Διαμόρφωση BGP μέσω IPsec από πύλες

Μπορείτε να διαμορφώσετε τις ρυθμίσεις BGP για Πύλες SD-WAN επί διοχετεύσεων IPSec.

Μόνο το eBGP υποστηρίζεται με BGP μέσω IPsec.

Σημείωση: Συνιστάται η χρήση του eBGP μεταξύ της πύλης SDWAN και των τοποθεσιών NSD. Εάν χρησιμοποιείται iBGP, η εφαρμογή τοπικής προτίμησης δεν λειτουργεί με το φίλτρο εξερχομένων. Σε αυτή την περίπτωση, ο πελάτης πρέπει να επιλέξει επιλογές μέτρησης ή πρόταξης διαδρομής AS για να επιτύχει επιθυμητή δρομολόγηση.

Για να διαμορφώσετε τις ρυθμίσεις BGP για μια πύλη:

Προϋποθέσεις

Σημείωση: Η δυνατότητα αυτοματισμού Azure vWAN από πύλη δεν είναι συμβατή με το BGP μέσω IPsec. Αυτό συμβαίνει επειδή υποστηρίζονται μόνο στατικές δρομολογήσεις κατά την αυτοματοποίηση της συνδεσιμότητας από μια πύλη σε ένα Azure vWAN.

Βεβαιωθείτε ότι έχετε διαμορφώσει τα ακόλουθα:

Δημιουργήστε ένα στοιχείο Προορισμός μη SD-WAN μέσω πύλης για έναν από τους παρακάτω ιστότοπους:
Συσχετίστε το στοιχείο Προορισμός μη SD-WAN με ένα προφίλ, δείτεΔιαμόρφωση διοχέτευσης μεταξύ μιας διακλάδωσης και προορισμού μη SD-WAN μέσω πύλης .

Σημείωση: Συνιστάται να ενεργοποιήσετε τον Υπολογισμό κατανεμημένου κόστους (Distributed Cost Calculation) για μέγιστη απόδοση και κλιμάκωση όταν χρησιμοποιείτε BGP μέσω IPsec μέσω πύλης. Ο Υπολογισμός κατανεμημένου κόστους(Distributed Cost Calculation ) υποστηρίζεται από την έκδοση 3.4.0. και μετά.

Για περισσότερες πληροφορίες σχετικά με τη δυνατότητα Υπολογισμός κατανεμημένου κόστους (Distributed Cost Calculation), ανατρέξτε στην ενότητα Διαμόρφωση υπολογισμού κατανεμημένου κόστους (Configure Distributed Cost Calculation) στον Οδηγό χειριστή VMware SD-WAN (VMware SD-WAN Operator Guide), ο οποίος διατίθεται στη διεύθυνση: https://docs.vmware.com/gr/VMware-SD-WAN/index.html.

Διαδικασία

Στην πύλη επιχείρησης, κάντε κλικ στις επιλογές Διαμόρφωση (Configure) > Υπηρεσίες δικτύου (Network Services).
Στην περιοχή Προορισμοί μη SD-WAN μέσω πύλης (Non SD-WAN Destinations via Gateway), κάντε κλικ στο σύνδεσμο Επεξεργασία (Edit) στη στήλη BGP που αντιστοιχεί στο στοιχείο Προορισμός μη SD-WAN.

Στο παράθυρο του Πρόγραμμα επεξεργασίας BGP (BGP Editor), κάντε κλικ στο ON για να διαμορφώσετε τις ρυθμίσεις BGP.

Κάντε κλικ στην Προσθήκη φίλτρου (Add Filter) για να δημιουργήσετε ένα ή περισσότερα φίλτρα. Αυτά τα φίλτρα εφαρμόζονται στον γείτονα για να αρνηθούν ή να αλλάξουν τα χαρακτηριστικά της δρομολόγησης. Το ίδιο φίλτρο μπορεί να χρησιμοποιηθεί για πολλούς γείτονες.

Στο παράθυρο Δημιουργία φίλτρου BGP (Create BGP Filter) ορίστε τους κανόνες για το φίλτρο.


Επιλογή	Περιγραφή
Όνομα φίλτρου (Filter Name)	Εισαγάγετε ένα περιγραφικό όνομα για το φίλτρο BGP.
Αντιστοίχιση Τύπου και Τιμής (Match Type and Value)	Επιλέξτε τον τύπο των δρομολογήσεων που θα αντιστοιχιστούν με το φίλτρο: Πρόθημα (Prefix): Επιλέξτε ένα αντίστοιχο πρόθημα και εισαγάγετε τη διεύθυνση IP του προθέματος στο πεδίο Τιμή (Value). Κοινότητα (Community): Επιλέξτε μια αντίστοιχη κοινότητα και εισαγάγετε τη συμβολοσειρά κοινότητας στο πεδίο Τιμή (Value).
Ακριβής αντιστοίχιση (Exact Match)	Η ενέργεια φίλτρου εκτελείται μόνο όταν οι δρομολογήσεις BGP ταιριάζουν ακριβώς με το καθορισμένο πρόθημα ή τη συμβολοσειρά κοινότητας. Από προεπιλογή, αυτή η επιλογή είναι ενεργοποιημένη.
Τύπος ενέργειας (Action Type)	Επιλέξτε την ενέργεια που θα εκτελεστεί όταν οι δρομολογήσεις BGP ταιριάζουν με το καθορισμένο πρόθημα ή τη συμβολοσειρά κοινότητας. Μπορείτε είτε να επιτρέψετε είτε να απορρίψετε την κυκλοφορία.
Ορισμός (Set)	Όταν οι δρομολογήσεις BGP ταιριάζουν με τα καθορισμένα κριτήρια, μπορείτε να ορίσετε τη δρομολόγηση της κυκλοφορίας σε ένα δίκτυο με βάση τα χαρακτηριστικά της διαδρομής. Επιλέξτε μία από τις ακόλουθες επιλογές από την αναπτυσσόμενη λίστα: Κανένα (None): Τα χαρακτηριστικά των δρομολογήσεων που αντιστοιχούν παραμένουν ίδια. Τοπική προτίμηση (Local Preference): Η κυκλοφορία που αντιστοιχεί δρομολογείται στη διαδρομή με την καθορισμένη τοπική προτίμηση. Κοινότητα (Community): Οι δρομολογήσεις που αντιστοιχούν φιλτράρονται από την καθορισμένη συμβολοσειρά κοινότητας. Μετρικό (Metric): Η κυκλοφορία που αντιστοιχεί δρομολογείται στη διαδρομή με την καθορισμένη τιμή μετρικού. Προσάρτηση διαδρομής AS (AS-Path-Prepend): Επιτρέπει την προσάρτηση πολλαπλών καταχωρήσεων του Αυτόνομου Συστήματος (AS) σε μια δρομολόγηση BGP.

Κάντε κλικ στο εικονίδιο συν ( +) για να προσθέσετε περισσότερους κανόνες αντιστοίχισης για το φίλτρο.

Κάντε κλικ στο OK.

Επαναλάβετε τη διαδικασία για να δημιουργήσετε περισσότερα φίλτρα BGP.

Τα διαμορφωμένα φίλτρα εμφανίζονται στο παράθυρο του Πρόγραμμα επεξεργασίας BGP (BGP Editor).

Στο παράθυρο του Πρόγραμμα επεξεργασίας BGP (BGP Editor), διαμορφώστε τις ρυθμίσεις BGP για την πρωτεύουσα και τη δευτερεύουσα πύλη.

Σημείωση: Η επιλογή Δευτερεύουσας πύλης είναι διαθέσιμη μόνο εάν έχετε διαμορφώσει μια δευτερεύουσα πύλη για το αντίστοιχο στοιχείο Προορισμός μη SD-WAN.

Σημείωση: Για μια ανάπτυξη πελατών, όπου ένας προορισμός μη VMware SD-WAN (NSD) μέσω πύλης έχει διαμορφωθεί να χρησιμοποιεί πλεονάζουσες διοχετεύσεις, εάν οι πρωτεύουσες και δευτερεύουσες πύλες κοινοποιούν ένα πρόθημα με ίση διαδρομή AS στις πρωτεύουσες και δευτερεύουσες διοχετεύσεις NSD, η πρωτεύουσα διοχέτευση NSD θα προτιμήσει μια διαδρομή πλεονάζουσας πύλης αντί για την πρωτεύουσα πύλη. Το γεγονός ότι το κύριο NSD μέσω διοχέτευσης πύλης προτιμά τη διαδρομή πλεονάζουσας πύλης αντί για την πρωτεύουσα πύλη επηρεάζει αποκλειστικά την κυκλοφορία επιστροφής στην πύλη από το NSD.

Εάν δεν θέλετε ο δρομολογητής BGP να προτιμά την πλεονάζουσα πύλη, η λύση είναι να διαμορφώσετε την πρόταξη AS-PATH και να ορίσετε το μετρικό φίλτρο σε υψηλότερη μέτρηση (3 ή περισσότερο) για το κοινοποιημένο πρόθημα στην πλεονάζουσα πύλη. Με αυτόν τον τρόπο διασφαλίζεται ότι η πρωτεύουσα διοχέτευση του NSD επιλέγει την πρωτεύουσα πύλη για την κυκλοφορία επιστροφής.


Επιλογή	Περιγραφή
Τοπικό ASN (Local ASN)	Εισαγάγετε τον τοπικό αριθμό αυτόνομου συστήματος (ASN)
Αναγνωριστικό δρομολογητή (Router ID)	Εισαγάγετε το αναγνωριστικό δρομολογητή BGP
Γειτονική IP (Neighbor IP)	Εισαγάγετε τη διεύθυνση IP του γειτονικού BGP
ASN	Εισαγάγετε το ASN του γείτονα
Φίλτρο εισερχόμενων (Inbound Filter)	Επιλογή Εισερχόμενου αρχείου από την αναπτυσσόμενη λίστα
Φίλτρο εξερχομένων (Outbound Filter)	Επιλέξτε ένα Εξερχόμενο αρχείο από την αναπτυσσόμενη λίστα
Επιπρόσθετες επιλογές (Additional Options) – Κάντε κλικ στη σύνδεση Προβολή όλων (View all) για να διαμορφώσετε τις ακόλουθες πρόσθετες ρυθμίσεις:
Τοπική IP (Local IP)	Η τοπική διεύθυνση IP ισοδυναμεί με μια διεύθυνση IP βρόχου επιστροφής. Εισαγάγετε μια διεύθυνση IP που μπορούν να χρησιμοποιήσουν τα γειτονικά BGP ως διεύθυνση IP προέλευσης για τα εξερχόμενα πακέτα.
Max-hop	Εισαγάγετε τον μέγιστο αριθμό hop για την ενεργοποίηση του multi-hop για ομότιμα BGP. Για την έκδοση 5.1 και νεότερες εκδόσεις, το εύρος κυμαίνεται από 2 έως 255 και η προεπιλεγμένη τιμή είναι 2. Σημείωση: Κατά την αναβάθμιση στην έκδοση 5.1, οποιαδήποτε τιμή max-hop 1 θα ενημερωθεί αυτόματα σε τιμή max-hop 2. Σημείωση: Αυτό το πεδίο είναι διαθέσιμο μόνο για γειτονικά eBGP, όταν το τοπικό ASN και το γειτονικό ASN είναι διαφορετικά.
Να επιτρέπεται AS (Allow AS)	Επιλέξτε το πλαίσιο ελέγχου για να επιτρέψετε τη λήψη και την επεξεργασία των δρομολογήσεων BGP, ακόμη και αν η πύλη εντοπίσει το δικό της ASN στη διαδρομή AS.
Προεπιλεγμένη δρομολόγηση (Default Route)	Η προεπιλεγμένη δρομολόγηση προσθέτει μια δήλωση δικτύου στη διαμόρφωση BGP για να κοινοποιήσει την προεπιλεγμένη δρομολόγηση προς τον γείτονα.
Ενεργοποίηση BFD (Enable BFD)	Ενεργοποιεί τη συνδρομή στην υπάρχουσα περίοδο λειτουργίας BFD για το γειτονικό BGP.
Keep Alive	Εισαγάγετε το χρονόμετρο διατήρησης εν ενεργεία σε δευτερόλεπτα, το οποίο είναι το διάστημα μεταξύ των μηνυμάτων διατήρησης εν ενεργεία που αποστέλλονται στον ομότιμο. Το εύρος είναι από 1 έως 65535 δευτερόλεπτα. Η προεπιλεγμένη τιμή είναι 60 δευτερόλεπτα.
Hold Timer	Εισαγάγετε τον hold timer σε δευτερόλεπτα. Όταν το μήνυμα διατήρησης εν ενεργεία δεν λαμβάνεται για τον καθορισμένο χρόνο, ο ομότιμος θεωρείται ανενεργός. Το εύρος είναι από 1 έως 65535 δευτερόλεπτα. Η προεπιλεγμένη τιμή είναι 180 δευτερόλεπτα.
Σύνδεση (Connect)	Εισαγάγετε το χρονικό διάστημα δοκιμής μιας νέας σύνδεσης TCP με τον ομότιμο, εάν εντοπιστεί ότι η περίοδος λειτουργίας TCP δεν είναι παθητική. Η προεπιλεγμένη τιμή είναι 120 δευτερόλεπτα.
Έλεγχος ταυτότητας MD5 (MD5 Auth)	Επιλέξτε το πλαίσιο ελέγχου για να ενεργοποιήσετε τον έλεγχο ταυτότητας BGP MD5. Αυτή η επιλογή χρησιμοποιείται σε ένα δίκτυο παλαιού τύπου ή σε ομοσπονδιακό δίκτυο και χρησιμοποιείται ως δικλείδα ασφαλείας για ομοτίμους BGP.
Κωδικός πρόσβασης MD5 (MD5 Password)	Εισαγάγετε κωδικό πρόσβασης για έλεγχο ταυτότητας MD5.

Κάντε κλικ στην επιλογή OK για να αποθηκεύσετε τις αλλαγές.