Vous pouvez configurer les paramètres BGP pour les passerelles Passerelles SD-WAN Gateway sur des tunnels IPsec.

À propos de cette tâche :

Seul eBGP est pris en charge avec BGP sur IPsec.
Note : Il est recommandé d'utiliser eBGP entre les sites SD-WAN Gateway et NSD. Si iBGP est utilisé, l'application de la préférence locale ne fonctionne pas avec le filtre sortant. Dans ce cas, le client doit choisir des options de préfixe de chemin AS ou de mesure pour obtenir le routage souhaité.

VMware permet aux utilisateurs d'entreprise de définir et de configurer une instance de destination non-SD-WAN afin d'établir un tunnel IPsec sécurisé vers une destination non-SD-WAN via une passerelle SD-WAN Gateway.

Note : Pour la version 5.2, lorsque plusieurs NSD sont configurées pour le même segment, le même ensemble de configurations de routes résumées doit être présent sur toutes les NSD.
Avant de commencer :
Note : La fonctionnalité d'automatisation d'Azure vWAN provenant de la passerelle n'est pas compatible avec BGP sur IPsec. Cela est dû au fait que seules les routes statiques sont prises en charge lors de l'automatisation de la connectivité entre une passerelle et une instance d'Azure vWAN.

Assurez-vous que vous avez configuré les éléments suivants :

Note : Il est recommandé d'activer Calcul du coût distribué (Distributed Cost Calculation) pour améliorer les performances et la montée en charge lors de l'utilisation de BGP sur IPsec via une passerelle. L'option Calcul du coût distribué (Distributed Cost Calculation) est prise en charge à partir de la version 3.4.0.

Pour plus d'informations sur Calcul du coût distribué (Distributed Cost Calculation) reportez-vous à la section Configurer le calcul du coût distribué du Guide de l'opérateur de VMware SD-WAN disponible à l'adresse https://docs.vmware.com/fr/VMware-SD-WAN/index.html.

Procédure
  1. Accédez à Configurer (Configure) > Services réseau (Network Services), puis, sous Destinations non-SD-WAN (Non SD-WAN Destinations), développez Destinations non-SD-WAN via une passerelle (Non SD-WAN Destinations via Gateway).
    Note : L'option Nouvelle NSD via la passerelle (New NSD via Gateway) s'affiche uniquement lorsque le tableau ne contient aucun élément. Suivez les étapes 2 et 3 pour créer une destination non-SD-WAN.

  2. Cliquez sur + Nouveau (+ New) pour créer une destination non-SD-WAN.

    La boîte de dialogue Destinations non-SD-WAN via une passerelle (Non SD-WAN Destinations via Gateway) s'affiche, comme indiqué sur l'image ci-dessous.

  3. Dans la zone Destinations non-SD-WAN via une passerelle (Non SD-WAN Destinations via Gateway) (voir l'image ci-dessus), configurez les champs suivants, comme décrit dans le tableau ci-dessous.
    Option Description
    Nom (Name) Entrez un nom pour la Destination non-SD-WAN (Non SD-WAN Destination) dans la zone de texte.
    Type Sélectionnez un type de tunnel IPsec dans le menu déroulant.
    Passerelle VPN principale (Primary VPN Gateway) Entrer une adresse IP valide
    Passerelle VPN secondaire (Secondary VPN Gateway) Entrez une adresse IP valide. Ce champ est facultatif

    Les destinations non-SD-WAN via une passerelle sont créées, comme indiqué sur l'image ci-dessous.

  4. Dans la zone Destination non-SD-WAN via une passerelle (Non SD-WAN Destination via Gateway), faites glisser la barre grise vers l'extrême droite de la colonne BGP.

    Cliquez sur le lien Modifier (Edit) dans la colonne BGP.

    Si le lien Modifier (Edit) ne s'affiche pas sous la colonne BGP, reportez-vous à la section intitulée « Configurer un tunnel entre un site distant et des destinations non-SD-WAN via un dispositif Edge » pour activer un dispositif Edge vers une destination non-SD-WAN via une passerelle.

    Lorsque vous cliquez sur le lien Modifier (Edit) sous la colonne BGP, la boîte de dialogue Modifier BGP (Edit BGP) s'affiche.

  5. Basculez la case d'option BGP activé (BGP Activated) vers la droite pour la passer en vert.
  6. Cliquez sur + Ajouter (+ Add) pour créer un ou plusieurs filtres. Ces filtres sont appliqués au neighbor pour refuser ou modifier les attributs de la route. Vous pouvez utiliser le même filtre pour plusieurs neighbors.
  7. Configurez les options dans la zone Liste de filtres (Filter List), comme décrit dans le tableau ci-dessous.
    Option Description
    Nom du filtre (Filter Name) Entrez un nom descriptif pour le filtre BGP.
    Type de correspondance et valeur (Match Type and Value)

    Choisissez le type des routes à faire correspondre avec le filtre :

    • Préfixe pour IPv4 ou IPv6 (Prefix for IPv4 or IPv6) : choisissez de faire correspondre un préfixe pour l'adresse IPv4 ou IPv6 et entrez

    l'adresse IP de préfixe correspondante dans le champ Valeur (Value).

    • Communauté (Community) : choisissez une correspondance avec une communauté et entrez la chaîne de communauté dans le champ Valeur (Value).
    Correspondance exacte (Exact Match) L'action de filtre n'est effectuée que lorsque les routes BGP correspondent exactement au préfixe ou à la chaîne de communauté spécifié. Par défaut, cette option est activée.
    Type d'action (Action Type) Choisissez l'action à exécuter lorsque les routes BGP correspondent au préfixe ou à la chaîne de communauté spécifié. Vous pouvez autoriser ou refuser le trafic.
    Ensemble d'actions (Action Set) Lorsque les routes BGP correspondent aux critères spécifiés, vous pouvez définir la valeur pour router le trafic vers un réseau en fonction des attributs du chemin. Sélectionnez l'une des options suivantes dans la liste déroulante :
    • Aucun (None) : les attributs des routes correspondantes restent identiques.
    • Préférence locale (Local Preference) : le trafic correspondant est routé vers le chemin avec la préférence locale spécifiée.
    • Communauté (Community) : les routes correspondantes sont filtrées selon la chaîne de communauté spécifiée. Vous pouvez également cocher la case Additif de la communauté (Community Additive) pour activer l'option d'additif, ce qui ajoute la valeur de communauté aux communautés existantes.
    • Mesure (Metric) : le trafic correspondant est routé vers le chemin avec la valeur de mesure spécifiée.
    • Préfixe de AS-Path (AS-Path-Prepend) : autorise l'ajout d'un préfixe à plusieurs entrées du système autonome (AS) à une route BGP.
  8. Cliquez sur l'icône plus (+) pour ajouter des règles de correspondance supplémentaires pour le filtre. Répétez la procédure pour créer d'autres filtres.

    Les filtres configurés s'affichent dans la zone Liste de filtres (Filter List).

  9. Dans la fenêtre Éditeur BGP (BGP Editor), configurez les paramètres BGP des passerelles principale et secondaire.
    Note : L'option Passerelle secondaire (Secondary Gateway) n'est disponible que si vous avez configuré une passerelle secondaire pour la destination non-SD-WAN correspondante.
    Note : Pour un déploiement client dans lequel une destination non-VMware SD-WAN (NSD) via une passerelle est configurée pour utiliser des tunnels redondants, le tunnel NSD principal préfère un chemin de passerelle redondante sur la passerelle principale si les passerelles principale et secondaire annoncent un préfixe avec un chemin AS égal aux tunnels NSD principal et secondaire. L'incidence de la NSD principale sur le tunnel de passerelle préférant le chemin de passerelle redondante à la passerelle principale ne se produit que pour le trafic de retour vers la passerelle à partir de la NSD.

    Si vous ne souhaitez pas que votre routeur BGP préfère la passerelle redondante, la solution consiste à configurer le préfixe AS-PATH et à définir le filtre de mesure sur une mesure supérieure (3 ou plus) pour le préfixe annoncé dans la passerelle redondante. Cela garantit que le tunnel principal de la NSD choisit la passerelle principale pour le trafic de retour.

  10. Dans la section Passerelle de cloud principale (Primary Cloud Gateway), entrez l'ASN local et l'ID du routeur.
  11. Faites défiler l'écran vers le bas d'une zone Neighbors et cliquez sur + Ajouter (+ Add).
  12. Configurez les paramètres suivants dans la zone Neighbors, comme décrit dans le tableau ci-dessous.
    Option Description
    ASN local (Local ASN) Entrez le numéro de système autonome (ASN) local
    ID de routeur (Router ID) Entrez l'ID de routeur BGP.
    Adresse IP du Neighbor (Neighbor IP) Entrez l'adresse IP du BGP Neighbor
    ASN Entrez l'ASN du neighbor
    Filtre entrant (Inbound Filter) Sélectionner un filtre entrant dans la liste déroulante
    Filtre sortant (Outbound Filter) Sélectionnez un filtre sortant dans la liste déroulante
    Options supplémentaires (Additional Options) : cliquez sur le lien Tout afficher (View all) pour configurer les paramètres supplémentaires suivants :
    Adresse IP locale (Local IP) L'adresse IP locale est équivalente à une adresse IP Loopback. Entrez une adresse IP que les voisinages BGP peuvent utiliser comme adresse IP source pour les paquets sortants.
    Max-hop Entrez le nombre maximal de tronçons pour activer Multi-hop pour les homologues BGP. Pour la version 5.1 et les versions ultérieures, la plage est comprise entre 2 et 255, et la valeur par défaut est de 2.
    Note : Lors de la mise à niveau vers la version 5.1, toute valeur max-hop de 1 est automatiquement mise à jour vers une valeur max-hop de 2.
    Note : Ce champ n'est disponible que pour les eBGP Neighbors, lorsque l'ASN local et l'ASN avoisinant sont différents.
    Autoriser AS (Allow AS) Cochez cette case pour autoriser la réception et le traitement des routes BGP, même si la passerelle détecte son propre ASN dans le AS-Path (AS-Path).
    Route par défaut (Default Route) La route par défaut ajoute une instruction réseau dans la configuration BGP pour annoncer la route par défaut au neighbor.
    Activer BFD (Enable BFD) Active l'abonnement à la session BFD existante pour le BGP Neighbor.
    Keep-Alive (Keep Alive) Entrez le Keep-alive Timer en secondes, qui correspond à la durée entre les messages keep-alive envoyés au peer. La plage est comprise entre 1 et 65 535 secondes. La valeur par défaut est de 60 secondes.
    Hold Timer Entrez le Hold Timer en secondes. Lorsque le message keep-alive n'est pas reçu pendant la période spécifiée, le peer est considéré comme inactif. La plage est comprise entre 1 et 65 535 secondes. La valeur par défaut est de 180 secondes.
    Connecter (Connect) Entrez l'intervalle de temps pour tester une nouvelle connexion TCP avec le peer s'il détecte que la session TCP n'est pas passive. La valeur par défaut est de 120 secondes.
    Authentification MD5 (MD5 Auth) Cochez la case pour activer l'authentification MD5 de BGP. Cette option est utilisée dans un réseau hérité ou fédéral, ainsi que comme protection de la sécurité pour l'homologation BGP.
    Mot de passe MD5 (MD5 Password) Entrez un mot de passe pour l'authentification MD5.
    Note : À partir de la version 4.5, l'utilisation du caractère spécial « < » dans le mot de passe n'est plus prise en charge. Si les utilisateurs ont déjà utilisé « < » dans leurs mots de passe dans les versions précédentes, ils doivent le supprimer pour enregistrer les modifications sur la page.

    Les neighbors configurés s'affichent dans la zone Neighbors.

    Cliquez sur Enregistrer les modifications (Save Changes) pour enregistrer toutes les modifications.

    Note : Sur BGP multi-hop, le système peut apprendre les routes qui nécessitent une recherche récursive. Ces routes disposent d'une adresse IP de next-hop qui ne se trouve pas dans un sous-réseau connecté et qui ne comporte aucune interface de sortie valide. Dans ce cas, l'adresse IP de next-hop des routes doit être résolue à l'aide d'une autre route dans la table de routage qui dispose d'une interface de sortie. En cas de trafic pour une destination pour laquelle ces routes doivent être recherchées, les routes nécessitant une recherche récursive sont résolues en une interface et une adresse IP next-hop connectées. Tant que la résolution récursive n'a pas lieu, les routes récursives pointent vers une interface intermédiaire. Pour plus d'informations sur les routes BGP multi-hop, reportez-vous à la section « Tests de diagnostic à distance sur les dispositifs Edge » du Guide de dépannage de VMware SD-WAN publié sur https://docs.vmware.com/fr/VMware-SD-WAN/index.html.

    Résumé de la route (Route Summarization)

    La fonctionnalité de résumé de la route (Route Summarization) est disponible dans la version 5.2. Pour obtenir une présentation et un cas d'utilisation de cette fonctionnalité, reportez-vous à la section Résumé de la route. Pour plus d'informations sur la configuration, suivez les étapes ci-dessous.

  13. Faites défiler l'écran vers le bas jusqu'à la zone Résumé de la route (Route Summarization).
  14. Cliquez sur + Ajouter (+ Add) dans la zone Résumé de la route (Route Summarization). Une nouvelle ligne est ajoutée à la zone Résumé de la route (Route Summarization).

    Configurez le résumé de la route, comme décrit dans le tableau ci-dessous.

    Option Description
    Nom du filtre (Filter Name) Entrez un nom descriptif pour le filtre BGP.
    Sous-réseau (Subnet) Entrez le sous-réseau IP.
    AS défini (AS Set) Générez des informations du chemin AS défini en tant que routes résumées (lors de l'annonce de la route résumée à la Peer Address). Sous la colonne AS défini (AS Set), cochez la case Oui (Yes), le cas échéant.
    Résumé uniquement (Summary Only) Cochez la case Oui (Yes) pour autoriser uniquement l'envoi de la route résumée.
  15. Ajoutez des routes supplémentaires, si nécessaire, en cliquant sur + Ajouter (+ Add). Pour cloner ou supprimer un résumé des routes, utilisez les boutons appropriés situés en regard de l'option + Ajouter (+Add).

    La section Paramètres BGP (BGP Settings) affiche les paramètres de configuration BGP.

  16. Lorsque vous avez terminé, cliquez sur Enregistrer les modifications (Save Changes) pour enregistrer la configuration.