une recherche récursive. Ces routes disposent d'une adresse IP de tronçon suivant qui ne se trouve pas dans un sous-réseau connecté et qui ne comporte aucune interface de sortie valide. Dans ce cas, l'adresse IP de tronçon suivant des routes doit être résolue à l'aide d'une autre route dans la table de routage qui dispose d'une interface de sortie. En cas de trafic pour une destination pour laquelle ces routes doivent être recherchées, les routes nécessitant une recherche récursive sont résolues en une interface et une adresse IP du tronçon suivant connectées. Tant que la résolution récursive n'a pas lieu, les routes récursives pointent vers une interface intermédiaire. Pour plus d'informations, reportez-vous à la section Routes BGP à tronçons multiples.
    2. Cliquez sur Avancé (Advanced) pour configurer les paramètres suivants.
      Note : Les paramètres avancés sont partagés entre les voisins BGP de sous-couche et les voisins BGP de NSD.
      Option Description
      Préfixe de superposition (Overlay Prefix) Cochez cette case pour redistribuer les préfixes appris de la superposition.
      Désactiver la transmission AS-Path (Turn off AS-Path carry over) Par défaut, cette option reste décochée. Cochez cette case pour désactiver la transmission AS-PATH. Dans certaines topologies, la désactivation de la transmission AS-PATH influence l'AS-PATH sortant pour que les routeurs L3 optent pour un chemin vers un dispositif Edge ou un Hub.
      Avertissement : Lorsque l'option Transmission AS-PATH (AS-PATH Carry Over) est désactivée, réglez votre réseau pour éviter les boucles de routage.
      Routes connectées (Connected Routes) Cochez cette case pour redistribuer tous les sous-réseaux de l'interface connectée.
      OSPF Cochez cette case pour activer la redistribution OSPF dans BGP.
      Définir la mesure (Set Metric) Lorsque vous activez OSPF, entrez la mesure BGP pour les routes OSPF redistribuées. La valeur par défaut est de 20.
      Route par défaut (Default Route)

      Cochez cette case pour redistribuer la route par défaut uniquement lorsque le dispositif Edge apprend les routes BGP via la superposition ou la sous-couche.

      Lorsque vous sélectionnez l'option Route par défaut (Default Route), l'option Annoncer (Advertise) est disponible avec l'état Conditionnel (Conditional).

      Préfixes de superposition via la liaison montante (Overlay Prefixes over Uplink) Cochez cette case pour propager les routes apprises à partir de la superposition vers le voisin avec l'indicateur de liaison montante.
      Réseaux (Networks) Entrez l'adresse réseau que BGP annoncera aux homologues. Cliquez sur l'icône Plus (+) pour ajouter d'autres adresses réseau.
      Lorsque vous activez l'option Route par défaut (Default Route), les routes BGP sont annoncées en fonction de la sélection globale de la route par défaut et par voisin BGP, comme indiqué dans le tableau suivant.
      Sélection de la route par défaut Options d'annonce
      Global Par voisin BGP
      Oui Oui La configuration par voisin BGP remplace la configuration globale et, par conséquent, la route par défaut est toujours annoncée à l'homologue BGP.
      Oui Non BGP redistribue la route par défaut vers son voisin uniquement lorsque le dispositif Edge apprend une route par défaut explicite via le réseau de superposition ou de sous-couche.
      Non Oui La route par défaut est toujours annoncée à l'homologue BGP.
      Non Non La route par défaut n'est pas annoncée à l'homologue BGP.
  8. Cliquez sur OK pour enregistrer les filtres configurés et les voisins NSD.

    La section Paramètres BGP (BGP Settings) affiche les paramètres configurés.

  9. Cliquez sur Enregistrer les modifications (Save Changes) dans l'écran Périphérique (Device) pour enregistrer la configuration.