Protokol BGP (Border Gateway Protocol)

Toto téma vám pomůže pochopit protokol BGP (Border Gateway Protocol), včetně topologií nasazení podporovaných protokolem BGP a funkcí a možností protokolu BGP.

Poznámka:

Kromě tohoto tématu je k dispozici následující dokumentace protokolu BGP.

• Referenční informace k příkazům prostředí Windows PowerShell v protokolu BGP

Toto téma obsahuje následující části.

• Podporované topologie nasazení protokolu BGP

• Funkce protokolu BGP

Při konfiguraci brány vzdáleného přístupu (RAS) ve Windows Serveru 2016 v multitenantním režimu vám protokol BGP (Border Gateway Protocol) umožňuje spravovat směrování síťového provozu mezi sítěmi virtuálních počítačů vašich tenantů a jejich vzdálenými lokalitami. Protokol BGP můžete použít také pro nasazení brány RAS s jedním tenantem a při nasazování vzdáleného přístupu jako směrovače místní sítě (LAN).

Protokol BGP snižuje potřebu ruční konfigurace tras na směrovačích, protože se jedná o protokol dynamického směrování a automaticky zjišťuje trasy mezi lokalitami připojenými pomocí připojení VPN typu site-to-site.

Pokud chcete použít směrování protokolu BGP, musíte nainstalovat službu vzdáleného přístupu (RAS) nebo službu role Směrování role serveru vzdáleného přístupu na počítač nebo virtuální počítač – typ systému, který používáte, závisí na tom, jestli máte víceklientského nasazení:

• Pro nasazení s více tenanty se doporučuje nainstalovat bránu RAS na jeden nebo více virtuálních počítačů. Použití více virtuálních počítačů poskytuje vysokou dostupnost. Brána RAS dokáže zpracovat více připojení z více tenantů a skládá se z hostitele Hyper-V a virtuálního počítače, který je ve skutečnosti nakonfigurovaný jako brána. Tato brána je nakonfigurována jako víceklientský BGP směrovač s připojeními VPN typu site-to-site pro výměnu tras podsítě klienta a poskytovatele cloudových služeb (CSP).

• Pro nasazení jedné hraniční brány tenanta nebo nasazení směrovače LAN můžete bránu RAS nainstalovat na fyzický počítač nebo virtuální počítač.

Důležité

Při instalaci brány RAS musíte pomocí příkazu Enable-RemoteAccessRoutingDomain ve Windows PowerShellu a s hodnotou parametru TypeAll určit, zda je pro každého tenanta povolený protokol BGP. Pokud chcete nainstalovat vzdálený přístup jako směrovač lan s podporou protokolu BGP bez víceklientských schopností, můžete použít příkaz Install-RemoteAccess -VpnType RoutingOnly.

Následující ukázkový kód ukazuje, jak nainstalovat RAS v režimu Multitenancy se všemi funkcemi RAS (VPN typu point-to-site, vpn typu site-to-site a směrování BGP) povolenými pro dva tenanty, Contoso a Fabrikam.

$Contoso_RoutingDomain = "ContosoTenant"
$Fabrikam_RoutingDomain = "FabrikamTenant"

Install-RemoteAccess -MultiTenancy

Enable-RemoteAccessRoutingDomain -Name $Contoso_RoutingDomain -Type All -PassThru
Enable-RemoteAccessRoutingDomain -Name $Fabrikam_RoutingDomain -Type All -PassThru

Podporované topologie nasazení protokolu BGP

Níže jsou uvedené podporované topologie nasazení, kde jsou podnikové lokality připojené k datacentru CSP (Cloud Service Provider).

Ve všech scénářích je brána CSP branou systému Windows Server 2016 RAS na hranici sítě. Brána RAS, která dokáže zpracovat více připojení z více tenantů, se skládá z hostitele Hyper-V a virtuálního počítače, který je ve skutečnosti nakonfigurovaný jako brána. Tato hraniční brána je nakonfigurovaná s připojeními VPN typu site-to-site jako směrovač protokolu BGP s více tenanty pro výměnu tras podsítí Enterprise a CSP.

Tenanti se připojují ke svým prostředkům v datacentru CSP pomocí připojení VPN typu site-to-site (S2S). Kromě toho je protokol směrování BGP nasazen pro výměnu informací o dynamickém směrování mezi bránami Enterprise a CSP.

Podporují se následující topologie nasazení.

• RAS brána Site-to-Site s protokolem BGP na okraji podnikové lokality

• Brána třetí strany s protokolem BGP na okraji podnikové lokality

• Několik podnikových webů s bránami třetích stran

• Samostatné body ukončení pro protokol BGP a VPN

Následující části obsahují další informace o každé podporované topologii protokolu BGP.

Brána Site-to-Site RAS s protokolem BGP na okraji podnikové sítě

Tato topologie znázorňuje podnikovou lokalitu připojenou k zprostředkovateli CSP. Topologie podnikového směrování zahrnuje interní směrovač, bránu RAS na Windows Serveru 2016 nakonfigurovanou pro připojení VPN mezi jednotlivými lokalitami s CSP a hraniční firewall. Brána RAS ukončí připojení S2S VPN a BGP.

Obě lokality jsou připojené pomocí protokolu eBGP (External Border Gateway Protocol), který může přenášet informace mezi směrovači s podporou protokolu BGP v samostatných autonomních systémech (AS). To vyžaduje, aby enterprise i CSP měly jedinečná čísla autonomního systému (ASN), což je parametr, který je integrální s protokolem BGP.

V tomto scénáři funguje protokol BGP následujícím způsobem.

• Hraniční zařízení podnikového webu zjišťuje trasy virtualizované podsítě (10.2.1.0/24) hostované v cloudu pomocí protokolu BGP. Toto zařízení také oznamuje trasy místní podsítě (10.1.1.0/24) na bránu CSP RAS Multitenant.

• Hraniční směrovač zákazníka zjišťuje místní interní trasy prostřednictvím jednoho z následujících mechanismů:

  • Hraniční zařízení spouští protokol BGP s interním směrovačem a učí se interní trasy (v tomto příkladu 10.1.1.0/24). Mezitím se interní směrovač učí externí trasy (například 10.2.1.0/24) z hraničního zařízení a interní směrovač musí tyto trasy distribuovat do jiných místních směrovačů pomocí protokolu IGP (Interior Gateway Protocol), jako je Open Shortest Path First (OSPF) nebo PROTOKOL RIP (Routing Information Protocol).

  • Hraniční zařízení je možné nakonfigurovat pomocí statických tras nebo rozhraní pro výběr tras pro inzerování pomocí protokolu BGP. Okrajové zařízení také rozděluje externí směrovací trasy do ostatních místních směrovačů pomocí protokolu IGP.

Brána třetí strany s BGP na okraji podnikové sítě.

Tato topologie znázorňuje podnikovou lokalitu používající hraniční směrovač třetí strany pro připojení k poskytovateli CSP. Hraniční směrovač slouží také jako brána VPN mezi lokalitami.

Hraniční směrovač enterprise se učí místní interní trasy prostřednictvím jednoho z následujících mechanismů:

• Hraniční zařízení spouští protokol BGP s interním směrovačem a učí se interní trasy (v tomto případě 10.1.1.0/24)

• Hraniční zařízení implementuje protokol IGP (Interior Gateway Protocol) a účastní se přímo interního směrování.

Několik podnikových lokalit, které se připojují ke cloudovému datacentru CSP

Tato topologie znázorňuje několik podnikových lokalit, které používají brány třetích stran pro připojení k zprostředkovateli CSP. Hraniční zařízení třetích stran slouží jako brány VPN typu site-to-site a jako směrovače protokolu BGP.

Hraniční směrovače zákazníka se seznámí s místními interními trasami prostřednictvím jednoho z následujících mechanismů:

• Hraniční zařízení spouští protokol BGP s interním směrovačem a učí se interní trasy (v tomto případě 10.1.1.0/24)

• Hraniční zařízení implementuje protokol IGP (Interior Gateway Protocol) a účastní se přímo interního směrování.

Každá podniková lokalita zjišťuje trasy z druhé lokality přes přímé připojení eBGP.

Každá podniková lokalita se seznámí s hostovanými síťovými trasami přímo a pomocí jiné podnikové lokality, ale vybere nejlepší trasu na základě nákladů na trasu.

Pokud se směrovač protokolu BGP v podnikové lokalitě 1 nemůže připojit ke směrovači BGP podnikové lokality 2, protože připojení selhalo, směrovač BGP lokality 1 dynamicky začne učit trasy do sítě Enterprise Site 2 ze směrovače BGP poskytovatele CSP a přenosy se bezproblémově přesměrovává z lokality 1 na lokalitu 2 přes směrovač BGP systému Windows Server v poskytovateli CSP.

Samostatné body ukončení pro protokol BGP a VPN

Tato topologie znázorňuje podnik, který jako koncové body vpn typu site-to-site používá dva různé směrovače. Síť VPN typu Site-to-Site se ukončí na bráně RAS s Windows Serverem 2016, zatímco protokol BGP je ukončen na interním směrovači. Na straně CSP připojení ukončuje poskytovatel CSP připojení VPN i BGP s bránou RAS. Díky této konfiguraci musí interní hardware směrovače třetí strany podporovat redistribuci tras IGP do protokolu BGP a distribuovat trasy protokolu BGP do protokolu IGP.

Interní směrovač se učí podnikové trasy prostřednictvím jednoho z následujících mechanismů:

• BGP

• Protokol IGP (Interior Gateway Protocol), jako je OSPF nebo RIP.

• Konfigurace statické trasy

Pokud se v podnikové lokalitě použije jakýkoli protokol IGP, musí interní směrovač distribuovat trasy protokolu IGP do protokolu BGP a distribuovat trasy protokolu BGP do tras protokolu IGP, aby se zachovalo připojení podsítě mezi virtuálními sítěmi CSP a místními podsítěmi enterprise.

Při tomto nasazení má podniková brána RAS připojení VPN typu site-to-site s bránou CSP RAS, která poskytuje bráně podnikové ras trasy k bráně CSP. Interní směrovač organizace se pak naučí tuto trasu do brány CSP pomocí protokolu iBGP s podnikovou bránou RAS. Z tohoto důvodu je interní směrovač organizace schopný vytvořit relaci partnerského vztahu se směrovačem BGP brány CSP RAS.

Od tohoto okamžiku si interní směrovač podniku a brána RAS CSP vyměňují informace o směrování. Směrovač Enterprise RAS BGP se také učí trasy CSP a podnikové trasy, aby mohl fyzicky směrovat pakety mezi sítěmi.

Funkce protokolu BGP

Následují funkce směrovače protokolu BGP brány RAS.

Směrování protokolu BGP jako rolová služba pro vzdálený přístup Teď můžete nainstalovat službu role Směrování serveru vzdáleného přístupu bez instalace služby role Vzdáleného přístupu (RAS), pokud chcete použít vzdálený přístup jako BGP směrovač sítě LAN. Tím se sníží nároky na paměť směrovače BGP a nainstalují se jenom komponenty potřebné pro dynamické směrování protokolu BGP. Je užitečné používat službu role Směrování, pokud potřebujete pouze virtuální počítač směrovače protokolu BGP a nevyžadujete použití technologie DirectAccess nebo VPN. Kromě toho vám použití vzdáleného přístupu jako směrovače LAN s protokolem BGP poskytuje výhody dynamického směrování protokolu BGP ve vaší interní síti.

Statistika protokolu BGP (čítače zpráv, čítače tras). Směrovač protokolu BGP podporuje zobrazení statistik zpráv a tras v případě potřeby pomocí příkazu Get-BgpStatistics pro Windows PowerShell.

Podpora směrování ECMP (Equal Cost Multi Path Routing). Směrovač protokolu BGP podporuje ECMP a může mít více než jednu trasu se stejnými náklady, které jsou zapsány do směrovací tabulky a zásobníku protokolu BGP. Výběr směrovače protokolu BGP trasy pro přenos datových paketů je náhodný s povoleným ECMP.

Konfigurace HoldTime. Směrovač protokolu BGP podporuje konfiguraci hodnoty HoldTimer podle požadavků vaší sítě. Tento časovač lze dynamicky změnit tak, aby vyhovoval interoperabilitě se zařízeními třetích stran nebo aby zachoval konkrétní maximální dobu pro vypršení časového limitu relace partnerského vztahu protokolu BGP.

Podpora interního protokolu BGP a externího protokolu BGP Směrovač BGP podporuje peerování iBGP i eBGP. Pokud chcete jednu z těchto konfigurací nakonfigurovat, musíte zajistit, aby byly příslušné asN přiřazeny k místním a vzdáleným směrovačům protokolu BGP. Všechny čtyři topologie nasazení protokolu BGP využívají použití partnerského vztahu eBGP a čtvrtá topologie používá také partnerský vztah protokolu iBGP.

Interoperabilita s řešeními třetích stran Směrovač protokolu BGP je založený na nejnovější specifikaci protokolu BGP verze 4 a byl testován pro interoperabilitu s většinou hlavních směrovacích zařízení BGP třetích stran. Další informace najdete v tématu Žádosti o komentáře (RFC) 4271, A Border Gateway Protocol 4 (BGP-4).

Podpora partnerských vztahů přenosu IPv4 a IPv6 Směrovač protokolu BGP podporuje peerování IPv4 i IPv6. Identifikátor protokolu BGP však musíte nakonfigurovat jako adresu IPv4 směrovače protokolu BGP. Pro všechny topologie nasazení směrovače protokolu BGP je možné použít jeden ze dvou typů partnerského vztahu (IPV4 / IPv6).

IPv4 a IPv6 – schopnost učení a šíření jednosměrných tras (Multiprotocol Network Layer Reachability Information [NLRI]) Bez ohledu na to, jaký přenos používáte, může směrovač protokolu BGP vyměňovat trasy IPv4 a IPv6, pokud ostatní směrovače protokolu BGP oznamují při navazování relace příslušné možnosti. Pokud chcete nakonfigurovat směrování IPv6, musí být povolený parametr IPv6Routing a na úrovni směrovače musí být nakonfigurována adresa IPv6 (místní globální).

Smíšený režim a pasivní režim připojení. Relace sousedství BGP můžete nakonfigurovat ve smíšeném režimu, kde směrovač BGP funguje jako iniciátor i respondér, nebo v pasivním režimu, kdy směrovač BGP neinicializuje sousedství, ale reaguje na příchozí požadavky. Smíšený režim je výchozí a doporučuje se pro navázání spojení pomocí protokolu BGP. To platí, pokud nechcete pro účely ladění nebo diagnostiky používat pasivní režim. U všech topologií nasazení směrovačů BGP je vyžadován peering ve smíšeném režimu pro automatické restartování v případě selhání.

Možnost přepsání atributu trasy Pomocí zásad směrování protokolu BGP Next-Hop, MED, Local-Pref a Community můžete přidat, upravit nebo odebrat následující atributy z inzerátů příchozích a odchozích tras směrovače BGP.

Filtrování tras Směrovač protokolu BGP podporuje filtrování inzerování příchozích nebo výchozích tras na základě několika atributů, jako jsou předpona, rozsah ASN, komunita a následující skok.

Route-Reflector (RR) a RR klient. Směrovač protokolu BGP může fungovat jako Route-Reflector a klient RR. To je užitečné v komplexních topologiích, kde RR může zjednodušit síť vytvořením clusterů RR.

PodporaRoute-Refresh. Směrovač protokolu BGP podporuje Route-Refresh a ve výchozím nastavení tuto schopnost šíří při peeringu. Je schopný odeslat novou sadu aktualizací tras, když to vyžaduje komunikační partner prostřednictvím zprávy o obnovení trasy, a také odeslat Route-Refresh, aby aktualizoval svou tabulku směrování v událostech, jako jsou změny zásad směrování pro komunikačního partnera. To umožňuje scénář změny nebo aktualizace zásad směrování BGP ve Windows Serveru 2016, aniž by bylo nutné restartovat peering.

Podpora konfigurace statické trasy Statické trasy nebo rozhraní ve směrovači protokolu BGP můžete nakonfigurovat pomocí příkazu Add-BgpCustomRoute windows PowerShellu. Statické trasy, které nakonfigurujete, můžou být předpony nebo název rozhraní, ze kterých je nutné zvolit trasy. Do směrovacích tabulek protokolu BGP se ale zavádějí pouze trasy s dosažitelnými dalšími kroky a oznamují se ostatním uzlům.

Podpora směrování tranzitu Směrovač protokolu BGP podporuje směrování přenosu pro připojení iBGP do iBGP, iBGP do eBGP, stejně jako eBGP do eBGP.

Potlačení kmitání tras. Tlumení kolísání trasy pro směrování protokolu BGP ve Windows Serveru 2016 poskytuje podporu pro tlumení kolísání tras. Pokud je například trasa neustále ohlašována a stahována, což způsobuje nestabilitu směrovací tabulky, můžete nakonfigurovat BGP směrovač tak, aby přiřadil trase váhu utlumování a monitoroval ji pro flapy – a odpovídajícím způsobem ji potlačte nebo zrušte potlačení podle potřeby. To pomáhá udržovat stabilní směrovací tabulku a snižuje množství zpracování směrovačem BGP.

Agregace trasy Agregace směrování do směrovače BGP vám poskytuje možnost konfigurovat agregované trasy a nahradit podrobnější inzerování tras souhrnnými nebo agregovanými trasami pro partnery. Výsledkem je menší počet zpráv o inzerování tras přenášených v síti.

Poznámka:

V nástroji System Center má brána RAS název Brána systému Windows Server.