Pode configurar as definições BGP para SD-WAN Gateways através de túneis IPsec.
Acerca desta tarefa:
A VMware permite que os utilizadores empresariais definam e configurem uma instância de Destino Não-SD-WAN para estabelecer um túnel IPsec seguro para um Destino Não-SD-WAN através de um SD-WAN Gateway.
Certifique-se de que configurou o seguinte:
- Crie um Destino Não-SD-WAN através de um Gateway para um dos seguintes sites:
- Configurar um Destino Não-SD-WAN do tipo gateway VPN do AWS
- Configurar um Destino Não-SD-WAN do tipo Cisco ISR
- Configurar um Destino Não-SD-WAN do tipo Router IKEv1 genérico (VPN baseada em caminho)
- Configurar um Destino Não-SD-WAN do tipo Router IKEv2 genérico (VPN baseada em caminho)
- Configurar um Destino Não-SD-WAN do tipo Hub Virtual Microsoft Azure
- Associar um Destino Não-SD-WAN a um perfil, ver Configurar um túnel entre um ramo e um destino não-SD-WAN via gateway.
Para obter mais informações sobre a funcionalidade Cálculo de custos distribuídos (Distributed Cost Calculation), consulte a secção Configurar cálculo de custos distribuídos no Guia de operador do VMware SD-WAN disponível em: https://docs.vmware.com/pt/VMware-SD-WAN/index.html.
- Aceda a Configurar (Configure) > Serviços de rede (Network Services) e, em seguida, em Destinos Não-SD-WAN (Non SD-WAN Destinations), expanda Destinos Não-SD-WAN via gateway (Non SD-WAN Destinations via Gateway).
Nota: Se não existir nenhum novo, a opção Novo NSD via Gateway (New NSD via Gateway) só será apresentada quando não existirem itens na tabela. Siga os Passos 2 e 3 para criar um novo Destino Não-SD-WAN.
- Clique em +Novo (+New) para criar um novo Destino Não-SD-WAN.
A caixa de diálogo Destinos Não-SD-WAN via Gateway (Non SD-WAN Destinations via Gateway) é apresentada, como mostrado na imagem abaixo.
- Na área Destinos Não-SD-WAN via Gateway (Non SD-WAN Destinations via Gateway) (veja a imagem acima), configure os campos a seguir conforme descrito na tabela abaixo.
Opção Descrição Nome (Name) Introduza um nome para o Destino Não-SD-WAN na caixa de texto. Tipo (Type) Selecione um tipo de túnel IPsec no menu pendente. Gateway VPN Principal (Primary VPN Gateway) Introduza um endereço IP válido Gateway VPN secundário (Secondary VPN Gateway) Introduza um endereço IP válido. Este campo é opcional Os Destinos Não-SD-WAN via Gateway são criados, como mostrado na imagem abaixo.
- Na área Destino Não-SD-WAN via Gateway (Non SD-WAN Destination via Gateway), deslize a barra cinzenta totalmente para a direita para a coluna BGP.
Clique na ligação Editar (Edit) na coluna BGP.
Se a ligação Editar (Edit) não for apresentada na coluna BGP, consulte a secção intitulada “Configurar um túnel entre um ramo e Destinos Não-SD-WAN via Edge” para ativar um Edge para Não-SD-WAN via Gateway.
Após clicar na ligação Editar (Edit) na coluna BGP, a caixa de diálogo Editar BGP (Edit BGP) é apresentada.
- Mova o botão de opção BGP ativado (BGP Activated) para a direita para ficar verde.
- Clique em +Adicionar (+Add) para criar um ou mais filtros. Estes filtros são aplicados ao vizinho para negar ou alterar os atributos do caminho. O mesmo filtro pode ser utilizado para vários vizinhos.
- Configure as opções na área Lista de filtros (Filter List) conforme descrito na tabela abaixo.
Opção Descrição Nome do filtro (Filter Name) Introduza um nome descritivo para o filtro BGP. Tipo e valor de correspondência (Match Type and Value) Escolha o tipo de caminhos a corresponder ao filtro:
- Prefixo para IPv4 ou IPv6 (Prefix for IPv4 or IPv6): opte por corresponder com um prefixo para endereço IPv4 ou IPv6 e introduza o
endereço IP do prefixo correspondente no campo Valor (Value).
- Comunidade (Community): escolha corresponder a uma comunidade e introduza a cadeia comunitária no campo Valor (Value).
Correspondência exata (Exact Match) A ação do filtro só é executada quando os caminhos BGP correspondem exatamente ao prefixo especificado ou à cadeia da comunidade. Por predefinição, esta opção está ativada. Tipo de ação (Action Type) Escolha a ação a realizar quando os caminhos BGP corresponderem ao prefixo especificado ou à cadeia da comunidade. Pode permitir ou recusar o tráfego. Ação definida (Action Set) Quando os caminhos BGP correspondem aos critérios especificados, pode definir para encaminhar o tráfego para uma rede com base nos atributos do caminho. Selecione uma das seguintes opções da lista pendente: - Nenhum (None): os atributos dos caminhos correspondentes permanecem os mesmos.
- Preferência local (Local Preference): o tráfego correspondente é encaminhado para o caminho com a preferência local especificada.
- Comunidade (Community): os caminhos correspondentes são filtrados pela cadeia de comunidade especificada. Também pode selecionar a caixa de verificação Aditivo de comunidade (Community Additive) para ativar a opção aditiva, que anexa o valor da comunidade às comunidades existentes.
- Métrica (Metric): o tráfego correspondente é encaminhado para o caminho com o valor métrico especificado.
- Preceder-AS-Path (AS-Path-Prepend): permite preceder várias entradas do sistema autónomo (AS) para um caminho BGP.
- Clique no ícone de adição (+) para adicionar mais regras de correspondência para o filtro. Repita o procedimento para criar mais filtros.
Os filtros configurados são apresentados na área Lista de filtros (Filter List).
- Na janela Editor BGP (BGP Editor), configure as definições BGP para os Gateways principal e secundário.
Nota: A opção Gateway secundário (Secondary Gateway) só estará disponível se tiver configurado um Gateway secundário para o correspondente Destino Não-SD-WAN.Nota: Numa implementação de cliente na qual um Destino Não VMware SD-WAN (NSD) via Gateway esteja configurado para utilizar túneis redundantes, caso os Gateways principais e secundários anunciem um prefixo com um caminho AS igual ao dos túneis NSD principais e secundários, o túnel NSD principal irá preferir um caminho do Gateway redundante em vez do Gateway principal. O impacto de o túnel NSD principal via Gateway preferir o caminho do Gateway redundante em vez do Gateway principal só é sentido para o tráfego de retorno do NSD para o Gateway.
Se não pretender que o seu router BGP prefira o Gateway redundante, a solução alternativa é configurar a precedência de AS-PATH e definir o filtro de métrica como uma métrica mais alta (3 ou mais) para o prefixo anunciado no Gateway redundante. Isto garante que o túnel principal do NSD escolhe o Gateway principal para o tráfego de retorno.
- Na secção Gateway de cloud principal (Primary Cloud Gateway), introduza o ASN e o ID de router local.
- Desloque-se para baixo para a área Vizinhos (Neighbors) e clique em +Adicionar (+Add).
- Configure as seguintes definições na área Vizinhos (Neighbors), conforme descrito na tabela abaixo.
Opção Descrição ASN Local (Local ASN) Introduza o número do sistema autónomo (ASN) local ID de router (Router ID) Introduza o ID de router BGP IP de vizinho (Neighbor IP) Introduza o endereço IP do vizinho BGP ASN Introduza o ASN do vizinho Filtro de entrada (Inbound Filter) Selecione um filtro de entrada da lista pendente Filtro de saída (Outbound Filter) Selecione um filtro de saída da lista pendente Opções adicionais (Additional Options) – Clique no link ver todos (view all) para configurar as seguintes definições adicionais: IP local (Local IP) O endereço IP local é o equivalente a um endereço IP de retorno. Introduza um endereço IP que os vizinhos BGP possam utilizar como endereço IP de origem para os pacotes de saída. Max-hop Introduza o número de hops máximo para permitir multi-hop para os pares BGP. Para a versão 5.1 e posterior, o intervalo é de 2 a 255 e o valor predefinido é 2. Nota: Ao atualizar para a versão 5.1, qualquer valor max-hop de 1 será automaticamente atualizado para um valor max-hop de 2.Nota: Este campo está disponível apenas para vizinhos eBGP, quando o ASN local e o ASN vizinho são diferentes.Permitir AS (Allow AS) Selecione a caixa de verificação para permitir que os caminhos BGP sejam recebidos e processados mesmo que o Gateway detete o seu próprio ASN no AS-Path. Caminho predefinido (Default Route) O Caminho predefinido (Default Route) adiciona uma declaração de rede na configuração BGP para anunciar o caminho predefinido para o vizinho. Ativar BFD (Enable BFD) Permite a subscrição na sessão BFD existente para o vizinho BGP. Keep Alive Introduza o temporizador keep alive em segundos, que é a duração entre as mensagens keep alive que são enviadas para o par. O intervalo é de 1 a 65 535 segundos. O valor predefinido é 60 segundos. Hold Timer Introduza o Hold Timer em segundos. Se a mensagem keep alive não for recebida durante o tempo especificado, o par será considerado inativo. O intervalo é de 1 a 65 535 segundos. O valor predefinido é 180 segundos. Ligar (Connect) Introduza o intervalo de tempo para tentar uma nova ligação TCP com o par se detetar que a sessão TCP não é passiva. O valor predefinido é 120 segundos. Autenticação MD5 (MD5 Auth) Selecione a caixa de verificação para ativar a autenticação BGP MD5. Esta opção é utilizada numa rede de legado ou numa rede federal e é utilizada como um guarda de segurança para os pares BGP. Palavra-passe MD5 (MD5 Password) Introduza uma palavra-passe para a autenticação MD5. Nota: A partir da versão 4.5, a utilização do caráter especial “<” na palavra-passe já não é suportada. Nos casos em que os utilizadores já tenham utilizado “<” nas palavras-passe em versões anteriores, têm de o remover para guardar quaisquer alterações na página.Os vizinhos configurados são apresentados na área Vizinhos (Neighbors).
Clique no botão Guardar alterações (Save Changes) para guardar todas as alterações.
Nota: Durante o BGP multi-hop, o sistema pode programar caminhos que requerem uma procura recursiva. Estes caminhos têm um IP de próximo hop que não está numa sub-rede ligada e não têm uma interface de saída válida. Neste caso, os caminhos devem ter o IP de próximo hop resolvido utilizando outro caminho na tabela de routing que tenha uma interface de saída. Quando há tráfego para um destino que precisa que estes caminhos sejam analisados, os caminhos que requerem uma procura recursiva serão resolvidos para uma interface e endereço IP de próximo hop e ligados. Até que a resolução recursiva aconteça, os caminhos recursivos apontam para uma interface intermédia. Para obter mais informações sobre os caminhos BGP multi-hop, consulte a secção “Testes de diagnóstico remoto nos Edges” no Guia de resolução de problemas do VMware SD-WAN publicado em https://docs.vmware.com/pt/VMware-SD-WAN/index.html.Resumo de caminhos
A funcionalidade Resumo de caminhos (Route Summarization) está disponível na versão 5.2, para obter uma visão geral e caso de utilização dessa funcionalidade, consulte Resumo de caminhos. Para obter os detalhes de configuração, siga os passos abaixo.
- Desloque-se para baixo para a área Resumo de caminhos (Route Summarization).
- Clique em +Adicionar (+Add) na área Resumo de caminhos (Route Summarization) . Uma nova linha é adicionada à área Resumo de caminhos (Route Summarization) .
Configure o resumo de caminhos, conforme descrito na tabela abaixo.
Opção Descrição Nome do filtro (Filter Name) Introduza um nome descritivo para o filtro BGP. Sub-rede (Subnet) Introduza a sub-rede de IP. Conjunto AS (AS Set) Gerar informações do caminho do conjunto AS a partir dos caminhos resumidos (enquanto anuncia o caminho de resumo ao par). Na coluna Conjunto AS (AS Set) , clique em Sim (Yes), se aplicável. Só resumo (Summary Only) Clique na caixa de verificação Sim (Yes) para permitir que apenas o caminho resumido seja enviado. - Adicione caminhos adicionais, se necessário, clicando em +Adicionar (+Add). Para clonar ou eliminar um resumo de caminhos, utilize os botões apropriados, localizados junto a +Adicionar (+Add).
A secção Definições BGP (BGP Settings) apresenta as definições de configuração do BGP.
- Clique em Guardar alterações (Save Changes) quando concluído para guardar a configuração.