È possibile configurare BGP per ogni segmento per un profilo o un Edge. Questa sezione illustra i passaggi per configurare BGP con router adiacenti non SD-WAN, supportati dalla versione 4.3.

Informazioni su questa attività:

BGP viene utilizzato per stabilire l'adiacenza BGP sui tunnel IPSec con i siti non SD-WAN. I tunnel IPSec diretti vengono utilizzati per stabilire una comunicazione sicura tra l'SD-WAN Edge e la destinazione non SD-WAN (NSD). Nelle versioni precedenti, VMware supporta tunnel NSD dall'SD-WAN Edge con la possibilità di aggiungere route statiche NVS. Nella versione 4.3, questa funzionalità è stata estesa per supportare BGP su IPSec nell'endpoint NSD per una VPN basata su route.

VMware supporta anche BGP ASN a 4 byte. Per ulteriori informazioni, vedere la sezione Configurazione di BGP.

Nota: La funzionalità Azure vWAN Automation da Edge non è compatibile con BGP su IPSec. Ciò si verifica perché sono supportate solo route statiche quando si automatizza la connettività da un Edge a una vWAN Azure.

Casi d'uso

Caso d'uso 1: BGP su IPSec da un Edge a una VPN Azure

Ogni gateway VPN di Azure alloca un set di IP pubblici virtuali (VIP) per un Edge della filiale per creare tunnel IPSec. Analogamente, Azure alloca una subnet privata interna e assegna un IP interno per ogni VIP. Questo tunnel_ip interno (tunnel_ip peer) verrà utilizzato per creare il peering BGP con il gateway Azure.

In Azure, l'IP del peer BGP (tunnel_ip locale dell'Edge) non può trovarsi nella stessa subnet connessa o nella subnet 169.x.x.x ed è quindi necessario supportare il BGP multihop nell'Edge. Nella terminologia di BGP, ip_tunnel locale viene mappato all'indirizzo di origine di BGP e ip_tunnel peer viene mappato all'indirizzo del router adiacente/peer. Nel gateway Azure, è necessario creare una mesh di connessioni BGP, una per ogni tunnel NSD in modo che il traffico di ritorno da NVS possa essere bilanciato in base al carico (in base al flusso). Nel diagramma seguente per l'Edge fisico sono disponibili due link WAN pubblici e quindi quattro tunnel verso un gateway Azure. Ogni tunnel è associato a una connessione BGP identificata in modo univoco da tunnel_ip locale e da tunnel_ip peer remoto. Nell'Edge virtuale, l'unica differenza consiste nel fatto che sono presenti un link WAN pubblico e al massimo due tunnel e due sessioni BGP verso il gateway Azure.

Nota: Quando un SD-WAN Edge è connesso allo stesso end point Azure tramite più link WAN, è possibile configurare al massimo due router adiacenti NSD-BGP (poiché l'end remoto ha solo due public_ips e due peer_ips NSD-BGP). Entrambi i router adiacenti NSD-BGP possono essere configurati sullo stesso link (tunnel primario/secondario) o su link diversi. Se un cliente tenta di configurare più di due router adiacenti NSD-BGP e di configurare lo stesso peer_ip NSD-BGP su più tunnel, l'ultimo nbr_ip + local_ip BGP configurato si troverà nell'SD-WAN Edge e nel routing FRR (Free Range Routing).

Caso d'uso 2: BGP su IPSec dall'Edge al gateway VPN o di transito AWS

A differenza di Azure, il gateway VPN AWS alloca un set di VIP pubblici per ogni link a un Edge della filiale. Il set totale di IP pubblici allocati a un Edge della filiale da un gateway AWS sarà uguale al numero di link WAN pubblici dell'Edge che si connetteranno al gateway VPN AWS. Analogamente, viene allocata una subnet /30 interna/privata per ogni tunnel, che viene utilizzata per il peering BGP in tale tunnel. Questi IP possono essere sostituiti manualmente nella configurazione del gateway AWS per fare in modo che siano univoci in zone di disponibilità diverse.

Come nel caso d'uso di Azure, l'Edge creerà sul lato AWS una mesh di connessioni BGP, una per ogni tunnel verso il gateway AWS. Ciò consentirà il bilanciamento del carico del traffico di ritorno dal gateway VPN AWS. Nel diagramma seguente, per l'Edge fisico il gateway AWS alloca un set di IP pubblici e un set di tunnel_ip (/30) per ogni link WAN dell'Edge. Sono disponibili quattro tunnel, che però terminano con IP pubblici diversi nel gateway AWS, e quattro connessioni BGP.

Caso d'uso 3: Edge che si connette ai gateway AWS e VPN Azure (cloud ibrido)

Un Edge della filiale può essere connesso sia al gateway Azure sia al gateway AWS per la ridondanza o per alcuni carichi di lavoro/app ospitati in un provider di cloud mentre altri carichi di lavoro/app sono ospitati in un provider di cloud diverso. Indipendentemente dal caso d'uso, l'Edge stabilisce sempre una sessione BGP per ogni tunnel e propaga le route tra SD-WAN e IaaS. Il diagramma seguente è un esempio di Edge di una filiale connesso ai cloud Azure e AWS.

Caso d'uso 4: cluster di Hub che si connette ai gateway di transito Azure/AWS

I membri del cluster di Hub possono creare tunnel IPsec verso i gateway di transito Azure/AWS e sfruttare i gateway di transito come livello 3 per il routing del traffico tra VPC diversi. Senza la funzionalità BGP su IPSec nativa in Hub, Hub deve connettersi a un router L3 (in questo caso viene in genere usato Cisco CSR) utilizzando BGP nativo e il router L3 che crea una mesh di tunnel BGP su IPSec con VPC diversi. Il router L3 funge da endpoint di transito tra i VPC diversi. Caso d'uso 1 (diagramma in basso a sinistra): utilizza Hub come nodo di transito tra VPC diversi in zone di disponibilità (AZ) diverse in modo che un VPC possa comunicare con un altro VPC. Caso d'uso 2 (diagramma in basso a destra): connette tutti gli Hub nel cluster direttamente a un gateway di transito cloud e può utilizzare il gateway cloud come router PE (L3) per la distribuzione delle route tra i membri del cluster. In entrambi i casi d'uso, senza il supporto di BGP su IPSec in Hub, Hub si connette a un router L3 come CSR utilizzando peer BGP e CSR nativi con un gateway di transito/VPC tramite BGP su IPSec.

Caso d'uso 5: supporto della funzionalità di transito nei provider di cloud senza supporto nativo

Alcuni provider di cloud come Google Cloud e AliCloud non hanno il supporto nativo per la funzionalità di transito (nessun gateway di transito) e, con il supporto per BGP su IPSec, possono fare affidamento su SD-WAN Edge/Hub distribuito nel cloud per ottenere la funzionalità di transito tra VPC/VNET diversi. Senza il supporto di BGP su IPSec, è necessario utilizzare un router L3 come CSR (soluzione (2)) per ottenere la funzionalità di transito.

Nota: Prima della versione 4.3, per i clienti raggiungibili nella stessa destinazione NVS-Static tramite NVS-From-Gateway e NVS-From-Edge, il traffico proveniente dagli altri SD-WAN Edge della filiale preferirà il percorso tramite NVS-Gateway. Quando i clienti aggiornano la propria rete alla versione 4.3 o successiva, questo percorso di traffico dagli SD-WAN Edge di altre filiali preferisce il percorso tramite NVS-Edge. Pertanto, i clienti devono aggiornare la metrica NVS-Static-Destination di NSD-Edge e NSD-Gateway in base alle preferenze del percorso del loro traffico.

Prerequisiti:

Procedura

Per abilitare BGP con router adiacenti non SD-WAN:

  1. Nel portale dell'azienda, fare clic su Configura Edge (Configure Edge) e selezionare un SD-WAN Edge da configurare.
  2. Fare clic sulla scheda Dispositivo (Device).
  3. Nella scheda Dispositivo (Device), scorrere verso il basso fino alla sezione Impostazioni BGP (BGP Settings), spostare il dispositivo di scorrimento sulla posizione ON e quindi fare clic sul pulsante Modifica (Edit).

  4. Nella finestra di dialogo Editor BGP (BGP Editor), aggiungere i filtri.
    1. Fare clic sul pulsante Aggiungi filtro (Add Filter) per creare uno o più filtri. I filtri vengono applicati al router adiacente per negare o modificare gli attributi della route. Lo stesso filtro può essere utilizzato per più router adiacenti, inclusi i router adiacenti e i router adiacenti NSD.

      Viene visualizzata la finestra di dialogo Crea filtro BGP (Create BGP Filter).

    2. Nell'area Crea filtro BGP (Create BGP Filter), impostare le regole per il filtro (vedere l'immagine qui sotto). La tabella seguente include una descrizione dei campi della finestra di dialogo Crea filtro BGP (Create BGP Filter).

      Opzione Descrizione
      Nome filtro (Filter Name) Immettere un nome descrittivo per il filtro BGP.
      Tipo di corrispondenza e valore (Match Type and Value) Scegliere il tipo di route per la corrispondenza con il filtro:
      • Prefisso (Prefix): scegliere la corrispondenza con un prefisso e immettere l'indirizzo IP del prefisso nel campo Valore (Value).
      • Community: scegliere la corrispondenza con una community e immettere la stringa della community nel campo Valore (Value).
      Corrispondenza esatta (Exact Match) L'azione del filtro viene eseguita solo quando le route BGP corrispondono esattamente al prefisso o alla stringa della community specificati. Questa opzione è abilitata per impostazione predefinita.
      Tipo di azione (Action Type) Scegliere l'azione da eseguire quando le route BGP corrispondono al prefisso o alla stringa della community specificati. È possibile consentire o negare il traffico.
      Imposta (Set) Quando le route BGP corrispondono ai criteri specificati, è possibile fare in modo che il traffico venga instradato verso una rete in base agli attributi del percorso. Selezionare una delle seguenti opzioni nell'elenco a discesa:
      • Nessuno (None): gli attributi delle route corrispondenti rimangono invariati.
      • Preferenza locale (Local Preference): il traffico corrispondente viene instradato verso il percorso con la preferenza locale specificata.
      • Community: le route corrispondenti vengono filtrate in base alla stringa della community specificata. È inoltre possibile selezionare la casella di controllo Modalità additiva community (Community Additive) per abilitare l'opzione additiva che consente di aggiungere il valore della community alle community esistenti.
      • Metrica (Metric): il traffico corrispondente viene instradato verso il percorso con il valore della metrica specificato.
      • Anteponi As Path (AS-Path-Prepend): consente di anteporre più voci del sistema autonomo (AS) a una route BGP.
    3. Per aggiungere altre regole di corrispondenza al filtro, fare clic sull'icona più (+).
    4. Fare clic su OK per creare il filtro.

      I filtri configurati vengono visualizzati nella finestra Editor BGP (BGP Editor).

  5. Nella finestra di dialogo Editor BGP (BGP Editor), indicare l'ASN locale nella casella di testo appropriata per il dispositivo da configurare.
  6. Configurare i router adiacenti underlay.
    Nota: I passaggi per configurare i router adiacenti underlay per la versione 4.3 sono gli stessi delle versioni precedenti. Se si desiderano informazioni specifiche su questo passaggio, vedere la sezione relativa alla configurazione di BGP con router adiacenti underlay.
  7. Configurare i router adiacenti NSD.
    Nota: La versione 4.3 supporta i router adiacenti non SD-WAN (NSD). Tutte le impostazioni globali verranno condivise da entrambi i tipi di router adiacenti e anche l'elenco dei filtri può essere utilizzato per entrambi i tipi di router adiacenti. Prima di configurare i router adiacenti NSD, vedere la sezione Prerequisiti. Per configurare i router adiacenti NSD, fare riferimento ai passaggi seguenti oppure consultare la tabella seguente per una descrizione dei campi di Editor BGP (BGP Editor) relativi ai router adiacenti underlay e NSD.

    1. Scegliere un router adiacente NSD dal menu a discesa Nome NSD (NSD Name). Affinché il router adiacente NSD venga visualizzato nel menu a discesa, è necessario che sia stato configurato nell'area Da filiale a destinazione non SD-WAN tramite Edge (Branch to Non SD-WAN Destination via Edge) di SD-WAN Orchestrator.
    2. Nel menu a discesa Nome link (Link Name), scegliere il link associato al router adiacente NSD selezionato.
    3. Scegliere il tipo di tunnel (primario o secondario) dal menu a discesa Tipo di tunnel (Tunnel Type). Se per il router adiacente NSD non è stato configurato un IP secondario, nel menu a discesa verrà visualizzata solo l'opzione Primario (Primary) e non l'opzione Secondario (Secondary).
    4. Immettere l'ASN per il router adiacente NSD selezionato.
    5. Selezionare un filtro in entrata nell'elenco a discesa. (Questa funzionalità è facoltativa).
    6. Selezionare un filtro in uscita nell'elenco a discesa. (Questa funzionalità è facoltativa).

      Per una descrizione dei campi relativi ai router adiacenti NSD, vedere la tabella seguente.

      Opzione Descrizione
      ASN locale (Local ASN) Immettere l'ASN (Autonomous System Number) locale
      IP router adiacente (Neighbor IP) Immettere l'indirizzo IP del router adiacente BGP
      Nome NSD (NSD Name) Scegliere il nome NSD configurato nell'area Da filiale a destinazione non SD-WAN tramite Edge (Branch to Non SD-WAN Destination via Edge) di SD-WAN Orchestrator.
      Nome link (Link Name) Scegliere il nome del link WAN associato al router adiacente NSD.
      ASN Immettere l'ASN per il router adiacente NSD.
      Tipo di tunnel (Tunnel Type) Scegliere il tipo di tunnel (primario o secondario) del peer.
      Filtro in entrata (Inbound Filter) Selezionare un filtro in entrata nell'elenco a discesa.
      Filtro in uscita (Outbound Filter) Selezionare un filtro in uscita nell'elenco a discesa.
      Opzioni aggiuntive (Additional Options): fare clic sul link visualizza tutto (view all) per configurare le seguenti impostazioni aggiuntive:
      Uplink Utilizzato per impostare il tipo di router adiacente su Uplink. Selezionare questa opzione se viene utilizzato come overlay WAN verso MPLS. Verrà utilizzato come flag per stabilire se il sito diventerà un sito di transito (ad esempio SD-WAN Hub) propagando le route acquisite tramite overlay SD-WAN a un link WAN verso MPLS. Se è necessario renderlo un sito di transito, selezionare anche "Prefissi overlay su uplink" (Overlay Prefixes Over Uplink) nell'area Opzioni avanzate (Advanced Settings).
      IP locale (Local IP)

      L'IP locale è obbligatorio per la configurazione dei router adiacenti non SD-WAN.

      L'indirizzo IP locale è l'equivalente di un indirizzo IP di loopback. Immettere un indirizzo IP che i router adiacenti BGP possano utilizzare come indirizzo IP di origine per i pacchetti in uscita.
      Hop max (Max-hop) Immettere il numero massimo di hop per abilitare il multihop per i peer BGP. L'intervallo è compreso tra 1 e 255 e il valore predefinito è 1.
      Nota: Questo campo è disponibile solo per i router adiacenti eBGP, quando l'ASN locale e l'ASN del router adiacente sono diversi. Con iBGP, quando entrambi gli ASN sono uguali, il multihop è disabilitato per impostazione predefinita e questo campo non è configurabile.
      Consenti AS (Allow AS) Selezionare la casella di controllo per consentire la ricezione e l'elaborazione delle route BGP anche se l'Edge rileva il proprio ASN in AS-Path.
      Route predefinita (Default Route) L'opzione Route predefinita (Default Route) consente di aggiungere un'istruzione di rete nella configurazione di BGP per annunciare la route predefinita al router adiacente.
      Abilita BFD (Enable BFD) Abilita la sottoscrizione alla sessione BFD esistente per il router adiacente BGP.
      Nota: La sessione BFD con hop singolo non è supportata per BGP su IPSec con router adiacenti NSD. Tuttavia, è supportato il BFD multihop. Local_ip è obbligatorio per le sessioni NSD-BGP nell'SD-WAN Edge. L'SD-WAN Edge gestisce solo gli IP dell'interfaccia connessa come un BFD con hop singolo.
      Keep-alive Immettere il timer keep-alive in secondi, ovvero il tempo tra i messaggi keep-alive inviati al peer. L'intervallo è compreso tra 0 e 65535 secondi. Il valore predefinito è 60 secondi.
      Hold Timer Immettere il Hold Timer in secondi. Se il messaggio keep-alive non viene ricevuto nel tempo specificato, il peer viene considerato inattivo. L'intervallo è compreso tra 0 e 65535 secondi. Il valore predefinito è 180 secondi.
      Connessione (Connect) Immettere l'intervallo di tempo che deve trascorrere prima che venga tentata una nuova connessione TCP con il peer se viene rilevato che la sessione TCP non è passiva. Il valore predefinito è 120 secondi.
      Autenticazione MD5 (MD5 Auth) Selezionare la casella di controllo per abilitare l'autenticazione MD5 di BGP. Questa opzione viene utilizzata in una rete legacy o in una rete federale e l'autenticazione MD5 di BGP viene in genere utilizzata come protezione di sicurezza per il peering BGP.
      Password MD5 (MD5 Password) Immettere una password per l'autenticazione MD5. La password non può contenere il carattere $ seguito da numeri. Ad esempio $1, $123 e password$123 sono input non validi.
      Nota: Se la password include il carattere $ seguito da numeri, l'autenticazione MD5 non riesce.
      Nota: In BGP multihop, il sistema potrebbe acquisire route che richiedono una ricerca ricorsiva. In queste route l'indirizzo IP dell'hop successivo non è in una subnet connessa e non è disponibile un'interfaccia di uscita valida. In questo caso, l'IP dell'hop successivo delle route deve essere risolto utilizzando un'altra route nella tabella di routing che dispone di un'interfaccia di uscita. Quando è presente traffico per una destinazione che richiede l'esecuzione di una ricerca in queste route, le route che richiedono una ricerca ricorsiva verranno risolte in un indirizzo IP e un'interfaccia dell'hop successivo connesso. Finché non si verifica la risoluzione ricorsiva, le route ricorsive puntano a un'interfaccia intermedia. Per ulteriori informazioni, vedere Route BGP multihop.
    7. Per configurare opzioni aggiuntive per i router adiacenti NSD, fare clic sul pulsante Impostazioni avanzate (Advanced Settings).
      Nota: Le impostazioni avanzate sono condivise tra i router adiacenti BGP underlay normali e i router adiacenti NSD-BGP. Vedere la tabella seguente per una descrizione di tutti i campi dell'area Impostazioni avanzate (Advanced Settings) per i router adiacenti NSD. Nella versione 4.3 queste impostazioni per i router adiacenti NSD non sono state modificate.
    8. Facendo clic sull'icona con il segno più è possibile creare o clonare altri router adiacenti NSD. Per eliminare un router adiacente NSD creato o clonato, fare clic sull'icona con il segno meno.
      Opzione Descrizione
      ID router (Router ID) Immettere l'ID del router BGP globale. Se non si specifica alcun valore, l'ID viene assegnato automaticamente.
      Keep-alive Immettere il timer keep-alive in secondi, ovvero il tempo tra i messaggi keep-alive inviati al peer. L'intervallo è compreso tra 0 e 65535 secondi. Il valore predefinito è 60 secondi.
      Hold Timer Immettere il Hold Timer in secondi. Se il messaggio keep-alive non viene ricevuto nel tempo specificato, il peer viene considerato inattivo. L'intervallo è compreso tra 0 e 65535 secondi. Il valore predefinito è 180 secondi.
      Community uplink (Uplink Community)

      Immettere la stringa della community da considerare come route di uplink.

      Uplink si riferisce al link connesso al Provider Edge (PE). Le route in entrata verso l'Edge corrispondenti al valore della community specificato verranno considerate come route di uplink. L'Hub/Edge non è considerato il proprietario di queste route.

      Immettere il valore in formato numerico compreso tra 1 e 4294967295 o in formato AA:NN.
      Prefisso overlay (Overlay Prefix) Selezionare la casella di controllo per ridistribuire i prefissi acquisiti dall'overlay.
      Disabilita carry-over AS-PATH (Disable AS-PATH Carry Over) Per impostazione predefinita, questa opzione deve essere lasciata deselezionata. Selezionare la casella di controllo per disabilitare il carry-over AS-PATH. In alcune topologie, la disabilitazione del carry-over AS-PATH influisce sull'AS-PATH in uscita per fare in modo che i router L3 preferiscano un percorso verso un Edge o un hub.
      Avviso: Quando il carry-over AS-PATH è disabilitato, modificare la rete per evitare loop di routing.
      Route connesse (Connected Routes) Selezionare la casella di controllo per ridistribuire tutte le subnet dell'interfaccia connessa.
      OSPF Selezionare la casella di controllo per consentire la ridistribuzione di OSPF in BGP.
      Imposta metrica (Set Metric) Quando si abilita OSPF, immettere la metrica BGP per le route OSPF ridistribuite. Il valore predefinito è 20.
      Route predefinita (Default Route)

      Selezionare la casella di controllo per ridistribuire la route predefinita solo quando l'Edge acquisisce le route BGP tramite overlay o underlay.

      Quando si seleziona l'opzione Route predefinita (Default Route), l'opzione Annuncia (Advertise) è disponibile come Condizionale (Conditional).
      Prefissi overlay su uplink (Overlay Prefixes Over Uplink) Selezionare la casella di controllo per propagare le route acquisite dall'overlay al router adiacente con il flag uplink.
      Reti (Networks) Immettere l'indirizzo di rete che BGP annuncerà ai peer. Fare clic sull'icona più (+) per aggiungere altri indirizzi di rete.
      Quando si abilita l'opzione Route predefinita (Default Route), le route BGP vengono annunciate in base alla selezione della route predefinita globalmente e per ogni router adiacente BGP, come illustrato nella tabella seguente.
      Selezione della route predefinita Opzioni di annuncio
      Globale Per router adiacente BGP
      Poiché la configurazione per ogni router adiacente BGP sostituisce la configurazione globale, la route predefinita viene sempre annunciata al peer BGP.
      No BGP ridistribuisce la route predefinita al proprio router adiacente solo quando l'Edge acquisisce una route predefinita esplicita tramite la rete overlay o underlay.
      No La route predefinita viene sempre annunciata al peer BGP.
      No No La route predefinita non viene annunciata al peer BGP.
  8. Fare clic su OK per salvare i filtri configurati e i router adiacenti NSD e chiudere Editor BGP (BGP Editor).

    La sezione Impostazioni BGP (BGP Settings) include le impostazioni di configurazione di BGP.

  9. Fare clic su Salva modifiche (Save Changes) nella schermata Dispositivo (Device) per salvare la configurazione.

Quando si configurano le impostazioni di BGP per un profilo, la configurazione dei router adiacenti BGP non SD-WAN non è applicabile a livello di profilo. Può essere configurata solo a livello di sostituzione dell'Edge. Se necessario, è possibile sostituire la configurazione per un Edge specifico. Per ulteriori informazioni, vedere la sezione relativa alla configurazione di BGP.