Configurer BGP sur IPsec à partir des passerelles

Vous pouvez configurer les paramètres BGP pour les passerelles Passerelles SD-WAN Gateway sur des tunnels IPsec.

Seul eBGP est pris en charge avec BGP sur IPsec.

Note : Il est recommandé d'utiliser eBGP entre les sites SD-WAN Gateway et NSD. Si iBGP est utilisé, l'application de la préférence locale ne fonctionne pas avec le filtre sortant. Dans ce cas, le client doit choisir des options de préfixe de chemin AS ou de mesure pour obtenir le routage souhaité.

Pour configurer les paramètres BGP d'une passerelle :

Conditions préalables

Note : La fonctionnalité d'automatisation d'Azure vWAN provenant de la passerelle n'est pas compatible avec BGP sur IPsec. Cela est dû au fait que seules les routes statiques sont prises en charge lors de l'automatisation de la connectivité entre une passerelle et une instance d'Azure vWAN.

Assurez-vous que vous avez configuré les éléments suivants :

Créez une Destination non-SD-WAN via une passerelle pour l'un des sites suivants :
Associez le Destination non-SD-WAN à un profil. Reportez-vous à la section Configurer un tunnel entre un site distant et des destinations non-SD-WAN via une passerelle.

Note : Il est recommandé d'activer Calcul du coût distribué (Distributed Cost Calculation) pour améliorer les performances et la montée en charge lors de l'utilisation de BGP sur IPsec via une passerelle. L'option Calcul du coût distribué (Distributed Cost Calculation) est prise en charge à partir de la version 3.4.0.

Pour plus d'informations sur Calcul du coût distribué (Distributed Cost Calculation) reportez-vous à la section Configurer le calcul du coût distribué du Guide de l'opérateur de VMware SD-WAN disponible à l'adresse https://docs.vmware.com/fr/VMware-SD-WAN/index.html.

Procédure

Dans le portail d'entreprise, cliquez sur Configurer (Configure) > Services réseau (Network Services).
Dans la zone Destinations non-SD-WAN via une passerelle (Non SD-WAN Destinations via Gateway), cliquez sur le lien Modifier (Edit) dans la colonne BGP qui correspond à la Destination non-SD-WAN.

Dans la fenêtre Éditeur BGP (BGP Editor), cliquez sur le curseur pour passer en position Actif (ON) pour configurer les paramètres BGP.

Cliquez sur Ajouter un filtre (Add Filter) pour créer un ou plusieurs filtres. Ces filtres sont appliqués au neighbor pour refuser ou modifier les attributs de la route. Vous pouvez utiliser le même filtre pour plusieurs neighbors.

Dans la fenêtre Créer un filtre BGP (Create BGP Filter), définissez les règles du filtre.


Option	Description
Nom du filtre (Filter Name)	Entrez un nom descriptif pour le filtre BGP.
Type de correspondance et valeur (Match Type and Value)	Choisissez le type des routes à faire correspondre avec le filtre : Préfixe (Prefix) : choisissez une correspondance avec un préfixe et entrez l'adresse IP du préfixe dans le champ Valeur (Value). Communauté (Community) : choisissez une correspondance avec une communauté et entrez la chaîne de communauté dans le champ Valeur (Value).
Correspondance exacte (Exact Match)	L'action de filtre n'est effectuée que lorsque les routes BGP correspondent exactement au préfixe ou à la chaîne de communauté spécifié. Par défaut, cette option est activée.
Type d'action (Action Type)	Choisissez l'action à exécuter lorsque les routes BGP correspondent au préfixe ou à la chaîne de communauté spécifié. Vous pouvez autoriser ou refuser le trafic.
Définir (Set)	Lorsque les routes BGP correspondent aux critères spécifiés, vous pouvez définir la valeur pour router le trafic vers un réseau en fonction des attributs du chemin. Sélectionnez l'une des options suivantes dans la liste déroulante : Aucun (None) : les attributs des routes correspondantes restent identiques. Préférence locale (Local Preference) : le trafic correspondant est routé vers le chemin avec la préférence locale spécifiée. Communauté (Community) : les routes correspondantes sont filtrées selon la chaîne de communauté spécifiée. Mesure (Metric) : le trafic correspondant est routé vers le chemin avec la valeur de mesure spécifiée. Préfixe de chemin AS (AS-Path-Prepend) : autorise l'ajout d'un préfixe à plusieurs entrées du système autonome (AS) à une route BGP.

Cliquez sur l'icône plus ( +) pour ajouter des règles de correspondance supplémentaires pour le filtre.

Cliquez sur OK.

Répétez la procédure pour créer davantage de filtres BGP.

Les filtres configurés s'affichent dans la fenêtre Éditeur BGP (BGP Editor).

Dans la fenêtre Éditeur BGP (BGP Editor), configurez les paramètres BGP des passerelles principale et secondaire.

Note : L'option Passerelle secondaire (Secondary Gateway) n'est disponible que si vous avez configuré une passerelle secondaire pour la Destination non-SD-WAN correspondante.

Note : Pour un déploiement client dans lequel une destination non-VMware SD-WAN (NSD) via une passerelle est configurée pour utiliser des tunnels redondants, le tunnel NSD principal préfère un chemin de passerelle redondante sur la passerelle principale si les passerelles principale et secondaire annoncent un préfixe avec un chemin AS égal aux tunnels NSD principal et secondaire. L'incidence de la NSD principale sur le tunnel de passerelle préférant le chemin de passerelle redondante à la passerelle principale ne se produit que pour le trafic de retour vers la passerelle à partir de la NSD.

Si vous ne souhaitez pas que votre routeur BGP préfère la passerelle redondante, la solution consiste à configurer le préfixe AS-PATH et à définir le filtre de mesure sur une mesure supérieure (3 ou plus) pour le préfixe annoncé dans la passerelle redondante. Cela garantit que le tunnel principal de la NSD choisit la passerelle principale pour le trafic de retour.


Option	Description
ASN local (Local ASN)	Entrez le numéro de système autonome (ASN) local
ID de routeur (Router ID)	Entrez l'ID de routeur BGP.
Adresse IP du Neighbor (Neighbor IP)	Entrez l'adresse IP du BGP Neighbor
ASN	Entrez l'ASN du neighbor
Filtre entrant (Inbound Filter)	Sélectionner un filtre entrant dans la liste déroulante
Filtre sortant (Outbound Filter)	Sélectionnez un filtre sortant dans la liste déroulante
Options supplémentaires (Additional Options) : cliquez sur le lien Tout afficher (View all) pour configurer les paramètres supplémentaires suivants :
Adresse IP locale (Local IP)	L'adresse IP locale est équivalente à une adresse IP Loopback. Entrez une adresse IP que les voisinages BGP peuvent utiliser comme adresse IP source pour les paquets sortants.
Max-hop	Entrez le nombre maximal de tronçons pour activer Multi-hop pour les homologues BGP. Pour la version 5.1 et les versions ultérieures, la plage est comprise entre 2 et 255, et la valeur par défaut est de 2. Note : Lors de la mise à niveau vers la version 5.1, toute valeur max-hop de 1 est automatiquement mise à jour vers une valeur max-hop de 2. Note : Ce champ n'est disponible que pour les eBGP Neighbors, lorsque l'ASN local et l'ASN avoisinant sont différents.
Autoriser AS (Allow AS)	Cochez cette case pour autoriser la réception et le traitement des routes BGP, même si la passerelle détecte son propre ASN dans le chemin AS.
Route par défaut (Default Route)	La route par défaut ajoute une instruction réseau dans la configuration BGP pour annoncer la route par défaut au neighbor.
Activer BFD (Enable BFD)	Active l'abonnement à la session BFD existante pour le BGP Neighbor.
Keep-Alive (Keep Alive)	Entrez le temporisateur keep-alive en secondes, qui correspond à la durée entre les messages keep-alive envoyés au peer. La plage est comprise entre 1 et 65 535 secondes. La valeur par défaut est de 60 secondes.
Hold Timer	Entrez le Hold Timer en secondes. Lorsque le message keep-alive n'est pas reçu pendant la période spécifiée, le peer est considéré comme inactif. La plage est comprise entre 1 et 65 535 secondes. La valeur par défaut est de 180 secondes.
Connecter (Connect)	Entrez l'intervalle de temps pour tester une nouvelle connexion TCP avec le peer s'il détecte que la session TCP n'est pas passive. La valeur par défaut est de 120 secondes.
Authentification MD5 (MD5 Auth)	Cochez cette case pour activer l'authentification MD5 de BGP. Cette option est utilisée dans un réseau hérité ou fédéral, ainsi que comme protection de la sécurité pour l'homologation BGP.
Mot de passe MD5 (MD5 Password)	Entrez un mot de passe pour l'authentification MD5.

Cliquez sur OK pour enregistrer les modifications.