IPSec 터널을 통해 SD-WAN Gateways에 대한 BGP 설정을 구성할 수 있습니다.

iPsec을 통해 BGP에는 eBGP만 지원됩니다.

참고: SDWAN 게이트웨이와 NSD 사이트 간에 eBGP를 사용하는 것이 좋습니다. iBGP를 사용하는 경우 로컬 기본 설정을 적용해도 아웃바운드 필터에서 작동하지 않습니다. 이 경우 고객은 바람직한 라우팅을 달성하려면 메트릭 또는 AS path prepend 옵션을 선택해야 합니다.

게이트웨이에 대한 BGP 설정을 구성하려면:

사전 요구 사항

참고: 게이트웨이에서의 Azure vWAN Automation 기능이 IPsec를 통한 BGP와 호환되지 않습니다. 게이트웨이에서 Azure vWAN으로의 연결을 자동화할 때 고정 경로만 지원되기 때문입니다.

다음 사항을 구성했는지 확인합니다.

참고: 게이트웨이를 통해 IPsec을 통한 BGP를 사용할 경우 최상의 성능 및 확장을 위해 분산 비용 계산(Distributed Cost Calculation)을 켜는 것이 좋습니다. 분산 비용 계산(Distributed Cost Calculation)은 릴리스 3.4.0부터 지원됩니다.

분산 비용 계산(Distributed Cost Calculation)에 대한 자세한 내용은 "VMware SD-WAN 운영자 가이드" (https://docs.vmware.com/kr/VMware-SD-WAN/index.html)의 분산 비용 계산 구성 섹션을 참조하십시오.

프로시저

  1. 엔터프라이즈 포털에서 구성(Configure) > 네트워크 서비스(Network Services)를 클릭합니다.
  2. 게이트웨이를 통한 비 SD-WAN 대상(Non SD-WAN Destinations via Gateway) 영역에서 비 SD-WAN 대상에 해당하는 BGP 열의 편집(Edit) 링크를 클릭합니다.
  3. BGP 편집기(BGP Editor) 창에서 슬라이더를 켜기(ON)로 클릭하여 BGP 설정을 구성합니다.
    1. 필터 추가(Add Filter)를 클릭하여 하나 이상의 필터를 생성합니다. 이러한 필터는 인접 항목에 적용되어 경로의 특성을 거부하거나 변경할 수 있습니다. 여러 인접 항목에 동일한 필터를 사용할 수 있습니다.
      BGP 필터 생성(Create BGP Filter) 창에서 필터에 대한 규칙을 설정합니다.
      옵션 설명
      필터 이름(Filter Name) BGP 필터를 설명하는 이름을 입력합니다.
      일치 유형 및 값(Match Type and Value) 필터와 일치시킬 경로의 유형을 선택합니다.
      • 접두사(Prefix): 접두사와 일치시키도록 선택하고 값(Value) 필드에 접두사 IP 주소를 입력합니다.
      • 커뮤니티(Community): 커뮤니티와 일치시키도록 선택하고 값(Value) 필드에 커뮤니티 문자열을 입력합니다.
      정확한 일치(Exact Match) 필터 작업은 BGP 경로가 지정된 접두사 또는 커뮤니티 문자열과 정확히 일치하는 경우에만 수행됩니다. 기본적으로 이 옵션은 사용하도록 설정되어 있습니다.
      작업 유형(Action Type) BGP 경로가 지정된 접두사 또는 커뮤니티 문자열과 일치하는 경우에 수행할 작업을 선택합니다. 트래픽을 허용하거나 거부할 수 있습니다.
      설정(Set) BGP 경로가 지정된 조건과 일치하는 경우 경로의 특성을 기준으로 트래픽을 네트워크로 라우팅하도록 설정할 수 있습니다. 드롭다운 목록에서 다음 옵션 중 하나를 선택합니다.
      • 없음(None): 일치하는 경로의 특성은 동일하게 유지됩니다.
      • 로컬 기본 설정(Local Preference): 일치하는 트래픽은 지정된 로컬 기본 설정이 있는 경로로 라우팅됩니다.
      • 커뮤니티(Community): 일치하는 경로는 지정된 커뮤니티 문자열을 기준으로 필터링됩니다.
      • 메트릭(Metric): 일치하는 트래픽은 지정된 메트릭 값이 있는 경로로 라우팅됩니다.
      • AS-Path-Prepend: BGP 경로에 AS(자치 시스템)의 여러 항목을 추가할 수 있습니다.
      필터에 대해 더 많은 일치 규칙을 추가하려면 더하기( +) 아이콘을 클릭합니다.
      확인(OK)을 클릭합니다.
      더 많은 BGP 필터를 생성하려면 이 절차를 반복하십시오.
      구성된 필터가 BGP 편집기(BGP Editor) 창에 표시됩니다.
    2. BGP 편집기(BGP Editor) 창에서 기본 및 보조 게이트웨이에 대한 BGP 설정을 구성합니다.
      참고: 보조 게이트웨이(Secondary Gateway) 옵션은 해당 비 SD-WAN 대상에 대한 보조 게이트웨이를 구성한 경우에만 사용할 수 있습니다.
      참고: 게이트웨이를 통한 NSD(비 VMware SD-WAN 대상)가 중복 터널을 사용하도록 구성되어 있는 고객 배포의 경우 기본 및 보조 게이트웨이가 기본 및 보조 NSD 터널에 대해 동일한 AS 경로를 지정하여 접두사를 애드버타이즈하면 기본 NSD 터널은 기본 게이트웨이보다 중복된 게이트웨이 경로를 선호합니다. 게이트웨이를 통한 기본 NSD 터널에 기본 게이트웨이를 통한 중복 게이트웨이 경로를 기본으로 사용할 경우에 미치는 영향은 NSD에서 게이트웨이로의 반환 트래픽에만 작용합니다.

      BGP 라우터가 중복 게이트웨이를 선호하지 않도록 하려면 AS-PATH prepend를 구성하고 중복 게이트웨이의 애드버타이즈된 접두사에 대해 메트릭 필터를 더 높은(3개 이상) 메트릭으로 설정하는 것이 해결되었습니다. 이렇게 하면 NSD의 기본 터널이 반환 트래픽에 대한 기본 게이트웨이를 선택할 수 있습니다.

      옵션 설명
      로컬 ASN(Local ASN) 로컬 ASN(자치 시스템 번호)를 입력합니다.
      라우터 ID(Router ID) BGP 라우터 ID를 입력합니다.
      인접 항목 IP(Neighbor IP) BGP 인접 항목의 IP 주소를 입력합니다.
      ASN 인접 항목의 ASN을 입력합니다.
      인바운드 필터(Inbound Filter) 드롭다운 목록에서 인바운드 필터를 선택합니다.
      아웃바운드 필터(Outbound Filter) 드롭다운 목록에서 아웃바운드 필터를 선택합니다.
      추가 옵션모두 보기(view all) 링크를 클릭하여 다음의 추가 설정을 구성합니다.
      로컬 IP(Local IP) 로컬 IP 주소는 루프백 IP 주소와 동일합니다. BGP 인접 관계에서 송신 패킷에 대한 소스 IP 주소로 사용할 수 있는 IP 주소를 입력합니다.
      최대 홉(Max-hop) BGP 피어에 대해 멀티 홉을 사용하도록 설정하기 위한 최대 홉 수를 입력합니다. 5.1 이상 릴리스의 경우 범위는 2 ~ 255이며 기본값은 2입니다.
      참고: 5.1 릴리스로 업그레이드하면 최대 홉 값 1이 최대 홉 값인 2로 자동으로 업데이트됩니다.
      참고: 이 필드는 로컬 ASN 및 인접 항목 ASN이 다른 경우 eBGP 인접 항목에 대해서만 사용할 수 있습니다.
      AS 허용(Allow AS) 게이트웨이가 AS-Path에서 자체 ASN을 감지하는 경우에도 BGP 경로를 수신하고 처리할 수 있도록 하려면 이 확인란을 선택합니다.
      기본 경로(Default Route) 기본 경로(Default Route)는 BGP 구성에 네트워크 문을 추가하여 인접 항목에 기본 경로를 애드버타이즈합니다.
      BFD 사용(Enable BFD) BGP 인접 항목의 기존 BFD 세션에 대한 구독을 사용하도록 설정합니다.
      킵얼라이브(Keep Alive) 피어로 전송되는 킵얼라이브 메시지 간 기간에 해당하는 킵얼라이브 타이머를 초 단위로 입력합니다. 범위는 1 ~ 65535초입니다. 기본값은 60초입니다.
      보류 타이머(Hold Timer) 보류 타이머(초)를 입력합니다. 지정된 시간 동안 킵얼라이브 메시지가 수신되지 않을 경우 피어는 종료된 것으로 간주됩니다. 범위는 1 ~ 65535초입니다. 기본값은 180초입니다.
      연결(Connect) TCP 세션이 패시브가 아님을 감지할 경우 피어와의 새 TCP 연결을 시도할 시간 간격을 입력합니다. 기본값은 120초입니다.
      MD5 인증(MD5 Auth) BGP MD5 인증을 사용하도록 설정하려면 이 확인란을 선택합니다. 이 옵션은 레거시 네트워크 또는 페더럴 네트워크에서 사용되며, BGP 피어링의 보안 가드로 사용됩니다.
      MD5 암호(MD5 Password) MD5 인증의 암호를 입력합니다.
    3. 확인(OK)을 클릭하여 변경 내용을 저장합니다.