IPsec 터널을 통해 SD-WAN Gateways에 대한 BGP 설정을 구성할 수 있습니다.

이 작업에 대한 정보:

iPsec을 통해 BGP에는 eBGP만 지원됩니다.
참고: SDWAN 게이트웨이와 NSD 사이트 간에 eBGP를 사용하는 것이 좋습니다. iBGP를 사용하는 경우 로컬 기본 설정을 적용해도 아웃바운드 필터에서 작동하지 않습니다. 이 경우 고객은 바람직한 라우팅을 달성하려면 메트릭 또는 AS path prepend 옵션을 선택해야 합니다.

VMware 엔터프라이즈 사용자는 SD-WAN Gateway를 통해 비 SD-WAN 대상에 대한 보안 IPsec 터널을 설정하기 위해 비 SD-WAN 대상 인스턴스를 정의하고 구성할 수 있습니다.

참고: 5.2 릴리스의 경우 동일한 세그먼트에 대해 여러 NSD가 구성된 경우 모든 NSD에 동일한 요약 경로 구성 집합이 있어야 합니다.
시작하기 전에 수행할 작업:
참고: 게이트웨이에서의 Azure vWAN Automation 기능이 IPsec를 통한 BGP와 호환되지 않습니다. 게이트웨이에서 Azure vWAN으로의 연결을 자동화할 때 고정 경로만 지원되기 때문입니다.

다음 사항을 구성했는지 확인합니다.

참고: 게이트웨이를 통해 IPsec을 통한 BGP를 사용할 경우 최상의 성능 및 확장을 위해 분산 비용 계산(Distributed Cost Calculation)을 켜는 것이 좋습니다. 분산 비용 계산(Distributed Cost Calculation)은 릴리스 3.4.0부터 지원됩니다.

분산 비용 계산(Distributed Cost Calculation)에 대한 자세한 내용은 "VMware SD-WAN 운영자 가이드" (https://docs.vmware.com/kr/VMware-SD-WAN/index.html)의 분산 비용 계산 구성 섹션을 참조하십시오.

절차
  1. 구성(Configure) 네트워크 서비스(Network Services)로 이동한 후 [비 SD-WAN 대상(Non SD-WAN Destinations)] 아래에서 [게이트웨이를 통한 비 SD-WAN 대상(Non SD-WAN Destinations via Gateway)]을 확장합니다.
    참고: [새 게이트웨이를 통한 NSD(New NSD via Gateway)] 옵션은 테이블에 항목이 없는 경우에만 나타납니다. 2단계와 3단계에 따라 새 비 SD-WAN 대상을 생성합니다.

  2. +새로 만들기(+New)를 클릭하여 새 비 SD-WAN 대상을 생성합니다.

    아래 이미지에 표시된 것처럼 게이트웨이를 통한 비 SD-WAN 대상(Non SD-WAN Destinations via Gateway) 대화상자가 표시됩니다.

  3. 게이트웨이를 통한 비 SD-WAN 대상(Non SD-WAN Destinations via Gateway) 영역(위 이미지 참조)에서 아래 표에 설명된 대로 다음 필드를 구성합니다.
    옵션 설명
    이름(Name) 텍스트 상자에 비 SD-WAN 대상의 이름을 입력합니다.
    유형(Type) 드롭다운 메뉴에서 IPsec 터널 유형을 선택합니다.
    기본 VPN 게이트웨이(Primary VPN Gateway) 올바른 IP 주소를 입력합니다.
    보조 VPN 게이트웨이(Secondary VPN Gateway) 올바른 IP 주소를 입력합니다. 이 필드는 선택 사항입니다.

    아래 이미지에 표시된 것처럼 게이트웨이를 통한 비 SD-WAN 대상이 생성됩니다.

  4. 게이트웨이를 통한 비 SD-WAN 대상(Non SD-WAN Destinations via Gateway) 영역에서 회색 막대를 BGP 열의 맨 오른쪽으로 밀어 넣습니다.

    BGP 열에서 편집(Edit) 링크를 클릭합니다.

    편집(Edit) 링크가 BGP 열 아래에 표시되지 않으면 "분기 및 Edge를 통한 비 SD-WAN 대상 간 터널 구성" 섹션을 참조하여 [Edge-게이트웨이를 통한 비 SD-WAN(Edge to Non SD-WAN via Gateway)]을 사용하도록 설정합니다.

    BGP 열에서 편집(Edit) 링크를 클릭하면 BGP 편집(Edit BGP) 대화상자가 표시됩니다.

  5. BGP 활성화됨(BGP Activated) 라디오 버튼을 오른쪽으로 토글하여 녹색으로 전환합니다.
  6. +추가(+Add)를 클릭하여 하나 이상의 필터를 생성합니다. 이러한 필터는 인접 항목에 적용되어 경로의 특성을 거부하거나 변경할 수 있습니다. 여러 인접 항목에 동일한 필터를 사용할 수 있습니다.
  7. 아래 표에 설명된 대로 필터 목록(Filter List) 영역에서 옵션을 구성합니다.
    옵션 설명
    필터 이름(Filter Name) BGP 필터를 설명하는 이름을 입력합니다.
    일치 유형 및 값(Match Type and Value)

    필터와 일치시킬 경로의 유형을 선택합니다.

    • IPv4 또는 IPv6의 접두사(Prefix for IPv4 or IPv6): IPv4 또는 IPv6 주소에 대한 접두사와 일치시킬 항목을 선택하고

    값(Value) 필드에 해당 접두사 IP 주소를 입력합니다.

    • 커뮤니티(Community): 커뮤니티와 일치시키도록 선택하고 값(Value) 필드에 커뮤니티 문자열을 입력합니다.
    정확한 일치(Exact Match) 필터 작업은 BGP 경로가 지정된 접두사 또는 커뮤니티 문자열과 정확히 일치하는 경우에만 수행됩니다. 기본적으로 이 옵션은 사용하도록 설정되어 있습니다.
    작업 유형(Action Type) BGP 경로가 지정된 접두사 또는 커뮤니티 문자열과 일치하는 경우에 수행할 작업을 선택합니다. 트래픽을 허용하거나 거부할 수 있습니다.
    작업 집합(Action Set) BGP 경로가 지정된 조건과 일치하는 경우 경로의 특성을 기준으로 트래픽을 네트워크로 라우팅하도록 설정할 수 있습니다. 드롭다운 목록에서 다음 옵션 중 하나를 선택합니다.
    • 없음(None): 일치하는 경로의 특성은 동일하게 유지됩니다.
    • 로컬 기본 설정(Local Preference): 일치하는 트래픽은 지정된 로컬 기본 설정이 있는 경로로 라우팅됩니다.
    • 커뮤니티(Community): 일치하는 경로는 지정된 커뮤니티 문자열을 기준으로 필터링됩니다. 커뮤니티 추가(Community Additive) 확인란을 선택하여 커뮤니티 값을 기존 커뮤니티에 추가하는 추가 옵션을 사용하도록 설정할 수도 있습니다.
    • 메트릭(Metric): 일치하는 트래픽은 지정된 메트릭 값이 있는 경로로 라우팅됩니다.
    • AS-Path-Prepend: BGP 경로에 AS(자치 시스템)의 여러 pre-pending 항목을 추가할 수 있습니다.
  8. 필터에 대해 더 많은 일치 규칙을 추가하려면 더하기(+) 아이콘을 클릭합니다. 더 많은 필터를 생성하려면 이 절차를 반복하십시오.

    구성된 필터가 필터 목록(Filter List) 영역에 표시됩니다.

  9. [BGP 편집기(BGP Editor)] 창에서 우선 및 차선 게이트웨이에 대한 BGP 설정을 구성합니다.
    참고: [차선 게이트웨이(Secondary Gateway)] 옵션은 해당 비 SD-WAN 대상에 대한 차선 게이트웨이를 구성한 경우에만 사용할 수 있습니다.
    참고: 게이트웨이를 통한 NSD(비 VMware SD-WAN 대상)가 중복 터널을 사용하도록 구성되어 있는 고객 배포의 경우 기본 및 보조 게이트웨이가 기본 및 보조 NSD 터널에 대해 동일한 AS 경로를 지정하여 접두사를 애드버타이즈하면 기본 NSD 터널은 기본 게이트웨이보다 중복된 게이트웨이 경로를 선호합니다. 게이트웨이를 통한 기본 NSD 터널에 기본 게이트웨이를 통한 중복 게이트웨이 경로를 기본으로 사용할 경우에 미치는 영향은 NSD에서 게이트웨이로의 반환 트래픽에만 작용합니다.

    BGP 라우터가 중복 게이트웨이를 선호하지 않도록 하려면 AS-PATH prepend를 구성하고 중복 게이트웨이의 애드버타이즈된 접두사에 대해 메트릭 필터를 더 높은(3개 이상) 메트릭으로 설정하는 것이 해결되었습니다. 이렇게 하면 NSD의 기본 터널이 반환 트래픽에 대한 기본 게이트웨이를 선택할 수 있습니다.

  10. 기본 클라우드 게이트웨이(Primary Cloud Gateway) 섹션에서 로컬 ASN 및 라우터 ID를 입력합니다.
  11. 아래로 스크롤하여 [인접 항목(Neighbors)] 영역으로 이동한 후 +추가(+Add)를 클릭합니다.
  12. 아래 표에 설명된 대로 인접 항목(Neighbors) 영역에서 다음 설정을 구성합니다.
    옵션 설명
    로컬 ASN(Local ASN) 로컬 ASN(자치 시스템 번호)를 입력합니다.
    라우터 ID(Router ID) BGP 라우터 ID를 입력합니다.
    인접 항목 IP(Neighbor IP) BGP 인접 항목의 IP 주소를 입력합니다.
    ASN 인접 항목의 ASN을 입력합니다.
    인바운드 필터(Inbound Filter) 드롭다운 목록에서 인바운드 필터를 선택합니다.
    아웃바운드 필터(Outbound Filter) 드롭다운 목록에서 아웃바운드 필터를 선택합니다.
    추가 옵션모두 보기(view all) 링크를 클릭하여 다음의 추가 설정을 구성합니다.
    로컬 IP(Local IP) 로컬 IP 주소는 루프백 IP 주소와 동일합니다. BGP 인접 관계에서 송신 패킷에 대한 소스 IP 주소로 사용할 수 있는 IP 주소를 입력합니다.
    최대 홉(Max-hop) BGP 피어에 대해 멀티 홉을 사용하도록 설정하기 위한 최대 홉 수를 입력합니다. 5.1 이상 릴리스의 경우 범위는 2 ~ 255이며 기본값은 2입니다.
    참고: 5.1 릴리스로 업그레이드하면 최대 홉 값 1이 최대 홉 값인 2로 자동으로 업데이트됩니다.
    참고: 이 필드는 로컬 ASN 및 인접 항목 ASN이 다른 경우 eBGP 인접 항목에 대해서만 사용할 수 있습니다.
    AS 허용(Allow AS) 게이트웨이가 AS-Path에서 자체 ASN을 감지하는 경우에도 BGP 경로를 수신하고 처리할 수 있도록 하려면 이 확인란을 선택합니다.
    기본 경로(Default Route) 기본 경로(Default Route)는 BGP 구성에 네트워크 문을 추가하여 인접 항목에 기본 경로를 애드버타이즈합니다.
    BFD 사용(Enable BFD) BGP 인접 항목의 기존 BFD 세션에 대한 구독을 사용하도록 설정합니다.
    킵얼라이브(Keep Alive) 피어로 전송되는 킵얼라이브 메시지 간 기간에 해당하는 킵얼라이브 타이머를 초 단위로 입력합니다. 범위는 1 ~ 65535초입니다. 기본값은 60초입니다.
    보류 타이머(Hold Timer) 보류 타이머(초)를 입력합니다. 지정된 시간 동안 킵얼라이브 메시지가 수신되지 않을 경우 피어는 종료된 것으로 간주됩니다. 범위는 1 ~ 65535초입니다. 기본값은 180초입니다.
    연결(Connect) TCP 세션이 패시브가 아님을 감지할 경우 피어와의 새 TCP 연결을 시도할 시간 간격을 입력합니다. 기본값은 120초입니다.
    MD5 인증(MD5 Auth) BGP MD5 인증을 사용하도록 설정하려면 이 확인란을 선택합니다. 이 옵션은 레거시 네트워크 또는 페더럴 네트워크에서 사용되며, BGP 피어링의 보안 가드로 사용됩니다.
    MD5 암호(MD5 Password) MD5 인증의 암호를 입력합니다.
    참고: 4.5 릴리스부터 암호에 특수 문자 "<"를 사용하는 것이 더 이상 지원되지 않습니다. 사용자가 이전 릴리스에서 암호에 "<"를 이미 사용한 경우 페이지에 변경 내용을 저장하려면 제거해야 합니다.

    구성된 인접 항목이 인접 항목(Neighbors) 영역에 표시됩니다.

    변경 내용 저장(Save Changes) 버튼을 클릭하여 모든 변경 내용을 저장합니다.

    참고: 멀티 홉 BGP를 통해 시스템은 재귀 조회가 필요한 경로를 학습할 수 있습니다. 이러한 경로에는 연결된 서브넷에 있지 않고 유효한 종료 인터페이스가 없는 다음 홉 IP가 있습니다. 이 경우 경로에는 종료 인터페이스가 있는 라우팅 테이블의 다른 경로를 사용하여 확인된 다음 홉 IP가 있어야 합니다. 대상에 대해 이러한 경로가 조회되어야 하는 트래픽이 있는 경우 재귀 조회가 필요한 경로가 연결된 다음 홉 IP 주소 및 인터페이스로 확인됩니다. 재귀 확인이 발생할 때까지 재귀 경로는 중간 인터페이스를 가리킵니다. 멀티 홉 BGP 경로에 대한 자세한 내용은 https://docs.vmware.com/kr/VMware-SD-WAN/index.html에 게시된 " VMware SD-WAN 문제 해결 가이드" 의 "Edge의 원격 진단 테스트" 섹션을 참조하십시오.

    경로 요약(Route Summarization)

    경로 요약 기능은 5.2 릴리스에서 사용할 수 있습니다. 이 기능에 대한 개요 및 사용 사례는 경로 요약을 참조하십시오. 구성 세부 정보를 보려면 아래 단계를 따르십시오.

  13. 아래쪽의 경로 요약(Route Summarization) 영역으로 스크롤합니다.
  14. 경로 요약(Route Summarization) 영역에서 +추가(+Add)를 클릭합니다. 경로 요약(Route Summarization) 영역에 새 행이 추가됩니다.

    아래 표에 설명된 대로 경로 요약을 구성합니다.

    옵션 설명
    필터 이름(Filter Name) BGP 필터를 설명하는 이름을 입력합니다.
    서브넷(Subnet) IP 서브넷을 입력합니다.
    AS 집합(AS Set) 요약된 경로에서 AS 집합 경로 정보를 생성합니다(요약 경로를 피어에 애드버타이즈). AS 집합(AS Set) 열에서 해당하는 경우 예(Yes) 확인란을 클릭합니다.
    요약만(Summary Only) 요약된 경로만 전송되도록 허용하려면 예(Yes) 확인란을 클릭합니다.
  15. 필요한 경우 +추가(+Add)를 클릭하여 추가 경로를 추가합니다. 경로 요약을 복제하거나 삭제하려면 +추가(+Add) 옆에 있는 해당 버튼을 사용합니다.

    BGP 설정(BGP Settings) 섹션에는 BGP 구성 설정이 표시됩니다.

  16. 완료되면 변경 내용 저장(Save Changes)을 클릭하여 구성을 저장합니다.