Μπορείτε να διαμορφώσετε τις ρυθμίσεις BGP για Πύλες SD-WAN επί διοχετεύσεων IPSec.

Πληροφορίες γι' αυτήν την εργασία:

Μόνο το eBGP υποστηρίζεται με BGP μέσω IPsec.
Σημείωση: Συνιστάται η χρήση του eBGP μεταξύ της πύλης SDWAN και των τοποθεσιών NSD. Εάν χρησιμοποιείται iBGP, η εφαρμογή τοπικής προτίμησης δεν λειτουργεί με το φίλτρο εξερχομένων. Σε αυτή την περίπτωση, ο πελάτης πρέπει να επιλέξει επιλογές μέτρησης ή πρόταξης διαδρομής AS για να επιτύχει επιθυμητή δρομολόγηση.

H VMware επιτρέπει στους εταιρικούς χρήστες να ορίσουν και να διαμορφώσουν μια παρουσία προορισμού μη SD-WAN προκειμένου να δημιουργήσουν μια ασφαλή διοχέτευση IPsec προς έναν προορισμό μη SD-WAN μέσω μιας πύλης SD-WAN.

Σημείωση: Για την έκδοση 5.2, όταν έχουν διαμορφωθεί πολλά NSD για το ίδιο τμήμα, πρέπει να υπάρχει το ίδιο σύνολο διαμορφώσεων δρομολόγησης σύνοψης σε όλα τα NSD.
Πριν ξεκινήσετε:
Σημείωση: Η δυνατότητα αυτοματισμού Azure vWAN από πύλη δεν είναι συμβατή με το BGP μέσω IPsec. Αυτό συμβαίνει επειδή υποστηρίζονται μόνο στατικές δρομολογήσεις κατά την αυτοματοποίηση της συνδεσιμότητας από μια πύλη σε ένα Azure vWAN.

Βεβαιωθείτε ότι έχετε διαμορφώσει τα ακόλουθα:

Σημείωση: Συνιστάται να ενεργοποιήσετε τον Υπολογισμό κατανεμημένου κόστους (Distributed Cost Calculation) για μέγιστη απόδοση και κλιμάκωση όταν χρησιμοποιείτε BGP μέσω IPsec μέσω πύλης. Ο Υπολογισμός κατανεμημένου κόστους(Distributed Cost Calculation ) υποστηρίζεται από την έκδοση 3.4.0. και μετά.

Για περισσότερες πληροφορίες σχετικά με τη δυνατότητα Υπολογισμός κατανεμημένου κόστους (Distributed Cost Calculation), ανατρέξτε στην ενότητα Διαμόρφωση υπολογισμού κατανεμημένου κόστους (Configure Distributed Cost Calculation) στον Οδηγό χειριστή VMware SD-WAN (VMware SD-WAN Operator Guide), ο οποίος διατίθεται στη διεύθυνση: https://docs.vmware.com/gr/VMware-SD-WAN/index.html.

Διαδικασία (Procedure)
  1. Μεταβείτε στις επιλογές Διαμόρφωση > Υπηρεσίες δικτύου (Configure > Network Services) και, στη συνέχεια, στην περιοχή «Προορισμοί μη SD-WAN» (Non SD-WAN Destinations), αναπτύξτε το στοιχείο «Προορισμοί μη SD-WAN μέσω πύλης» (Non SD-WAN Destinations via Gateway).
    Σημείωση: Εάν δεν υπάρχουν νέα, η επιλογή «Νέο NSD μέσω πύλης» (New NSD via Gateway) εμφανίζεται μόνο όταν δεν υπάρχουν στοιχεία στον πίνακα. Ακολουθήστε τα βήματα 2 και 3 για να δημιουργήσετε έναν νέο προορισμό μη SD-WAN.

  2. Κάντε κλικ στην επιλογή +Νέο (+New) για να δημιουργήσετε έναν νέο προορισμό μη SD-WAN.

    Εμφανίζεται το παράθυρο διαλόγου Προορισμοί μη SD-WAN μέσω πύλης (Non SD-WAN Destinations via Gateway), όπως φαίνεται στην παρακάτω εικόνα.

  3. Στην περιοχή Προορισμοί μη SD-WAN μέσω πύλης (Non SD-WAN Destinations via Gateway) (ανατρέξτε στην παραπάνω εικόνα), διαμορφώστε τα ακόλουθα πεδία, όπως περιγράφεται στον παρακάτω πίνακα.
    Επιλογή Περιγραφή
    Όνομα (Name) Εισαγάγετε ένα όνομα για τον προορισμό μη SD-WAN στο πλαίσιο κειμένου.
    Τύπος (Type) Επιλέξτε έναν τύπο διοχέτευσης IPsec από το αναπτυσσόμενο μενού.
    Πρωτεύουσα πύλη VPN (Primary VPN Gateway) Εισαγάγετε μια έγκυρη διεύθυνση IP
    Δευτερεύουσα πύλη VPN (Secondary VPN Gateway) Εισαγάγετε μια έγκυρη διεύθυνση IP. Αυτό το πεδίο είναι προαιρετικό

    Δημιουργείται ο προορισμός μη SD-WAN μέσω πύλης, όπως φαίνεται στην παρακάτω εικόνα.

  4. Στην περιοχή Προορισμός μη SD-WAN μέσω πύλης (Non SD-WAN Destination via Gateway), σύρετε την γκρι γραμμή τέρμα δεξιά προς τη στήλη BGP.

    Κάντε κλικ στη σύνδεση Επεξεργασία (Edit) στη στήλη BGP.

    Εάν η σύνδεση Επεξεργασία (Edit) δεν εμφανίζεται κάτω από τη στήλη BGP, ανατρέξτε στην ενότητα με τίτλο, «Διαμόρφωση διοχέτευσης μεταξύ μιας διακλάδωσης και προορισμών μη SD-WAN μέσω Edge», για να ενεργοποιήσετε ένα Edge προς ένα μη SD-WAN μέσω πύλης.

    Αφού κάνετε κλικ στη σύνδεση Επεξεργασία (Edit) κάτω από τη στήλη BGP, εμφανίζεται το παράθυρο διαλόγου Επεξεργασία BGP (Edit BGP).

  5. Μεταφέρετε το κουμπί BGP ενεργοποιημένο (BGP Activated) προς τα δεξιά για να πάρει πράσινο χρώμα.
  6. Κάντε κλικ στην +Προσθήκη (+Add) για να δημιουργήσετε ένα ή περισσότερα φίλτρα. Αυτά τα φίλτρα εφαρμόζονται στον γείτονα για να αρνηθούν ή να αλλάξουν τα χαρακτηριστικά της δρομολόγησης. Το ίδιο φίλτρο μπορεί να χρησιμοποιηθεί για πολλούς γείτονες.
  7. Διαμορφώστε τις επιλογές στην περιοχή Λίστα φίλτρων (Filter List), όπως περιγράφεται στον παρακάτω πίνακα.
    Επιλογή Περιγραφή
    Όνομα φίλτρου (Filter Name) Εισαγάγετε ένα περιγραφικό όνομα για το φίλτρο BGP.
    Αντιστοίχιση Τύπου και Τιμής (Match Type and Value)

    Επιλέξτε τον τύπο των δρομολογήσεων που θα αντιστοιχιστούν με το φίλτρο:

    • Πρόθημα για IPv4 ή IPv6 (Prefix for IPv4 or IPv6): Επιλέξτε να ταιριάζει με ένα πρόθημα για διεύθυνση IPv4 ή IPv6 και εισαγάγετε το

    αντίστοιχο πρόθημα διεύθυνσης IP στο πεδίο Τιμή (Value).

    • Κοινότητα (Community): Επιλέξτε μια αντίστοιχη κοινότητα και εισαγάγετε τη συμβολοσειρά κοινότητας στο πεδίο Τιμή (Value).
    Ακριβής αντιστοίχιση (Exact Match) Η ενέργεια φίλτρου εκτελείται μόνο όταν οι δρομολογήσεις BGP ταιριάζουν ακριβώς με το καθορισμένο πρόθημα ή τη συμβολοσειρά κοινότητας. Από προεπιλογή, αυτή η επιλογή είναι ενεργοποιημένη.
    Τύπος ενέργειας (Action Type) Επιλέξτε την ενέργεια που θα εκτελεστεί όταν οι δρομολογήσεις BGP ταιριάζουν με το καθορισμένο πρόθημα ή τη συμβολοσειρά κοινότητας. Μπορείτε είτε να επιτρέψετε είτε να απορρίψετε την κυκλοφορία.
    Σύνολο ενεργειών (Action Set) Όταν οι δρομολογήσεις BGP ταιριάζουν με τα καθορισμένα κριτήρια, μπορείτε να ορίσετε τη δρομολόγηση της κυκλοφορίας σε ένα δίκτυο με βάση τα χαρακτηριστικά της διαδρομής. Επιλέξτε μία από τις ακόλουθες επιλογές από την αναπτυσσόμενη λίστα:
    • Κανένα (None): Τα χαρακτηριστικά των δρομολογήσεων που αντιστοιχούν παραμένουν ίδια.
    • Τοπική προτίμηση (Local Preference): Η κυκλοφορία που αντιστοιχεί δρομολογείται στη διαδρομή με την καθορισμένη τοπική προτίμηση.
    • Κοινότητα (Community): Οι δρομολογήσεις που αντιστοιχούν φιλτράρονται από την καθορισμένη συμβολοσειρά κοινότητας. Μπορείτε επίσης να επιλέξετε το πλαίσιο ελέγχου Πρόσθετο κοινότητας (Community Additive) για να ενεργοποιήσετε την επιλογή πρόσθετου, η οποία προσαρτά την τιμή κοινότητας στις υπάρχουσες κοινότητες.
    • Μετρικό (Metric): Η κυκλοφορία που αντιστοιχεί δρομολογείται στη διαδρομή με την καθορισμένη τιμή μετρικού.
    • AS-Path-Prepend: Επιτρέπει την προκαταρκτική προσάρτηση πολλαπλών καταχωρήσεων του Αυτόνομου Συστήματος (AS) σε μια δρομολόγηση BGP.
  8. Κάντε κλικ στο εικονίδιο συν (+) για να προσθέσετε περισσότερους κανόνες αντιστοίχισης για το φίλτρο. Επαναλάβετε τη διαδικασία για να δημιουργήσετε περισσότερα φίλτρα.

    Τα διαμορφωμένα φίλτρα εμφανίζονται στην περιοχή Λίστα φίλτρων (Filter List).

  9. Στο παράθυρο «Πρόγραμμα επεξεργασίας BGP» (BGP Editor), διαμορφώστε τις ρυθμίσεις BGP για την πρωτεύουσα και τη δευτερεύουσα πύλη.
    Σημείωση: Η επιλογή Δευτερεύουσας πύλης είναι διαθέσιμη μόνο εάν έχετε διαμορφώσει μια δευτερεύουσα πύλη για τον αντίστοιχο προορισμό μη SD-WAN.
    Σημείωση: Για μια ανάπτυξη πελατών, όπου ένας προορισμός μη VMware SD-WAN (NSD) μέσω πύλης έχει διαμορφωθεί να χρησιμοποιεί πλεονάζουσες διοχετεύσεις, εάν οι πρωτεύουσες και δευτερεύουσες πύλες κοινοποιούν ένα πρόθημα με ίση διαδρομή AS στις πρωτεύουσες και δευτερεύουσες διοχετεύσεις NSD, η πρωτεύουσα διοχέτευση NSD θα προτιμήσει μια διαδρομή πλεονάζουσας πύλης αντί για την πρωτεύουσα πύλη. Το γεγονός ότι το κύριο NSD μέσω διοχέτευσης πύλης προτιμά τη διαδρομή πλεονάζουσας πύλης αντί για την πρωτεύουσα πύλη επηρεάζει αποκλειστικά την κυκλοφορία επιστροφής στην πύλη από το NSD.

    Εάν δεν θέλετε ο δρομολογητής BGP να προτιμά την πλεονάζουσα πύλη, η λύση είναι να διαμορφώσετε την πρόταξη AS-PATH και να ορίσετε το μετρικό φίλτρο σε υψηλότερη μέτρηση (3 ή περισσότερο) για το κοινοποιημένο πρόθημα στην πλεονάζουσα πύλη. Με αυτόν τον τρόπο διασφαλίζεται ότι η πρωτεύουσα διοχέτευση του NSD επιλέγει την πρωτεύουσα πύλη για την κυκλοφορία επιστροφής.

  10. Στην ενότητα Πρωτεύουσα πύλη cloud (Primary Cloud Gateway), εισαγάγετε το τοπικό ASN και το αναγνωριστικό δρομολογητή.
  11. Κάντε κύλιση προς τα κάτω στην περιοχή «Γειτονικά» (Neighbors) και κάντε κλικ στην επιλογή +Προσθήκη (+Add).
  12. Διαμορφώστε τις ακόλουθες ρυθμίσεις στην περιοχή Γειτονικά (Neighbors), όπως περιγράφεται στον παρακάτω πίνακα.
    Επιλογή Περιγραφή
    Τοπικό ASN (Local ASN) Εισαγάγετε τον τοπικό αριθμό αυτόνομου συστήματος (ASN)
    Αναγνωριστικό δρομολογητή (Router ID) Εισαγάγετε το αναγνωριστικό δρομολογητή BGP
    Γειτονική IP (Neighbor IP) Εισαγάγετε τη διεύθυνση IP του γειτονικού BGP
    ASN Εισαγάγετε το ASN του γείτονα
    Φίλτρο εισερχόμενων (Inbound Filter) Επιλογή Εισερχόμενου αρχείου από την αναπτυσσόμενη λίστα
    Φίλτρο εξερχομένων (Outbound Filter) Επιλέξτε ένα Εξερχόμενο αρχείο από την αναπτυσσόμενη λίστα
    Επιπρόσθετες επιλογές (Additional Options) – Κάντε κλικ στη σύνδεση Προβολή όλων (View all) για να διαμορφώσετε τις ακόλουθες πρόσθετες ρυθμίσεις:
    Τοπική IP (Local IP) Η τοπική διεύθυνση IP ισοδυναμεί με μια διεύθυνση IP βρόχου επιστροφής. Εισαγάγετε μια διεύθυνση IP που μπορούν να χρησιμοποιήσουν τα γειτονικά BGP ως διεύθυνση IP προέλευσης για τα εξερχόμενα πακέτα.
    Max-hop Εισαγάγετε τον μέγιστο αριθμό hop για την ενεργοποίηση του multi-hop για ομότιμα BGP. Για την έκδοση 5.1 και νεότερες εκδόσεις, το εύρος κυμαίνεται από 2 έως 255 και η προεπιλεγμένη τιμή είναι 2.
    Σημείωση: Κατά την αναβάθμιση στην έκδοση 5.1, οποιαδήποτε τιμή max-hop 1 θα ενημερωθεί αυτόματα σε τιμή max-hop 2.
    Σημείωση: Αυτό το πεδίο είναι διαθέσιμο μόνο για γειτονικά eBGP, όταν το τοπικό ASN και το γειτονικό ASN είναι διαφορετικά.
    Να επιτρέπεται AS (Allow AS) Επιλέξτε το πλαίσιο ελέγχου για να επιτρέψετε τη λήψη και επεξεργασία των δρομολογήσεων BGP, ακόμα και αν η πύλη εντοπίσει το δικό της ASN στη Διαδρομή AS.
    Προεπιλεγμένη δρομολόγηση (Default Route) Η προεπιλεγμένη δρομολόγηση προσθέτει μια δήλωση δικτύου στη διαμόρφωση BGP για να κοινοποιήσει την προεπιλεγμένη δρομολόγηση προς τον γείτονα.
    Ενεργοποίηση BFD (Enable BFD) Ενεργοποιεί τη συνδρομή στην υπάρχουσα περίοδο λειτουργίας BFD για το γειτονικό BGP.
    Keep Alive Εισαγάγετε το χρονόμετρο Keep Alive Timer σε δευτερόλεπτα, το οποίο είναι το διάστημα μεταξύ των μηνυμάτων Keep Alive που αποστέλλονται στον ομότιμο. Το εύρος είναι από 1 έως 65535 δευτερόλεπτα. Η προεπιλεγμένη τιμή είναι 60 δευτερόλεπτα.
    Hold Timer Εισαγάγετε τον hold timer σε δευτερόλεπτα. Όταν το μήνυμα Keep Alive δεν λαμβάνεται για το καθορισμένο χρονικό διάστημα, ο ομότιμος θεωρείται ανενεργός. Το εύρος είναι από 1 έως 65535 δευτερόλεπτα. Η προεπιλεγμένη τιμή είναι 180 δευτερόλεπτα.
    Σύνδεση (Connect) Εισαγάγετε το χρονικό διάστημα δοκιμής μιας νέας σύνδεσης TCP με τον ομότιμο, εάν εντοπιστεί ότι η περίοδος λειτουργίας TCP δεν είναι παθητική. Η προεπιλεγμένη τιμή είναι 120 δευτερόλεπτα.
    Έλεγχος ταυτότητας MD5 (MD5 Auth) Επιλέξτε το πλαίσιο ελέγχου για να ενεργοποιήσετε τον έλεγχο ταυτότητας BGP MD5. Αυτή η επιλογή χρησιμοποιείται σε ένα δίκτυο παλαιού τύπου ή σε ομοσπονδιακό δίκτυο και χρησιμοποιείται ως δικλείδα ασφαλείας για ομοτίμους BGP.
    Κωδικός πρόσβασης MD5 (MD5 Password) Εισαγάγετε κωδικό πρόσβασης για έλεγχο ταυτότητας MD5.
    Σημείωση: Ξεκινώντας από την έκδοση 4.5, η χρήση του ειδικού χαρακτήρα «<» στον κωδικό πρόσβασης δεν υποστηρίζεται πλέον. Σε περιπτώσεις όπου οι χρήστες έχουν ήδη χρησιμοποιήσει το «<» στους κωδικούς πρόσβασής τους σε προηγούμενες εκδόσεις, πρέπει να το αφαιρέσουν για να αποθηκεύσουν τυχόν αλλαγές στη σελίδα.

    Τα διαμορφωμένα γειτονικά εμφανίζονται στην περιοχή Γειτονικά (Neighbors).

    Κάντε κλικ στο κουμπί Αποθήκευση αλλαγών (Save Changes) για να αποθηκεύσετε όλες τις αλλαγές.

    Σημείωση: Μέσω Multi-hop BGP, το σύστημα μπορεί να μάθει δρομολογήσεις που απαιτούν επαναλαμβανόμενη αναζήτηση. Αυτές οι δρομολογήσεις έχουν IP επόμενου hop, η οποία δεν βρίσκεται σε συνδεδεμένο υποδίκτυο, και δεν διαθέτουν έγκυρη Διασύνδεση εξόδου. Σε αυτήν την περίπτωση, οι δρομολογήσεις πρέπει να έχουν την IP επόμενου Hop επιλυμένη χρησιμοποιώντας άλλη δρομολόγηση στον πίνακα, η οποία θα διαθέτει Διασύνδεση εξόδου. Όταν υπάρχει κίνηση για έναν προορισμό που χρειάζεται να αναζητηθούν αυτές οι δρομολογήσεις, οι δρομολογήσεις που απαιτούν επαναλαμβανόμενη αναζήτηση θα επιλυθούν σε μια συνδεδεμένη διεύθυνση IP και διασύνδεση επόμενου Hop. Μέχρι να συμβεί η επαναλαμβανόμενη επίλυση, οι επαναλαμβανόμενες δρομολογήσεις οδηγούν σε μια ενδιάμεση Διασύνδεση. Για περισσότερες πληροφορίες σχετικά με τις δρομολογήσεις Multi-Hop BGP, ανατρέξτε στην ενότητα «Απομακρυσμένες διαγνωστικές δοκιμές στα Edge» στον Οδηγό αντιμετώπισης προβλημάτων VMware SD-WAN που δημοσιεύθηκε στη διεύθυνση https://docs.vmware.com/gr/VMware-SD-WAN/index.html.

    Σύνοψη δρομολόγησης (Route Summarization)

    Η δυνατότητα «Σύνοψη δρομολόγησης» (Route Summarization) είναι διαθέσιμη στην έκδοση 5.2. Για μια επισκόπηση και μια υπόθεση χρήσης αυτής της λειτουργικότητας, ανατρέξτε στη Σύνοψη δρομολόγησης. Για λεπτομέρειες διαμόρφωσης, ακολουθήστε τα παρακάτω βήματα.

  13. Μετακινηθείτε με κύλιση προς τα κάτω στην περιοχή Σύνοψη δρομολόγησης (Route Summarization).
  14. Κάντε κλικ στην επιλογή +Προσθήκη (+Add) στην περιοχή Σύνοψη δρομολόγησης (Route Summarization). Μια νέα σειρά προστίθεται στην περιοχή Σύνοψη δρομολόγησης (Route Summarization).

    Διαμορφώστε τη σύνοψη δρομολόγησης, όπως περιγράφεται στον παρακάτω πίνακα.

    Επιλογή Περιγραφή
    Όνομα φίλτρου (Filter Name) Εισαγάγετε ένα περιγραφικό όνομα για το φίλτρο BGP.
    Υποδίκτυο (Subnet) Εισαγάγετε το υποδίκτυο IP.
    AS Set Δημιουργήστε πληροφορίες διαδρομής συνόλου AS από τις συνόψεις δρομολογήσεων (κατά την κοινοποίηση της δρομολόγησης σύνοψης στον ομότιμο). Στη στήλη AS Set, κάντε κλικ στο πλαίσιο ελέγχου Ναι (Yes), εάν υπάρχει.
    Μόνο σύνοψη (Summary Only) Κάντε κλικ στο πλαίσιο ελέγχου Ναι (Yes) για να επιτρέψετε την αποστολή μόνο της συνοπτικής δρομολόγησης.
  15. Προσθέστε επιπλέον δρομολογήσεις, αν χρειάζεται, κάνοντας κλικ στην επιλογή +Προσθήκη (+Add). Για να κλωνοποιήσετε ή να διαγράψετε μια σύνοψη δρομολόγησης, χρησιμοποιήστε τα κατάλληλα κουμπιά, που βρίσκονται δίπλα στην επιλογή +Προσθήκη (+Add).

    Η ενότητα Ρυθμίσεις BGP (BGP Settings) εμφανίζει τις διαμορφωμένες ρυθμίσεις BGP.

  16. Κάντε κλικ στην επιλογή Αποθήκευση αλλαγών (Save Changes), όταν ολοκληρωθεί η διαδικασία και θέλετε να αποθηκεύσετε τη διαμόρφωση.