Configurazione di BGP

Per abilitare l'accesso tra le macchine virtuali e l'esterno, è possibile configurare una connessione BGP esterna o interna (eBGP o iBGP) tra un gateway di livello 0 e un router nell'infrastruttura fisica.

Quando si configura BGP, è necessario configurare un numero di sistema autonomo (AS) locale per il gateway di livello 0. È inoltre necessario configurare il numero AS remoto. I router adiacenti EBGP devono essere connessi direttamente e nella stessa subnet dell'uplink di livello 0. Se non si trovano nella stessa subnet, è necessario utilizzare il multihop BGP.

BGPv6 è supportato per hop singolo e multihop. La ridistribuzione, l'elenco di prefissi e le mappe di route sono supportati con i prefissi IPv6.

RFC-5549 consente alle sessioni BGPv6 di scambiare route IPv4 con un hop successivo IPv6. Per ridurre al minimo il numero di sessioni BGP e indirizzi IPv4, è possibile scambiare entrambe le route IPv4 e IPv6 in una sessione BGP. Il supporto per la codifica e l'elaborazione di una route IPv4 con un hop successivo IPv6 viene negoziato come parte dello scambio di funzionalità nel messaggio BGP OPEN. Se entrambi i lati di una sessione di peering supportano la funzionalità, le route IPv4 vengono annunciate con un hop successivo IPv6. Il BGP multi-protocollo (MP-BGP) viene utilizzato per annunciare le informazioni sulla raggiungibilità del livello di rete di una famiglia di indirizzi IPv4 utilizzando l'hop successivo di una famiglia di indirizzi IPv6.

Un gateway di livello 0 in modalità attivo-attivo supporta iBGP tra router di servizio (SR). Se il gateway n. 1 non è in grado di comunicare con un router fisico diretto verso nord, il traffico viene reindirizzato al gateway n. 2 nel cluster attivo-attivo. Se il gateway n. 2 è in grado di comunicare con il router fisico, il traffico tra il gateway n. 1 e il router fisico non subisce alcuna modifica. Una route acquisita da un nodo Edge da un router diretto verso nord sarà sempre preferita alla stessa route acquisita su iBGP tra SR. Non è possibile modificare questa preferenza.

In un ambiente di federazione, con il gateway di livello 0 esteso in due siti, iBGP verrà utilizzato per la sincronizzazione delle route tra siti. Quando si utilizza un comando CLI per elencare le route, sia le route standard tra siti sia le route iBGP tra siti della federazione vengono classificate come "isr: Inter-SR". Le route iBGP tra siti della federazione sono presenti indipendentemente dal fatto che l'impostazione Inter SR iBGP sia abilitata o meno nel gateway di livello 0.

L'implementazione di ECMP su NSX Edge si basa sulla tupla 5 costituita dal numero di protocollo, dall'indirizzo di origine, dall'indirizzo di destinazione, dalla porta di origine e dalla porta di destinazione.

La funzionalità iBGP ha le caratteristiche e le limitazioni seguenti:

Ridistribuzione, elenchi di prefissi e mappe di route sono supportati.
I reflector delle route non sono supportati.
La confederazione BGP non è supportata.

Come viene stabilito l'ID router BGP (RID):

Se non è presente alcuna interfaccia di loopback, BGP acquisisce come RID l'indirizzo IP dell'interfaccia più alto.
Se BGP ha già scelto l'IP dell'interfaccia più alto come RID, l'aggiunta di un'interfaccia di loopback non influirà sui router adiacenti BGP e il RID non verrà modificato.
Quando il RID è l'IP dell'interfaccia più alto ed è presente il loopback, disabilitare e abilitare BGP non cambia il RID.
Se il RID è l'IP dell'interfaccia più alto ed è presente il loopback, il riavvio del nodo Edge, l'abilitazione della modalità di manutenzione nel nodo Edge o il riavvio del processo di routing non modificheranno il RID.
Quando il RID è l'IP dell'interfaccia più alto ed è presente il loopback, se si ridistribuisce o si sostituisce il nodo di trasporto dell'Edge, il RID diventerà l'IP dell'interfaccia di loopback.
Quando il RID è l'IP dell'interfaccia più alto ed è presente il loopback, se si modifica o si elimina l'indirizzo IP dell'interfaccia più alto, il RID diventerà l'IP dell'interfaccia di loopback.
Se il RID è l'IP dell'interfaccia di loopback, la modifica o l'eliminazione dell'IP dell'interfaccia più alto non comporterà la modifica del RID.
Se si cancellano i router adiacenti BGP, il RID verrà modificato. Verrà mantenuto solo il RID precedente.
Se l'interfaccia di loopback ha un indirizzo IPv6, BGP non lo utilizza come RID. Utilizzerà invece l'IP dell'interfaccia IPv4 più alto.
Un riavvio a caldo o un riavvio a freddo dell'adiacenza BGP da un sito remoto non influisce sul RID di BGP.

Funzionalità BGP supportate

Come definito all'indirizzo https://datatracker.ietf.org/doc/html/rfc2842, uno speaker BGP determina le funzionalità supportate dal proprio peer esaminando l'elenco di funzionalità presenti nel parametro facoltativo delle funzionalità nel messaggio OPEN che lo speaker riceve dal peer. NSX-T Supporta le seguenti funzionalità:

Codice di funzionalità	Descrizione funzionalità	Famiglie di indirizzi supportati	Supporto annunciato dal gateway di livello 0	Supportato dal gateway di livello 0 quando ricevuto dal peer	Comportamento predefinito	Configurabile
1	Estensioni multiprotocol, con: AFI=1, SAFI=1: unicast IPv4 AFI=2, SAFI=1: unicast IPv6 AFI=25, SAFI=70: L2VPN EVPN	Unicast IPv4 Unicast IPv6 L2VPN EVPN	Sì	Sì	La famiglia di indirizzi unicast IPv4 è abilitata e annunciata per impostazione predefinita quando è configurato un router adiacente IPv4 o aggiunto manualmente nelle impostazioni del filtro route nella configurazione del router adiacente BGP. La famiglia di indirizzi unicast IPv6 è abilitata e annunciata per impostazione predefinita quando è configurato un router adiacente IPv6 o aggiunto manualmente nelle impostazioni del filtro route nella configurazione del router adiacente BGP. La famiglia di indirizzi L2VPN EVPN viene abilitata e annunciata quando viene configurata nelle impostazioni del filtro route nella configurazione del router adiacente BGP. La famiglia di indirizzi unicast IPv4 è obbligatoria in NSX-T Data Center e viene abilitata automaticamente quando si aggiunge la famiglia di indirizzi L2VPN EVPN.	Sì
2	Aggiornamento route	Unicast IPv4 Unicast IPv6 L2VPN EVPN	Sì	Sì	Annunciata per impostazione predefinita	No
5	Codifica dell'hop successivo estesa	Unicast IPv6	Sì	Sì	Non annunciata per impostazione predefinita. Per abilitare questa funzionalità, assicurarsi di specificare una famiglia di indirizzi IPv4 insieme alla famiglia di indirizzi IPv6 per l'indirizzo IP del peer BGP IPv6.	Sì
64	Riavvio normale	Unicast IPv4 Unicast IPv6 L2VPN EVPN	Sì	Sì	Non annunciato per impostazione predefinita (il nodo Edge per impostazione predefinita è un helper)	Sì
65	Supporto per il numero AS a 4 ottetti	Unicast IPv4 Unicast IPv6 L2VPN EVPN	Sì	Sì	Annunciata per impostazione predefinita	No
69	Percorso-ADD, con: AFI=1/2/25, SAFI=1/70 Invia/Ricevi=1 (solo invio) Invia/Ricevi=2 (solo ricezione) Invia/Ricevi=3 (entrambi)	Unicast IPv4 Unicast IPv6 L2VPN EVPN	Sì (solo ricezione)	Sì (sia invio che ricezione)	La funzionalità di sola ricezione è supportata e annunciata per impostazione predefinita. Quando il nodo Edge riceve lo stesso prefisso BGP più volte ma con la stessa metrica, se ECMP è abilitato, tutti i percorsi saranno installati e attivati. Quando il nodo Edge riceve lo stesso prefisso BGP più volte con parametri diversi (ad esempio una lunghezza ASPATH maggiore), la route del percorso migliore verrà installata e attivata. I percorsi meno preferiti vengono mantenuti nella tabella di routing BGP per migliorare la convergenza del piano di controllo.	No
73	FQDN	Unicast IPv4 Unicast IPv6 L2VPN EVPN	Sì	Sì	Annunciata per impostazione predefinita	No
128	Aggiornamento route (Cisco)	Unicast IPv4 Unicast IPv6 L2VPN EVPN	Sì	Sì	Annunciata per impostazione predefinita	No

Nota: Se il firewall del gateway di livello 0 è configurato con una regola Drop o Reject predefinita, è necessario aggiungere manualmente una regola Allow per BGP e per BFD, se è configurato.

Attenzione: Tenere presenti gli scenari seguenti quando si verificano errori di connessione che coinvolgono BGP o BFD:

Quando è configurato solo BGP, se tutti i router adiacenti BGP diventano inattivi, lo stato del router di servizio sarà inattivo.
Quando è configurato solo BFD, se tutti i router adiacenti BFD diventano inattivi, lo stato del router di servizio sarà inattivo.
Quando sono configurati BGP e BFD, se tutti i router adiacenti BGP e BFD diventano inattivi, lo stato del router di servizio sarà inattivo.
Quando sono configurati BGP e le route statiche, se tutti i router adiacenti BGP diventano inattivi, lo stato del router di servizio sarà inattivo.
Quando sono configurate solo le route statiche, lo stato del router di servizio sarà sempre attivo, a meno che nel nodo non si verifichi un errore o non venga attivata la modalità di manutenzione.

Procedura

Con i privilegi admin, accedere a NSX Manager.
Selezionare Rete > Gateway di livello 0.
Per modificare un gateway di livello 0, fare clic sull'icona del menu (tre puntini) e selezionare Modifica.
Fare clic su BGP.
1. Immettere il numero AS locale.
  In modalità attivo-attivo, il valore ASN predefinito, 65000, è già compilato. In modalità attivo-standby, non è presente alcun valore ASN predefinito.
2. Fare clic sull'interruttore BGP per abilitare o disabilitare BGP.
  In modalità attivo-attivo, BGP è abilitato per impostazione predefinita. In modalità attivo-standby, BGP è disabilitato per impostazione predefinita.
3. Se questo gateway è in modalità attivo-attivo, fare clic sull'interruttore Inter SR iBGP per abilitare o disabilitare l'iBGP tra SR. È abilitato per impostazione predefinita.
  Se il gateway è in modalità attivo-standby, questa funzionalità non è disponibile.
4. Fare clic sull'interruttore ECMP per abilitare o disabilitare ECMP.
5. Fare clic sull'interruttore Multipath relax per abilitare o disabilitare la condivisione del carico tra più percorsi in cui l'attributo AS-path ha la stessa lunghezza ma valori diversi.
  
  Nota: Affinché Multipath relax funzioni, ECMP deve essere abilitato.
6. Nel campo Riavvio normale selezionare Disabilita, Solo helper o Riavvio normale e helper.
  Facoltativamente, è possibile modificare Timer riavvio normale e Timer obsoleto riavvio normale.
  Per impostazione predefinita, la modalità di riavvio normale è impostata su Solo helper. La modalità Solo helper è utile per eliminare e/o ridurre l'interruzione del traffico associato alle route acquisite da un router adiacente in grado di eseguire il riavvio normale. Il router adiacente deve essere in grado di conservare la tabella di inoltro mentre viene riavviato.
  
  Per EVPN, è supportata solo la modalità Solo helper.
  
  È consigliabile non abilitare la funzionalità Riavvio normale nei gateway di livello 0 perché i peering BGP da tutti i gateway sono sempre attivi. Se si verifica un failover, la funzionalità Riavvio normale aumenta il tempo impiegato da un router adiacente remoto per selezionare un gateway di livello 0 alternativo. Questo causa il ritardo della convergenza basata su BFD.
  
  Nota: a meno che non venga sostituita da una configurazione specifica del router adiacente, la configurazione di livello 0 viene applicata a tutti i router adiacenti BGP.
Configurare Aggregazione route aggiungendo prefissi di indirizzi IP.
1. Fare clic su Imposta per l'aggregazione delle route.
2. Fare clic su Aggiungi prefisso.
3. Immettere un prefisso di indirizzo IP in formato CIDR.
4. Per l'opzione Riepilogo - Solo, selezionare Sì o No.
Fare clic su Applica.
È necessario salvare la configurazione BGP globale prima di poter configurare i router adiacenti BGP.

Configurare i Router adiacenti BGP.

Fare clic su Imposta per Router adiacenti BGP.
Fare clic su Aggiungi router adiacente BGP.
Immettere l'indirizzo IP del router adiacente.
Abilitare o disabilitare BFD.

Nota: È supportato solo IPv4.
Immettere un valore per Numero AS remoto.
Per iBGP, immettere lo stesso numero AS utilizzato nel passaggio 4a. Per eBGP, immettere il numero AS del router fisico.
In Filtro route fare clic su Imposta per aggiungere uno o più filtri di route.
In Famiglia di indirizzi IP è possibile selezionare IPv4, IPv6 o L2VPN EVPN. Sono supportate le combinazioni seguenti:
- IPv4 e IPv6
- IPv4 e L2VPN EVPN
La combinazione di IPv6 e L2VPN EVPN non è supportata.

Per la funzionalità RFC 5549, assicurarsi di specificare una famiglia di indirizzi IPv4 insieme alla famiglia di indirizzi IPv6 per l'indirizzo IP del peer BGP IPv6.

Per Filtro in uscita e Filtro in entrata, fare clic su Configura e selezionare i filtri, quindi fare clic su Salva.

In Numero massimo route è possibile specificare un valore compreso tra 1 e 1.000.000. Quando il numero di route BGP ricevute dal peer raggiunge il 75% del limite configurato oppure quando supera il limite configurato per la prima volta, viene registrato un messaggio di avviso nel file /var/log/frr.log. Oltre al messaggio del registro, l'output del comando della CLI di NSX get bgp neighbor mostra se il numero di prefissi ricevuti supera il limite configurato. Si tenga presente che il gateway continuerà ad accettare le route dal router adiacente BGP anche dopo aver raggiunto il limite Numero massimo route.

Nota: Se si configura un router adiacente BGP con una famiglia di indirizzi, ad esempio L2VPN EVPN e in seguito si aggiunge una seconda famiglia di indirizzi, la connessione BGP stabilita verrà reimpostata.
Abilitare o disabilitare la funzionalità Allowas-in.
È disabilitata per impostazione predefinita. Quando questa funzionalità è abilitata, i router adiacenti BGP possono ricevere route con lo stesso AS, ad esempio quando sono presenti due posizioni interconnesse che utilizzano lo stesso provider di servizi. Questa funzionalità si applica a tutte le famiglie di indirizzi e non può essere applicata a famiglie di indirizzi specifiche.
Nel campo Indirizzi di origine è possibile selezionare un indirizzo di origine per stabilire una sessione di peering con un router adiacente che utilizza questo indirizzo di origine specifico. Se non si seleziona alcun indirizzo, il gateway configurerà automaticamente una sessione di peering con il router adiacente in ogni SR di livello 0. Se un SR di livello 0 non dispone di un'interfaccia nella subnet del router adiacente, la sessione di BGP configurata in questo SR di livello 0 rimarrà inattiva.
Immettere un valore per Limite massimo di hop.

Nel campo Riavvio normale è possibile selezionare facoltativamente Disabilita, Solo helper o Riavvio normale e helper.

Opzione	Descrizione
Nessuna opzione selezionata	Il riavvio normale per questo router adiacente seguirà la configurazione di BGP del gateway di livello 0.
Disabilita	Se il BGP del gateway di livello 0 è configurato con Disabilita, il riavvio normale verrà disabilitato per questo router adiacente. Se il BGP del gateway di livello 0 è configurato con Solo helper, il riavvio normale verrà disabilitato per questo router adiacente. Se il BGP del gateway di livello 0 è configurato con Riavvio normale e helper, il riavvio normale verrà disabilitato per questo router adiacente.
Solo helper	Se il BGP del gateway di livello 0 è configurato con Disabilita, il riavvio normale verrà configurato come Solo helper per questo router adiacente. Se il BGP del gateway di livello 0 è configurato con Solo helper, il riavvio normale verrà configurato come Solo helper per questo router adiacente. Se il BGP del gateway di livello 0 è configurato con Riavvio normale e helper, il riavvio normale verrà configurato come Solo helper per questo router adiacente.
Riavvio normale e helper	Se il BGP del gateway di livello 0 è configurato con Disabilita, il riavvio normale verrà configurato come Riavvio normale e helper per questo router adiacente. Se il BGP del gateway di livello 0 è configurato con Solo helper, il riavvio normale verrà configurato come Riavvio normale e helper per questo router adiacente. Se il BGP del gateway di livello 0 è configurato con Riavvio normale e helper, il riavvio normale verrà configurato come Riavvio normale e helper per questo router adiacente.

Nota: Per EVPN, è supportata solo la modalità Solo helper.

Fare clic su Timer e password.
Immettere un valore per Intervallo BFD.
Il valore è espresso in millisecondi. Per un nodo Edge in esecuzione in una macchina virtuale, il valore minimo è 500. Per un nodo Edge bare metal, il valore minimo è 50.
Immettere un valore per Moltiplicatore BFD.
Immettere un valore in secondi per Tempo di attesa e Tempo di keep alive.
Il Tempo di keep alive specifica la frequenza con cui verranno inviati i messaggi KEEPALIVE. Il valore può essere compreso tra 0 e 65535. Zero indica che non verrà inviato alcun messaggio KEEPALIVE.
Il Tempo di attesa specifica per quanto tempo il gateway attenderà un messaggio KEEPALIVE da un router adiacente prima di considerare il router adiacente inattivo. Il valore può essere 0 o compreso tra 3 e 65535. Zero significa che non viene inviato alcun messaggio KEEPALIVE tra i router adiacenti BGP e il router adiacente non verrà mai considerato irraggiungibile.

Il Tempo di attesa deve essere almeno tre volte il valore del Tempo di keep alive.
Immettere una password.
Questa operazione è necessaria se si configura l'autenticazione MD5 tra i peer BGP.

Fare clic su Salva.
(Facoltativo) Dopo aver aggiunto un router adiacente BGP, è possibile salvarne le route annunciate e acquisite.
1. Fare clic sul numero nel campo Router adiacenti BGP.
2. Nella finestra di dialogo Impostare i router adiacenti BGP, fare clic sull'icona del menu (3 puntini) di un router adiacente BGP e selezionare Scarica route annunciate o Scarica route acquisite.