Vous pouvez configurer les paramètres BGP pour les passerelles Passerelles SD-WAN Gateway sur des tunnels IPsec.
À propos de cette tâche :
VMware permet aux utilisateurs d'entreprise de définir et de configurer une instance de destination non-SD-WAN afin d'établir un tunnel IPsec sécurisé vers une destination non-SD-WAN via une passerelle SD-WAN Gateway.
Assurez-vous que vous avez configuré les éléments suivants :
- Créez une Destination non-SD-WAN via une passerelle pour l'un des sites suivants :
- Configurer une Destination non-SD-WAN de type passerelle VPN d'AWS
- Configurer une destination non-SD-WAN de type Check Point
- Configurer une destination non-SD-WAN de type Cisco ASA
- Configurer une instance de Destination non-SD-WAN de type Cisco ISR
- Configurer une Destination non-SD-WAN de type routeur IKEv2 générique (VPN basé sur une route)
- Configurer une destination non-SD-WAN de type Hub virtuel Microsoft Azure
- Configurer une destination non-SD-WAN de type Palo Alto
- Configurer une destination non-SD-WAN de type SonicWALL
- Configurer une destination non-SD-WAN de type Zscaler
- Configurer une destination non-SD-WAN de type routeur IKEv1 générique (VPN basé sur une route)
- Configurer une destination non-SD-WAN de type pare-feu générique (VPN basé sur la stratégie)
- Associez le Destination non-SD-WAN à un profil. Reportez-vous à la section Configurer un tunnel entre un site distant et des destinations non-SD-WAN via une passerelle.
Pour plus d'informations sur Calcul du coût distribué (Distributed Cost Calculation) reportez-vous à la section Configurer le calcul du coût distribué du Guide de l'opérateur de VMware SD-WAN disponible à l'adresse https://docs.vmware.com/fr/VMware-SD-WAN/index.html.
- Accédez à Configurer (Configure) > Services réseau (Network Services), puis, sous Destinations non-SD-WAN (Non SD-WAN Destinations), développez Destinations non-SD-WAN via une passerelle (Non SD-WAN Destinations via Gateway).
Note : L'option Nouvelle NSD via la passerelle (New NSD via Gateway) s'affiche uniquement lorsque le tableau ne contient aucun élément. Suivez les étapes 2 et 3 pour créer une destination non-SD-WAN.
- Cliquez sur + Nouveau (+ New) pour créer une destination non-SD-WAN.
La boîte de dialogue Destinations non-SD-WAN via une passerelle (Non SD-WAN Destinations via Gateway) s'affiche, comme indiqué sur l'image ci-dessous.
- Dans la zone Destinations non-SD-WAN via une passerelle (Non SD-WAN Destinations via Gateway) (voir l'image ci-dessus), configurez les champs suivants, comme décrit dans le tableau ci-dessous.
Option Description Nom (Name) Entrez un nom pour la Destination non-SD-WAN (Non SD-WAN Destination) dans la zone de texte. Type Sélectionnez un type de tunnel IPsec dans le menu déroulant. Mode tunnel (Tunnel Mode) Le mode Actif/Veille à chaud (Active/Hot-Standby) prend en charge la configuration de 2 points de terminaison de tunnel ou passerelles au maximum. Le mode Actif/Actif (Active/Active) prend en charge la configuration de 4 points de terminaison de tunnel ou passerelles au maximum. Tous les tunnels actifs peuvent envoyer et recevoir du trafic via ECMP. Passerelle VPN 1 Entrer une adresse IP valide Passerelle VPN 2 Entrez une adresse IP valide. Ce champ est facultatif Les destinations non-SD-WAN via une passerelle sont créées, comme indiqué sur l'image ci-dessous.
- Dans la zone Destination non-SD-WAN via une passerelle (Non SD-WAN Destination via Gateway), faites glisser la barre grise vers l'extrême droite de la colonne BGP.
Cliquez sur le lien Modifier (Edit) dans la colonne BGP.
Si le lien Modifier (Edit) ne s'affiche pas sous la colonne BGP, reportez-vous à la section intitulée « Configurer un tunnel entre un site distant et des destinations non-SD-WAN via un dispositif Edge » pour activer un dispositif Edge vers une destination non-SD-WAN via une passerelle.
Lorsque vous cliquez sur le lien Modifier (Edit) sous la colonne BGP, la boîte de dialogue Modifier BGP (Edit BGP) s'affiche.
- Basculez la case d'option BGP activé (BGP Activated) vers la droite pour la passer en vert.
- Cliquez sur + Ajouter (+ Add) pour créer un ou plusieurs filtres. Ces filtres sont appliqués au neighbor pour refuser ou modifier les attributs de la route. Vous pouvez utiliser le même filtre pour plusieurs neighbors.
- Configurez les options dans la zone Liste de filtres (Filter List), comme décrit dans le tableau ci-dessous.
Option Description Nom du filtre (Filter Name) Entrez un nom descriptif pour le filtre BGP. Type de correspondance et valeur (Match Type and Value) Choisissez le type des routes à faire correspondre avec le filtre :
- Préfixe pour IPv4 ou IPv6 (Prefix for IPv4 or IPv6) : choisissez de faire correspondre un préfixe pour l'adresse IPv4 ou IPv6 et entrez
l'adresse IP de préfixe correspondante dans le champ Valeur (Value).
- Communauté (Community) : choisissez une correspondance avec une communauté et entrez la chaîne de communauté dans le champ Valeur (Value).
Correspondance exacte (Exact Match) L'action de filtre n'est effectuée que lorsque les routes BGP correspondent exactement au préfixe ou à la chaîne de communauté spécifié. Par défaut, cette option est activée. Type d'action (Action Type) Choisissez l'action à exécuter lorsque les routes BGP correspondent au préfixe ou à la chaîne de communauté spécifié. Vous pouvez autoriser ou refuser le trafic. Ensemble d'actions (Action Set) Lorsque les routes BGP correspondent aux critères spécifiés, vous pouvez définir la valeur pour router le trafic vers un réseau en fonction des attributs du chemin. Sélectionnez l'une des options suivantes dans la liste déroulante : - Aucun (None) : les attributs des routes correspondantes restent identiques.
- Préférence locale (Local Preference) : le trafic correspondant est routé vers le chemin avec la préférence locale spécifiée.
- Communauté (Community) : les routes correspondantes sont filtrées selon la chaîne de communauté spécifiée. Vous pouvez également cocher la case Additif de la communauté (Community Additive) pour activer l'option d'additif, ce qui ajoute la valeur de communauté aux communautés existantes.
- Mesure (Metric) : le trafic correspondant est routé vers le chemin avec la valeur de mesure spécifiée.
- Préfixe de AS-Path (AS-Path-Prepend) : autorise l'ajout d'un préfixe à plusieurs entrées du système autonome (AS) à une route BGP.
- Cliquez sur l'icône plus (+) pour ajouter des règles de correspondance supplémentaires pour le filtre. Répétez la procédure pour créer d'autres filtres.
Les filtres configurés s'affichent dans la zone Liste de filtres (Filter List).
Note : Ces BGP Neighbors sont attribués à leurs tunnels respectifs exclusivement pour l'établissement du voisinage et les échanges de contrôle ultérieurs, garantissant ainsi que ces communications se produisent uniquement sur les tunnels désignés. - Dans la fenêtre Éditeur BGP (BGP Editor), configurez les paramètres BGP des passerelles principale et secondaire.
Note : L'option Passerelle secondaire (Secondary Gateway) n'est disponible que si vous avez configuré une passerelle secondaire pour la destination non-SD-WAN correspondante.Note : Pour un déploiement client dans lequel une destination non-VMware SD-WAN (NSD) via une passerelle est configurée pour utiliser des tunnels redondants, le tunnel NSD principal préfère un chemin de passerelle redondante sur la passerelle principale si les passerelles principale et secondaire annoncent un préfixe avec un chemin AS égal aux tunnels NSD principal et secondaire. L'incidence de la NSD principale sur le tunnel de passerelle préférant le chemin de passerelle redondante à la passerelle principale ne se produit que pour le trafic de retour vers la passerelle à partir de la NSD.
Si vous ne souhaitez pas que votre routeur BGP préfère la passerelle redondante, la solution consiste à configurer le préfixe AS-PATH et à définir le filtre de mesure sur une mesure supérieure (3 ou plus) pour le préfixe annoncé dans la passerelle redondante. Cela garantit que le tunnel principal de la NSD choisit la passerelle principale pour le trafic de retour.
- Dans la section Passerelle de cloud principale (Primary Cloud Gateway), entrez l'ASN local et l'ID du routeur.
- Faites défiler l'écran vers le bas d'une zone Neighbors et cliquez sur + Ajouter (+ Add).
- Configurez les paramètres suivants dans la zone Neighbors, comme décrit dans le tableau ci-dessous.
Option Description ASN local (Local ASN) Entrez le numéro de système autonome (ASN) local ID de routeur (Router ID) Entrez l'ID de routeur BGP. Adresse IP du Neighbor (Neighbor IP) Entrez l'adresse IP du BGP Neighbor ASN Entrez l'ASN du neighbor Filtre entrant (Inbound Filter) Sélectionner un filtre entrant dans la liste déroulante Filtre sortant (Outbound Filter) Sélectionnez un filtre sortant dans la liste déroulante Options supplémentaires (Additional Options) : cliquez sur le lien Tout afficher (View all) pour configurer les paramètres supplémentaires suivants : Adresse IP locale (Local IP) L'adresse IP locale est équivalente à une adresse IP Loopback. Entrez une adresse IP que les voisinages BGP peuvent utiliser comme adresse IP source pour les paquets sortants. Max-hop Entrez le nombre maximal de tronçons pour activer Multi-hop pour les homologues BGP. Pour la version 5.1 et les versions ultérieures, la plage est comprise entre 2 et 255, et la valeur par défaut est de 2. Note : Lors de la mise à niveau vers la version 5.1, toute valeur max-hop de 1 est automatiquement mise à jour vers une valeur max-hop de 2.Note : Ce champ n'est disponible que pour les eBGP Neighbors, lorsque l'ASN local et l'ASN avoisinant sont différents.Autoriser AS (Allow AS) Cochez cette case pour autoriser la réception et le traitement des routes BGP, même si la passerelle détecte son propre ASN dans le AS-Path (AS-Path). Route par défaut (Default Route) La route par défaut ajoute une instruction réseau dans la configuration BGP pour annoncer la route par défaut au neighbor. Activer BFD (Enable BFD) Active l'abonnement à la session BFD existante pour le BGP Neighbor. Keep-Alive (Keep Alive) Entrez le Keep-alive Timer en secondes, qui correspond à la durée entre les messages keep-alive envoyés au peer. La plage est comprise entre 1 et 65 535 secondes. La valeur par défaut est de 60 secondes. Hold Timer Entrez le Hold Timer en secondes. Lorsque le message keep-alive n'est pas reçu pendant la période spécifiée, le peer est considéré comme inactif. La plage est comprise entre 1 et 65 535 secondes. La valeur par défaut est de 180 secondes. Connecter (Connect) Entrez l'intervalle de temps pour tester une nouvelle connexion TCP avec le peer s'il détecte que la session TCP n'est pas passive. La valeur par défaut est de 120 secondes. Authentification MD5 (MD5 Auth) Cochez la case pour activer l'authentification MD5 de BGP. Cette option est utilisée dans un réseau hérité ou fédéral, ainsi que comme protection de la sécurité pour l'homologation BGP. Mot de passe MD5 (MD5 Password) Entrez un mot de passe pour l'authentification MD5. Note : À partir de la version 4.5, l'utilisation du caractère spécial « < » dans le mot de passe n'est plus prise en charge. Si les utilisateurs ont déjà utilisé « < » dans leurs mots de passe dans les versions précédentes, ils doivent le supprimer pour enregistrer les modifications sur la page.Les neighbors configurés s'affichent dans la zone Neighbors.
Cliquez sur Enregistrer les modifications (Save Changes) pour enregistrer toutes les modifications.
Note : Sur BGP multi-hop, le système peut apprendre les routes qui nécessitent une recherche récursive. Ces routes disposent d'une adresse IP de next-hop qui ne se trouve pas dans un sous-réseau connecté et qui ne comporte aucune interface de sortie valide. Dans ce cas, l'adresse IP de next-hop des routes doit être résolue à l'aide d'une autre route dans la table de routage qui dispose d'une interface de sortie. En cas de trafic pour une destination pour laquelle ces routes doivent être recherchées, les routes nécessitant une recherche récursive sont résolues en une interface et une adresse IP next-hop connectées. Tant que la résolution récursive n'a pas lieu, les routes récursives pointent vers une interface intermédiaire. Pour plus d'informations sur les routes BGP multi-hop, reportez-vous à la section « Tests de diagnostic à distance sur les dispositifs Edge » du Guide de dépannage de VMware SD-WAN publié sur https://docs.vmware.com/fr/VMware-SD-WAN/index.html.Résumé de la route (Route Summarization)
La fonctionnalité de résumé de la route (Route Summarization) est disponible dans la version 5.2. Pour obtenir une présentation et un cas d'utilisation de cette fonctionnalité, reportez-vous à la section Résumé de la route. Pour plus d'informations sur la configuration, suivez les étapes ci-dessous.
- Faites défiler l'écran vers le bas jusqu'à la zone Résumé de la route (Route Summarization).
- Cliquez sur + Ajouter (+ Add) dans la zone Résumé de la route (Route Summarization). Une nouvelle ligne est ajoutée à la zone Résumé de la route (Route Summarization).
Configurez le résumé de la route, comme décrit dans le tableau ci-dessous.
Option Description Nom du filtre (Filter Name) Entrez un nom descriptif pour le filtre BGP. Sous-réseau (Subnet) Entrez le sous-réseau IP. AS défini (AS Set) Générez des informations du chemin AS défini en tant que routes résumées (lors de l'annonce de la route résumée à la Peer Address). Sous la colonne AS défini (AS Set), cochez la case Oui (Yes), le cas échéant. Résumé uniquement (Summary Only) Cochez la case Oui (Yes) pour autoriser uniquement l'envoi de la route résumée. - Ajoutez des routes supplémentaires, si nécessaire, en cliquant sur + Ajouter (+ Add). Pour cloner ou supprimer un résumé des routes, utilisez les boutons appropriés situés en regard de l'option + Ajouter (+Add).
La section Paramètres BGP (BGP Settings) affiche les paramètres de configuration BGP.
- Lorsque vous avez terminé, cliquez sur Enregistrer les modifications (Save Changes) pour enregistrer la configuration.
- Seules les passerelles exécutant la version 6.0 ou ultérieure offrent une option permettant de configurer jusqu'à 4 tunnels en fonction du type de VPN. En outre, ces tunnels destinés à être des passerelles non-SD-WAN peuvent fonctionner en mode AA ou A-HS pour répondre aux préférences de partage/support de charge de l'utilisateur.
- Pour les passerelles exécutant une version antérieure à la version 6.0, toutes les configurations Actif-Actif sont interprétées comme des configurations Actif/Veille à chaud, le tunnel 1 étant actif et le tunnel 2 étant en veille à chaud.