プロファイルまたは Edge のセグメントごとに BGP を構成できます。このセクションでは、4.3 リリース以降でサポートされている Non SD-WAN ネイバーを使用した BGP の構成方法について説明します。

このタスクについて:

BGP は、Non SD-WAN Site への IPsec トンネルを介した BGP ネイバーシップを確立するために使用されます。ダイレクト IPsec トンネルは、SD-WAN Edge と Non SD-WAN Destination (NSD) 間の安全な通信を確立するために使用されます。以前のリリースでは、VMware は SD-WAN Edge からの NSD トンネル、および NVS スタティック ルートを追加する機能をサポートしていました。4.3 リリースでは、この機能が拡張され、ルート ベース VPN の NSD エンドポイントへの BGP over IPsec がサポートされるようになりました。

VMware は 4 バイトの ASN BGP もサポートしています。詳細については、BGP の構成というタイトルのセクションを参照してください。

注: 4.3.0 リリースの場合、Edge からの Azure vWAN 自動化機能は BGP over IPsec と互換性がありません。これは、Edge から Azure vWAN への接続を自動化するときにスタティック ルートのみがサポートされるためです。

ユースケース

ユースケース 1:Edge から Azure VPN への BGP over IPsec

各 Azure VPN Gateway は、ブランチ Edge に 1 セットのパブリック仮想 IP アドレス (VIP) を割り当てることで、IPsec トンネルを形成します。同様に、Azure も 1 つの内部プライベート サブネットを割り当て、VIP ごとに 1 つの内部 IP アドレスを割り当てます。この内部 tunnel-ip(ピア tunnel-ip)は、Azure Gateway との BGP ピアリングを作成するために使用されます。

Azure には、BGP ピア IP アドレス(Edge のローカル tunnel-ip)が同じ接続されたサブネットまたは 169.x.x.x サブネットに含まれてはならないという制限があります。そのため、Edge でマルチホップ BGP をサポートする必要があります。BGP の用語では、ローカル tunnel-ip は BGP 送信元アドレスにマッピングされ、ピア tunnel-ip はネイバー/ピア アドレスにマッピングされます。BGP 接続のメッシュを形成する必要があります。NSD トンネルごとに 1 つ形成し、NVS からのリターン トラフィックをロード バランシング(フローベース)できるようにします。これは Azure Gateway 側で設計します。次の物理 Edge の図では、2 つのパブリック WAN リンクがあるため、Azure Gateway へのトンネルが 4 つあります。各トンネルは、ローカル tunnel_ip とリモート ピアの tunnel_ip によって一意に識別される 1 つの BGP 接続に関連付けられています。仮想 Edge での唯一の違いは、Azure Gateway へのパブリック WAN リンクが 1 つ、トンネルが最大 2 つ、BGP セッションが 2 つあることです。

注: SD-WAN Edge が複数の WAN リンクを使用して同じ Azure エンドポイントに接続されている場合、構成できる NSD-BGP ネイバーの最大数は 2 つです(リモート エンドには 2 つの public_ip と 2 つの NSD-BGP peer_ip しかないため)。両方の NSD-BGP ネイバーは、同じリンク(プライマリ/セカンダリ トンネル)で構成することも、異なるリンクのトンネルで構成することもできます。カスタマーが 3 つ以上の NSD-BGP ネイバーを構成し、同じ NSD-BGP peer_ip を複数のトンネルに構成しようとすると、最後に構成された BGP nbr_ip + local_ip は SD-WAN Edge および Free Range Routing (FRR) に構成されます。

ユースケース 2:Edge から AWS VPN/トランジット Gateway への BGP over IPsec

Azure とは異なり、AWS VPN Gateway は、リンクごとに 1 セットのパブリック VIP をブランチ Edge に割り当てます。AWS Gateway からブランチ Edge に割り当てられるパブリック IP アドレスの合計セットは、AWS VPN Gateway に接続する Edge のパブリック WAN リンクの数と等しくなります。同様に、/30 の内部/プライベート サブネットがトンネルごとに割り当てられ、そのトンネルでの BGP ピアリングに使用されます。これらの IP アドレスは、異なるアベイラビリティ ゾーン間で一意になるように、AWS Gateway 構成で手動で上書きすることもできます。

Azure のユースケースと同様、Edge は BGP 接続のメッシュを形成します(AWS Gateway へのトンネルごとに 1 つ)。これにより、AWS VPN Gateway からのリターン トラフィックをロード バランシングできます。これは AWS 側で設計します。次の図では、物理 Edge の場合、AWS Gateway は各 Edge WAN リンクに 1 セットのパブリック IP アドレスと 1 セットの tunnel-ip (/30) を割り当てます。合計 4 つのトンネルがありますが、AWS Gateway の異なるパブリック IP アドレスと 4 つの BGP 接続で終端します。

ユースケース 3:AWS と Azure VPN Gateway の両方への Edge 接続(ハイブリッド クラウド)

1 つのブランチ Edge は、冗長性の目的で、または一部のワークロード/アプリケーションを 1 つのクラウド プロバイダでホストし、他のワークロード/アプリケーションを別のクラウド プロバイダでホストする目的で、Azure Gateway と AWS Gateway の両方に接続できます。ユースケースに関係なく、Edge は常にトンネルごとに 1 つの BGP セッションを確立し、SD-WAN と IaaS 間でルートを伝達します。次の図は、Azure クラウドと AWS クラウドの両方に接続された 1 つのブランチ Edge の例です。

ユースケース 4:Azure/AWS トランジット Gateway に接続するハブ クラスタ

ハブ クラスタ メンバーは、Azure/AWS トランジット Gateway への IPsec トンネルを形成し、トランジット Gateway をレイヤー 3 として活用して、異なる VPC 間でトラフィックをルーティングできます。ハブにネイティブの BGP over IPsec 機能がない場合、ハブはネイティブ BGP を使用して L3 ルーター(ここでは Cisco CSR が広く使用されています)に接続する必要があります。L3 ルーターは、異なる VPC を持つ BGP over IPsec トンネルのメッシュを形成します。L3 ルーターは、異なる VPC 間のトランジット エンドポイントとして機能します。ユースケース-1(下の左の図):ハブを異なるアベイラビリティ ゾーン (AZ) の異なる VPC 間のトランジット ノードとして使用して、1 つの VPC が別の VPC と通信できるようにします。ユースケース-2(下の右の図):クラスタ内のすべてのハブをクラウド トランジット Gateway に直接接続し、Cloud Gateway をクラスタ メンバー間のルート分散用の PE (L3) ルーターとして使用できます。どちらのユースケースでも、ハブでの BGP over IPsec サポートがない場合、ハブはネイティブの BGP を使用して CSR などの L3 ルーターに接続し、CSR が BGP over IPsec を使用してトランジット/VPC Gateway とピアリングします。

ユースケース 5:ネイティブ サポートなしでクラウド プロバイダのトランジット機能をサポートする

Google Cloud や AliCloud などの一部のクラウド プロバイダはトランジット機能をネイティブでサポートせず(トランジット Gateway なし)、BGP over IPsec をサポートしているため、クラウドにデプロイされた SD-WAN Edge/ハブを利用して、異なる VPC/VNET 間のトランジット機能を実現できます。BGP over IPsec のサポートがない場合、トランジット機能を実現するには、CSR(ソリューション (2))のような L3 ルーターを使用する必要があります。

注: 4.3 リリースより前は、NVS-From-Gateway と NVS-From-Edge を介して同じ NVS-Static 宛先に到達可能であるカスタマーの場合、他のブランチ SD-WAN Edge からのトラフィックは NVS-Gateway を介したパスを優先します。カスタマーがネットワークを 4.3 リリース以降にアップグレードすると、他のブランチ SD-WAN Edge からのこのトラフィック パスは、NVS-Edge 経由のパスを優先します。したがって、カスタマーは、トラフィック パスの設定に従って、NSD-Edge および NSD-Gateway の NVS-Static-Destination のメトリックを更新する必要があります。

前提条件:

手順

Non SD-WAN ネイバーで BGP を有効にするには、次の手順を実行します。

  1. エンタープライズ ポータルで、[Edge の構成 (Configure Edge)] をクリックし、構成する SD-WAN Edge を選択します。
  2. [デバイス (Device)] タブをクリックします。
  3. [デバイス (Device)] タブで、[BGP 設定 (BGP Settings)] セクションまで下にスクロールし、スライダを [オン (ON)] の位置にクリックして、[編集 (Edit)] ボタンをクリックします。

  4. [BGP エディタ (BGP Editor)] ダイアログで、フィルタを追加します。
    1. [フィルタの追加 (Add Filter)] ボタンをクリックして、1 つ以上のフィルタを作成します。フィルタは、ルートの属性を拒否または変更するためにネイバーに適用されます。ネイバーと NSD ネイバーの両方を含む複数のネイバーに同じフィルタを使用できます。

      [BGP フィルタの作成 (Create BGP Filter)] ダイアログが表示されます。

    2. [BGP フィルタの作成 (Create BGP Filter)] 領域で、フィルタのルールを設定します(以下の図を参照)。[BGP フィルタの作成 (Create BGP Filter)] ダイアログのフィールドの説明については、次の表を参照してください。

      オプション 説明
      フィルタ名 (Filter Name) BGP フィルタのわかりやすい名前を入力します。
      一致のタイプと値 (Match Type and Value) フィルタと一致するルートのタイプを選択します。
      • [プレフィックス (Prefix)]:プレフィックスと一致する場合に選択し、[値 (Value)] フィールドにプレフィックスの IP アドレスを入力します。
      • [コミュニティ (Community)]:コミュニティと一致する場合に選択し、[値 (Value)] フィールドにコミュニティ文字列を入力します。
      完全一致 (Exact Match) フィルタ アクションは、BGP ルートが指定されたプレフィックスまたはコミュニティ文字列と完全に一致する場合にのみ実行されます。デフォルトでは、このオプションが有効になっています。
      アクションのタイプ (Action Type) BGP ルートが指定されたプレフィックスまたはコミュニティ文字列と一致する場合に実行するアクションを選択します。トラフィックを許可するか拒否するかを選択できます。
      設定 (Set) BGP ルートが指定された条件と一致する場合は、パスの属性に基づいてトラフィックをネットワークにルーティングするように設定できます。ドロップダウン リストから、次のいずれかのオプションを選択します。
      • [なし (None)]:一致するルートの属性は変わりません。
      • [ローカル プリファレンス (Local Preference)]:一致するトラフィックは、指定されたローカル プリファレンスを持つパスにルーティングされます。
      • [コミュニティ (Community)]:一致するルートは、指定されたコミュニティ文字列によってフィルタリングされます。また、[付加的なコミュニティ (Community Additive)] チェックボックスをオンにして、付加的なオプションを有効にして、既存のコミュニティにコミュニティの値を追加することもできます。
      • [メトリック (Metric)]:一致するトラフィックは、指定されたメトリック値を持つパスにルーティングされます。
      • [AS-Path-Prepend]:自律システム (AS) の複数のエントリを BGP ルートにプリペンドすることを許可します。
    3. フィルタに一致ルールをさらに追加するには、プラス ([+]) アイコンをクリックします。
    4. [OK] をクリックしてフィルタを作成します。

      構成されたフィルタは [BGP エディタ (BGP Editor)] ウィンドウに表示されます。

  5. [BGP エディタ (BGP Editor)] ダイアログで、構成するデバイスの適切なテキスト ボックスにローカル ASN を指定します。
  6. アンダーレイ ネイバーを構成します。
    注: 4.3 リリースのアンダーレイ ネイバーを構成する手順は、以前のリリースと同じです。この手順に関する具体的な情報については、「アンダーレイ ネイバーを使用した BGP の構成」というタイトルのセクションを参照してください。
  7. NSD ネイバーを構成します。
    注: 4.3 リリースは、Non SD-WAN (NSD) ネイバーをサポートします。すべてのグローバル設定は両方のネイバーで共有され、フィルタ リストも両方のタイプのネイバーに使用できます。NSD ネイバーを構成する前に上記の 前提条件セクションを参照してください。NSD ネイバーを構成するには、以下の手順を参照してください。アンダーレイ ネイバーと NSD ネイバーの BGP エディタのフィールドの説明については、以下の表を参照してください。

    1. [NSD 名 (NSD Name)] ドロップダウン メニューから [NSD ネイバー (NSD Neighbor)] を選択します。これがドロップダウン メニューに表示されるようにするには、SD-WAN Orchestrator[ブランチから Edge 経由の Non SD-WAN Destination (Branch to Non SD-WAN Destination via Edge)] 領域で以前に構成されている必要があります。
    2. [リンク名 (Link Name)] ドロップダウン メニューで、選択した NSD ネイバーに関連付けられているリンクを選択します。
    3. [トンネル タイプ (Tunnel Type)] ドロップダウン メニューからトンネル タイプ([プライマリ (Primary)] または [セカンダリ (Secondary)])を選択します。NSD ネイバーにセカンダリ IP アドレスが構成されていない場合、ドロップダウン メニューには [プライマリ (Primary)] オプションのみが表示され、[セカンダリ (Secondary)] オプションは表示されません。
    4. 選択した NSD ネイバーの ASN を入力します。
    5. ドロップダウン リストから受信ファイルを選択します。(この機能はオプションです。)
    6. ドロップダウン リストから送信フィルタを選択します。(この機能はオプションです。)

      NSD ネイバーのフィールドの説明については、次の表を参照してください。

      オプション 説明
      ローカル ASN (Local ASN) ローカルの自律システム番号 (ASN) を入力します。
      ネイバー IP アドレス (Neighbor IP) BGP ネイバーの IP アドレスを入力します。
      NSD 名 (NSD Name) SD-WAN Orchestrator の [ブランチから Edge 経由の Non SD-WAN Destination (Branch to Non SD-WAN Destination via Edge)] 領域で構成された NSD 名を選択します。
      リンク名 (Link Name) NSD ネイバーに関連付けられている WAN リンクの名前を選択します。
      ASN NSD ネイバーの ASN を入力します。
      トンネル タイプ (Tunnel Type) ピアのトンネル タイプ([プライマリ (Primary)] または [セカンダリ (Secondary)])を選択します。
      受信フィルタ (Inbound Filter) ドロップダウン リストから受信ファイルを選択します。
      送信フィルタ (Outbound Filter) ドロップダウン リストから送信ファイルを選択します。
      [その他のオプション (Additional Options)][すべてを表示 (view all)] リンクをクリックして、次の追加設定を構成します。
      アップリンク (Uplink) ネイバー タイプに「アップリンク」のフラグを付けるために使用されます。MPLS に向かう WAN オーバーレイとして使用する場合は、このフラグ オプションを選択します。これは、MPLS に向かう WAN リンクへの SD-WAN オーバーレイを介して学習したルートを伝達することで、サイトが中継サイト(SD-WAN Hub など)になるかどうかを判断するフラグとして使用されます。中継サイトにする必要がある場合は、[詳細設定 (Advanced Settings)] 領域の [アップリンクを介したオーバーレイ プレフィックス (Overlay Prefix Over Uplink)] チェックボックスもオンにしてください。
      ローカル IP アドレス (Local IP)

      Non SD-WAN ネイバーを構成するには、ローカル IP アドレスが必須です。

      ローカル IP アドレスは、ループバック IP アドレスと同じです。BGP ネイバーシップが送信パケットの送信元 IP アドレスとして使用できる IP アドレスを入力します。
      最大ホップ数 (Max-hop) BGP ピアのマルチホップを有効にする最大ホップ数を入力します。範囲は 1 ~ 255 で、デフォルト値は 1 です。
      注: このフィールドは、ローカル ASN と隣接 ASN が異なる場合に、eBGP ネイバーでのみ使用できます。iBGP では、両方の ASN が同じである場合、マルチホップはデフォルトで無効になっており、このフィールドは構成できません。
      AS を許可 (Allow AS) Edge が AS-Path で自身の ASN を検出した場合でも BGP ルートを受信して処理できるようにするには、このチェックボックスをオンにします。
      デフォルト ルート (Default Route) デフォルト ルートは、BGP 構成にネットワーク ステートメントを追加して、デフォルト ルートをネイバーに広報します。
      BFD の有効化 (Enable BFD) BGP ネイバーの既存の BFD セッションのサブスクリプションを有効にします。
      注: シングルホップ BFD セッションは、NSD ネイバーを使用する BGP over IPsec ではサポートされていません。ただし、マルチホップ BFD がサポートされます。local_ip は、SD-WAN Edge での NSD-BGP セッションに必須です。SD-WAN Edge は、接続されたインターフェイス IP のみをシングルホップ BFD として処理します。
      キープ アライブ (Keep Alive) キープアライブ タイマーを秒単位で入力します。これは、ピアに送信されるキープアライブ メッセージの間隔です。範囲は 0 ~ 65535 秒です。デフォルト値は 60 秒です。
      ホールド タイマー (Hold Timer) ホールド タイマーを秒単位で入力します。指定された時間にキープアライブ メッセージを受信しなかった場合、そのピアは停止していると見なされます。範囲は 0 ~ 65535 秒です。デフォルト値は 180 秒です。
      接続 (Connect) TCP セッションがパッシブでないことを検出した場合に、ピアとの新しい TCP 接続を試行するまでの間隔を入力します。デフォルト値は 120 秒です。
      MD5 認証 (MD5 Auth) BGP MD5 認証を有効にするには、このチェックボックスをオンにします。このオプションは、レガシー ネットワークまたは連邦ネットワークで使用されており、BGP ピアリングのセキュリティ ガードとして BGP MD5 が使用されることが一般的です。
      MD5 パスワード (MD5 Password) MD5 認証のパスワードを入力します。パスワードには、数字が後に続く文字 $ を含めることはできません。たとえば、$1、$123、password$123 は無効な入力です。
      注: パスワードに数字が後に続く文字 $ が含まれている場合、MD5 認証は失敗します。
      注: マルチホップ BGP では、システムが再帰ルックアップを必要とするルートを学習する場合があります。これらのルートには、接続されたサブネット内にないネクスト ホップ IP アドレスがあり、有効な出口インターフェイスはありません。この場合、ルートは、出口インターフェイスを持つルーティング テーブル内の別のルートを使用してネクスト ホップ IP アドレスを解決する必要があります。これらのルートの検索が必要な宛先のトラフィックがある場合、再帰ルックアップが必要なルートは、接続されているネクスト ホップの IP アドレスとインターフェイスに解決されます。再帰的な解決が行われるまで、再帰的なルートは中間インターフェイスを参照します。詳細については、 マルチホップ BGP ルートを参照してください。
    7. NSD ネイバーの追加オプションを構成するには、[詳細設定 (Advanced Settings)] ボタンをクリックします。
      注: 詳細設定は、通常のアンダーレイ BGP ネイバーと NSD-BGP ネイバーの両方で共有されます。NSD ネイバーの [詳細設定 (Advanced Settings)] 領域のすべてのフィールドの説明については、以下の表を参照してください。NSD ネイバーのこれらの設定については、4.3 リリースでの変更はありません。
    8. プラス アイコンをクリックすると、追加の NSD ネイバーを作成またはクローン作成できます。作成またはクローン作成された NSD ネイバーを削除するには、マイナス アイコンをクリックします。
      オプション 説明
      ルーター ID (Router ID) グローバル BGP ルーター ID を入力します。値を指定しない場合は、ID が自動的に割り当てられます。
      キープ アライブ (Keep Alive) キープアライブ タイマーを秒単位で入力します。これは、ピアに送信されるキープアライブ メッセージの間隔です。範囲は 0 ~ 65535 秒です。デフォルト値は 60 秒です。
      ホールド タイマー (Hold Timer) ホールド タイマーを秒単位で入力します。指定された時間にキープアライブ メッセージを受信しなかった場合、そのピアは停止していると見なされます。範囲は 0 ~ 65535 秒です。デフォルト値は 180 秒です。
      アップリンク コミュニティ (Uplink Community)

      アップリンク ルートとして扱われるコミュニティ文字列を入力します。

      アップリンクは、プロバイダ Edge (PE) に接続されているリンクを指します。指定されたコミュニティ値と一致する Edge に向かう受信ルートは、アップリンク ルートとして扱われます。ハブ/Edge はこれらのルートの所有者とみなされません。

      1 ~ 4294967295 の範囲の数字形式または AA:NN 形式で値を入力します。

      オーバーレイ プレフィックス (Overlay Prefix) オーバーレイから学習したプレフィックスを再配分するには、このチェックボックスをオンにします。
      AS-Path 引継ぎの無効化 (Disable AS-Path carry over) デフォルトでは、このチェックボックスはオフのままにする必要があります。AS-PATH 引継ぎを無効にするには、チェックボックスをオンにします。特定のトポロジでは、AS-PATH 引き継ぎを無効にすると、送信 AS-PATH に影響し、L3 ルーターが Edge またはハブへのパスを優先するようになります。
      注意: AS-PATH 引継ぎを無効にした場合は、ルーティング ループを回避するようにネットワークを調整します。
      コネクト ルート (Connected Routes) 接続されているすべてのインターフェイス サブネットを再配分するには、このチェックボックスをオンにします。
      OSPF BGP への OSPF 再配分を有効にするには、このチェックボックスをオンにします。
      メトリック設定 (Set Metric) OSPF を有効にする場合は、再配分された OSPF ルートの BGP メトリックを入力します。デフォルト値は 20 です。
      デフォルト ルート (Default Route)

      Edge がオーバーレイまたはアンダーレイを介して BGP ルートを学習する場合にのみデフォルト ルートを再配分するには、このチェックボックスをオンにします。

      [デフォルト ルート (Default Route)] オプションをオンにすると、[アドバタイズ (Advertise)] オプションが [条件付き (Conditional)] として使用できるようになります。

      アップリンクを介したオーバーレイ プレフィックス (Overlay Prefixes over Uplink) オーバーレイから学習したルートをアップリンク フラグ付きネイバーに伝達するには、このチェックボックスをオンにします。
      ネットワーク (Networks) BGP がピアにアドバタイズするネットワーク アドレスを入力します。さらにネットワーク アドレスを追加するには、プラス ([+]) アイコンをクリックします。
      [デフォルト ルート (Default Route)] オプションを有効にすると、次の表に示すように、BGP ルートは、[デフォルト ルート (Default Route)] の選択に基づいてグローバルに、および BGP ネイバーごとに広報されます。
      デフォルト ルートの選択 アドバタイズ オプション
      グローバル BGP ネイバーごと
      はい はい BGP ネイバーごとの構成によってグローバル構成がオーバーライドされるため、デフォルト ルートは常に BGP ピアにアドバタイズされます。
      はい いいえ Edge がオーバーレイまたはアンダーレイ ネットワークを介して明示的なデフォルト ルートを学習している場合にのみ、BGP はデフォルト ルートをそのネイバーに再配分します。
      いいえ はい デフォルト ルートは常に BGP ピアにアドバタイズされます。
      いいえ いいえ デフォルト ルートは BGP ピアにアドバタイズされません。
  8. [OK] をクリックして構成したフィルタと NSD ネイバーを保存し、[BGP エディタ (BGP Editor)] を閉じます。

    [BGP 設定 (BGP Settings)] セクションには、BGP の構成設定が表示されます。

  9. 構成を保存するには、[デバイス (Device)] 画面で [変更の保存 (Save Changes)] をクリックします。

プロファイルの BGP 設定を構成する場合、Non SD-WAN BGP ネイバー構成はプロファイル レベルでは適用されません。Edge の上書きレベルでのみ構成できます。必要に応じて、特定の Edge の構成を上書きできます。詳細については、「BGP の構成」というタイトルのセクションを参照してください。