È possibile configurare le impostazioni BGP per i tunnel di SD-WAN Gateway su IPSec.
Informazioni su questa attività:
VMware consente agli utenti aziendali di definire e configurare un'istanza di una destinazione non SD-WAN per stabilire un tunnel IPSec sicuro verso una destinazione non SD-WAN tramite un SD-WAN Gateway.
Assicurarsi di aver configurato quanto segue:
- Creare una destinazione non SD-WAN tramite Gateway per uno dei seguenti siti:
- Configurazione di un destinazione non SD-WAN di tipo Gateway VPN AWS
- Configurazione di una destinazione non SD-WAN di tipo Check Point
- Configurazione di una destinazione non SD-WAN di tipo Cisco ASA
- Configurazione di un destinazione non SD-WAN di tipo Cisco ISR
- Configurazione di una destinazione non SD-WAN di tipo Router IKEv2 generico (VPN basata su route)
- Configurazione di una destinazione non SD-WAN di tipo Hub virtuale Microsoft Azure
- Configurazione di una destinazione non SD-WAN di tipo Palo Alto
- Configurazione di una destinazione non SD-WAN di tipo SonicWALL
- Configurazione di una destinazione non SD-WAN di tipo Zscaler
- Configurazione di una destinazione non SD-WAN di tipo Router IKEv1 generico (VPN basata su route)
- Configurazione di una destinazione non SD-WAN di tipo Firewall generico (VPN basata su criteri)
- Associare il destinazione non SD-WAN a un profilo. Vedere Configurazione di un tunnel tra una filiale e una destinazione non SD-WAN tramite gateway.
Per ulteriori informazioni su Calcolo dei costi distribuito (Distributed Cost Calculation), fare riferimento alla sezione Configurazione del calcolo dei costi distribuito (Configure Distributed Cost Calculation) nella Guida dell'operatore di VMware SD-WAN disponibile all'indirizzo: https://docs.vmware.com/it/VMware-SD-WAN/index.html.
- Passare a Configura (Configure) > Servizi di rete (Network Services) e quindi in Destinazioni non SD-WAN (Non SD-WAN Destinations) espandere Destinazioni non SD-WAN tramite gateway (Non SD-WAN Destinations via Gateway).
Nota: Se non ce ne sono di nuovi, l'opzione Nuovo NSD tramite gateway (New NSD via Gateway) viene visualizzata solo quando nella tabella non sono presenti elementi. Eseguire i passaggi 2 e 3 per creare una nuova destinazione non SD-WAN.
- Fare clic su +Nuovo (+New) per creare una nuova destinazione non SD-WAN.
Viene visualizzata la finestra di dialogo Destinazioni non SD-WAN tramite gateway (Non SD-WAN Destinations via Gateway) come illustrato nell'immagine seguente.
- Nell'area Destinazioni non SD-WAN tramite gateway (Non SD-WAN Destinations via Gateway) (immagine precedente), configurare i campi seguenti come descritto nella tabella seguente.
Opzione Descrizione Nome (Name) Immettere un nome per Destinazione non SD-WAN nella casella di testo. Tipo (Type) Selezionare un tipo di tunnel IPSec dal menu a discesa. Modalità tunnel (Tunnel Mode) La modalità attivo/hot standby supporta la configurazione di un massimo di 2 endpoint o gateway del tunnel. La modalità Attiva/Attiva supporta la configurazione di un massimo di 4 endpoint o gateway del tunnel. Tutti i tunnel attivi possono inviare e ricevere traffico tramite ECMP. Gateway VPN 1 Immettere un indirizzo IP valido Gateway VPN 2 Immettere un indirizzo IP valido. Questo campo è facoltativo Vengono create Destinazioni non SD-WAN tramite gateway (Non SD-WAN Destinations via Gateway), come illustrato nell'immagine seguente.
- Nell'area Destinazione non SD-WAN tramite gateway (Non SD-WAN Destination via Gateway), far scorrere la barra grigia verso l'estrema destra della colonna BGP.
Fare clic sul link Modifica (Edit) nella colonna BGP.
Se il link Modifica (Edit) non viene visualizzato nella colonna BGP, vedere la sezione "Configurazione di un tunnel tra una filiale e una destinazione non SD-WAN tramite Edge" per abilitare una destinazione non SD-WAN tramite gateway.
Dopo aver fatto clic sul link Modifica (Edit) nella colonna BGP, viene visualizzata la finestra di dialogo Modifica BGP (Edit BGP).
- Attivare o disattivare il pulsante BGP attivato (BGP Activated ) sulla destra per renderlo verde.
- Fare clic su +Aggiungi (+Add) per creare uno o più filtri. Questi filtri vengono applicati al router adiacente per negare o modificare gli attributi della route. Lo stesso filtro può essere utilizzato per più router adiacenti.
- Configurare le opzioni nell'area Elenco filtri (Filter List), come descritto nella tabella seguente.
Opzione Descrizione Nome filtro (Filter Name) Immettere un nome descrittivo per il filtro BGP. Tipo di corrispondenza e valore (Match Type and Value) Scegliere il tipo di route per la corrispondenza con il filtro:
- Prefisso per IPv4 o IPv6: scegliere la corrispondenza con un prefisso per l'indirizzo IPv4 o IPv6 e immettere
l'indirizzo IP del prefisso corrispondente nel campo Valore (Value).
- Community: scegliere la corrispondenza con una community e immettere la stringa della community nel campo Valore (Value).
Corrispondenza esatta (Exact Match) L'azione del filtro viene eseguita solo quando le route BGP corrispondono esattamente al prefisso o alla stringa della community specificati. Questa opzione è abilitata per impostazione predefinita. Tipo di azione (Action Type) Scegliere l'azione da eseguire quando le route BGP corrispondono al prefisso o alla stringa della community specificati. È possibile consentire o negare il traffico. Set di azioni (Action Set) Quando le route BGP corrispondono ai criteri specificati, è possibile fare in modo che il traffico venga instradato verso una rete in base agli attributi del percorso. Selezionare una delle seguenti opzioni nell'elenco a discesa: - Nessuno (None): gli attributi delle route corrispondenti rimangono invariati.
- Preferenza locale (Local Preference): il traffico corrispondente viene instradato verso il percorso con la preferenza locale specificata.
- Community: le route corrispondenti vengono filtrate in base alla stringa della community specificata. È inoltre possibile selezionare la casella di controllo Modalità additiva community (Community Additive) per abilitare l'opzione additiva che consente di aggiungere il valore della community alle community esistenti.
- Metrica (Metric): il traffico corrispondente viene instradato verso il percorso con il valore della metrica specificato.
- Anteponi AS-Path (AS-Path-Prepend): consente di anteporre più voci del sistema autonomo (AS) a una route BGP.
- Fare clic sull'icona più (+) (plus (+)) per aggiungere altre regole di corrispondenza per il filtro. Ripetere la procedura per creare altri filtri.
I filtri configurati vengono visualizzati nell'area Elenco filtri (Filter List).
Nota: Questi router adiacenti BGP sono assegnati ai rispettivi tunnel esclusivamente per la creazione di rapporti di adiacenza e per i successivi scambi di controllo, assicurando che la comunicazione avvenga esclusivamente attraverso i tunnel designati. - Nella finestra Editor BGP (BGP Editor), configurare le impostazioni BGP per i Gateway primario e secondario.
Nota: L'opzione Gateway secondario (Secondary Gateway) è disponibile solo se è stato configurato un Gateway secondario per la Destinazione non SD-WAN corrispondente.Nota: Per la distribuzione di un cliente in cui una destinazione non VMware SD-WAN (NSD) tramite Gateway è configurata per l'utilizzo di tunnel ridondanti, se i Gateway primario e secondario annunciano un prefisso con un percorso AS uguale ai tunnel NSD primario e secondario, il tunnel NSD primario preferisce il percorso di un Gateway ridondante rispetto al Gateway primario. Il fatto che il tunnel NSD primario tramite Gateway preferisca il percorso del Gateway ridondante rispetto al Gateway primario ha un impatto solo sul traffico di ritorno al Gateway da NSD.
Se non si desidera che il router BGP preferisca il Gateway ridondante, la soluzione consiste nel configurare il prefisso AS-PATH e impostare il filtro delle metriche su una metrica più alta (almeno 3) per il prefisso annunciato nel Gateway ridondante. In questo modo, il tunnel primario di NSD sceglierà il Gateway primario per il traffico di ritorno.
- Nella sezione Gateway cloud primario (Primary Cloud Gateway), immettere l'ASN locale e l'ID router.
- Scorrere verso il basso fino all'area Router adiacenti (Neighbors) e fare clic su +Aggiungi (+Add).
- Configurare le impostazioni seguenti nell'area Router adiacenti (Neighbors), come descritto nella tabella seguente.
Opzione Descrizione ASN locale (Local ASN) Immettere l'ASN (Autonomous System Number) locale ID router (Router ID) Immettere l'ID del router BGP IP router adiacente (Neighbor IP) Immettere l'indirizzo IP del router adiacente BGP ASN Immettere l'ASN del router adiacente Filtro in entrata (Inbound Filter) Selezionare un filtro in entrata nell'elenco a discesa Filtro in uscita (Outbound Filter) Selezionare filtro in uscita nell'elenco a discesa Opzioni aggiuntive (Additional Options): fare clic sul link visualizza tutto (view all) per configurare le seguenti impostazioni aggiuntive: IP locale (Local IP) L'indirizzo IP locale è l'equivalente di un indirizzo IP di loopback. Immettere un indirizzo IP che i router adiacenti BGP possano utilizzare come indirizzo IP di origine per i pacchetti in uscita. Hop max (Max-hop) Immettere il numero massimo di hop per abilitare il multihop per i peer BGP. Per la versione 5.1 e successive, l'intervallo è compreso tra 2 e 255 e il valore predefinito è 2. Nota: Quando si esegue l'aggiornamento alla versione 5.1, qualsiasi valore di hop massimo pari a 1 verrà aggiornato automaticamente impostando il valore di hop massimo su 2.Nota: Questo campo è disponibile solo per i router adiacenti eBGP, quando l'ASN locale e l'ASN del router adiacente sono diversi.Consenti AS (Allow AS) Selezionare la casella di controllo per consentire la ricezione e l'elaborazione delle route BGP anche se il gateway rileva il proprio ASN in AS-Path. Route predefinita (Default Route) L'opzione Route predefinita (Default Route) consente di aggiungere un'istruzione di rete nella configurazione di BGP per annunciare la route predefinita al router adiacente. Abilita BFD (Enable BFD) Abilita la sottoscrizione alla sessione BFD esistente per il router adiacente BGP. Keep-alive (Keep Alive) Immettere il timer keep-alive in secondi, ovvero il tempo tra i messaggi keep-alive inviati al peer. L'intervallo è compreso tra 1 e 65535 secondi. Il valore predefinito è 60 secondi. Hold Timer Immettere il Hold Timer in secondi. Se il messaggio keep-alive non viene ricevuto nel tempo specificato, il peer viene considerato inattivo. L'intervallo è compreso tra 1 e 65535 secondi. Il valore predefinito è 180 secondi. Connessione (Connect) Immettere l'intervallo di tempo che deve trascorrere prima che venga tentata una nuova connessione TCP con il peer se viene rilevato che la sessione TCP non è passiva. Il valore predefinito è 120 secondi. Autenticazione MD5 (MD5 Auth) Selezionare la casella di controllo per abilitare l'autenticazione MD5 di BGP. Questa opzione viene utilizzata in una rete legacy o in una rete federale e, in genere, viene utilizzata come protezione di sicurezza per il peering BGP. Password MD5 (MD5 Password) Immettere una password per l'autenticazione MD5. Nota: A partire dalla versione 4.5, l'uso del carattere speciale "<" nella password non è più supportato. Se gli utenti hanno già utilizzato "<" nelle loro password nelle versioni precedenti, devono rimuoverlo per salvare le modifiche nella pagina.I router adiacenti configurati vengono visualizzati nell'area Router adiacenti (Neighbors).
Fare clic sul pulsante Salva modifiche (Save Changes) per salvare tutte le modifiche.
Nota: In BGP multihop, il sistema potrebbe acquisire route che richiedono una ricerca ricorsiva. In queste route l'indirizzo IP dell'hop successivo non è in una subnet connessa e non è disponibile un'interfaccia di uscita valida. In questo caso, l'IP dell'hop successivo delle route deve essere risolto utilizzando un'altra route nella tabella di routing che dispone di un'interfaccia di uscita. Quando è presente traffico per una destinazione che richiede l'esecuzione di una ricerca in queste route, le route che richiedono una ricerca ricorsiva verranno risolte in un indirizzo IP e un'interfaccia dell'hop successivo connesso. Finché non si verifica la risoluzione ricorsiva, le route ricorsive puntano a un'interfaccia intermedia. Per ulteriori informazioni sulle route BGP multihop, vedere la sezione "Test di diagnostica remota negli Edge" nella Guida per la risoluzione dei problemi di VMware SD-WAN pubblicata all'indirizzo https://docs.vmware.com/it/VMware-SD-WAN/index.html.Summarization della route
La funzionalità Summarization della route è disponibile nella versione 5.2. Per una panoramica e un caso d'uso di questa funzionalità, vedere Summarization della route. Per i dettagli sulla configurazione, eseguire i passaggi seguenti.
- Scorrere verso il basso fino all'area Summarization della route (Route Summarization).
- Fare clic su +Aggiungi (+Add) nell'area Summarization della route (Route Summarization). Viene aggiunta una nuova riga all'area Summarization della route (Route Summarization).
Configurare il riepilogo della route come descritto nella tabella seguente.
Opzione Descrizione Nome filtro (Filter Name) Immettere un nome descrittivo per il filtro BGP. Subnet Immettere la subnet IP. AS impostato (AS Set) Generare informazioni sul percorso impostato su AS dalle route riepilogate (annunciando il riepilogo route al peer). Nella colonna AS impostato (AS Set) fare clic sulla casella di controllo Sì (Yes) se applicabile. Solo riepilogo (Summary Only) Fare clic sulla casella di controllo Sì (Yes) per consentire l'invio solo della route riepilogata. - Se necessario, aggiungere altre route facendo clic su +Aggiungi (+Add). Per clonare o eliminare una Summarization della route, utilizzare i pulsanti appropriati accanto a +Aggiungi (+Add).
La sezione Impostazioni BGP (BGP Settings) include le impostazioni di configurazione di BGP.
- Al termine, fare clic su Salva modifiche (Save Changes) per salvare la configurazione.
- Solo per i gateway che eseguono versione 6.0 o successiva è possibile configurare fino a 4 tunnel in base al tipo di VPN. Inoltre, tali tunnel destinati a essere gateway non SD-WAN possono funzionare in modalità AA o A-HS per ottenere le preferenze di condivisione/cuscinetto del carico dell'utente.
- Per i gateway che eseguono una versione inferiore alla 6.0, tutte le configurazioni attive-attive vengono interpretate come attivo-hotstandby con il tunnel 1 attivo e il tunnel 2 come hot standby.