È possibile configurare le impostazioni BGP per i tunnel di SD-WAN Gateway su IPSec.

Solo eBGP è supportato con BGP su IPsec.

Nota: È consigliabile utilizzare eBGP tra il gateway SD-WAN e i siti NSD. Se si utilizza iBGP, l'applicazione della preferenza locale non funziona con il filtro in uscita. In questo caso, il cliente deve scegliere le opzioni Metrica (Metric) o Prefisso AS percorso (AS path prepend) per ottenere il routing opportuno.

Per configurare le impostazioni BGP per un gateway:

Prerequisiti

Nota: La funzionalità Azure vWAN Automation dal gateway non è compatibile con BGP su IPSec. Questo perché sono supportate solo route statiche quando si automatizza la connettività da un gateway a un'istanza di Azure vWAN.

Assicurarsi di aver configurato quanto segue:

Nota: È consigliabile attivare il Calcolo dei costi distribuito (Distributed Cost Calculation) per ottenere prestazioni e scalabilità migliori quando si utilizza BGP su IPsec tramite gateway. Il Calcolo dei costi distribuito (Distributed Cost Calculation) è supportato a partire dalla versione 3.4.0.

Per ulteriori informazioni su Calcolo dei costi distribuito (Distributed Cost Calculation), fare riferimento alla sezione Configurazione del calcolo dei costi distribuito (Configure Distributed Cost Calculation) nella Guida dell'operatore di VMware SD-WAN disponibile all'indirizzo: https://docs.vmware.com/it/VMware-SD-WAN/index.html.

Procedura

  1. Nel portale dell'azienda, fare clic su Configura (Configure) > Servizi di rete (Network Services).
  2. Nell'area Destinazione non SD-WAN tramite gateway (Non SD-WAN Destinations via Gateway), fare clic sul link Modifica (Edit) nella colonna BGP che corrisponde alla destinazione non SD-WAN.
  3. Nella finestra Editor BGP (BGP Editor), spostare il dispositivo di scorrimento su ON per configurare le impostazioni BGP.
    1. Fare clic su Aggiungi filtro (Add Filter) per creare uno o più filtri. Questi filtri vengono applicati al router adiacente per negare o modificare gli attributi della route. Lo stesso filtro può essere utilizzato per più router adiacenti.
      Nella finestra Crea filtro BGP (Create BGP Filter), impostare le regole per il filtro.
      Opzione Descrizione
      Nome filtro (Filter Name) Immettere un nome descrittivo per il filtro BGP.
      Tipo di corrispondenza e valore (Match Type and Value) Scegliere il tipo di route per la corrispondenza con il filtro:
      • Prefisso (Prefix): scegliere la corrispondenza con un prefisso e immettere l'indirizzo IP del prefisso nel campo Valore (Value).
      • Community: scegliere la corrispondenza con una community e immettere la stringa della community nel campo Valore (Value).
      Corrispondenza esatta (Exact Match) L'azione del filtro viene eseguita solo quando le route BGP corrispondono esattamente al prefisso o alla stringa della community specificati. Questa opzione è abilitata per impostazione predefinita.
      Tipo di azione (Action Type) Scegliere l'azione da eseguire quando le route BGP corrispondono al prefisso o alla stringa della community specificati. È possibile consentire o negare il traffico.
      Imposta (Set) Quando le route BGP corrispondono ai criteri specificati, è possibile fare in modo che il traffico venga instradato verso una rete in base agli attributi del percorso. Selezionare una delle seguenti opzioni nell'elenco a discesa:
      • Nessuno (None): gli attributi delle route corrispondenti rimangono invariati.
      • Preferenza locale (Local Preference): il traffico corrispondente viene instradato verso il percorso con la preferenza locale specificata.
      • Community: le route corrispondenti vengono filtrate in base alla stringa della community specificata.
      • Metrica (Metric): il traffico corrispondente viene instradato verso il percorso con il valore della metrica specificato.
      • Anteponi As Path (AS-Path-Prepend): consente di anteporre più voci del sistema autonomo (AS) a una route BGP.
      Fare clic sull'icona più ( +) per aggiungere altre regole di corrispondenza per il filtro.
      Fare clic su OK.
      Ripetere la procedura per creare altri filtri BGP.
      I filtri configurati vengono visualizzati nella finestra Editor BGP (BGP Editor).
    2. Nella finestra Editor BGP (BGP Editor), configurare le impostazioni BGP per i Gateway primario e secondario.
      Nota: L'opzione Gateway secondario (Secondary Gateway) è disponibile solo se è stato configurato un Gateway secondario per la destinazione non SD-WAN corrispondente.
      Nota: Per la distribuzione di un cliente in cui una destinazione non VMware SD-WAN (NSD) tramite Gateway è configurata per l'utilizzo di tunnel ridondanti, se i Gateway primario e secondario annunciano un prefisso con un percorso AS uguale ai tunnel NSD primario e secondario, il tunnel NSD primario preferisce il percorso di un Gateway ridondante rispetto al Gateway primario. Il fatto che il tunnel NSD primario tramite Gateway preferisca il percorso del Gateway ridondante rispetto al Gateway primario ha un impatto solo sul traffico di ritorno al Gateway da NSD.

      Se non si desidera che il router BGP preferisca il Gateway ridondante, la soluzione consiste nel configurare il prefisso AS-PATH e impostare il filtro delle metriche su una metrica più alta (almeno 3) per il prefisso annunciato nel Gateway ridondante. In questo modo, il tunnel primario di NSD sceglierà il Gateway primario per il traffico di ritorno.

      Opzione Descrizione
      ASN locale (Local ASN) Immettere l'ASN (Autonomous System Number) locale
      ID router (Router ID) Immettere l'ID del router BGP
      IP router adiacente (Neighbor IP) Immettere l'indirizzo IP del router adiacente BGP
      ASN Immettere l'ASN del router adiacente
      Filtro in entrata (Inbound Filter) Selezionare un filtro in entrata nell'elenco a discesa
      Filtro in uscita (Outbound Filter) Selezionare filtro in uscita nell'elenco a discesa
      Opzioni aggiuntive (Additional Options): fare clic sul link visualizza tutto (view all) per configurare le seguenti impostazioni aggiuntive:
      IP locale (Local IP) L'indirizzo IP locale è l'equivalente di un indirizzo IP di loopback. Immettere un indirizzo IP che i router adiacenti BGP possano utilizzare come indirizzo IP di origine per i pacchetti in uscita.
      Hop max (Max-hop) Immettere il numero massimo di hop per abilitare il multihop per i peer BGP. Per la versione 5.1 e successive, l'intervallo è compreso tra 2 e 255 e il valore predefinito è 2.
      Nota: Quando si esegue l'aggiornamento alla versione 5.1, qualsiasi valore di hop massimo pari a 1 verrà aggiornato automaticamente impostando il valore di hop massimo su 2.
      Nota: Questo campo è disponibile solo per i router adiacenti eBGP, quando l'ASN locale e l'ASN del router adiacente sono diversi.
      Consenti AS (Allow AS) Selezionare la casella di controllo per consentire la ricezione e l'elaborazione delle route BGP anche se il Gateway rileva il proprio ASN in AS-Path.
      Route predefinita (Default Route) L'opzione Route predefinita (Default Route) consente di aggiungere un'istruzione di rete nella configurazione di BGP per annunciare la route predefinita al router adiacente.
      Abilita BFD (Enable BFD) Abilita la sottoscrizione alla sessione BFD esistente per il router adiacente BGP.
      Keep-alive (Keep Alive) Immettere il timer keep-alive in secondi, ovvero il tempo tra i messaggi keep-alive inviati al peer. L'intervallo è compreso tra 1 e 65535 secondi. Il valore predefinito è 60 secondi.
      Hold Timer Immettere il Hold Timer in secondi. Se il messaggio keep-alive non viene ricevuto nel tempo specificato, il peer viene considerato inattivo. L'intervallo è compreso tra 1 e 65535 secondi. Il valore predefinito è 180 secondi.
      Connessione (Connect) Immettere l'intervallo di tempo che deve trascorrere prima che venga tentata una nuova connessione TCP con il peer se viene rilevato che la sessione TCP non è passiva. Il valore predefinito è 120 secondi.
      Autenticazione MD5 (MD5 Auth) Selezionare la casella di controllo per abilitare l'autenticazione MD5 di BGP. Questa opzione viene utilizzata in una rete legacy o in una rete federale e, in genere, viene utilizzata come protezione di sicurezza per il peering BGP.
      Password MD5 (MD5 Password) Immettere una password per l'autenticazione MD5.
    3. Fare clic su OK per salvare le modifiche.