IPsec トンネル経由で SD-WAN Gateway の BGP を設定します。

[このタスクについて:]

BGP over IPsec でサポートされているのは eBGP のみです。
注: SD-WAN Gateway と NSD サイト間で eBGP を使用することをお勧めします。iBGP が使用されている場合、ローカル プリファレンスの適用はアウトバウンド フィルタでは機能しません。その場合、カスタマーは望ましいルーティングを実現するためにメトリックまたは AS-Path-Prepend オプションを選択する必要があります。

VMwareを使用すると、エンタープライズ ユーザーは Non SD-WAN Destination インスタンスを定義および設定して、SD-WAN Gateway を介して Non SD-WAN Destination への安全な IPsec トンネルを確立できます。

注: 5.2 リリースでは、同じセグメントに複数の NSD が設定されている場合、すべての NSD に同じサマリ ルート設定のセットが存在する必要があります。
[開始する前に]
注: Gateway からの Azure vWAN 自動化機能は BGP over IPsec と互換性がありません。これは、Gateway から Azure vWAN への接続を自動化するときにスタティック ルートのみがサポートされるためです。

次の項目を設定していることを確認してください。

注: Gateway 経由で BGP over IPsec を使用する場合に最高のパフォーマンスとスケーリングを実現するには、 [分散コスト計算 (Distributed Cost Calculation)] をオンにすることをお勧めします。 [分散コスト計算 (Distributed Cost Calculation)] は、リリース 3.4.0 以降でサポートされています。

[分散コスト計算 (Distributed Cost Calculation)] の詳細については、『VMware SD-WAN オペレータ ガイド』の「[分散コスト計算の設定]」セクションを参照してください。この文書は https://docs.vmware.com/jp/VMware-SD-WAN/index.html で入手できます。

[手順]
  1. [設定 (Configure)] > [ネットワーク サービス (Network Services)] の順に移動し、[Non SD-WAN Destination (Non SD-WAN Destinations)] の下にある [Gateway 経由の Non SD-WAN Destination (Non SD-WAN Destinations via Gateway)] を展開します。
    注: 新しい [Gateway 経由の NSD (New NSD via Gateway)] オプションは、テーブルに項目がない場合にのみ表示されます。手順 2 および 3 に従って、新しい Non SD-WAN Destination を作成します。

  2. [+新規 (+New)] をクリックして、新しい Non SD-WAN Destination を作成します。

    次の図に示すように、[Gateway 経由の Non SD-WAN Destination (Non SD-WAN Destinations via Gateway)] ダイアログが表示されます。

  3. [Gateway 経由の Non SD-WAN Destination (Non SD-WAN Destinations via Gateway)] 領域(上記の図を参照)で、次の表の説明に従って以下のフィールドを設定します。
    オプション 説明
    名前 (Name) テキスト ボックスに Non SD-WAN Destination の名前を入力します。
    タイプ (Type) ドロップダウン メニューから IPsec トンネル タイプを選択します。
    プライマリ VPN Gateway (Primary VPN Gateway) 有効な IP アドレスを入力します
    セカンダリ VPN Gateway (Secondary VPN Gateway) 有効な IP アドレスを入力してください。このフィールドはオプションです。

    次の図に示すように、Gateway 経由の Non SD-WAN Destination が作成されます。

  4. [Gateway 経由の Non SD-WAN Destination (Non SD-WAN Destinations via Gateway)] 領域で、灰色のバーを [BGP] 列の右端にスライドします。

    [BGP] 列の [編集 (Edit)] リンクをクリックします。

    [編集 (Edit)] リンクが [BGP] 列に表示されない場合は、「ブランチと Edge 経由の Non SD-WAN Destination 間のトンネルの設定」セクションを参照して、Edge から Gateway 経由の Non SD-WAN を有効にします。

    [BGP] 列の下にある [編集 (Edit)] リンクをクリックすると、[BGP を編集 (Edit BGP)] ダイアログが表示されます。

  5. [BGP が有効 (BGP Activated)] ラジオ ボタンを右に切り替えて、緑色にします。
  6. [+追加 (+Add)] をクリックして、1 つ以上のフィルタを作成します。これらのフィルタは、ルートの属性を拒否または変更するためにネイバーに適用されます。複数のネイバーに同じフィルタを使用できます。
  7. 次の表の説明に従って、[フィルタ リスト (Filter List)] 領域でオプションを設定します。
    オプション 説明
    フィルタ名 (Filter Name) BGP フィルタのわかりやすい名前を入力します。
    一致のタイプと値 (Match Type and Value)

    フィルタと一致するルートのタイプを選択します。

    • [IPv4 または IPv6 のプレフィックス (Prefix for IPv4 or IPv6)]:IPv4 または IPv6 アドレスのプレフィックスと一致する場合に選択し、

    [値 (Value)] フィールドに対応するプレフィックスの IP アドレスを入力します。

    • [コミュニティ (Community)]:コミュニティと一致する場合に選択し、[値 (Value)] フィールドにコミュニティ文字列を入力します。
    完全一致 (Exact Match) フィルタ アクションは、BGP ルートが指定されたプレフィックスまたはコミュニティ文字列と完全に一致する場合にのみ実行されます。デフォルトでは、このオプションが有効になっています。
    アクションのタイプ (Action Type) BGP ルートが指定されたプレフィックスまたはコミュニティ文字列と一致する場合に実行するアクションを選択します。トラフィックを許可するか拒否するかを選択できます。
    アクション セット (Action Set) BGP ルートが指定された条件と一致する場合は、パスの属性に基づいてトラフィックをネットワークにルーティングするように設定できます。ドロップダウン リストから、次のいずれかのオプションを選択します。
    • [なし (None)]:一致するルートの属性は変わりません。
    • [ローカル プリファレンス (Local Preference)]:一致するトラフィックは、指定されたローカル プリファレンスを持つパスにルーティングされます。
    • [コミュニティ (Community)]:一致するルートは、指定されたコミュニティ文字列によってフィルタリングされます。また、[付加的なコミュニティ (Community Additive)] チェック ボックスをオンにして、付加的なオプションを有効にして、既存のコミュニティにコミュニティの値を追加することもできます。
    • [メトリック (Metric)]:一致するトラフィックは、指定されたメトリック値を持つパスにルーティングされます。
    • [AS-Path-Prepend]:自律システム (AS) の複数のエントリを BGP ルートにプリペンドすることを許可します。
  8. フィルタの一致ルールをさらに追加するには、[プラス (+)] アイコンをクリックします。さらにフィルタを作成するには、この手順を繰り返します。

    設定されたフィルタは [フィルタ リスト (Filter List)] 領域に表示されます。

  9. [BGP エディタ (BGP Editor)] ウィンドウで、プライマリ Gateway およびセカンダリ Gateway の BGP を設定します。
    注: セカンダリ Gateway オプションは、対応する Non SD-WAN Destination のセカンダリ Gateway を設定している場合にのみ使用できます。
    注: Gateway 経由の Non VMware SD-WAN Destination (NSD) が冗長トンネルを使用するように設定されているカスタマーの展開の場合、プライマリおよびセカンダリ Gateway がプライマリおよびセカンダリ NSD トンネルへの等しい AS パスを持つプレフィックスを広報すると、プライマリ NSD トンネルは冗長な Gateway パスをプライマリ Gateway より優先します。冗長な Gateway パスをプライマリ Gateway よりも優先している、Gateway 上のプライマリ NSD トンネルの影響は、NSD から Gateway へのリターン トラフィックに対してのみ発生します。

    BGP ルーターで冗長 Gateway を優先しない場合の回避策は、AS-PATH プリペンドを設定し、冗長 Gateway でアドバタイズされたプレフィックスのメトリック フィルタをより高い(3 つ以上)メトリックに設定することです。これを行うと、NSD のプライマリ トンネルがリターン トラフィックのプライマリ Gateway を選択します。

  10. [プライマリ クラウド Gateway (Primary Cloud Gateway)] セクションで、ローカル ASN とルーター ID を入力します。
  11. [ネイバー (Neighbors)] 領域まで下にスクロールし、[+追加 (+Add)] をクリックします。
  12. 次の表の説明に従って、[ネイバー (Neighbors)] 領域で次の設定を行います。
    オプション 説明
    ローカル ASN (Local ASN) ローカルの自律システム番号 (ASN) を入力します。
    ルーター ID (Router ID) BGP ルーター ID を入力します。
    ネイバー IP アドレス (Neighbor IP) BGP ネイバーの IP アドレスを入力します。
    ASN ネイバーの ASN を入力します。
    受信フィルタ (Inbound Filter) ドロップダウン リストから受信フィルタを選択します。
    送信フィルタ (Outbound Filter) ドロップダウン リストから送信フィルタを選択します。
    [その他のオプション (Additional Options)][すべてを表示 (view all)] リンクをクリックして、次の追加設定を行います。
    ローカル IP アドレス (Local IP) ローカル IP アドレスは、ループバック IP アドレスと同じです。BGP ネイバーシップが送信パケットの送信元 IP アドレスとして使用できる IP アドレスを入力します。
    最大ホップ数 (Max-hop) BGP ピアのマルチホップを有効にする最大ホップ数を入力します。5.1 リリース以降の場合、範囲は 2 ~ 255 で、デフォルト値は 2 です。
    注: 5.1 リリースにアップグレードすると、最大ホップ数の値 1 が自動的に最大ホップ数の値 2 に更新されます。
    注: このフィールドは、ローカル ASN と隣接 ASN が異なる場合に、eBGP ネイバーでのみ使用できます。
    Allow AS Gateway が AS-Path で自身の ASN を検出した場合でも BGP ルートを受信して処理できるようにするには、このチェック ボックスをオンにします。
    デフォルト ルート (Default Route) デフォルト ルートは、BGP 設定にネットワーク ステートメントを追加して、デフォルト ルートをネイバーに広報します。
    BFD の有効化 (Enable BFD) BGP ネイバーの既存の BFD セッションのサブスクリプションを有効にします。
    キープ アライブ (Keep Alive) キープ アライブ タイマーを秒単位で入力します。これは、ピアに送信されるキープ アライブ メッセージの間隔です。範囲は 1 ~ 65535 秒です。デフォルト値は 60 秒です。
    ホールド タイマー (Hold Timer) ホールド タイマーを秒単位で入力します。指定された時間にキープ アライブ メッセージを受信しなかった場合、そのピアはダウンしていると見なされます。範囲は 1 ~ 65535 秒です。デフォルト値は 180 秒です。
    接続 (Connect) TCP セッションがパッシブでないことを検出した場合に、ピアとの新しい TCP 接続を試行するまでの間隔を入力します。デフォルト値は 120 秒です。
    MD5 認証 (MD5 Auth) BGP MD5 認証を有効化するには、このチェックボックスをオンにします。このオプションは、レガシー ネットワークまたは連邦ネットワークで使用されており、BGP ピアリングのセキュリティ ガードとして使用されています。
    MD5 パスワード (MD5 Password) MD5 認証のパスワードを入力します。
    注: 4.5 リリース以降では、パスワードに特殊文字「<」を使用することはサポートされなくなりました。ユーザーが以前のリリースでパスワードに「<」を使用している場合、ページでの変更を保存するにはこの文字を削除する必要があります。

    設定されたネイバーは [ネイバー (Neighbors)] 領域に表示されます。

    [変更の保存 (Save Changes)] ボタンをクリックしてすべての変更を保存します。

    注: マルチホップ BGP では、システムが再帰ルックアップを必要とするルートを学習する場合があります。これらのルートには、接続されたサブネット内にないネクスト ホップ IP アドレスがあり、有効な出口インターフェイスはありません。この場合、ルートは、出口インターフェイスを持つルーティング テーブル内の別のルートを使用してネクスト ホップ IP アドレスを解決する必要があります。これらのルートの検索が必要な宛先のトラフィックがある場合、再帰ルックアップが必要なルートは、接続されているネクスト ホップの IP アドレスとインターフェイスに解決されます。再帰的な解決が行われるまで、再帰的なルートは中間インターフェイスを参照します。マルチホップ BGP ルートの詳細については、 https://docs.vmware.com/jp/VMware-SD-WAN/index.htmlで公開されている『 VMware SD-WAN トラブルシューティング ガイド』の「Edge でのリモート診断テスト」セクションを参照してください。

    [ルート集約]

    ルート集約機能は 5.2 リリースで利用可能です。この機能の概要と使用事例については、「ルート集約」を参照してください。設定の詳細については、次の手順に従ってください。

  13. 下にスクロールして、[ルート集約 (Route Summarization)] 領域に移動します。
  14. [ルート集約 (Route Summarization)] 領域で [+追加 (+Add)] をクリックします。[ルート集約 (Route Summarization)] 領域に新しい行が追加されます。

    ルート集約を次の表に記載されているとおりに設定します。

    オプション 説明
    フィルタ名 (Filter Name) BGP フィルタのわかりやすい名前を入力します。
    サブネット (Subnet) IP サブネットを入力します。
    AS セット (AS Set) 集約されたルートから (サマリ ルートをピアに広報する間) AS セット パス情報を生成します。該当する場合、[AS セット (AS Set)] 列で [はい (Yes)] チェック ボックスをオンにします。
    サマリのみ [はい (Yes)] チェック ボックスをオンにすると、集約されたルートのみが送信されるようになります。
  15. 必要に応じて、[+追加 (+Add)] をクリックしてルートを追加します。ルート集約のクローン作成をするか削除をするには、[+追加 (+Add)] の横にある該当のボタンを使用します。

    [BGP 設定 (BGP Settings)] セクションには、BGP の設定が表示されます。

  16. 完了したら、[変更の保存 (Save Changes)] をクリックして設定を保存します。