A configuração Vizinhos BGP não-SD-WAN (Non-SD-WAN BGP Neighbors) não é aplicável ao nível do perfil. Pode configurar os Vizinhos de NSD apenas ao nível do Edge.
Acerca desta tarefa:
O BGP é utilizado para estabelecer a vizinhança do BGP através dos túneis IPsec para os sites Não-SD-WAN. Os túneis IPsec diretos são utilizados para estabelecer a comunicação segura entre o SD-WAN Edge e o Destino Não-SD-WAN (NSD). Em versões anteriores, o VMware suportava túneis NSD no SD-WAN Edge com a capacidade para adicionar caminhos estáticos NVS. Na versão 4.3, esta funcionalidade foi alargada para suportar o BGP através de IPsec até ao ponto final NSD para uma VPN baseada em caminho.
Casos de utilização
Caso de utilização 1: BGP através de IPsec de um Edge para uma VPN do Azure
Cada Gateway VPN do Azure atribui um conjunto de IPs públicos virtuais (VIP) para um ramo Edge para formar túneis IPsec. Da mesma forma, o Azure também atribui uma sub-rede privada interna e atribui um IP interno por VIP. Este tunnel_ip interno (tunnel_ip par) será utilizado para a criação do Peering de BGP com o Gateway do Azure.
O Azure tem uma restrição: o IP par do BGP (tunnel_ip local do Edge) não deve estar na mesma sub-rede ligada ou na sub-rede 169.x.x.x, e, portanto, será necessário suportar o BGP multihop no Edge. Na terminologia BGP, o tunnel_ip local mapeia para o endereço de origem BGP e o tunnel_ip de pares mapeia para o endereço vizinho/par. Precisamos de formar uma malha de ligações BGP – uma por túnel NSD para que o tráfego de retorno do NVS possa ter balanceamento de carga (baseado no fluxo) – design no lado do Gateway do Azure. No diagrama abaixo do Edge físico, temos duas ligações WAN públicas e, assim, quatro túneis para um Gateway do Azure. Cada túnel está associado a uma ligação BGP identificada exclusivamente pelo tunnel_ip local e pelo tunnel_ip de pares remoto. No Edge Virtual, a única diferença é a ligação WAN pública e um máximo de dois túneis e duas sessões de BGP para o Gateway do Azure.
Caso de utilização 2: BGP sobre IPsec do Edge para o AWS VPN/Transit Gateway
Ao contrário do Azure, o Gateway VPN de AWS atribui um conjunto de VIPs públicos por ligação a um ramo Edge. O total de conjuntos de IPs públicos atribuídos a um ramo Edge a partir de um Gateway do AWS será igual ao número de ligações WAN públicas do Edge que se ligarão ao Gateway VPN de AWS. Do mesmo modo, será atribuída por túnel uma sub-rede interna/privada /30, que serão utilizadas para o Peering de BGP naquele túnel. Estes IPs podem ser substituídos manualmente na configuração do Gateway do AWS para garantir que são exclusivos em diferentes zonas de disponibilidade.
Semelhante ao caso de utilização do Azure, o Edge formará uma malha de ligações BGP – uma por túnel para o Gateway do AWS. Isto permitirá o balanceamento de carga do tráfego de retorno a partir do Gateway VPN de AWS – design no lado do AWS. No diagrama abaixo, para o Edge físico, o Gateway do AWS atribui um conjunto de IPs públicos e um conjunto de tunnel_ips (/30) para cada ligação WAN do Edge. Existe um total de quatro túneis, mas terminam em diferentes IPs públicos no Gateway do AWS e quatro ligações BGP.
Caso de utilização 3: ligação do Edge tanto ao AWS como a Gateways VPN do Azure (Cloud híbrida)
Um ramo Edge poderá ser conectado tanto ao Gateway do Azure como ao Gateway do AWS para fins de redundância ou algumas cargas de trabalho/aplicações alojadas num fornecedor de cloud enquanto outras cargas de trabalho/aplicações são alojadas num fornecedor de cloud diferente. Independentemente do caso de utilização, o Edge estabelece sempre uma sessão BGP por túnel e propaga os caminhos entre o SD-WAN e o IaaS. O diagrama abaixo é um exemplo de um ramo Edge ligado às clouds do Azure e do AWS.
Caso de utilização 4: Cluster de Hub que liga a Gateways de trânsito Azure/AWS
Os membros do Cluster de Hub podem formar túneis IPsec para os Gateways de trânsito Azure/AWS e tirar partido dos Gateways de trânsito como Camada 3 para o tráfego de routing entre diferentes VPCs. Sem a funcionalidade nativa do BGP sobre IPsec no Hub, o Hub precisa de se ligar a um router L3 (Cisco CSR amplamente utilizado aqui) através do BGP nativo e o router L3 formando uma malha de BGP sobre túneis IPsec com diferentes VPCs. O router L3 serve como ponto final de trânsito entre diferentes VPCs. Caso de utilização 1 (diagrama esquerdo abaixo): utilize o Hub como nó de trânsito entre diferentes VPCs em diferentes Zonas de Disponibilidade (AZ) para que um VPC possa comunicar com outro VPC. Caso de utilização 2 (diagrama direito abaixo): ligue todos os hubs no cluster diretamente a um gateway de trânsito na cloud e pode utilizar o gateway de cloud como router PE(L3) para distribuição de caminhos entre membros do cluster. Em ambos os casos de utilização, sem o suporte para BGP sobre IPsec no Hub, o hub liga-se a um router L3 como o CSR ao utilizar pares nativos de BGP e CSR com gateway de trânsito/VPC utilizando BGP sobre IPsec.
Caso de utilização 5: suportar a funcionalidade de trânsito em fornecedores de cloud sem suporte nativo
Alguns fornecedores de cloud como o Google Cloud e o AliCloud não têm suporte nativo para funcionalidades de trânsito (sem Gateways de trânsito), e com o suporte para BGP sobre IPsec, podem contar com o SD-WAN Edge/Hub implementado na cloud para alcançar a funcionalidade de trânsito entre diferentes VPCs/VNETs. Sem o suporte BGP sobre IPsec, deve utilizar um router L3 como o CSR (solução (2)) para obter a funcionalidade de trânsito.
Pré-requisitos:
- Certifique-se de ter configurado o Configurar um túnel entre um ramo e um destino não-SD-WAN via Edge para configurar o BGP com vizinhos de NSD.
- O endereço IP local do Edge é necessário para configurar o BGP com vizinhos de NSD.
Procedimento
Para ativar o BGP com vizinhos Não-SD-WAN:
- No serviço SD-WAN do portal da empresa, clique em Configurar (Configure).
- No menu esquerdo, selecione Edges. É apresentada a página Edges.
- Clique num Edge na lista de Edges disponíveis.
- Aceda à secção Routing e NAT (Routing & NAT) na IU e clique na seta junto a BGP.
- Na área BGP, selecione a caixa de verificação Sobrepor (Override) e mova o botão de opção de Desativado para Ativado.
Na janela Editor BGP (BGP Editor), configure as seguintes definições:
- Introduza o número do sistema autónomo (ASN) local e, em seguida, configure o seguinte na secção Definições BGP (BGP Settings).
- Configure as definições do BGP, conforme descrito na tabela abaixo.
Opção Descrição ID de router (Router ID) Introduza o ID do router BGP global. Se não especificar um valor, o ID será automaticamente atribuído. Se tiver configurado uma interface de retorno para o Edge, o endereço IP da interface de retorno será atribuído como ID do router. Keep Alive Introduza o temporizador keep alive em segundos, que é a duração entre as mensagens keep alive que são enviadas para o par. O intervalo é de 0 a 65535 segundos. O valor predefinido é 60 segundos. Hold Timer Introduza o Hold Timer em segundos. Se a mensagem keep alive não for recebida durante o tempo especificado, o par será considerado inativo. O intervalo é de 0 a 65535 segundos. O valor predefinido é 180 segundos. Comunidade de transmissão (Uplink Community) Introduza a cadeia de comunidade para ser tratada como caminhos de transmissão.
Transmissão refere-se à ligação conectada ao Edge do fornecedor (PE). Os caminhos de entrada para o Edge correspondente ao valor de comunidade especificado serão tratados como caminhos de transmissão. O hub/Edge não é considerado o proprietário para estes caminhos.
Introduza o valor em formato numérico que varia de 1 a 4294967295 ou em formato AA:NN.
Caixa de verificação Ativar reinício otimizado (Enable Graceful Restart) Note que ao selecionar esta caixa de verificação: O router local não suporta encaminhamento durante a reinicialização do plano de routing. Esta funcionalidade suporta a preservação do encaminhamento e do routing em caso de reinicialização de pares.
- Clique em +Adicionar (+Add) na área Lista de filtros (Filter List) para criar um ou mais filtros. Estes filtros são aplicados ao vizinho para negar ou alterar os atributos do caminho. O mesmo filtro pode ser utilizado para vários vizinhos.
- Nos campos de texto apropriados, defina as regras para o filtro, conforme descrito na tabela abaixo.
Opção Descrição Nome do filtro (Filter Name) Introduza um nome descritivo para o filtro BGP. Tipo e valor de correspondência (Match Type and Value) Escolha o tipo de caminhos a corresponder ao filtro: - Prefixo para IPv4 ou IPv6: escolha corresponder a um prefixo para o endereço IPv4 ou IPv6 e introduza o endereço IP do prefixo correspondente no campo Valor (Value).
- Comunidade (Community): escolha corresponder a uma comunidade e introduza a cadeia comunitária no campo Valor (Value).
Correspondência exata (Exact Match) A ação do filtro só é executada quando os caminhos BGP correspondem exatamente ao prefixo especificado ou à cadeia da comunidade. Por predefinição, esta opção está ativada. Tipo de ação (Action Type) Escolha a ação a realizar quando os caminhos BGP corresponderem ao prefixo especificado ou à cadeia da comunidade. Pode permitir ou recusar o tráfego. Ação definida (Action Set) Quando os caminhos BGP correspondem aos critérios especificados, pode definir para encaminhar o tráfego para uma rede com base nos atributos do caminho. Selecione uma das seguintes opções da lista pendente: - Nenhum (None): os atributos dos caminhos correspondentes permanecem os mesmos.
- Preferência local (Local Preference): o tráfego correspondente é encaminhado para o caminho com a preferência local especificada.
- Comunidade (Community): os caminhos correspondentes são filtrados pela cadeia de comunidade especificada. Também pode selecionar a caixa de verificação Aditivo de comunidade (Community Additive) para ativar a opção aditiva, que anexa o valor da comunidade às comunidades existentes.
- Métrica (Metric): o tráfego correspondente é encaminhado para o caminho com o valor métrico especificado.
- Preceder-AS-Path (AS-Path-Prepend): permite preceder várias entradas do sistema autónomo (AS) para um caminho BGP.
- Para adicionar mais regras correspondentes ao filtro, clique no ícone de mais (+).
- Clique em OK para criar o filtro.
Os filtros configurados são apresentados na janela Editor BGP (BGP Editor).
- Configure os Vizinhos de underlay para endereços IPv4 e IPv6, conforme necessário. Para obter mais informações, consulte Configurar o BGP a partir do Edge para vizinhos de underlay com a nova IU do Orchestrator.
Nota: O número máximo de regras de correspondência/definição do BGPv4 suportadas é 512 (256 entradas, 256 saídas). Não é permitido exceder o total de 512 regras de correspondência/definição e tal pode causar problemas de desempenho, o que resulta em interrupções na rede empresarial.
- Na secção Vizinhos de NSD (NSD Neighbors), configure as seguintes definições, conforme descrito na tabela abaixo.
Opção Descrição Nome de NSD (NSD Name) Selecione Nome de NSD (NSD Name) na lista pendente. Os NSDs configurados anteriormente na área Ramo a Destino Não-SD-WAN via Edge (Branch to Non SD-WAN Destination via Edge) do SASE Orchestrator são apresentados na lista pendente. Nome da ligação (Link Name) Escolha o nome da ligação WAN associada ao vizinho NSD. Tipo de túnel (Tunnel Type) Escolha o tipo de túnel do Par como Principal ou Secundário. IP de vizinho (Neighbor IP) Introduza o endereço IP do vizinho NSD. ASN Introduza o ASN do vizinho de NSD. Filtro de entrada (Inbound Filter) Selecione um filtro de entrada na lista pendente. Filtro de saída (Outbound Filter) Selecione um filtro de saída na lista pendente. Opções adicionais (Additional Options) – Clique no link ver todos (view all) para configurar as seguintes definições adicionais: Transmitir (Uplink) Utilizado para sinalizar o tipo de vizinho para transmissão. Selecione esta opção de sinalização se for utilizada como overlay WAN no sentido de MPLS. Será utilizado como a sinalização para determinar se o site se tornará num site de trânsito (por exemplo, SD-WAN Hub) através da propagação de caminhos direcionados para o overlay SD-WAN para ligação WAN no sentido de MPLS. Se for necessário torná-lo num site de trânsito, selecione a caixa de verificação Prefixo de overlay sobre transmissão (Overlay Prefix Over Uplink) nas Definições avançadas (Advanced Settings). IP local (Local IP) O IP local é obrigatório para configurar Vizinhos não SD-WAN.
O endereço IP local é o equivalente a um endereço IP de retorno. Introduza um endereço IP que os vizinhos BGP possam utilizar como endereço IP de origem para os pacotes de saída.Max-hop Introduza o número de hops máximo para permitir multi-hop para os pares BGP. Para a versão 5.1 e posterior, o intervalo é de 2 a 255 e o valor predefinido é 2. Nota: Ao atualizar para a versão 5.1, qualquer valor max-hop de 1 será automaticamente atualizado para um valor max-hop de 2.Nota: Este campo está disponível apenas para vizinhos eBGP, quando o ASN local e o ASN vizinho são diferentes. Com o iBGP, quando os dois ASNs são iguais, o multi-hop é desativado por predefinição e este campo não é configurável.Permitir AS (Allow AS) Selecione a caixa de verificação para permitir que os caminhos BGP sejam recebidos e processados mesmo que o Edge detete o seu próprio ASN no AS-Path. Caminho predefinido (Default Route) O Caminho predefinido (Default Route) adiciona uma declaração de rede na configuração BGP para anunciar o caminho predefinido para o vizinho. Ativar BFD (Enable BFD) Permite a subscrição na sessão BFD existente para o vizinho BGP. Nota: As sessões BFD single-hop não são suportadas para o BGP através de IPsec com vizinhos de NSD. No entanto, o BFD multi-hop é suportado. O IP local obrigatório para sessões NSD-BGP no SD-WAN Edge. O SD-WAN Edge lida apenas com os IPs de interface ligada como um BFD de single-hop.Keep Alive Introduza o temporizador keep alive em segundos, que é a duração entre as mensagens keep alive que são enviadas para o par. O intervalo é de 0 a 65535 segundos. O valor predefinido é 60 segundos. Hold Timer Introduza o Hold Timer em segundos. Se a mensagem keep alive não for recebida durante o tempo especificado, o par será considerado inativo. O intervalo é de 0 a 65535 segundos. O valor predefinido é 180 segundos. Ligar (Connect) Introduza o intervalo de tempo para tentar uma nova ligação TCP com o par se detetar que a sessão TCP não é passiva. O valor predefinido é 120 segundos. Autenticação MD5 (MD5 Auth) Selecione a caixa de verificação para ativar a autenticação BGP MD5. Esta opção é utilizada numa rede de legado ou numa rede federal e é comum que o BGP MD5 seja utilizado como um guarda de segurança para os pares BGP. Palavra-passe MD5 (MD5 Password) Introduza uma palavra-passe para a autenticação MD5. Nota: A partir da versão 4.5, a utilização do caráter especial “<” na palavra-passe já não é suportada. Nos casos em que os utilizadores já tenham utilizado “<” nas palavras-passe em versões anteriores, têm de o remover para guardar quaisquer alterações na página.Nota: Durante o BGP multi-hop, o sistema pode programar caminhos que requerem uma procura recursiva. Estes caminhos têm um IP de próximo hop que não está numa sub-rede ligada e não têm uma interface de saída válida. Neste caso, os caminhos devem ter o IP de próximo hop resolvido utilizando outro caminho na tabela de routing que tenha uma interface de saída. Quando há tráfego para um destino que precisa que estes caminhos sejam analisados, os caminhos que requerem uma procura recursiva serão resolvidos para uma interface e endereço IP de próximo hop e ligados. Até que a resolução recursiva aconteça, os caminhos recursivos apontam para uma interface intermédia. Para obter mais informações sobre os caminhos BGP multi-hop, consulte a secção “Testes de diagnóstico remoto nos Edges” no Guia de resolução de problemas do VMware SD-WAN publicado em https://docs.vmware.com/pt/VMware-SD-WAN/index.html. - Clique em Avançadas (Advanced) para configurar as seguintes definições, conforme descrito na tabela abaixo.
Nota: As Definições Avançadas (Advanced Settings) são partilhadas nos vizinhos BGP de underlay e vizinhos de NSD-BGP.
Opção Descrição Prefixo de sobreposição (Overlay Prefix) Selecione a caixa de verificação para redistribuir os prefixos aprendidos com o overlay. Desativar Transferência AS-PATH (Turn off AS-PATH carry over) Por predefinição, esta opção deve ser deixada por selecionar. Selecione a caixa de verificação para desativar a transferência AS-PATH. Em certas topologias, a desativação da transferência AS-PATH influenciará o AS-PATH de saída para fazer com que os routers L3 prefiram um caminho para um Edge ou um hub. Aviso: Quando a transferência AS-PATH estiver desativada, ajuste a rede para evitar ciclos de routing.Caminhos ligados (Connected Routes) Selecione a caixa de verificação para redistribuir todas as sub-redes de interface ligadas. OSPF Selecione a caixa de verificação para ativar a redistribuição do OSPF no BGP. Definir métrica (Set Metric) Quando ativar o OSPF, introduza a métrica BGP para os caminhos OSPF redistribuídos. O valor predefinido é 20. Caminho predefinido (Default Route) Selecione a caixa de verificação para redistribuir o caminho predefinido apenas quando o Edge aprender os caminhos BGP através de overlay ou underlay.
Quando seleciona a opção Caminho predefinido (Route Default), a opção Anunciar (Advertise) está disponível como Condicional (Conditional).
Prefixos de overlay sobre transmissão (Overlay Prefixes over Uplink) Selecione a caixa de verificação para caminhos de propagação aprendidos a partir do overlay para o vizinho com flag de transmissão. Redes (Networks) Introduza o endereço de rede que o BGP irá anunciar aos pares. Clique no ícone mais (+) para adicionar mais endereços de rede. Quando ativa a opção Caminho predefinido (Default Route), os caminhos BGP são anunciados com base na seleção do caminho predefinido a nível global e por vizinho BGP, conforme apresentado no seguinte quadro:
Seleção de caminhos predefinidos Opções de anúncio Global Por vizinho BGP Sim Sim A configuração por vizinho BGP sobrepõe a configuração global e, portanto, o caminho predefinido é sempre anunciado ao par BGP. Sim Não O BGP redistribui o caminho predefinido para o seu vizinho apenas quando o Edge programa um caminho predefinido explícito através da rede de overlay ou underlay. Não Sim O caminho predefinido é sempre anunciado ao par BGP. Não Não O caminho predefinido não é anunciado ao par BGP. - Clique em OK para guardar os filtros configurados e os vizinhos de NSD.
A secção Definições BGP (BGP Settings) apresenta as definições de configuração.
Resumo de caminhos
A funcionalidade Resumo de caminhos (Route Summarization) está disponível na versão 5.2, para obter uma visão geral e caso de utilização dessa funcionalidade, consulte Resumo de caminhos. Para obter os detalhes de configuração, siga os passos abaixo.
- Clique em +Adicionar (+Add) na área Resumo de caminhos (Route Summarization) . Uma nova linha é adicionada à área Resumo de caminhos (Route Summarization). Consulte a imagem abaixo.
- Na coluna Sub-rede (Subnet), introduza o intervalo de rede que deseja resumir no formato A.B.C.D/M e a sub-rede IP.
- Na coluna Conjunto AS (AS Set), clique em Sim (Yes), se aplicável.
- Na coluna Apenas resumo (Summary Only), clique na caixa de verificação Sim (Yes) para permitir que apenas o caminho resumido seja enviado.
- Adicione caminhos adicionais, se necessário, clicando em +Adicionar (+Add). Para clonar ou eliminar um resumo de caminhos, utilize os botões apropriados, localizados junto a +Adicionar (+Add).
A secção Definições BGP (BGP Settings) apresenta as definições de configuração do BGP.
- Clique em Guardar alterações (Save Changes) quando concluído para guardar a configuração.
Também pode configurar o BGP no Edge para vizinhos underlay. Para obter mais informações, consulte Configurar o BGP a partir do Edge para vizinhos de underlay com a nova IU do Orchestrator.