Non SD-WAN BGP ネイバー設定はプロファイル レベルでは適用されません。NSD ネイバーは、Edge レベルでのみ設定できます。
このタスクについて:
BGP は、Non SD-WAN Site への IPsec トンネルを介した BGP ネイバーシップを確立するために使用されます。ダイレクト IPsec トンネルは、SD-WAN Edge と Non SD-WAN Destination (NSD) 間の安全な通信を確立するために使用されます。以前のリリースでは、VMware は SD-WAN Edge からの NSD トンネル、および NVS スタティック ルートを追加する機能をサポートしていました。4.3 リリースでは、この機能が拡張され、ルート ベース VPN の NSD エンドポイントへの BGP over IPsec がサポートされるようになりました。
VMware SD-WAN は 4 バイトの ASN BGP をサポートしています。詳細については、BGP の設定を参照してください。
ユースケース
ユースケース 1:Edge から Azure VPN への BGP over IPsec
各 Azure VPN Gateway は、ブランチ Edge に 1 セットのパブリック仮想 IP アドレス (VIP) を割り当てることで、IPsec トンネルを形成します。同様に、Azure も 1 つの内部プライベート サブネットを割り当て、VIP ごとに 1 つの内部 IP アドレスを割り当てます。この内部 tunnel-ip(ピア tunnel-ip)は、Azure Gateway との BGP ピアリングを作成するために使用されます。
Azure には、BGP ピア IP アドレス(Edge のローカル tunnel-ip)が同じ接続されたサブネットまたは 169.x.x.x サブネットに含まれてはならないという制限があります。そのため、Edge でマルチホップ BGP をサポートする必要があります。BGP の用語では、ローカル tunnel-ip は BGP 送信元アドレスにマッピングされ、ピア tunnel-ip はネイバー/ピア アドレスにマッピングされます。BGP 接続のメッシュを形成する必要があります。NSD トンネルごとに 1 つ形成し、NVS からのリターン トラフィックをロード バランシング(フローベース)できるようにします。これは Azure Gateway 側で設計します。次の物理 Edge の図では、2 つのパブリック WAN リンクがあるため、Azure Gateway へのトンネルが 4 つあります。各トンネルは、ローカル tunnel_ip とリモート ピアの tunnel_ip によって一意に識別される 1 つの BGP 接続に関連付けられています。仮想 Edge での唯一の違いは、Azure Gateway へのパブリック WAN リンクが 1 つ、トンネルが最大 2 つ、BGP セッションが 2 つあることです。
ユースケース 2:Edge から AWS VPN/トランジット Gateway への BGP over IPsec
Azure とは異なり、AWS VPN Gateway は、リンクごとに 1 セットのパブリック VIP をブランチ Edge に割り当てます。AWS Gateway からブランチ Edge に割り当てられるパブリック IP アドレスの合計セットは、AWS VPN Gateway に接続する Edge のパブリック WAN リンクの数と等しくなります。同様に、/30 の内部/プライベート サブネットがトンネルごとに割り当てられ、そのトンネルでの BGP ピアリングに使用されます。これらの IP アドレスは、異なるアベイラビリティ ゾーン間で一意になるように、AWS Gateway 設定で手動で上書きすることもできます。
Azure のユースケースと同様、Edge は BGP 接続のメッシュを形成します(AWS Gateway へのトンネルごとに 1 つ)。これにより、AWS VPN Gateway からのリターン トラフィックをロード バランシングできます。これは AWS 側で設計します。次の図では、物理 Edge の場合、AWS Gateway は各 Edge WAN リンクに 1 セットのパブリック IP アドレスと 1 セットの tunnel-ip (/30) を割り当てます。合計 4 つのトンネルがありますが、AWS Gateway の異なるパブリック IP アドレスと 4 つの BGP 接続で終端します。
ユースケース 3:AWS と Azure VPN Gateway の両方への Edge 接続(ハイブリッド クラウド)
1 つのブランチ Edge は、冗長性の目的で、または一部のワークロード/アプリケーションを 1 つのクラウド プロバイダでホストし、他のワークロード/アプリケーションを別のクラウド プロバイダでホストする目的で、Azure Gateway と AWS Gateway の両方に接続できます。ユースケースに関係なく、Edge は常にトンネルごとに 1 つの BGP セッションを確立し、SD-WAN と IaaS 間でルートを伝達します。次の図は、Azure クラウドと AWS クラウドの両方に接続された 1 つのブランチ Edge の例です。
ユースケース 4:Azure/AWS トランジット Gateway に接続するハブ クラスタ
ハブ クラスタ メンバーは、Azure/AWS トランジット Gateway への IPsec トンネルを形成し、トランジット Gateway をレイヤー 3 として活用して、異なる VPC 間でトラフィックをルーティングできます。ハブにネイティブの BGP over IPsec 機能がない場合、ハブはネイティブ BGP を使用して L3 ルーター(ここでは Cisco CSR が広く使用されています)に接続する必要があります。L3 ルーターは、異なる VPC を持つ BGP over IPsec トンネルのメッシュを形成します。L3 ルーターは、異なる VPC 間のトランジット エンドポイントとして機能します。ユースケース-1(下の左の図):ハブを異なるアベイラビリティ ゾーン (AZ) の異なる VPC 間のトランジット ノードとして使用して、1 つの VPC が別の VPC と通信できるようにします。ユースケース-2(下の右の図):クラスタ内のすべてのハブをクラウド トランジット Gateway に直接接続し、Cloud Gateway をクラスタ メンバー間のルート分散用の PE (L3) ルーターとして使用できます。どちらのユースケースでも、ハブでの BGP over IPsec サポートがない場合、ハブはネイティブの BGP を使用して CSR などの L3 ルーターに接続し、CSR が BGP over IPsec を使用してトランジット/VPC Gateway とピアリングします。
ユースケース 5:ネイティブ サポートなしでクラウド プロバイダのトランジット機能をサポートする
Google Cloud や AliCloud などの一部のクラウド プロバイダはトランジット機能をネイティブでサポートせず(トランジット Gateway なし)、BGP over IPsec をサポートしているため、クラウドにデプロイされた SD-WAN Edge/ハブを利用して、異なる VPC/VNET 間のトランジット機能を実現できます。BGP over IPsec のサポートがない場合、トランジット機能を実現するには、CSR(ソリューション (2))のような L3 ルーターを使用する必要があります。
前提条件:
- NSD ネイバーを使用して BGP を設定するには、ブランチから Edge 経由の Non SD-WAN Destination を設定していることを確認します。
- NSD ネイバーを使用して BGP を設定するには、Edge のローカル IP アドレスが必要です。
手順
Non SD-WAN ネイバーで BGP を有効にするには、次の手順を実行します。
- エンタープライズ ポータルで、 をクリックし、SD-WAN Edge を選択します。
- [デバイス (Device)] タブをクリックします。
- [デバイス (Device)] タブで、[BGP 設定 (BGP Settings)] セクションまで下にスクロールし、[Edge 固有設定の上書きを有効化 (Enable Edge Override)] チェックボックスをオンにします。
- スライダを [オン (ON)] の位置にクリックして、[編集 (Edit)] ボタンをクリックします。
- [BGP エディタ (BGP Editor)] ウィンドウで、次の設定を行います。
- ローカルの自律システム番号 (ASN) を入力し、[BGP 設定 (BGP Settings)] セクションで次の設定を行います。
オプション 説明 ルーター ID (Router ID) グローバル BGP ルーター ID を入力します。値を指定しない場合は、ID が自動的に割り当てられます。Edge のループバック インターフェイスを設定した場合、ループバック インターフェイスの IP アドレスがルーター ID として割り当てられます。 キープ アライブ (Keep Alive) キープアライブ タイマーを秒単位で入力します。これは、ピアに送信されるキープアライブ メッセージの間隔です。範囲は 0 ~ 65535 秒です。デフォルト値は 60 秒です。 ホールド タイマー (Hold Timer) ホールド タイマーを秒単位で入力します。指定された時間にキープアライブ メッセージを受信しなかった場合、そのピアはダウンしていると見なされます。範囲は 0 ~ 65535 秒です。デフォルト値は 180 秒です。 アップリンク コミュニティ (Uplink Community) アップリンク ルートとして扱われるコミュニティ文字列を入力します。
アップリンクは、プロバイダ Edge (PE) に接続されているリンクを指します。指定されたコミュニティ値と一致する Edge に向かう受信ルートは、アップリンク ルートとして扱われます。ハブ/Edge はこれらのルートの所有者とみなされません。
1 ~ 4294967295 の範囲の数字形式または AA:NN 形式で値を入力します。
- [フィルタの追加 (Add Filter)] ボタンをクリックして、1 つ以上のフィルタを作成します。フィルタは、ルートの属性を拒否または変更するためにネイバーに適用されます。アンダーレイ ネイバーと NSD ネイバーの両方を含む複数のネイバーに同じフィルタを使用できます。
- [BGP フィルタの作成 (Create BGP Filter)] 領域で、フィルタのルールを設定します。
オプション 説明 フィルタ名 (Filter Name) BGP フィルタのわかりやすい名前を入力します。 一致のタイプと値 (Match Type and Value) フィルタと一致するルートのタイプを選択します。 - [IPv4 または IPv6 のプレフィックス (Prefix for IPv4 or IPv6)]:IPv4 または IPv6 アドレスのプレフィックスと一致する場合に選択し、[値 (Value)] フィールドに対応するプレフィックスの IP アドレスを入力します。
- [コミュニティ (Community)]:コミュニティと一致する場合に選択し、[値 (Value)] フィールドにコミュニティ文字列を入力します。
完全一致 (Exact Match) フィルタ アクションは、BGP ルートが指定されたプレフィックスまたはコミュニティ文字列と完全に一致する場合にのみ実行されます。デフォルトでは、このオプションが有効になっています。 アクションのタイプ (Action Type) BGP ルートが指定されたプレフィックスまたはコミュニティ文字列と一致する場合に実行するアクションを選択します。トラフィックを許可するか拒否するかを選択できます。 設定 (Set) BGP ルートが指定された条件と一致する場合は、パスの属性に基づいてトラフィックをネットワークにルーティングするように設定できます。ドロップダウン リストから、次のいずれかのオプションを選択します。 - [なし (None)]:一致するルートの属性は変わりません。
- [ローカル プリファレンス (Local Preference)]:一致するトラフィックは、指定されたローカル プリファレンスを持つパスにルーティングされます。
- [コミュニティ (Community)]:一致するルートは、指定されたコミュニティ文字列によってフィルタリングされます。また、[付加的なコミュニティ (Community Additive)] チェックボックスをオンにして、付加的なオプションを有効にして、既存のコミュニティにコミュニティの値を追加することもできます。
- [メトリック (Metric)]:一致するトラフィックは、指定されたメトリック値を持つパスにルーティングされます。
- [AS-Path-Prepend]:自律システム (AS) の複数のエントリを BGP ルートにプリペンドすることを許可します。
フィルタに一致ルールをさらに追加するには、プラス ([+]) アイコンをクリックします。
[OK] をクリックしてフィルタを作成します。
設定されたフィルタは [BGP エディタ (BGP Editor)] ウィンドウに表示されます。
- ローカルの自律システム番号 (ASN) を入力し、[BGP 設定 (BGP Settings)] セクションで次の設定を行います。
- 必要に応じて、IPv4 および IPv6 アドレスのアンダーレイ ネイバーを設定します。詳細については、Edge からアンダーレイ ネイバーへの BGP の設定を参照してください。
- 次のように NSD ネイバーを設定します。
注: 4.3 以降のリリースは、Non SD-WAN (NSD) ネイバーをサポートします。すべてのグローバル設定はアンダーレイ ネイバーと NSD ネイバーの両方で共有され、フィルタ リストも両方のタイプのネイバーに使用できます。NSD ネイバーを設定する前に、 前提条件が設定されていることを確認します。
- [NSD ネイバー (NSD Neighbors)] セクションで、次の設定を行います。
オプション 説明 NSD 名 (NSD Name) ドロップダウン リストから [NSD 名 (NSD Name)] を選択します。SD-WAN Orchestrator の [ブランチから Edge 経由の Non SD-WAN Destination (Branch to Non SD-WAN Destination via Edge)] 領域ですでに設定されている NSD がドロップダウン メニューに表示されます。 リンク名 (Link Name) NSD ネイバーに関連付けられている WAN リンクの名前を選択します。 トンネル タイプ (Tunnel Type) ピアのトンネル タイプとして [プライマリ (Primary)] または [セカンダリ (Secondary)] を選択します。 ネイバー IP アドレス (Neighbor IP) NSD ネイバーの IP アドレスを入力します。 ASN NSD ネイバーの ASN を入力します。 受信フィルタ (Inbound Filter) ドロップダウン リストから受信ファイルを選択します。 送信フィルタ (Outbound Filter) ドロップダウン リストから送信ファイルを選択します。 [その他のオプション (Additional Options)]:[すべてを表示 (view all)] リンクをクリックして、次の追加設定を行います。 アップリンク (Uplink) ネイバー タイプに「アップリンク」のフラグを付けるために使用されます。MPLS に向かう WAN オーバーレイとして使用する場合は、このフラグ オプションを選択します。これは、MPLS に向かう WAN リンクへの SD-WAN オーバーレイを介して学習したルートを伝達することで、サイトが中継サイト(SD-WAN Hub など)になるかどうかを判断するフラグとして使用されます。中継サイトにする必要がある場合は、[詳細 (Advanced)] 設定で、[アップリンクを介したオーバーレイ プレフィックス (Overlay Prefix Over Uplink)] チェックボックスをオンにします。 ローカル IP アドレス (Local IP) Non SD-WAN ネイバーを設定するには、ローカル IP アドレスが必須です。
ローカル IP アドレスは、ループバック IP アドレスと同じです。BGP ネイバーシップが送信パケットの送信元 IP アドレスとして使用できる IP アドレスを入力します。最大ホップ数 (Max-hop) BGP ピアのマルチホップを有効にする最大ホップ数を入力します。範囲は 1 ~ 255 で、デフォルト値は 1 です。 注: このフィールドは、ローカル ASN と隣接 ASN が異なる場合に、eBGP ネイバーでのみ使用できます。iBGP では、両方の ASN が同じである場合、マルチホップはデフォルトでアクティベーション解除されており、このフィールドは設定できません。AS を許可 (Allow AS) Edge が AS-Path で自身の ASN を検出した場合でも BGP ルートを受信して処理できるようにするには、このチェックボックスをオンにします。 デフォルト ルート (Default Route) デフォルト ルートは、BGP 設定にネットワーク ステートメントを追加して、デフォルト ルートをネイバーに広報します。 BFD の有効化 (Enable BFD) BGP ネイバーの既存の BFD セッションのサブスクリプションを有効にします。 注: シングルホップ BFD セッションは、NSD ネイバーを使用する BGP over IPsec ではサポートされていません。ただし、マルチホップ BFD がサポートされます。[ローカル IP アドレス (Local IP)] は、SD-WAN Edge での NSD-BGP セッションに必須です。SD-WAN Edge は、接続されたインターフェイスの IP アドレスのみをシングルホップ BFD として処理します。キープ アライブ (Keep Alive) キープアライブ タイマーを秒単位で入力します。これは、ピアに送信されるキープアライブ メッセージの間隔です。範囲は 0 ~ 65535 秒です。デフォルト値は 60 秒です。 ホールド タイマー (Hold Timer) ホールド タイマーを秒単位で入力します。指定された時間にキープアライブ メッセージを受信しなかった場合、そのピアはダウンしていると見なされます。範囲は 0 ~ 65535 秒です。デフォルト値は 180 秒です。 接続 (Connect) TCP セッションがパッシブでないことを検出した場合に、ピアとの新しい TCP 接続を試行するまでの間隔を入力します。デフォルト値は 120 秒です。 MD5 認証 (MD5 Auth) BGP MD5 認証を有効にするには、このチェックボックスをオンにします。このオプションは、レガシー ネットワークまたは連邦ネットワークで使用されており、BGP ピアリングのセキュリティ ガードとして BGP MD5 が使用されることが一般的です。 MD5 パスワード (MD5 Password) MD5 認証のパスワードを入力します。パスワードには、数字が後に続く文字 $ を含めることはできません。たとえば、$1、$123、password$123 は無効な入力です。 注: パスワードに数字が後に続く文字 $ が含まれている場合、MD5 認証は失敗します。注: マルチホップ BGP では、システムが再帰ルックアップを必要とするルートを学習する場合があります。これらのルートには、接続されたサブネット内にないネクスト ホップ IP アドレスがあり、有効な出口インターフェイスはありません。この場合、ルートは、出口インターフェイスを持つルーティング テーブル内の別のルートを使用してネクスト ホップ IP アドレスを解決する必要があります。これらのルートの検索が必要な宛先のトラフィックがある場合、再帰ルックアップが必要なルートは、接続されているネクスト ホップの IP アドレスとインターフェイスに解決されます。再帰的な解決が行われるまで、再帰的なルートは中間インターフェイスを参照します。詳細については、 マルチホップ BGP ルートを参照してください。 - [詳細 (Advanced)] をクリックして、次の設定を行います。
注: 詳細設定は、アンダーレイ BGP ネイバーと NSD-BGP ネイバーの両方で共有されます。
オプション 説明 オーバーレイ プレフィックス (Overlay Prefix) オーバーレイから学習したプレフィックスを再配分するには、このチェックボックスをオンにします。 AS-PATH 引き継ぎを無効にする (Turn off AS-Path carry over) デフォルトでは、このチェックボックスはオフのままにする必要があります。AS-PATH 引き継ぎを無効にするには、チェックボックスをオンにします。特定のトポロジでは、AS-PATH 引き継ぎをオフにすると、送信 AS-PATH に影響し、L3 ルーターが Edge またはハブへのパスを優先するようになります。 注意: AS-PATH 引き継ぎをオフにした場合は、ルーティング ループを回避するようにネットワークを調整します。コネクト ルート (Connected Routes) 接続されているすべてのインターフェイス サブネットを再配分するには、このチェックボックスをオンにします。 OSPF BGP への OSPF 再配分を有効にするには、このチェックボックスをオンにします。 メトリック設定 (Set Metric) OSPF を有効にする場合は、再配分された OSPF ルートの BGP メトリックを入力します。デフォルト値は 20 です。 デフォルト ルート (Default Route) Edge がオーバーレイまたはアンダーレイを介して BGP ルートを学習する場合にのみデフォルト ルートを再配分するには、このチェックボックスをオンにします。
[デフォルト ルート (Default Route)] オプションをオンにすると、[広報 (Advertise)] オプションが [条件付き (Conditional)] として使用できるようになります。
アップリンクを介したオーバーレイ プレフィックス (Overlay Prefixes over Uplink) オーバーレイから学習したルートをアップリンク フラグ付きネイバーに伝達するには、このチェックボックスをオンにします。 ネットワーク (Networks) BGP がピアに広報するネットワーク アドレスを入力します。さらにネットワーク アドレスを追加するには、プラス ([+]) アイコンをクリックします。 デフォルト ルートの選択 広報 オプション グローバル BGP ネイバーごと はい はい BGP ネイバーごとの設定によってグローバル設定がオーバーライドされるため、デフォルト ルートは常に BGP ピアに広報されます。 はい いいえ Edge がオーバーレイまたはアンダーレイ ネットワークを介して明示的なデフォルト ルートを学習している場合にのみ、BGP はデフォルト ルートをそのネイバーに再配分します。 いいえ はい デフォルト ルートは常に BGP ピアに広報されます。 いいえ いいえ デフォルト ルートは BGP ピアに広報されません。
- [NSD ネイバー (NSD Neighbors)] セクションで、次の設定を行います。
- [OK] をクリックして設定したフィルタと NSD ネイバーを保存します。
[BGP 設定 (BGP Settings)] セクションには、完了した設定が表示されます。
- 設定を保存するには、[デバイス (Device)] 画面で [変更の保存 (Save Changes)] をクリックします。