IPsec トンネル経由で SD-WAN Gateway の BGP を設定できます。

BGP over IPsec でサポートされているのは eBGP のみです。

注: SD-WAN Gateway と NSD サイト間で eBGP を使用することをお勧めします。iBGP が使用されている場合、ローカル プリファレンスの適用はアウトバウンド フィルタでは機能しません。その場合、カスタマーは望ましいルーティングを実現するためにメトリックまたは AS-Path-Prepend オプションを選択する必要があります。

Gateway の BGP 設定を行うには、次の手順を実行します。

前提条件

注: Gateway からの Azure vWAN 自動化機能は BGP over IPsec と互換性がありません。これは、Gateway から Azure vWAN への接続を自動化するときにスタティック ルートのみがサポートされるためです。

次の項目を設定していることを確認してください。

注: Gateway 経由で BGP over IPsec を使用する場合に最高のパフォーマンスとスケーリングを実現するには、 [分散コスト計算 (Distributed Cost Calculation)] をオンにすることをお勧めします。 [分散コスト計算 (Distributed Cost Calculation)] は、リリース 3.4.0 以降でサポートされています。

[分散コスト計算 (Distributed Cost Calculation)] の詳細については、『VMware SD-WAN オペレータ ガイド』の「[分散コスト計算の設定]」セクションを参照してください。この文書は https://docs.vmware.com/jp/VMware-SD-WAN/index.html で入手できます。

手順

  1. エンタープライズ ポータルで、[設定 (Configure)] > [ネットワーク サービス (Network Services)] をクリックします。
  2. [Gateway 経由の Non SD-WAN Destination (Non SD-WAN Destinations via Gateway)] 領域で、Non SD-WAN Destination に対応する [BGP] 列にある [編集 (Edit)] リンクをクリックします。
  3. [BGP エディタ (BGP Editor)] 画面で、スライダを [オン (ON)] の位置にクリックして、BGP を設定します。
    1. [フィルタの追加 (Add Filter)] をクリックして、1 つ以上のフィルタを作成します。これらのフィルタは、ルートの属性を拒否または変更するためにネイバーに適用されます。複数のネイバーに同じフィルタを使用できます。
      [BGP フィルタの作成 (Create BGP Filter)] ウィンドウで、フィルタのルールを設定します。
      オプション 説明
      フィルタ名 (Filter Name) BGP フィルタのわかりやすい名前を入力します。
      一致のタイプと値 (Match Type and Value) フィルタと一致するルートのタイプを選択します。
      • [プレフィックス (Prefix)]:プレフィックスと一致する場合に選択し、[値 (Value)] フィールドにプレフィックスの IP アドレスを入力します。
      • [コミュニティ (Community)]:コミュニティと一致する場合に選択し、[値 (Value)] フィールドにコミュニティ文字列を入力します。
      完全一致 (Exact Match) フィルタ アクションは、BGP ルートが指定されたプレフィックスまたはコミュニティ文字列と完全に一致する場合にのみ実行されます。デフォルトでは、このオプションが有効になっています。
      アクションのタイプ (Action Type) BGP ルートが指定されたプレフィックスまたはコミュニティ文字列と一致する場合に実行するアクションを選択します。トラフィックを許可するか拒否するかを選択できます。
      設定 (Set) BGP ルートが指定された条件と一致する場合は、パスの属性に基づいてトラフィックをネットワークにルーティングするように設定できます。ドロップダウン リストから、次のいずれかのオプションを選択します。
      • [なし (None)]:一致するルートの属性は変わりません。
      • [ローカル プリファレンス (Local Preference)]:一致するトラフィックは、指定されたローカル プリファレンスを持つパスにルーティングされます。
      • [コミュニティ (Community)]:一致するルートは、指定されたコミュニティ文字列によってフィルタリングされます。
      • [メトリック (Metric)]:一致するトラフィックは、指定されたメトリック値を持つパスにルーティングされます。
      • [AS-Path-Prepend]:自律システム (AS) の複数のエントリを BGP ルートにプリペンドすることを許可します。
      フィルタの一致ルールをさらに追加するには、プラス ( [+]) アイコンをクリックします。
      [OK] をクリックします。
      さらに BGP フィルタを作成するには、この手順を繰り返します。
      設定されたフィルタは [BGP エディタ (BGP Editor)] ウィンドウに表示されます。
    2. [BGP エディタ (BGP Editor)] 画面で、プライマリ Gateway およびセカンダリ Gateway の BGP を設定します。
      注: セカンダリ Gateway オプションは、対応する Non SD-WAN Destination のセカンダリ Gateway を設定している場合にのみ使用できます。
      注: Gateway 経由の Non VMware SD-WAN Destination (NSD) が冗長トンネルを使用するように設定されているカスタマーの展開の場合、プライマリおよびセカンダリ Gateway がプライマリおよびセカンダリ NSD トンネルへの等しい AS パスを持つプレフィックスを広報すると、プライマリ NSD トンネルは冗長な Gateway パスをプライマリ Gateway より優先します。冗長な Gateway パスをプライマリ Gateway よりも優先している、Gateway 上のプライマリ NSD トンネルの影響は、NSD から Gateway へのリターン トラフィックに対してのみ発生します。

      BGP ルーターで冗長 Gateway を優先しない場合の回避策は、AS-PATH プリペンドを設定し、冗長 Gateway でアドバタイズされたプレフィックスのメトリック フィルタをより高い(3 つ以上)メトリックに設定することです。これを行うと、NSD のプライマリ トンネルがリターン トラフィックのプライマリ Gateway を選択します。

      オプション 説明
      ローカル ASN (Local ASN) ローカルの自律システム番号 (ASN) を入力します。
      ルーター ID (Router ID) BGP ルーター ID を入力します。
      ネイバー IP アドレス (Neighbor IP) BGP ネイバーの IP アドレスを入力します。
      ASN ネイバーの ASN を入力します。
      受信フィルタ (Inbound Filter) ドロップダウン リストから受信フィルタを選択します。
      送信フィルタ (Outbound Filter) ドロップダウン リストから送信フィルタを選択します。
      [その他のオプション (Additional Options)][すべてを表示 (view all)] リンクをクリックして、次の追加設定を行います。
      ローカル IP アドレス (Local IP) ローカル IP アドレスは、ループバック IP アドレスと同じです。BGP ネイバーシップが送信パケットの送信元 IP アドレスとして使用できる IP アドレスを入力します。
      最大ホップ数 (Max-hop) BGP ピアのマルチホップを有効にする最大ホップ数を入力します。5.1 リリース以降の場合、範囲は 2 ~ 255 で、デフォルト値は 2 です。
      注: 5.1 リリースにアップグレードすると、最大ホップ数の値 1 が自動的に最大ホップ数の値 2 に更新されます。
      注: このフィールドは、ローカル ASN と隣接 ASN が異なる場合に、eBGP ネイバーでのみ使用できます。
      Allow AS Gateway が AS-Path で自身の ASN を検出した場合でも BGP ルートを受信して処理できるようにするには、このチェックボックスをオンにします。
      デフォルト ルート (Default Route) デフォルト ルートは、BGP 設定にネットワーク ステートメントを追加して、デフォルト ルートをネイバーに広報します。
      BFD の有効化 (Enable BFD) BGP ネイバーの既存の BFD セッションのサブスクリプションを有効にします。
      キープ アライブ (Keep Alive) キープアライブ タイマーを秒単位で入力します。これは、ピアに送信されるキープアライブ メッセージの間隔です。範囲は 1 ~ 65535 秒です。デフォルト値は 60 秒です。
      ホールド タイマー (Hold Timer) ホールド タイマーを秒単位で入力します。指定された時間にキープアライブ メッセージを受信しなかった場合、そのピアはダウンしていると見なされます。範囲は 1 ~ 65535 秒です。デフォルト値は 180 秒です。
      接続 (Connect) TCP セッションがパッシブでないことを検出した場合に、ピアとの新しい TCP 接続を試行するまでの間隔を入力します。デフォルト値は 120 秒です。
      MD5 認証 (MD5 Auth) BGP MD5 認証を有効にするには、このチェックボックスをオンにします。このオプションは、レガシー ネットワークまたは連邦ネットワークで使用されており、BGP ピアリングのセキュリティ ガードとして使用されています。
      MD5 パスワード (MD5 Password) MD5 認証のパスワードを入力します。
    3. [OK] をクリックして変更を保存します。