프로필 수준에서 비 SD-WAN BGP 인접 항목 구성을 적용할 수 없습니다. Edge 수준에서만 NSD 인접 항목을 구성할 수 있습니다.
이 작업에 대한 정보:
BGP는 비 SD-WAN 사이트에 대한 IPsec 터널에 대해 BGP 인접 항목을 설정하는 데 사용됩니다. 직접 IPsec 터널은 SD-WAN Edge와 NSD(비 SD-WAN 대상) 간에 보안 통신을 설정하는 데 사용됩니다. 이전 릴리스에서 VMware는 NVS 고정 경로를 추가하는 기능을 사용하여 SD-WAN Edge에서의 NSD 터널을 지원했습니다. 4.3 릴리스에서 이 기능은 경로 기반 VPN에 대한 NSD 끝점으로의 BGP를 IPSec을 통해 지원하도록 확장되었습니다.
VMware SD-WAN에서는 4바이트 ASN BGP를 지원합니다. 자세한 내용은 BGP 구성을 참조하십시오.
사용 사례
사용 사례 1: Edge에서 Azure VPN으로의 IPsec을 통한 BGP
각 Azure VPN 게이트웨이는 분기 Edge에 대해 공용 VIP(가상 공용 IP) 집합 하나를 할당하여 IPsec 터널을 형성합니다. 마찬가지로 Azure는 하나의 내부 개인 서브넷을 할당하고 VIP당 하나의 내부 IP를 할당합니다. 이 내부 tunnel-ip(peer tunnel-ip)는 Azure 게이트웨이와의 BGP 피어링을 생성하는 데 사용됩니다.
Azure에는 BGP 피어 IP(Edge의 로컬 tunnel-ip)가 연결된 동일한 서브넷 또는 169.x.x.x 서브넷에 속하면 안 된다는 제한이 있으므로 Edge에서 멀티 홉 BGP를 지원해야 합니다. BGP 용어에서 로컬 tunnel-ip는 BGP 소스 주소를 의미하고 피어 tunnel-ip는 인접 항목/피어 주소를 의미합니다. NVS의 반환 트래픽이 Azure 게이트웨이 측 설계에 따라 흐름 기반으로 로드 밸런싱될 수 있도록 NSD 터널당 하나씩 BGP 연결 메시를 구성해야 합니다. 물리적 Edge에 대한 아래 다이어그램에는 2개의 공용 WAN 링크, 즉 Azure 게이트웨이에 대해 4개의 터널이 있습니다. 각 터널은 tunnel_ip 및 원격 피어 tunnel_ip로 고유하게 식별되는 하나의 BGP 연결과 연관됩니다. 가상 Edge에서 유일한 차이점은 1개의 공용 WAN 링크, 최대 2개의 터널 및 Azure 게이트웨이에 대한 2개의 BGP 세션이 있다는 것입니다.
사용 사례 2: Edge에서 AWS VPN/전송 게이트웨이로의 IPsec를 통한 BGP
Azure와 달리 AWS VPN 게이트웨이는 분기 Edge에 링크당 1개의 공용 VIP 집합을 할당합니다. AWS 게이트웨이에서 분기 Edge에 할당된 총 공용 IP 집합 수는 AWS VPN 게이트웨이에 연결할 Edge 공용 WAN 링크의 수와 동일합니다. 마찬가지로 터널당 /30 내부/개인 서브넷이 할당됩니다. 이 서브넷은 해당 터널의 BGP 피어링에 사용됩니다. 이러한 IP는 여러 가용성 영역 간에 고유하게 유지되도록 AWS 게이트웨이 구성에서 수동으로 재정의할 수 있습니다.
Azure 사용 사례와 마찬가지로 Edge는 AWS 게이트웨이에 대한 터널당 하나씩 BGP 연결 메시를 형성합니다. 이를 통해 AWS 측의 AWS VPN 게이트웨이 - 디자인에서 반환 트래픽을 로드 밸런싱할 수 있습니다. 아래 다이어그램에서 물리적 Edge에 대해 AWS 게이트웨이는 각 Edge WAN 링크에 1개의 공용 IP 집합과 1개의 tunnel-ip 집합(/30)을 할당합니다. 총 4개의 터널이 있지만 최종적으로 AWS 게이트웨이의 여러 다른 공용 IP와 4개의 BGP 연결이 구성됩니다.
사용 사례 3: AWS 및 Azure VPN 게이트웨이 둘 다에 연결하는 Edge(하이브리드 클라우드)
하나의 분기 Edge를 중복 목적으로 Azure 게이트웨이와 AWS 게이트웨이 둘 다에 연결하거나, 일부 워크로드/애플리케이션은 한 클라우드 제공자가 호스팅하고 다른 워크로드/애플리케이션은 다른 클라우드 제공자가 호스팅할 수 있습니다. 사용 사례에 관계없이 Edge는 항상 터널당 하나의 BGP 세션을 설정하고 SD-WAN과 IaaS 간에 경로를 전파합니다. 아래 다이어그램은 Azure 및 AWS 클라우드 모두에 연결된 1개의 분기 Edge 예입니다.
사용 사례 4: Azure/AWS 전송 게이트웨이에 연결하는 허브 클러스터
허브 클러스터 멤버는 Azure/AWS 전송 게이트웨이에 대한 IPsec 터널을 형성하고, 전송 게이트웨이를 여러 다른 VPC 간에 트래픽을 라우팅하기 위한 계층 3으로 활용할 수 있습니다. 허브에 IPsec을 통한 네이티브 BGP 기능이 없는 경우 네이티브 BGP를 사용하여 허브를 L3 라우터(이 경우 Cisco CSR이 광범위하게 사용됨)에 연결하고 그 L3 라우터와 다른 VPC로 IPsec을 통한 BGP 터널 메시를 구성해야 합니다. L3 라우터는 여러 다른 VPC 간의 전송 끝점 역할을 합니다. 사용 사례 1(왼쪽 다이어그램): 하나의 VPC가 다른 VPC와 통신할 수 있도록 다른 AZ(가용성 영역)에 있는 서로 다른 VPC 간의 전송 노드로 허브를 사용합니다. 사용 사례 2(오른쪽 다이어그램): 클러스터의 모든 허브를 클라우드 전송 게이트웨이에 직접 연결하고 클러스터 멤버 간 경로 분산을 위해 클라우드 게이트웨이를 PE(L3) 라우터로 사용할 수 있습니다. 두 사용 사례에서 허브에 IPsec을 통한 BGP가 지원되지 않으면 허브는 네이티브 BGP를 사용하여 CSR과 같은 L3 라우터에 연결하고, CSR은 IPsec를 통한 BGP를 사용하여 전송/VPC 게이트웨이와 피어링됩니다.
사용 사례 5: 네이티브 지원 없이 클라우드 제공자에서 전송 기능 지원
Google Cloud 및 AliCloud와 같은 일부 클라우드 제공자는 전송 기능에 대한 네이티브 지원이 없으며(전송 게이트웨이 없음) IPsec을 통한 BGP가 지원되면 클라우드에 배포된 SD-WAN Edge/Hub를 사용하여 서로 다른 VPC/VNET 간에 전송 기능을 구현할 수 있습니다. IPsec을 통한 BGP가 지원되지 않으면 CSR와 같은 L3 라우터(솔루션(2))를 사용하여 전송 기능을 구현해야 합니다.
사전 요구 사항:
- NSD 인접 항목으로 BGP를 구성하려면 분기-Edge를 통한 비 SD-WAN 대상(Branch to Non SD-WAN Destination via Edge)을 구성했는지 확인합니다.
- NSD 인접 항목으로 BGP를 구성하려면 Edge의 로컬 IP 주소가 필요합니다.
절차
비 SD-WAN 인접 항목에서 BGP를 사용하도록 설정하려면
- 엔터프라이즈 포털에서 를 클릭하고 SD-WAN Edge를 선택합니다.
- 디바이스(Device) 탭을 클릭합니다.
- 디바이스(Device) 탭에서 아래로 스크롤하여 BGP 설정(BGP Settings) 섹션으로 이동한 후 Edge 재정의 사용(Enable Edge Override) 확인란을 선택합니다.
- 슬라이더를 켜짐(ON) 위치로 클릭한 다음, 편집(Edit) 버튼을 클릭합니다.
- BGP Editor(BGP 편집기) 창에서 다음 설정을 구성합니다.
- 로컬 ASN(자치 시스템 번호)을 입력한 다음, BGP 설정(BGP Settings) 섹션에서 다음을 구성합니다.
옵션 설명 라우터 ID(Router ID) 글로벌 BGP 라우터 ID를 입력합니다. 값을 지정하지 않으면 ID가 자동으로 할당됩니다. Edge에 대해 루프백 인터페이스를 구성한 경우 루프백 인터페이스의 IP 주소가 라우터 ID로 할당됩니다. 킵얼라이브(Keep Alive) 피어로 전송되는 킵얼라이브 메시지 간 기간에 해당하는 킵얼라이브 타이머를 초 단위로 입력합니다. 범위는 0 ~ 65535초입니다. 기본값은 60초입니다. 보류 타이머(Hold Timer) 보류 타이머(초)를 입력합니다. 지정된 시간 동안 킵얼라이브 메시지가 수신되지 않을 경우 피어는 종료된 것으로 간주됩니다. 범위는 0 ~ 65535초입니다. 기본값은 180초입니다. 업링크 커뮤니티(Uplink Community) 업링크 경로로 처리할 커뮤니티 문자열을 입력합니다.
업링크는 PE(제공자 Edge)에 연결된 링크를 나타냅니다. 지정된 커뮤니티 값과 일치하는 Edge로의 인바운드 경로는 업링크 경로로 취급됩니다. 허브/Edge는 이러한 경로에 대한 소유자로 간주되지 않습니다.
1~4294967295 또는 AA:NN 형식으로 숫자 형식으로 값을 입력합니다.
- 필터 추가(Add Filter) 버튼을 클릭하여 하나 이상의 필터를 생성합니다. 필터는 인접 항목에 적용되어 경로의 특성을 거부하거나 변경할 수 있습니다. 인접 항목 및 NSD 인접 항목을 비롯한 여러 언더레이 인접 항목에 동일한 필터를 사용할 수 있습니다.
- BGP 필터 생성(Create BGP Filter) 영역에서 필터에 대한 규칙을 설정합니다.
옵션 설명 필터 이름(Filter Name) BGP 필터를 설명하는 이름을 입력합니다. 일치 유형 및 값(Match Type and Value) 필터와 일치시킬 경로의 유형을 선택합니다. - IPv4 또는 IPv6의 접두사(Prefix for IPv4 or IPv6): IPv4 또는 IPv6 주소에 대한 접두사와 일치하도록 선택하고 값(Value) 필드에 해당 접두사 IP 주소를 입력합니다.
- 커뮤니티(Community): 커뮤니티와 일치시키도록 선택하고 값(Value) 필드에 커뮤니티 문자열을 입력합니다.
정확한 일치(Exact Match) 필터 작업은 BGP 경로가 지정된 접두사 또는 커뮤니티 문자열과 정확히 일치하는 경우에만 수행됩니다. 기본적으로 이 옵션은 사용하도록 설정되어 있습니다. 작업 유형(Action Type) BGP 경로가 지정된 접두사 또는 커뮤니티 문자열과 일치하는 경우에 수행할 작업을 선택합니다. 트래픽을 허용하거나 거부할 수 있습니다. 설정(Set) BGP 경로가 지정된 조건과 일치하는 경우 경로의 특성을 기준으로 트래픽을 네트워크로 라우팅하도록 설정할 수 있습니다. 드롭다운 목록에서 다음 옵션 중 하나를 선택합니다. - 없음(None): 일치하는 경로의 특성은 동일하게 유지됩니다.
- 로컬 기본 설정(Local Preference): 일치하는 트래픽은 지정된 로컬 기본 설정이 있는 경로로 라우팅됩니다.
- 커뮤니티(Community): 일치하는 경로는 지정된 커뮤니티 문자열을 기준으로 필터링됩니다. 커뮤니티 추가(Community Additive) 확인란을 선택하여 커뮤니티 값을 기존 커뮤니티에 추가하는 추가 옵션을 사용하도록 설정할 수도 있습니다.
- 메트릭(Metric): 일치하는 트래픽은 지정된 메트릭 값이 있는 경로로 라우팅됩니다.
- AS-Path-Prepend: BGP 경로에 AS(자치 시스템)의 여러 항목을 추가할 수 있습니다.
필터에 일치하는 규칙을 더 추가하려면 더하기(+) 아이콘을 클릭합니다.
확인(OK)을 클릭하여 필터를 생성합니다.
구성된 필터가 BGP 편집기(BGP Editor) 창에 표시됩니다.
- 로컬 ASN(자치 시스템 번호)을 입력한 다음, BGP 설정(BGP Settings) 섹션에서 다음을 구성합니다.
- 필요에 따라 IPv4 및 IPv6 주소에 대한 언더레이 인접 항목을 구성합니다. 자세한 내용은 Edge에서 언더레이 인접 항목으로 BGP 구성를 참조하십시오.
- 다음과 같이 NSD 인접 항목을 구성합니다.
참고: 4.3 이상 릴리스는 NSD(비 SD-WAN) 인접 항목을 지원합니다. 언더레이 및 NSD 인접 항목은 모든 전역 설정을 공유하며, 두 인접 항목 유형에 대해 필터 목록을 사용할 수도 있습니다. NSD 인접 항목을 구성하기 전에 사전 요구 사항을 구성했는지 확인합니다.
- NSD 인접 항목(NSD Neighbors) 섹션에서 다음 설정을 구성합니다.
옵션 설명 NSD 이름 드롭다운 목록에서 NSD 이름(NSD 이름)을 선택합니다. SD-WAN Orchestrator의 분기-Edge를 통한 비 SD-WAN 대상(Branch to Non SD-WAN Destination via Edge) 영역에 미리 구성되어 있던 NSD가 드롭다운 목록에 표시됩니다. 링크 이름(Link Name) NSD 인접 항목과 연결된 WAN 링크의 이름을 선택합니다. 터널 유형(Tunnel Type) 피어의 터널 유형으로 기본(Primary) 또는 보조(Secondary)를 선택합니다. 인접 항목 IP(Neighbor IP) NSD 인접 항목의 IP 주소를 입력합니다. ASN NSD 인접 항목의 ASN을 입력합니다. 인바운드 필터(Inbound Filter) 드롭다운 목록에서 [인바운드(Inbound)] 필터를 선택합니다. 아웃바운드 필터(Outbound Filter) 드롭다운 목록에서 [아웃바운드(Outbound)] 필터를 선택합니다. 추가 옵션 – 모두 보기(view all) 링크를 클릭하여 다음의 추가 설정을 구성합니다. 업링크(Uplink) 업링크에 대한 인접 항목 유형에 플래그를 지정하는 데 사용됩니다. MPLS에 대한 WAN 오버레이로 사용되는 경우 이 플래그 옵션을 선택합니다. 이 플래그는 MPLS에 대한 WAN 링크에 SD-WAN 오버레이를 통해 학습된 경로를 전파하여 사이트가 전송 사이트(예: SD-WAN Hub)가 될지 여부를 결정하는 플래그로 사용됩니다. 전송 사이트를 만들어야 하는 경우 고급(Advanced) 설정에서 업링크에 대한 오버레이 접두사(Overlay Prefix Over Uplink) 확인란을 선택합니다. 로컬 IP(Local ASN) 로컬 IP는 비 SD-WAN 인접 항목을 구성하는 데 필수입니다.
로컬 IP 주소는 루프백 IP 주소와 동일합니다. BGP 인접 관계에서 송신 패킷에 대한 소스 IP 주소로 사용할 수 있는 IP 주소를 입력합니다.최대 홉(Max-hop) BGP 피어에 대해 멀티 홉을 사용하도록 설정하기 위한 최대 홉 수를 입력합니다. 범위는 1 ~ 255이며 기본값은 1입니다. 참고: 이 필드는 로컬 ASN 및 인접 항목 ASN이 다른 경우 eBGP 인접 항목에 대해서만 사용할 수 있습니다. iBGP를 사용하는 경우, 두 ASN이 모두 동일할 경우 멀티 홉은 기본적으로 비활성화되며 이 필드를 구성할 수 없습니다.AS 허용(Allow AS) Edge가 AS-Path에서 자체 ASN을 감지하는 경우에도 BGP 경로를 수신하고 처리할 수 있도록 하려면 이 확인란을 선택합니다. 기본 경로(Default Route) 기본 경로(Default Route)는 BGP 구성에 네트워크 문을 추가하여 인접 항목에 기본 경로를 애드버타이즈합니다. BFD 사용(Enable BFD) BGP 인접 항목의 기존 BFD 세션에 대한 구독을 사용하도록 설정합니다. 참고: NSD 인접 항목이 있는 IPsec을 통한 BGP에 대해서는 단일 홉 BFD 세션이 지원되지 않습니다. 그러나 멀티 홉 BFD가 지원됩니다. 로컬 IP는 SD-WAN Edge의 NSD-BGP 세션에서 필수입니다. SD-WAN Edge는 연결된 인터페이스 IP만 단일 홉 BFD로 처리합니다.킵얼라이브(Keep Alive) 피어로 전송되는 킵얼라이브 메시지 간 기간에 해당하는 킵얼라이브 타이머를 초 단위로 입력합니다. 범위는 0 ~ 65535초입니다. 기본값은 60초입니다. 보류 타이머(Hold Timer) 보류 타이머(초)를 입력합니다. 지정된 시간 동안 킵얼라이브 메시지가 수신되지 않을 경우 피어는 종료된 것으로 간주됩니다. 범위는 0 ~ 65535초입니다. 기본값은 180초입니다. 연결(Connect) TCP 세션이 패시브가 아님을 감지할 경우 피어와의 새 TCP 연결을 시도할 시간 간격을 입력합니다. 기본값은 120초입니다. MD5 인증(MD5 Auth) BGP MD5 인증을 사용하도록 설정하려면 이 확인란을 선택합니다. 이 옵션은 레거시 네트워크 또는 페더럴 네트워크에서 사용되며, 일반적으로 BGP MD5가 BGP 피어링에 대한 보안 가드로 사용됩니다. MD5 암호(MD5 Password) MD5 인증의 암호를 입력합니다. 암호에는 $ 문자와 숫자를 차례로 사용할 수 없습니다. 예를 들어 $1, $123, password$123은 잘못된 입력입니다. 참고: 암호에 $ 문자와 숫자가 차례로 포함되면 MD5 인증이 실패합니다.참고: 멀티 홉 BGP를 통해 시스템은 재귀 조회가 필요한 경로를 학습할 수 있습니다. 이러한 경로에는 연결된 서브넷에 있지 않고 유효한 종료 인터페이스가 없는 다음 홉 IP가 있습니다. 이 경우 경로에는 종료 인터페이스가 있는 라우팅 테이블의 다른 경로를 사용하여 확인된 다음 홉 IP가 있어야 합니다. 대상에 대해 이러한 경로가 조회되어야 하는 트래픽이 있는 경우 재귀 조회가 필요한 경로가 연결된 다음 홉 IP 주소 및 인터페이스로 확인됩니다. 재귀 확인이 발생할 때까지 재귀 경로는 중간 인터페이스를 가리킵니다. 자세한 내용은 멀티 홉 BGP 경로를 참조하십시오. - 고급(Advanced)을 클릭하여 다음 설정을 구성합니다.
참고: 고급 설정(Advanced Settings)은 언더레이 BGP 인접 항목과 NSD-BGP 인접 항목 모두에서 공유됩니다.
옵션 설명 오버레이 접두사(Overlay Prefix) 오버레이에서 학습된 접두사를 재배포하려면 이 확인란을 선택합니다. AS-PATH 전달 해제(Turn off AS-Path carry over) 기본적으로 선택하지 않은 상태로 두어야 합니다. AS-PATH 전달을 해제하려면 이 확인란을 선택합니다. 특정 토폴로지에서 AS-PATH 전달(AS-PATH Carry Over)을 해제하여 L3 라우터가 Edge 또는 허브로의 경로를 선호하도록 아웃바운드 AS-PATH에 영향을 줍니다. 경고: AS-PATH 전달(AS-PATH Carry Over)을 해제한 경우 라우팅 루프를 방지하도록 네트워크를 조정하십시오.연결된 경로(Connected Routes) 연결된 모든 인터페이스 서브넷을 다시 배포하려면 이 확인란을 선택합니다. OSPF BGP로의 OSPF 재배포를 사용하도록 설정하려면 이 확인란을 선택합니다. 메트릭 설정(Set Metric) OSPF를 사용하도록 설정하는 경우 재배포된 OSPF 경로에 대한 BGP 메트릭을 입력합니다. 기본값은 20입니다. 기본 경로(Default Route) Edge가 오버레이 또는 언더레이를 통해 BGP 경로를 학습하는 경우에만 기본 경로를 재배포하려면 이 확인란을 선택합니다.
기본 경로(Default Route) 옵션을 선택하면 애드버타이즈(Advertise) 옵션을 Conditional(조건부)로 사용할 수 있습니다.
업링크에 대한 오버레이 접두사(Overlay Prefixes over Uplink) 오버레이에서 학습된 경로를 업링크 플래그가 있는 인접 항목으로 전파하려면 이 확인란을 선택합니다. 네트워크(Networks) BGP가 피어에 애드버타이즈할 네트워크 주소를 입력합니다. 더 많은 네트워크 주소를 추가하려면 더하기(+) 아이콘을 클릭합니다. 기본 경로 선택 애드버타이즈 옵션 글로벌(Global) BGP 인접 항목별(Per BGP Neighbor) 예 예 BGP 인접 항목별 구성은 글로벌 구성을 재정의하므로 기본 경로가 항상 BGP 피어에 애드버타이즈됩니다. 예 아니요 Edge가 오버레이 또는 언더레이 네트워크를 통해 명시적 기본 경로를 학습하는 경우에만 BGP가 기본 경로를 해당 인접 항목으로 재배포합니다. 아니요 예 기본 경로가 항상 BGP 피어에 애드버타이즈됩니다. 아니요 아니요 기본 경로가 BGP 피어에 애드버타이즈되지 않습니다.
- NSD 인접 항목(NSD Neighbors) 섹션에서 다음 설정을 구성합니다.
- 확인(OK)을 클릭하여 구성된 필터 및 NSD 인접 항목을 저장합니다.
BGP 설정(Settings) 섹션에는 구성된 설정이 표시됩니다.
- 디바이스(Device) 화면에서 변경 내용 저장(Save Changes)을 클릭하여 구성을 저장합니다.