非 SD-WAN BGP 芳鄰組態不適用於設定檔層級。您只能在 Edge 層級設定 NSD 芳鄰。

關於此工作:

BGP 可用來透過 IPSec 通道建立對非 SD-WAN 站台的 BGP 芳鄰關係。直接 IPSec 通道用於在 SD-WAN Edge 和非 SD-WAN 目的地 (NSD) 之間建立安全通訊。在先前的版本中,VMware 利用新增 NVS 靜態路由支援來自 SD-WAN Edge 的 NSD 通道。在 4.3 版中,此功能已延伸為針對路由型 VPN 的 NSD 端點支援透過 IPSec 的 BGP。

VMware SD-WAN 支援 4 位元組 ASN BGP。如需詳細資訊,請參閱設定 BGP

備註: 對於 4.3.0 版,來自 Edge 的 Azure vWAN 自動化功能與透過 IPSec 的 BGP 不相容。這是因為在自動化從 Edge 到 Azure vWAN 的連線時,僅支援靜態路由。

使用案例

使用案例 1:從 Edge 到 Azure VPN,透過 IPsec 的 BGP

每個 Azure VPN 閘道都會為分支 Edge 配置一組公用虛擬公用 IP (VIP),以形成 IPSec 通道。同樣地,Azure 也會配置一個內部私人子網路,並為每個 VIP 指派一個內部 IP。此內部通道 IP (對等通道 IP) 將用來建立與 Azure 閘道的 BGP 對等。

Azure 有一項限制,即 BGP 對等 IP (Edge 的本機通道 IP) 不應位於相同的已連線子網路或 169.x.x.x 子網路中,因此我們必須在 Edge 上支援多重躍點 BGP。在 BGP 術語中,本機通道 IP 會對應至 BGP 來源位址,對等通道 IP 則對應至芳鄰/對等位址。我們必須形成 BGP 連線的網格,每個 NSD 通道一個,使傳回自 NVS 的流量可進行負載平衡 (以流量為基礎) - Azure 閘道端的設計。在下方的實體 Edge 圖中,我們有兩個公用 WAN 連結,因此 Azure 閘道有四個通道。每個通道分別與一個由本機 tunnel_ip 和遠端對等 tunnel_ip 唯一識別的 BGP 連線相關聯。在虛擬 Edge 上,唯一的差異在於只有一個公用 WAN 連結,而 Azure 閘道最多有兩個通道和兩個 BGP 工作階段。

備註: 使用多個 WAN 連結將 SD-WAN Edge 連接至相同 Azure 端點時,最多可以設定兩個 NSD-BGP 芳鄰 (因為遠端僅具有兩個 public_ip 和兩個 NSD-BGP peer_ip)。這兩個 NSD-BGP 芳鄰可以設定在相同連結 (主要/次要通道) 上或不同連結上的通道。如果客戶嘗試設定多於兩個 NSD-BGP 芳鄰,並在多於一個通道上設定相同的 NSD-BGP peer_ip,則最後一個設定的 BGP nbr_ip 與 local_ip 會在 SD-WAN Edge 和可用範圍路由 (FRR) 上。

使用案例 2:從 Edge 到 AWS VPN/傳輸閘道,透過 IPsec 的 BGP

不同於 Azure,AWS VPN 閘道會為分支 Edge 的每個連結配置一組公用 IP。從 AWS 閘道配置給分支 Edge 的公用 IP 總組數,將等於將連線至 AWS VPN 閘道的 Edge 公用 WAN 連結數目。同樣地,對於每個通道都會配置一個 /30 內部/私人子網路,用於該通道上的 BGP 對等。您可以在 AWS 閘道組態中手動覆寫這些 IP,以確保其在不同可用性區域間的唯一性。

與 Azure 使用案例類似,Edge 將形成 BGP 連線的網格 - AWS 閘道的每個通道一個。這將使傳回自 AWS VPN 閘道的流量可進行負載平衡 - AWS 端的設計。在下方的實體 Edge 圖中,AWS 閘道針對每個 Edge WAN 連結配置了一組公用 IP 和一組通道 IP (/30)。共有四個通道 (但終止於 AWS 閘道上的不同公用 IP) 和四個 BGP 連線。

使用案例 3:Edge 同時連線至 AWS 和 Azure VPN 閘道 (混合雲)

一個分支 Edge 可同時連線至 Azure 閘道和 AWS 閘道以供備援之用,或是在某個雲端提供者中主控某些工作負載/應用程式,並且在不同的雲端提供者中主控其他工作負載/應用程式。無論是何種使用案例,Edge 都會為每個通道建立一個 BGP 工作階段,並且在 SD-WAN 與 IaaS 之間傳播路由。下圖是一個分支 Edge 同時連線至 Azure 和 AWS 雲端的範例。

使用案例 4:連線至 Azure/AWS 傳輸閘道的中樞叢集

中樞叢集成員可形成 Azure/AWS 傳輸閘道的 IPSec 通道,並以這些傳輸閘道作為第 3 層,以在不同的 VPC 之間路由流量。中樞上沒有原生透過 IPsec 的 BGP 功能,因此中樞必須使用原生 BGP 連線至 L3 路由器 (在此廣泛使用 Cisco CSR),而 L3 路由器會以不同的 VPC 形成透過 IPsec 的 BGP 通道網格。L3 路由器會作為不同 VPC 之間的傳輸端點。使用案例 1 (左下圖):使用中樞作為不同可用性區域 (AZ) 中不同 VPC 之間的傳輸節點,使不同的 VPC 之間可以進行通訊。使用案例 2 (右下圖):將叢集中的所有中樞直接連線至雲端傳輸閘道,並且可將雲端閘道用作 PE(L3) 路由器,以在叢集成員之間進行路由分配。在這兩個使用案例中,在中樞上都不支援透過 IPsec 的 BGP,因此中樞會使用原生 BGP 連線至 L3 路由器 (例如 CSR),而 CSR 會使用透過 IPsec 的 BGP 與傳輸/VPC 閘道對等。

使用案例 5:在不具原生支援的雲端提供者中支援傳輸功能

某些雲端提供者 (例如 Google Cloud 和 AliCloud) 並沒有傳輸功能的原生支援 (無傳輸閘道),但支援透過 IPsec 的 BGP,因此可依賴在雲端中部署的 SD-WAN Edge/中樞,實現不同 VPC/VNET 之間的傳輸功能。在沒有透過 IPsec 的 BGP 支援情況下,您必須使用 CSR 之類的 L3 路由器 (解決方案 (2)) 來實現傳輸功能。

備註: 在 4.3 版之前,對於可透過來自閘道的 NVS 和來自 Edge 的 NVS 連線相同 NVS 靜態目的地的客戶,來自其他分支 SD-WAN Edge 的流量將優先於透過 NVS 閘道的路徑。當客戶將其網路升級至 4.3 版或更新版本,來自其他分支 SD-WAN Edge 的此流量路徑將優先於透過 NVS-Edge 的路徑。因此,客戶必須根據其流量路徑喜好設定更新 NSD-Edge 和 NSD-閘道的 NVS 靜態目的地度量。

必要條件:

程序

若要啟用非 SD-WAN 芳鄰的 BGP:

  1. 在企業入口網站中,按一下設定 (Configure) > Edge,並選取 SD-WAN Edge。
  2. 按一下裝置 (Device) 索引標籤。
  3. 裝置 (Device) 索引標籤中,向下捲動至 BGP 設定 (BGP Settings) 區段,然後選取啟用 Edge 覆寫 (Enable Edge Override) 核取方塊。
  4. 按一下滑桿,移至開啟 (ON) 位置,然後按一下編輯 (Edit) 按鈕。

  5. BGP 編輯器 (BGP Editor) 視窗中,設定下列設定:
    1. 輸入本機自發系統編號 (ASN),然後在 BGP 設定 (BGP Settings) 區段中,進行下列設定。
      選項 說明
      路由器識別碼 (Router ID) 輸入全域 BGP 路由器識別碼。如果未指定任何值,則會自動指派識別碼。如果您已為 Edge 設定了回送介面,則回送介面的 IP 位址將會指派為路由器識別碼。
      保持運作 (Keep Alive) 輸入保持運作計時器 (以秒為單位),這是傳送至對等的保持運作訊息之間的持續時間。範圍從 0 到 65535 秒。預設值為 60 秒。
      保存計時器 (Hold Timer) 輸入保存計時器 (以秒為單位)。在指定的時間未收到保持運作訊息時,系統會將對等視為關閉。範圍從 0 到 65535 秒。預設值為 180 秒。
      上行社群 (Uplink Community)

      輸入要視為上行路由的社群字串。

      上行是指連線至提供者 Edge (PE) 的連結。通往 Edge、與指定社群值相符的輸入路由將被視為上行路由。中樞/Edge 不會被視為這些路由的擁有者。

      以範圍介於 1 到 4294967295 的數字格式或以 AA:NN 格式輸入值。

    2. 按一下新增篩選器 (Add Filter) 按鈕,以建立一或多個篩選器。篩選器將套用至芳鄰,以拒絕或變更路由的屬性。相同的篩選器可用於多個芳鄰,包括底層芳鄰和 NSD 芳鄰。
    3. 建立 BGP 篩選器 (Create BGP Filter) 區域中,設定篩選器的規則。

      選項 說明
      篩選器名稱 (Filter Name) 輸入 BGP 篩選器的描述性名稱。
      比對類型和值 (Match Type and Value) 選擇要與篩選器比對的路由類型:
      • IPv4 或 IPv6 的首碼 (Prefix for IPv4 or IPv6):選擇以 IPv4 或 IPv6 位址的首碼比對,然後在值 (Value) 欄位中輸入首碼 IP 位址。
      • 社群 (Community):選擇以使用社群比對,然後在值 (Value) 欄位中輸入社群字串。
      完全相符 (Exact Match) 僅在 BGP 路由與指定的首碼或社群字串完全相符時,才會執行篩選動作。依預設會啟用此選項。
      動作類型 (Action Type) 選擇當 BGP 路由與指定的首碼或社群字串相符時要執行的動作。您可以允許或拒絕流量。
      設定 (Set) 當 BGP 路由符合指定準則時,您可以設定根據路徑的屬性將流量路由至網路。從下拉式清單中選取下列其中一個選項:
      • 無 (None):相符路由的屬性保持不變。
      • 本機喜好設定 (Local Preference):相符的流量會路由至具有指定本機喜好設定的路徑。
      • 社群 (Community):相符的路由會根據指定的社群字串篩選。您也可以選取社群累加 (Community Additive) 核取方塊,以啟用累加選項,這會將社群值累加至現有的社群。
      • 度量 (Metric):相符的流量會路由至具有指定度量值的路徑。
      • AS-Path-Prepend:允許將自發系統 (AS) 的多個項目附加至 BGP 路由。

      若要將更多相符規則新增至篩選器,請按一下加號 (+) 圖示。

      按一下確定 (OK) 以建立篩選器。

      設定的篩選器會顯示在 BGP 編輯器 (BGP Editor) 視窗中。

  6. 視需要為 IPv4 和 IPv6 位址設定底層芳鄰。如需詳細資訊,請參閱設定從 Edge 到底層芳鄰的 BGP
  7. 設定 NSD 芳鄰,如下所示:
    備註: 4.3 及更新版本支援非 SD-WAN (NSD) 芳鄰。底層芳鄰和 NSD 芳鄰將共用所有的全域設定,且篩選器清單也適用於這兩種類型的芳鄰。在設定 NSD 芳鄰之前,請確定您已設定好 必要條件

    1. NSD 芳鄰 (NSD Neighbors) 區段中,進行以下設定:
      選項 說明
      NSD 名稱 (NSD Name) 從下拉式清單中選取 [NSD 名稱 (NSD Name)]。已經設定在 SD-WAN Orchestrator分支到透過 Edge 的非 SD-WAN 目的地 (Branch to Non SD-WAN Destination via Edge) 區域中的 NSD 會顯示在下拉式清單中。
      連結名稱 (Link Name) 選擇與 NSD 芳鄰相關聯的 WAN 連結名稱。
      通道類型 (Tunnel Type) 選擇對等的通道類型:[主要 (Primary)] 或 [次要 (Secondary)]。
      芳鄰 IP (Neighbor IP) 輸入 NSD 芳鄰的 IP 位址。
      ASN 輸入 NSD 芳鄰的 ASN。
      輸入篩選器 (Inbound Filter) 從下拉式清單中選取輸入篩選器。
      輸出篩選器 (Outbound Filter) 從下拉式清單中選取輸出篩選器。
      其他選項 (Additional Options) - 按一下檢視全部 (view all) 連結,以設定下列其他設定:
      上行 (Uplink) 用以將芳鄰類型標示為「上行」。如果將上行用作對 MPLS 的 WAN 覆疊,請選取此旗標選項。它將用作旗標,而藉由將從 SD-WAN 覆疊學習的路由傳播至通往 MPLS 的 WAN 連結,以決定站台是否會成為傳送站台 (例如 SD-WAN 中樞)。如果您需要建立傳送站台,請在進階 (Advanced) 設定中,選取透過上行覆疊首碼 (Overlay Prefixes Over Uplink) 核取方塊。
      本機 IP (Local IP)

      設定非 SD-WAN 芳鄰時必須要有本機 IP。

      本機 IP 位址等同於回送 IP 位址。輸入 BGP 芳鄰可用作傳出封包來源 IP 位址的 IP 位址。
      躍點上限 (Max-hop) 輸入為 BGP 對等啟用多重躍點的躍點數目上限。範圍為 1 到 255,預設值為 1。
      備註: 此欄位僅在本機 ASN 和鄰近 ASN 不同時才可供 eBGP 芳鄰使用。有了 iBGP,如果這兩個 ASN 相同,則依預設會停用多重躍點,並且無法設定此欄位。
      允許 AS (Allow AS) 選取此核取方塊,可允許接收和處理 BGP 路由,即使 Edge 在 AS-Path 中偵測到其自己的 ASN 亦然。
      預設路由 (Default Route) [預設路由 (Default Route)] 會在 BGP 組態中新增網路陳述式,以對芳鄰通告預設路由。
      啟用 BFD (Enable BFD) 啟用對 BGP 芳鄰的現有 BFD 工作階段的訂閱。
      備註: 使用 NSD 芳鄰的透過 IPSec 的 BGP 不支援單一躍點 BFD 工作階段。但支援多重躍點 BFD。本機 IP 對 SD-WAN Edge 上的 NSD-BGP 工作階段是強制性的。SD-WAN Edge 僅會將連線的介面 IP 處理為單一躍點 BFD。
      保持運作 (Keep Alive) 輸入保持運作計時器 (以秒為單位),這是傳送至對等的保持運作訊息之間的持續時間。範圍從 0 到 65535 秒。預設值為 60 秒。
      保存計時器 (Hold Timer) 輸入保存計時器 (以秒為單位)。在指定的時間未收到保持運作訊息時,系統會將對等視為關閉。範圍從 0 到 65535 秒。預設值為 180 秒。
      連線 (Connect) 輸入在偵測到 TCP 工作階段並非被動時,嘗試與對等建立新 TCP 連線前的時間間隔。預設值為 120 秒。
      MD5 驗證 (MD5 Auth) 選取此核取方塊,可啟用 BGP MD5 驗證。此選項用於舊版網路或聯邦網路中,且通常會以 BGP MD5 作為 BGP 對等的安全防護。
      MD5 密碼 (MD5 Password) 輸入 MD5 驗證的密碼。
      備註: 系統可以透過多重躍點 BGP 學習需要遞迴查詢的路由。這些路由的下一個躍點 IP 不在已連線的子網路中,且沒有有效的結束介面。在此情況下,路由必須使用具有結束介面之路由表中的另一個路由來解析下一個躍點 IP。當需要查詢這些路由的目的地存在流量時,需要遞迴查詢的路由會解析為已連線的下一個躍點 IP 位址和介面。在遞迴解析發生之前,遞迴路由會指向中繼介面。如需詳細資訊,請參閱 多重躍點 BGP 路由
    2. 按一下進階 (Advanced),以進行下列設定。
      備註: 底層 BGP 芳鄰和 NSD BGP 芳鄰間會共用 [進階設定 (Advanced Settings)]。
      選項 說明
      覆疊首碼 (Overlay Prefix) 選取此核取方塊,可重新分配從覆疊學習的首碼。
      關閉 AS-Path 延續 (Turn off AS-PATH Carry Over) 依預設,此選項應保留為不勾選。選取此核取方塊,可關閉 AS-PATH 延續。在某些拓撲中,關閉 AS-PATH 延續將會影響到輸出 AS-PATH,而使 L3 路由器優先使用指向 Edge 或中樞的路徑。
      警告: 如果關閉 AS-PATH 延續,請調整您的網路以避免發生路由迴圈。
      連線的路由 (Connected Routes) 選取此核取方塊,可重新分配所有已連線的介面子網路。
      OSPF 選取此核取方塊,可啟用至 BGP 的 OSPF 重新分配。
      設定度量 (Set Metric) 啟用 OSPF 時,請輸入已重新分配 OSPF 路由的 BGP 度量。預設值為 20。
      預設路由 (Default Route)

      選取此核取方塊,以僅在 Edge 透過覆疊或底層學習 BGP 路由時,才重新分配預設路由。

      選取預設路由 (Default Route) 選項時,通告 (Advertise) 選項可用作條件式 (Conditional)

      透過上行覆疊首碼 (Overlay Prefixes over Uplink) 選取此核取方塊,以將從覆疊學習的路由傳播至具有上行旗標的芳鄰。
      網路 (Networks) 輸入 BGP 將通告給對等的網路位址。按一下加號 (+) 圖示以新增更多網路位址。
      啟用預設路由 (Default Route) 選項時,系統會根據全域的預設路由選取項目和每個 BGP 芳鄰通告 BGP 路由,如下表所示。
      預設路由選取項目 通告選項
      全域 每個 BGP 芳鄰
      每個 BGP 芳鄰的組態會覆寫全域組態,因此一律會向 BGP 對等通告預設路由。
      僅在 Edge 透過覆疊或底層網路學習明確的預設路由時,BGP 才會將預設路由重新分配至其芳鄰。
      一律向 BGP 對等通告預設路由。
      不會向 BGP 對等通告預設路由。
  8. 按一下確定 (OK),以儲存所設定的篩選器和 NSD 芳鄰。

    BGP 設定 (BGP Settings) 區段會顯示所設定的設定。

  9. 裝置 (Device) 畫面中,按一下儲存變更 (Save Changes),以儲存組態。