您可以透過 IPSec 通道,為 SD-WAN 閘道 進行 BGP 設定。
關於此工作:
VMware 可讓企業使用者定義和設定非 SD-WAN 目的地執行個體,以便透過 SD-WAN 閘道建立指向非 SD-WAN 目的地的安全 IPSec 通道。
確保您已設定下列項目:
- 為下列其中一個站台建立透過閘道的 非 SD-WAN 目的地:
- 設定 AWS VPN 閘道類型的非 SD-WAN 目的地
- 設定 Check Point 類型的非 SD-WAN 目的地
- 設定 Cisco ASA 類型的非 SD-WAN 目的地
- 設定 Cisco ISR 類型的非 SD-WAN 目的地
- 設定一般 IKEv2 路由器 (路由型 VPN) 類型的非 SD-WAN 目的地
- 設定 Microsoft Azure 虛擬中樞類型的非 SD-WAN 目的地
- 設定 Palo Alto 類型的非 SD-WAN 目的地
- 設定 SonicWALL 類型的非 SD-WAN 目的地
- 設定 Zscaler 類型的非 SD-WAN 目的地
- 設定一般 IKEv1 路由器 (路由型 VPN) 類型的非 SD-WAN 目的地
- 設定一般防火牆 (原則型 VPN) 類型的非 SD-WAN 目的地
- 將 非 SD-WAN 目的地 與設定檔建立關聯。請參閱設定分支與透過閘道的非 SD-WAN 目的地之間的通道。
如需分散式成本計算 (Distributed Cost Calculation) 的詳細資訊,請參閱《VMware SD-WAN 操作員指南》中的〈設定分散式成本計算〉一節,網址為:https://docs.vmware.com/tw/VMware-SD-WAN/index.html。
- 移至設定 (Configure) > 網路服務 (Network Services),然後在 [非 SD-WAN 目的地 (Non SD-WAN Destinations)] 下,展開 [透過閘道的非 SD-WAN 目的地 (Non SD-WAN Destinations via Gateway)]。
備註: 僅當資料表中沒有項目時,才會顯示 [新增透過閘道的 NSD (New NSD via Gateway)] 選項。按照步驟 2 和 3,來建立新的非 SD-WAN 目的地。
- 按一下 +新建 (+New),以建立新的非 SD-WAN 目的地。
此時會顯示透過閘道的非 SD-WAN 目的地 (Non SD-WAN Destinations via Gateway) 對話方塊,如下圖中所示。
- 在透過閘道的非 SD-WAN 目的地 (Non SD-WAN Destinations via Gateway) 區域 (請參閱上圖) 中,設定以下欄位,如下表中所述。
選項 說明 名稱 (Name) 在文字方塊中輸入非 SD-WAN 目的地的名稱。 類型 (Type) 從下拉式功能表中選取 IPSec 通道類型。 通道模式 (Tunnel Mode) 作用中/熱待命 (Active/Hot-Standby) 模式支援最多設定 2 個通道端點或閘道。 作用中/作用中 (Active/Active) 模式支援最多設定 4 個通道端點或閘道。所有作用中通道都可以透過 ECMP 傳送和接收流量。 VPN 閘道 1 輸入有效的 IP 位址 VPN 閘道 2 輸入有效的 IP 位址。這是選用欄位 此時會建立「透過閘道的非 SD-WAN 目的地」,如下圖中所示。
- 在透過閘道的非 SD-WAN 目的地 (Non SD-WAN Destinations via Gateway) 區域中,將灰色列滑動到最右側的 [BGP] 資料行。
按一下 [BGP] 資料行下的編輯 (Edit) 連結。
如果 [BGP] 資料行下未顯示編輯 (Edit) 連結,請參閱標題為〈設定分支和透過 Edge 的非 SD-WAN 目的地之間的通道〉一節,以啟用 Edge 到透過閘道的非 SD-WAN。
按一下 BGP 資料行下的編輯 (Edit) 連結後,會顯示編輯 BGP (Edit BGP) 對話方塊。
- 將已啟用 BGP (BGP Activated) 選項按鈕切換到右側,使其變為綠色。
- 按一下 +新增 (+Add),以建立一或多個篩選器。這些篩選器將套用至芳鄰,以拒絕或變更路由的屬性。相同的篩選器可用於多個芳鄰。
- 按照下表中所述,在篩選器清單 (Filter List) 區域中,設定以下選項。
選項 說明 篩選器名稱 (Filter Name) 輸入 BGP 篩選器的描述性名稱。 比對類型和值 (Match Type and Value) 選擇要與篩選器比對的路由類型:
- IPv4 或 IPv6 的首碼 (Prefix for IPv4 or IPv6):選擇以 IPv4 或 IPv6 位址的首碼比對,並在
值 (Value) 欄位中,輸入對應的 IP 位址首碼。
- 社群 (Community):選擇以使用社群比對,然後在值 (Value) 欄位中輸入社群字串。
完全相符 (Exact Match) 僅在 BGP 路由與指定的首碼或社群字串完全相符時,才會執行篩選動作。依預設會啟用此選項。 動作類型 (Action Type) 選擇當 BGP 路由與指定的首碼或社群字串相符時要執行的動作。您可以允許或拒絕流量。 動作集 (Action Set) 當 BGP 路由符合指定準則時,您可以設定根據路徑的屬性將流量路由至網路。從下拉式清單中選取下列其中一個選項: - 無 (None):相符路由的屬性保持不變。
- 本機喜好設定 (Local Preference):相符的流量會路由至具有指定本機喜好設定的路徑。
- 社群 (Community):相符的路由會根據指定的社群字串篩選。您也可以選取社群累加 (Community Additive) 核取方塊,以啟用累加選項,這會將社群值累加至現有的社群。
- 度量 (Metric):相符的流量會路由至具有指定度量值的路徑。
- AS-Path-Prepend:允許將自發系統 (AS) 的多個項目附加至 BGP 路由。
- 按一下加號 (+) 圖示,為篩選器新增更多相符規則。重複此程序,以建立更多篩選器。
所設定的篩選器會顯示在篩選器清單 (Filter List) 區域中。
備註: 這些 BGP 芳鄰只會指派給其各自的通道,以用來建立芳鄰關係和進行後續的控制交換,從而確保這些通訊只會經由指定的通道進行。 - 在 [BGP 編輯器 (BGP Editor)] 視窗中,進行主要和次要閘道的 BGP 設定。
備註: 僅在已針對對應的非 SD-WAN 目的地設定次要閘道時,[次要閘道 (Secondary Gateway)] 選項才可供使用。備註: 在客戶部署中,如果將「透過閘道的非 VMware SD-WAN 目的地 (NSD)」設定為使用備援通道,當主要和次要閘道所通告的首碼中,主要和次要 NSD 通道具有相同的 AS 路徑時,主要 NSD 通道將優先使用備援閘道路徑,而非主要閘道。當「透過閘道的主要 NSD」通道優先使用備援閘道路徑 (而非主要閘道) 時,只會對從 NSD 傳回至閘道的流量造成影響。
如果您不希望 BGP 路由器優先使用備援閘道,因應措施是設定 AS-PATH 附加,並針對備援閘道中通告的首碼,將度量篩選器設定為更高的 (3 或更多) 度量。這樣做可確保 NSD 的主要通道選擇主要閘道來傳回流量。
- 在主要雲端閘道 (Primary Cloud Gateway) 區段中,輸入本機 ASN 和路由器識別碼。
- 向下捲動到 [芳鄰 (Neighbors)] 區域,然後按一下 +新增 (+Add)。
- 按照下表中所述,在芳鄰 (Neighbors) 區域中進行以下設定。
選項 說明 本機 ASN (Local ASN) 輸入本機自發系統編號 (ASN) 路由器識別碼 (Router ID) 輸入 BGP 路由器識別碼 芳鄰 IP (Neighbor IP) 輸入 BGP 芳鄰的 IP 位址 ASN 輸入芳鄰的 ASN 輸入篩選器 (Inbound Filter) 從下拉式清單中選取輸入篩選器 輸出篩選器 (Outbound Filter) 從下拉式清單中選取輸出篩選器 其他選項 (Additional Options) - 按一下檢視全部 (view all) 連結,以進行下列其他設定: 本機 IP (Local IP) 本機 IP 位址等同於回送 IP 位址。輸入 BGP 芳鄰可用作傳出封包來源 IP 位址的 IP 位址。 躍點上限 (Max-hop) 輸入為 BGP 對等啟用多重躍點的躍點數目上限。對於 5.1 版和更新版本,範圍是 2 到 255,預設值為 2。 備註: 在升級到 5.1 版時,任何躍點上限值 1 將自動更新為躍點上限值 2。備註: 此欄位僅在本機 ASN 和鄰近 ASN 不同時才可供 eBGP 芳鄰使用。允許 AS (Allow AS) 選取此核取方塊,可允許接收和處理 BGP 路由,即使閘道在 AS-Path 中偵測到自己的 ASN 亦然。 預設路由 (Default Route) [預設路由 (Default Route)] 會在 BGP 組態中新增網路陳述式,以對芳鄰通告預設路由。 啟用 BFD (Enable BFD) 啟用對 BGP 芳鄰的現有 BFD 工作階段的訂閱。 保持運作 (Keep Alive) 輸入保持運作計時器 (以秒為單位),這是傳送至對等的保持運作訊息之間的持續時間。範圍從 1 到 65535 秒。預設值為 60 秒。 保存計時器 (Hold Timer) 輸入保存計時器 (以秒為單位)。在指定的時間未收到保持運作訊息時,系統會將對等視為關閉。範圍從 1 到 65535 秒。預設值為 180 秒。 連線 (Connect) 輸入在偵測到 TCP 工作階段並非被動時,嘗試與對等建立新 TCP 連線前的時間間隔。預設值為 120 秒。 MD5 驗證 (MD5 Auth) 選取此核取方塊,可啟用 BGP MD5 驗證。此選項用於舊版網路或聯邦網路中,作為 BGP 對等的安全防護。 MD5 密碼 (MD5 Password) 輸入 MD5 驗證的密碼。 備註: 從 4.5 版開始,不再支援在密碼中使用特殊字元「<」。如果使用者已在先前版本的密碼中使用「<」,必須將其移除,才能儲存頁面上的任何變更。所設定的芳鄰會顯示在芳鄰 (Neighbors) 區域中。
按一下儲存變更 (Save Changes) 按鈕,以儲存所有變更。
備註: 系統可以透過多重躍點 BGP 學習需要遞迴查詢的路由。這些路由的下一個躍點 IP 不在已連線的子網路中,且沒有有效的結束介面。在此情況下,路由必須使用具有結束介面之路由表中的另一個路由來解析下一個躍點 IP。當需要查詢這些路由的目的地存在流量時,需要遞迴查詢的路由會解析為已連線的下一個躍點 IP 位址和介面。在遞迴解析發生之前,遞迴路由會指向中繼介面。如需多重躍點 BGP 路由的詳細資訊,請參閱 https://docs.vmware.com/tw/VMware-SD-WAN/index.html 上所發佈的 《VMware SD-WAN 疑難排解指南》中的〈Edge 上的遠端診斷測試〉一節。路由摘要
路由摘要功能提供於 5.2 版本中,如需此功能的概觀和使用案例,請參閱路由摘要。如需組態詳細資料,請遵循以下步驟。
- 向下捲動至 路由摘要 (Route Summarization) 區域。
- 在路由摘要 (Route Summarization) 區域中,按一下 +新增 (+Add)。此時,路由摘要 (Route Summarization) 區域中會新增一個資料列。
按照下表所述,設定路由摘要。
選項 說明 篩選器名稱 (Filter Name) 輸入 BGP 篩選器的描述性名稱。 子網路 (Subnet) 輸入 IP 子網路。 AS 集合 (AS Set) 從摘要的路由中產生 AS 集合路徑資訊 (同時將摘要路由通告給對等)。在 AS 集合 (AS Set) 資料行之下,按一下是 (Yes) 核取方塊 (如果適用)。 僅限摘要 (Summary Only) 按一下是 (Yes) 核取方塊,以便僅允許傳送彙總的路由。 - 如有必要,請按一下 +新增 (+Add),以新增其他路由。若要複製或刪除路由摘要,請使用位於 +新增 (+Add) 旁的適當按鈕。
BGP 設定 (BGP Settings) 區段會顯示 BGP 組態設定。
- 完成後,按一下儲存變更 (Save Changes),以儲存組態。
- 僅執行 6.0 版或更新版本的閘道,才可以根據 VPN 類型選擇最多設定 4 條通道。此外,那些要作為非 SDWAN 閘道的通道可以在 AA 或 A-HS 模式下執行,以實現使用者的負載共用/承載喜好設定。
- 對於執行低於 6.0 版的閘道,所有作用中/作用中組態將被視為作用中/熱待命組態,其中通道 1 處於作用中狀態,通道 2 處於熱待命狀態。