Non SD-WAN BGP ネイバー設定はプロファイル レベルでは適用されません。NSD ネイバーは、Edge レベルでのみ設定できます。

[このタスクについて:]

BGP は、Non SD-WAN Site への IPsec トンネルを介した BGP ネイバーシップを確立するために使用されます。ダイレクト IPsec トンネルは、SD-WAN Edge と Non SD-WAN Destination (NSD) 間の安全な通信を確立するために使用されます。以前のリリースでは、VMware は SD-WAN Edge からの NSD トンネル、および NVS スタティック ルートを追加する機能をサポートしていました。4.3 リリースでは、この機能が拡張され、ルート ベース VPN の NSD エンドポイントへの BGP over IPsec がサポートされるようになりました。

VMware SD-WAN は 4 バイトの ASN BGP をサポートしています。詳細については、 BGP の設定を参照してください。
注: Edge からの Azure vWAN 自動化機能は BGP over IPsec と互換性がありません。これは、Edge から Azure vWAN への接続を自動化するときにスタティック ルートのみがサポートされるためです。

[ユースケース]

ユースケース 1:Edge から Azure VPN への BGP over IPsec

各 Azure VPN Gateway は、ブランチ Edge に 1 セットのパブリック仮想 IP アドレス (VIP) を割り当てることで、IPsec トンネルを形成します。同様に、Azure も 1 つの内部プライベート サブネットを割り当て、VIP ごとに 1 つの内部 IP アドレスを割り当てます。この内部 tunnel-ip(ピア tunnel-ip)は、Azure Gateway との BGP ピアリングを作成するために使用されます。

Azure には、BGP ピア IP アドレス(Edge のローカル tunnel-ip)が同じ接続されたサブネットまたは 169.x.x.x サブネットに含まれてはならないという制限があります。そのため、Edge でマルチホップ BGP をサポートする必要があります。BGP の用語では、ローカル tunnel-ip は BGP 送信元アドレスにマッピングされ、ピア tunnel-ip はネイバー/ピア アドレスにマッピングされます。BGP 接続のメッシュを形成する必要があります。NSD トンネルごとに 1 つ形成し、NVS からのリターン トラフィックをロード バランシング(フローベース)できるようにします。これは Azure Gateway 側で設計します。次の物理 Edge の図では、2 つのパブリック WAN リンクがあるため、Azure Gateway へのトンネルが 4 つあります。各トンネルは、ローカル tunnel_ip とリモート ピアの tunnel_ip によって一意に識別される 1 つの BGP 接続に関連付けられています。仮想 Edge での唯一の違いは、Azure Gateway へのパブリック WAN リンクが 1 つ、トンネルが最大 2 つ、BGP セッションが 2 つあることです。

注: SD-WAN Edge が複数の WAN リンクを使用して同じ Azure エンドポイントに接続されている場合、設定できる NSD-BGP ネイバーの最大数は 2 つです(リモート エンドには 2 つの public_ip と 2 つの NSD-BGP peer_ip しかないため)。両方の NSD-BGP ネイバーは、同じリンク(プライマリ/セカンダリ トンネル)で設定することも、異なるリンクのトンネルで設定することもできます。カスタマーが 3 つ以上の NSD-BGP ネイバーを設定し、同じ NSD-BGP peer_ip を複数のトンネルに設定しようとすると、最後に設定された BGP nbr_ip + local_ip は SD-WAN Edge および Free Range Routing (FRR) に設定されます。

ユースケース 2:Edge から AWS VPN/Transit Gateway への BGP over IPsec

Azure とは異なり、AWS VPN Gateway は、リンクごとに 1 セットのパブリック VIP をブランチ Edge に割り当てます。AWS Gateway からブランチ Edge に割り当てられるパブリック IP アドレスの合計セットは、AWS VPN Gateway に接続する Edge のパブリック WAN リンクの数と等しくなります。同様に、/30 の内部/プライベート サブネットがトンネルごとに割り当てられ、そのトンネルでの BGP ピアリングに使用されます。これらの IP アドレスは、異なるアベイラビリティ ゾーン間で一意になるように、AWS Gateway 設定で手動で上書きすることもできます。

Azure のユースケースと同様、Edge は BGP 接続のメッシュを形成します(AWS Gateway へのトンネルごとに 1 つ)。これにより、AWS VPN Gateway からのリターン トラフィックをロード バランシングできます。これは AWS 側で設計します。次の図では、物理 Edge の場合、AWS Gateway は各 Edge WAN リンクに 1 セットのパブリック IP アドレスと 1 セットの tunnel-ip (/30) を割り当てます。合計 4 つのトンネルがありますが、AWS Gateway の異なるパブリック IP アドレスと 4 つの BGP 接続で終端します。

ユースケース 3:AWS と Azure VPN Gateway の両方への Edge 接続(ハイブリッド クラウド)

1 つのブランチ Edge は、冗長性の目的で、または一部のワークロード/アプリケーションを 1 つのクラウド プロバイダでホストし、他のワークロード/アプリケーションを別のクラウド プロバイダでホストする目的で、Azure Gateway と AWS Gateway の両方に接続できます。ユースケースに関係なく、Edge は常にトンネルごとに 1 つの BGP セッションを確立し、SD-WAN と IaaS 間でルートを伝達します。次の図は、Azure クラウドと AWS クラウドの両方に接続された 1 つのブランチ Edge の例です。

ユースケース 4:Azure/AWS トランジット Gateway に接続するハブ クラスタ

ハブ クラスタ メンバーは、Azure/AWS Transit Gateway への IPsec トンネルを形成し、Transit Gateway をレイヤー 3 として活用して、異なる VPC 間でトラフィックをルーティングできます。ハブにネイティブの BGP over IPsec 機能がない場合、ハブはネイティブ BGP を使用して L3 ルーター(ここでは Cisco CSR が広く使用されています)に接続する必要があります。L3 ルーターは、異なる VPC を持つ BGP over IPsec トンネルのメッシュを形成します。L3 ルーターは、異なる VPC 間のトランジット エンドポイントとして機能します。ユースケース-1(下の左の図):ハブを異なるアベイラビリティ ゾーン (AZ) の異なる VPC 間のトランジット ノードとして使用して、1 つの VPC が別の VPC と通信できるようにします。ユースケース-2(下の右の図):クラスタ内のすべてのハブをクラウド トランジット Gateway に直接接続し、Cloud Gateway をクラスタ メンバー間のルート分散用の PE (L3) ルーターとして使用できます。どちらのユースケースでも、ハブでの BGP over IPsec サポートがない場合、ハブはネイティブの BGP を使用して CSR などの L3 ルーターに接続し、CSR が BGP over IPsec を使用してトランジット/VPC Gateway とピアリングします。

ユースケース 5:ネイティブ サポートなしでクラウド プロバイダのトランジット機能をサポートする

Google Cloud や AliCloud などの一部のクラウド プロバイダはトランジット機能をネイティブでサポートせず(トランジット Gateway なし)、BGP over IPsec をサポートしているため、クラウドにデプロイされた SD-WAN Edge/ハブを利用して、異なる VPC/VNET 間のトランジット機能を実現できます。BGP over IPsec のサポートがない場合、トランジット機能を実現するには、CSR(ソリューション (2))のような L3 ルーターを使用する必要があります。

注: 4.3 リリースより前は、NVS-From-Gateway と NVS-From-Edge を介して同じ NVS-Static 宛先に到達可能であるカスタマーの場合、他のブランチ SD-WAN Edge からのトラフィックは NVS-Gateway を介したパスを優先します。カスタマーがネットワークを 4.3 リリース以降にアップグレードすると、他のブランチ SD-WAN Edge からのこのトラフィック パスは、NVS-Edge 経由のパスを優先します。したがって、カスタマーは、トラフィック パスの設定に従って、NSD-Edge および NSD-Gateway の NVS-Static-Destination のメトリックを更新する必要があります。

[前提条件:]

[手順]

Non SD-WAN ネイバーで BGP を有効にするには、次の手順を実行します。

  1. エンタープライズ ポータルの [SD-WAN] サービスで、[設定 (Configure)] をクリックします。
  2. 左側のメニューで、[Edge (Edges)] を選択します。[Edge (Edges)] ページが表示されます。
  3. 使用可能な Edge のリストから Edge をクリックします。
  4. ユーザー インターフェイスの [ルーティングと NAT (Routing & NAT)] セクションに移動し、BGP の横にある矢印をクリックします。
  5. [BGP] 領域で、[上書き (Override)] チェック ボックスをオンにして、ラジオ ボタンを [オフ (Off)] から [オン (On)] に切り替えます。

    [BGP エディタ (BGP Editor)] ウィンドウで、次の設定を行います。

  6. ローカルの自律システム番号 (ASN) を入力し、[BGP 設定 (BGP Settings)] セクションで次の設定を行います。
  7. 次の表に記載されているとおりに BGP を設定します。
    オプション 説明
    ルーター ID (Router ID) グローバル BGP ルーター ID を入力します。値を指定しない場合は、ID が自動的に割り当てられます。Edge のループバック インターフェイスを設定した場合、ループバック インターフェイスの IP アドレスがルーター ID として割り当てられます。
    キープ アライブ (Keep Alive) キープ アライブ タイマーを秒単位で入力します。これは、ピアに送信されるキープ アライブ メッセージの間隔です。範囲は 0 ~ 65535 秒です。デフォルト値は 60 秒です。
    ホールド タイマー (Hold Timer) ホールド タイマーを秒単位で入力します。指定された時間にキープ アライブ メッセージを受信しなかった場合、そのピアはダウンしていると見なされます。範囲は 0 ~ 65535 秒です。デフォルト値は 180 秒です。
    アップリンク コミュニティ (Uplink Community)

    アップリンク ルートとして扱われるコミュニティ文字列を入力します。

    アップリンクは、プロバイダ Edge (PE) に接続されているリンクを指します。指定されたコミュニティ値と一致する Edge に向かう受信ルートは、アップリンク ルートとして扱われます。ハブ/Edge はこれらのルートの所有者とみなされません。

    1 ~ 4294967295 の範囲の数字形式または AA:NN 形式で値を入力します。

    [グレースフル リスタートを有効にする (Enable Graceful Restart)] チェック ボックス このチェック ボックスをオンにする場合は、次の点に注意してください。

    ローカル ルーターは、ルーティング プレーンの再起動中の転送をサポートしません。この機能は、ピアの再起動時の転送とルーティングの保持をサポートします。

  8. [フィルタ リスト (Filter List)] 領域で [+追加 (+Add)] をクリックして、1 つ以上のフィルタを作成します。これらのフィルタは、ルートの属性を拒否または変更するためにネイバーに適用されます。複数のネイバーに同じフィルタを使用できます。

  9. 次の表の説明に従って、適切なテキスト フィールドでフィルタのルールを設定します。
    オプション 説明
    フィルタ名 (Filter Name) BGP フィルタのわかりやすい名前を入力します。
    一致のタイプと値 (Match Type and Value) フィルタと一致するルートのタイプを選択します。
    • [IPv4 または IPv6 のプレフィックス (Prefix for IPv4 or IPv6)]:IPv4 または IPv6 アドレスのプレフィックスと一致する場合に選択し、[値 (Value)] フィールドに対応するプレフィックスの IP アドレスを入力します。
    • [コミュニティ (Community)]:コミュニティと一致する場合に選択し、[値 (Value)] フィールドにコミュニティ文字列を入力します。
    完全一致 (Exact Match) フィルタ アクションは、BGP ルートが指定されたプレフィックスまたはコミュニティ文字列と完全に一致する場合にのみ実行されます。デフォルトでは、このオプションが有効になっています。
    アクションのタイプ (Action Type) BGP ルートが指定されたプレフィックスまたはコミュニティ文字列と一致する場合に実行するアクションを選択します。トラフィックを許可するか拒否するかを選択できます。
    アクション セット (Action Set) BGP ルートが指定された条件と一致する場合は、パスの属性に基づいてトラフィックをネットワークにルーティングするように設定できます。ドロップダウン リストから、次のいずれかのオプションを選択します。
    • [なし (None)]:一致するルートの属性は変わりません。
    • [ローカル プリファレンス (Local Preference)]:一致するトラフィックは、指定されたローカル プリファレンスを持つパスにルーティングされます。
    • [コミュニティ (Community)]:一致するルートは、指定されたコミュニティ文字列によってフィルタリングされます。また、[付加的なコミュニティ (Community Additive)] チェック ボックスをオンにして、付加的なオプションを有効にして、既存のコミュニティにコミュニティの値を追加することもできます。
    • [メトリック (Metric)]:一致するトラフィックは、指定されたメトリック値を持つパスにルーティングされます。
    • [AS-Path-Prepend]:自律システム (AS) の複数のエントリを BGP ルートにプリペンドすることを許可します。
  10. フィルタに一致ルールをさらに追加するには、プラス ([+]) アイコンをクリックします。
  11. [OK] をクリックしてフィルタを作成します。

    設定されたフィルタは [BGP エディタ (BGP Editor)] ウィンドウに表示されます。

  12. 必要に応じて、IPv4 および IPv6 アドレスのアンダーレイ ネイバーを設定します。詳細については、新しい Orchestrator ユーザー インターフェイスでの Edge からアンダーレイ ネイバーへの BGP の設定を参照してください。
    注: サポートされる BGPv4 match/set ルールの最大数は 512(256 の受信、256 の送信)です。合計で 512 を超える match/set ルールはサポートされていないため、パフォーマンスの問題が発生し、エンタープライズ ネットワークが中断する可能性があります。
  13. [NSD ネイバー (NSD Neighbors)] セクションで、次の表の説明に従って以下の設定を行います。
    オプション 説明
    NSD 名 (NSD Name) ドロップダウン リストから [NSD 名 (NSD Name)] を選択します。SASE Orchestrator[ブランチから Edge 経由の Non SD-WAN Destination (Branch to Non SD-WAN Destination via Edge)] 領域ですでに設定されている NSD がドロップダウン メニューに表示されます。
    リンク名 (Link Name) NSD ネイバーに関連付けられている WAN リンクの名前を選択します。
    トンネル タイプ (Tunnel Type) ピアのトンネル タイプとして [プライマリ (Primary)] または [セカンダリ (Secondary)] を選択します。
    ネイバー IP アドレス (Neighbor IP) NSD ネイバーの IP アドレスを入力します。
    ASN NSD ネイバーの ASN を入力します。
    受信フィルタ (Inbound Filter) ドロップダウン リストから受信ファイルを選択します。
    送信フィルタ (Outbound Filter) ドロップダウン リストから送信ファイルを選択します。
    [その他のオプション (Additional Options)][すべてを表示 (view all)] リンクをクリックして、次の追加設定を行います。
    アップリンク (Uplink) ネイバー タイプに「アップリンク」のフラグを付けるために使用されます。MPLS に向かう WAN オーバーレイとして使用する場合は、このフラグ オプションを選択します。これは、MPLS に向かう WAN リンクへの SD-WAN オーバーレイを介して学習したルートを伝達することで、サイトが中継サイト(SD-WAN Hub など)になるかどうかを判断するフラグとして使用されます。中継サイトにする必要がある場合は、[詳細 (Advanced)] 設定で、[アップリンクを介したオーバーレイ プレフィックス (Overlay Prefix Over Uplink)] チェック ボックスをオンにします。
    ローカル IP アドレス (Local IP)

    Non SD-WAN ネイバーを設定するには、ローカル IP アドレスが必須です。

    ローカル IP アドレスは、ループバック IP アドレスと同じです。BGP ネイバーシップが送信パケットの送信元 IP アドレスとして使用できる IP アドレスを入力します。
    最大ホップ数 (Max-hop) BGP ピアのマルチホップを有効にする最大ホップ数を入力します。5.1 リリース以降の場合、範囲は 2 ~ 255 で、デフォルト値は 2 です。
    注: 5.1 リリースにアップグレードすると、最大ホップ数の値 1 が自動的に最大ホップ数の値 2 に更新されます。
    注: このフィールドは、ローカル ASN と隣接 ASN が異なる場合に、eBGP ネイバーでのみ使用できます。iBGP では、両方の ASN が同じである場合、マルチホップはデフォルトで無効になっており、このフィールドは設定できません。
    Allow AS Edge が AS-Path で自身の ASN を検出した場合でも BGP ルートを受信して処理できるようにするには、このチェック ボックスをオンにします。
    デフォルト ルート (Default Route) デフォルト ルートは、BGP 設定にネットワーク ステートメントを追加して、デフォルト ルートをネイバーに広報します。
    BFD の有効化 (Enable BFD) BGP ネイバーの既存の BFD セッションのサブスクリプションを有効にします。
    注: シングルホップ BFD セッションは、NSD ネイバーを使用する BGP over IPsec ではサポートされていません。ただし、マルチホップ BFD がサポートされます。[ローカル IP アドレス (Local IP)] は、SD-WAN Edge での NSD-BGP セッションに必須です。SD-WAN Edge は、接続されたインターフェイスの IP アドレスのみをシングルホップ BFD として処理します。
    キープ アライブ (Keep Alive) キープ アライブ タイマーを秒単位で入力します。これは、ピアに送信されるキープ アライブ メッセージの間隔です。範囲は 0 ~ 65535 秒です。デフォルト値は 60 秒です。
    ホールド タイマー (Hold Timer) ホールド タイマーを秒単位で入力します。指定された時間にキープ アライブ メッセージを受信しなかった場合、そのピアはダウンしていると見なされます。範囲は 0 ~ 65535 秒です。デフォルト値は 180 秒です。
    接続 (Connect) TCP セッションがパッシブでないことを検出した場合に、ピアとの新しい TCP 接続を試行するまでの間隔を入力します。デフォルト値は 120 秒です。
    MD5 認証 (MD5 Auth) BGP MD5 認証を有効化するには、このチェックボックスをオンにします。このオプションは、レガシー ネットワークまたは連邦ネットワークで使用されており、BGP ピアリングのセキュリティ ガードとして BGP MD5 が使用されることが一般的です。
    MD5 パスワード (MD5 Password) MD5 認証のパスワードを入力します。
    注: 4.5 リリース以降では、パスワードに特殊文字「<」を使用することはサポートされなくなりました。ユーザーが以前のリリースでパスワードに「<」を使用している場合、ページでの変更を保存するにはこの文字を削除する必要があります。
    注: マルチホップ BGP では、システムが再帰ルックアップを必要とするルートを学習する場合があります。これらのルートには、接続されたサブネット内にないネクスト ホップ IP アドレスがあり、有効な出口インターフェイスはありません。この場合、ルートは、出口インターフェイスを持つルーティング テーブル内の別のルートを使用してネクスト ホップ IP アドレスを解決する必要があります。これらのルートの検索が必要な宛先のトラフィックがある場合、再帰ルックアップが必要なルートは、接続されているネクスト ホップの IP アドレスとインターフェイスに解決されます。再帰的な解決が行われるまで、再帰的なルートは中間インターフェイスを参照します。マルチホップ BGP ルートの詳細については、 https://docs.vmware.com/jp/VMware-SD-WAN/index.htmlで公開されている『 VMware SD-WAN トラブルシューティング ガイド』の「Edge でのリモート診断テスト」セクションを参照してください。
  14. [詳細 (Advanced)] をクリックして、次の表の説明に従って以下の設定を行います。
    注: 詳細設定は、アンダーレイ BGP ネイバーと NSD-BGP ネイバーの両方で共有されます。
    オプション 説明
    オーバーレイ プレフィックス (Overlay Prefix) オーバーレイから学習したプレフィックスを再配送するには、このチェック ボックスをオンにします。
    AS-PATH 引き継ぎを無効にする (Turn off AS-Path carry over) デフォルトでは、このチェックボックスはオフのままにする必要があります。AS-PATH 引き継ぎを無効にするには、このチェック ボックスをオンにします。特定のトポロジでは、AS-PATH 引き継ぎをオフにすると、送信 AS-PATH に影響し、L3 ルーターが Edge またはハブへのパスを優先するようになります。
    注意: AS-PATH 引き継ぎをオフにした場合は、ルーティング ループを回避するようにネットワークを調整します。
    コネクト ルート (Connected Routes) 接続されているすべてのインターフェイス サブネットを再配送するには、このチェック ボックスをオンにします。
    OSPF BGP への OSPF 再配送を有効にするには、このチェック ボックスをオンにします。
    メトリック設定 (Set Metric) OSPF を有効にする場合は、再配分された OSPF ルートの BGP メトリックを入力します。デフォルト値は 20 です。
    デフォルト ルート (Default Route)

    Edge がオーバーレイまたはアンダーレイを介して BGP ルートを学習する場合にのみデフォルト ルートを再配送するには、このチェック ボックスをオンにします。

    [デフォルト ルート (Default Route)] オプションをオンにすると、[広報 (Advertise)] オプションが [条件付き (Conditional)] として使用できるようになります。

    アップリンクを介したオーバーレイ プレフィックス (Overlay Prefixes over Uplink) オーバーレイから学習したルートをアップリンク フラグ付きネイバーに伝達するには、このチェック ボックスをオンにします。
    ネットワーク (Networks) BGP がピアに広報するネットワーク アドレスを入力します。さらにネットワーク アドレスを追加するには、プラス ([+]) アイコンをクリックします。

    [デフォルト ルート (Default Route)] オプションを有効にすると、次の表に示すように、BGP ルートは、[デフォルト ルート (Default Route)] の選択に基づいてグローバルに、および BGP ネイバーごとに広報されます。

    デフォルト ルートの選択 広報 オプション
    グローバル BGP ネイバーごと
    はい はい BGP ネイバーごとの設定によってグローバル設定が上書きされるため、デフォルト ルートは常に BGP ピアに広報されます。
    はい いいえ Edge がオーバーレイまたはアンダーレイ ネットワークを介して明示的なデフォルト ルートを学習している場合にのみ、BGP はデフォルト ルートをそのネイバーに再配分します。
    いいえ はい デフォルト ルートは常に BGP ピアに広報されます。
    いいえ いいえ デフォルト ルートは BGP ピアに広報されません。
  15. [OK] をクリックして設定したフィルタと NSD ネイバーを保存します。

    [BGP 設定 (BGP Settings)] セクションには、完了した設定が表示されます。

    [ルート集約]

    ルート集約機能は 5.2 リリースで利用可能です。この機能の概要と使用事例については、「ルート集約」を参照してください。設定の詳細については、次の手順に従ってください。

  16. [ルート集約 (Route Summarization)] 領域で [+追加 (+Add)] をクリックします。[ルート集約 (Route Summarization)] 領域に新しい行が追加されます。次の図を参照してください。

  17. [サブネット (Subnet)] 列で、集約するネットワーク範囲を A.B.C.D/M 形式と IP サブネットで入力します。
  18. 該当する場合、[AS セット (AS Set)] 列で [はい (Yes)] チェック ボックスをオンにします。
  19. [サマリのみ (Summary Only)] 列で [はい (Yes)] チェック ボックスをオンにすると、集約されたルートのみが送信されるようになります。
  20. 必要に応じて、[+追加 (+Add)] をクリックしてルートを追加します。ルート集約のクローン作成をするか削除をするには、[+追加 (+Add)] の横にある該当のボタンを使用します。

    [BGP 設定 (BGP Settings)] セクションには、BGP の設定が表示されます。

  21. 完了したら、[変更の保存 (Save Changes)] をクリックして設定を保存します。

Edge からアンダーレイ ネイバーへの BGP を設定することもできます。詳細については、新しい Orchestrator ユーザー インターフェイスでの Edge からアンダーレイ ネイバーへの BGP の設定を参照してください。