Border Gateway Protocol (BGP)
Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016
In diesem Thema erhalten Sie Informationen zum Verständnis des Border Gateway Protocol (BGP), einschließlich Bereitstellungstopologien mit BGP-Unterstützung und BGP-Features sowie -Funktionen.
Hinweis
Zusätzlich zu diesem Thema ist die folgende Dokumentation zu BGP verfügbar.
Dieses Thema enthält folgende Abschnitte:
Durch die Konfiguration des Border Gateway Protocol (BGP) für ein RAS-Gateway (Remote Access Service) unter Windows Server 2016 erhalten Sie die Möglichkeit, die Weiterleitung von Netzwerkverkehr zwischen den VM-Netzwerken Ihrer Mandanten und Remotestandorten zu verwalten. Sie können BGP auch für Bereitstellungen von RAS-Gateways mit einem einzelnen Mandanten und als LAN-Router (Local Area Network) bei Bereitstellung des Remotezugriffs verwenden.
BGP verringert den Bedarf an manueller Routingkonfiguration auf Routern, da es ein dynamisches Routingprotokoll ist, das automatisch Routen zwischen Standorten lernt, die über die Standort-zu-Standort-VPN-Verbindungen verbunden sind.
Sie müssen den Remote Access Service (RAS) oder den Routing-Rollendienst der Remotezugriffs-Serverrolle auf einem Computer oder virtuellen Computer installieren, um BGP-Routing zu verwenden. Der verwendete Systemtyp hängt davon ab, ob Sie über eine mehrinstanzenfähige Bereitstellung verfügen:
Bei einer mehrinstanzenfähigen Bereitstellung wird empfohlen, das RAS-Gateway auf virtuellen Computern zu installieren. Die Verwendung mehrerer VMs sorgt für Hochverfügbarkeit. Das RAS-Gateway kann mehrere Verbindungen von mehreren Mandanten verarbeiten und setzt sich aus einem Hyper-V-Host und einer VM zusammen, die tatsächlich als Gateway konfiguriert ist. Dieses Gateway wird als mehrinstanzenfähiger BGP-Router für Exchange-Mandanten und CSP-Subnetzrouten (Cloud Service Provider) mit Site-to-Site-VPN-Verbindungen konfiguriert.
Für eine Edgegatewaybereitstellung mit einem einzelnen Mandanten oder eine LAN-Routerbereitstellung können Sie das RAS-Gateway auf einem physischen Computer oder einer VM installieren.
Wichtig
Beim Installieren eines RAS-Gateways müssen Sie angeben, ob BGP für jeden Mandanten aktiviert ist. Dies erfolgt über den Windows PowerShell-Befehl Enable-RemoteAccessRoutingDomain mit dem Wert All für den Parameter Type. Zum Installieren des Remotezugriffs als BGP-fähigen LAN-Router ohne Funktionen für mehrere Instanzen können Sie den Befehl Install-RemoteAccess -VpnType RoutingOnly verwenden.
Der folgende Beispielcode veranschaulicht, wie RAS im Mehrinstanzenmodus mit allen RAS-Funktionen (Point-to-Site-VPN, Site-to-Site-VPN und BGP-Routing) installiert und für zwei Mandanten, Contoso und Fabrikam, aktiviert wird.
$Contoso_RoutingDomain = "ContosoTenant"
$Fabrikam_RoutingDomain = "FabrikamTenant"
Install-RemoteAccess -MultiTenancy
Enable-RemoteAccessRoutingDomain -Name $Contoso_RoutingDomain -Type All -PassThru
Enable-RemoteAccessRoutingDomain -Name $Fabrikam_RoutingDomain -Type All -PassThru
Bereitstellungstopologien mit BGP-Unterstützung
Im Folgenden sind die unterstützten Bereitstellungstopologien aufgeführt, bei denen Unternehmensstandorte mit einem Cloud Service Provider (CSP)-Datencenter verbunden sind.
In allen Szenarien ist das CSP-Gateway ein RAS-Edgegateway unter Windows Server 2016. Das RAS-Gateway, das mehrere Verbindungen von mehreren Mandanten verarbeiten kann, setzt sich aus einem Hyper-V-Host und einer VM zusammen, die tatsächlich als Gateway konfiguriert ist. Dieses Edgegateway wird als mehrinstanzenfähiger BGP-Router für den Austausch von Unternehmens- und CSP-Subnetzrouten mit Standort-zu-Standort-VPN-Verbindungen konfiguriert.
Mandanten stellen eine Verbindung mit ihren Ressourcen im CSP-Datencenter mithilfe einer Standort-zu-Standort-(S2S)-VPN-Verbindung her. Darüber hinaus wird das BGP-Routingprotokoll für dynamischen Routinginformationsaustausch zwischen den Unternehmens- und den CSP-Gateways bereitgestellt.
Die folgenden Bereitstellungstopologien werden unterstützt.
RAS-Site-to-Site-VPN-Gateway mit BGP am Edge des Unternehmensstandorts
Drittanbietergateway mit BGP an der Unternehmensstandortedge
Die folgenden Abschnitte enthalten weitere Informationen über die einzelnen unterstützten BGP-Topologien.
RAS-Site-to-Site-VPN-Gateway mit BGP am Edge des Unternehmensstandorts
Diese Topologie stellt einen mit einem CSP verbundene Unternehmensstandort dar. Die Routingtopologie des Unternehmens enthält einen internen Router, ein RAS-Gateway unter Windows Server 2016, das für Site-to-Site-VPN-Verbindungen mit dem CSP konfiguriert ist, und ein Edgefirewallgerät. Das RAS-Gateway beendet die S2S-VPN- und BGP-Verbindungen.
Beide Standorte sind mittels externem Border Gateway Protocol (eBGP) verbunden, das Informationen zwischen BGP-fähigen Routern in separaten autonomen Systemen (AS) übertragen kann. Dazu müssen sowohl das Unternehmen als auch der CSP unterschiedliche autonome Systemnummern (ASN) besitzen. Dies ist ein Parameter, der integraler Bestandteil des BGP-Protokolls ist.
In diesem Szenario funktioniert BGP auf folgende Weise.
Das Edgegerät des Unternehmensstandorts erlernt mithilfe von BGP die virtualisierten Subnetzrouten (10.2.1.0/24), die in der Cloud gehostet werden. Dieses Gerät kündigt dem mehrinstanzenfähigen CSP-RAS-Gateway auch die lokalen Subnetzrouten (10.1.1.0/24) an.
Der Edgerouter des Kunden lernt lokale interne Routen über einen der folgenden Mechanismen:
Das Edgegerät führt BGP mit einem internen Router aus und lernt interne Routen (in diesem Beispiel 10.1.1.0/24). In der Zwischenzeit lernt der interne Router externe Routen (z. B. 10.2.1.0/24) vom Edgegerät, und der interne Router muss diese Routen an andere lokale Router über ein internes Gatewayprotokoll (IGP), wie z. B. OSPF (Open Shortest Path First) oder Routing Information-Protokoll (RIP), verteilen.
Das Edgegerät kann mit statischen Routen oder Schnittstellen zur Auswahl von Routen für die Ankündigung mithilfe von BGP konfiguriert werden. Das Edgegerät verteilt die externen Routen mit einem IGP auch an andere lokale Router.
Drittanbietergateway mit BGP an der Unternehmensstandortedge
Diese Topologie stellt einen Unternehmensstandort dar, der mit einem Edgerouter eines Drittanbieters eine Verbindung mit einem CSP herstellt. Der Edgerouter dient auch als Standort-zu-Standort-VPN-Gateway.
Der Unternehmensedgerouter lernt lokale interne Routen mit einem der folgenden Mechanismen:
Das Edgegerät führt BGP mit einem internen Router aus und lernt interne Routen (in diesem Fall 10.1.1.0/24)
Das Edgegerät implementiert ein internes Gatewayprotokoll (IGP) und ist direkt am internen Routing beteiligt.
Mehrere Unternehmensstandorte mit Verbindung mit dem CSP-Cloudrechenzentrum
Diese Topologie stellt mehrere Unternehmensstandorte dar, die mit einem Edgerouter eines Drittanbieters eine Verbindung mit einem CSP herstellen. Die Edgegeräte der Drittanbieter dienen als Standort-zu-Standort-VPN-Gateways und BGP-Router.
Die Edgerouter des Kunden lernen lokale interne Routen mit einem der folgenden Mechanismen:
Das Edgegerät führt BGP mit einem internen Router aus und lernt interne Routen (in diesem Fall 10.1.1.0/24)
Das Edgegerät implementiert ein internes Gatewayprotokoll (IGP) und ist direkt am internen Routing beteiligt.
Jeder Unternehmensstandort lernt die Routen vom anderen Standort über die direkte eBGP-Verbindung.
Jeder Unternehmensstandort lernt die gehosteten Netzwerkrouten direkt und über den anderen Unternehmensstandort, wählt jedoch die optimale Route auf Grundlage der Kosten der Route aus.
Wenn der BGP-Router an Unternehmensstandort 1 keine Verbindung mit dem BGP-Router an Unternehmensstandort 2 herstellen kann, da bei der Verbindung ein Fehler aufgetreten ist, beginnt der BGP-Router an Standort 1 dynamisch damit, die Routen zum Netzwerk an Unternehmensstandort 2 vom CSP-BGP-Router zu lernen. Der Datenverkehr wird dann nahtlos über den Windows Server-BGP-Router am CSP von Standort 1 zu Standort 2 umgeleitet.
Separate Endpunkte für BGP und VPN
Diese Topologie stellt ein Unternehmen dar, das zwei verschiedene Router als BGP- und Standort-zu-Standort-VPN-Endpunkte verwendet. Site-to-Site-VPN wird am RAS-Gateway unter Windows Server 2016 beendet, während BGP auf einem internen Router beendet wird. Auf der CSP-Seite der Verbindung beendet der CSP sowohl VPN- als auch BGP-Verbindungen mit dem RAS-Gateway. Bei dieser Konfiguration muss die interne Drittanbieter-Routerhardware die Umverteilung von IGP-Routen an BGP sowie von BGP-Routen an IGP unterstützen.
Der interne Router lernt Unternehmensrouten mit einem der folgenden Mechanismen:
BGP
Ein internes Gatewayprotokoll (IGP), wie z. B. OSPF oder RIP.
Statische Routenkonfiguration
Wenn am Unternehmensstandort ein IGP verwendet wird, muss der interne Router IGP-Routen an BGP und BGP-Routen an IGP-Routen umverteilen, um die Subnetzverbindung zwischen den virtuellen CSP-Netzwerken und den lokalen Unternehmenssubnetzen aufrechtzuerhalten.
Mit dieser Bereitstellung verfügt das Unternehmens-RAS-Gateway über eine Site-to-Site-VPN-Verbindung mit dem CSP-RAS-Gateway, die dem Unternehmens-RAS-Gateway die Routen für das CSP-Gateway bereitstellt. Der interne Unternehmensrouter lernt dann diese Route zum CSP-Gateway über iBGP in Verbindung mit dem Unternehmens-RAS-Gateway. Dadurch kann der interne Unternehmensrouter dann eine Peeringsitzung mit dem CSP-RAS-Gateway-BGP-Router herstellen.
Ab diesem Zeitpunkt tauschen der interne Unternehmensrouter und das CSP-RAS-Gateway Routinginformationen aus. Der Unternehmens-RAS-BGP-Router lernt CSP-Routen und Unternehmensrouten für die physische Weiterleitung von Paketen zwischen den Netzwerken.
BGP-Funktionen
Im Folgenden werden die Features des RAS-Gateway-BGP-Routers aufgeführt.
BGP-Routing als Rollendienst des Remotezugriffs. Sie können jetzt den Routingrollendienst der Remotezugriffsserverrolle ohne den RAS-Rollendienst (Remote Access Service) installieren, wenn Sie den Remotezugriff als BGP-LAN-Router verwenden möchten. Dadurch wird der Speicherbedarf des BGP-Routers verringert, und es werden nur die für das dynamische BGP-Routing erforderlichen Komponenten installiert. Der Routingrollendienst ist nützlich, wenn nur eine BGP-Router-VM erforderlich ist und Sie weder DirectAccess noch ein VPN benötigen. Darüber hinaus bietet die Verwendung des Remotezugriffs als LAN-Router mit BGP die Vorteile des dynamischen Routings von BGP in Ihrem internen Netzwerk.
BGP-Statistiken (Nachrichtenindikatoren, Routingindikatoren). Der BGP-Router unterstützt, falls erforderlich, die Anzeige von Nachrichten- und Routingstatistiken mit dem Windows PowerShell-Befehl Get-BgpStatistics.
Equal Cost Multi Path Routing (ECMP)-Unterstützung. Der BGP-Router unterstützt ECMP und kann über mehr als eine Route mit gleichen Kosten in BGP-Routingtabelle und -stapel verfügen. Die BGP-Routerauswahl der Route für die Übertragung von Datenpaketen ist bei aktiviertem ECMP zufällig.
HoldTime-Konfiguration. Der BGP-Router unterstützt die Konfiguration des HoldTimer-Werts entsprechend den Erfordernissen des Netzwerks. Dieser Zeitgeber kann dynamisch geändert werden, um Interoperabilität mit Geräten von Drittanbietern oder ein bestimmtes maximales Sitzungstimeout der BGP-Peeringsitzung zu gewährleisten.
Interne BGP- und externe BGP-Unterstützung. Der BGP-Router unterstützt iBGP- und eBGP-Peering. Um eines der beiden Protokolle zu konfigurieren, müssen Sie sicherstellen, dass die entsprechenden ASNs den lokalen und Remote-BGP-Routern zugewiesen sind. Alle vier BGP-Bereitstellungstopologien umfassen die Verwendung von eBGP-Peering, und die vierte Topologie verwendet zudem iBGP-Peering.
Interoperabilität mit Drittanbieterlösungen. Der BGP-Router basiert auf der neuesten BGP-Spezifikation in der Version 4 und wurde für die Interoperabilität mit den meisten wichtigen Drittanbieter-BGP-Routinggeräten getestet. Weitere Informationen finden Sie unter RFC 4271 (Request for Comments), A Border Gateway Protocol 4 (BGP-4).
Unterstützung von IPv4- und IPv6-Transportpeering. Der BGP-Router unterstützt IPv4- und IPv6-Peering. Sie müssen jedoch den BGP-Bezeichner als IPv4-Adresse des BGP-Routers konfigurieren. Für alle BGP-Routerbereitstellungstopologien kann einer der beiden Peeringtypen (IPV4/IPv6) verwendet werden.
IPv4- und IPv6-Unicastrouten-Lern- und Ankündigungsfunktionen (Multiprotokoll-NRLI [Network Layer Reachability Information]). Unabhängig von der verwendeten Transportart kann der BGP-Router IPv4- und IPv6-Routen austauschen, wenn die entsprechende Funktion beim Einrichten der Sitzung durch andere BGP-Router angekündigt wird. Zum Konfigurieren von IPv6-Routing, muss der Parameter IPv6Routing aktiviert sein, und eine lokale, globale IPv6-Adresse muss auf Routerebene konfiguriert sein.
Peering im gemischten Modus und im passiven Modus. Sie können BGP-Peeringsitzungen im gemischten Modus konfigurieren, in dem der BGP-Router als Initiator und Responder fungiert, oder im passiven Modus, bei dem der BGP-Router kein Peering initiiert, jedoch auf eingehende Anforderungen antwortet. Der gemischte Modus ist die Standardeinstellung und wird für BGP-Peering empfohlen. Dies gilt, wenn Sie den passiven Modus nicht zum Debuggen und zur Diagnose verwenden möchten. Für alle BGP-Routerbereitstellungstopologien ist Peering im gemischten Modus erforderlich, um automatische Neustarts bei Fehlerereignissen zu aktivieren.
Routenattribut-Umschreibefunktion. Sie können die folgenden Attribute von den BGP-Routereingangs und -Ausgangsroutenankündigungen mithilfe der BGP-Routingrichtlinien Next-Hop, MED, Local-Pref und Community hinzufügen, ändern oder entfernen.
Routenfilterung. Der BGP-Router unterstützt Filterung von Eingangs und -Ausgangsroutenankündigungen basierend auf mehreren Routenattributen wie Präfix, ASN-Bereich, Community und Next-Hop.
Route-Reflector (RR) und RR-Client. Der BGP-Router kann als Route-Reflector und RR-Client fungieren. Dies ist in komplexen Topologien nützlich, in denen RR das Netzwerk durch die Bildung von RR-Clustern vereinfachen kann.
Route-Refresh-Unterstützung. Der BGP-Router unterstützt Route-Refresh und kündigt dies standardmäßig beim Peering an. RR kann neue Routenupdates senden, wenn sie von einem Peer per Routenaktualisierungsnachricht angefordert werden, und eine Routenaktualisierung, um die Routingtabelle zu aktualisieren, wenn etwa die Routingrichtlinien für einen Peer geändert werden. Dies ermöglicht Änderungen oder Aktualisierungen der BGP-Routingrichtlinien in Windows Server 2016, ohne das Peering neu zu starten.
Unterstützung für die Konfiguration von statischen Routen. Sie können statische Routen oder Schnittstellen auf dem BGP-Router mit dem Windows PowerShell-Befehl Add-BgpCustomRoute konfigurieren. Die statischen Routen, die Sie konfigurieren, können die Präfixe oder Schnittstellennamen sein, von denen die Routen ausgewählt werden müssen. Allerdings werden nur die Routen mit auflösbaren Next-Hops in die BGP-Routingtabellen einbezogen und den Peers angekündigt.
Transitroutingunterstützung. Der BGP-Router unterstützt das Transitrouting für iBGP-zu-iBGP-Verbindungen, iBGP-zu-eBGP-Verbindungen sowie eBGP-zu-eBGP-Verbindungen.
Route Flap Dampening. BGP-Routing in Windows Server 2016 unterstützt Route Flap Dampening. Wenn eine Route z. B. ständig angekündigt und zurückgezogen und dadurch die Routingtabelle instabil wird, können Sie den BGP-Router so konfigurieren, dass er der Route eine Dämpfungsgewichtung zuweist und sie auf Flaps überwacht. Anschließend findet entsprechend nach Bedarf eine Unterdrückung oder die Rücknahme der Unterdrückung statt. Dadurch kann einfacher und mit geringerer Verarbeitung durch den BGP-Router eine stabile Routingtabelle aufrechterhalten werden.
Routenaggregation. Die Routenaggregation zum BGP-Router bietet die Möglichkeit, Aggregatrouten zu konfigurieren und die feiner abgestuften Routenankündigungen durch zusammengefasste oder aggregierte Routen zu Peers zu ersetzen. Dies führt zu einer geringeren Anzahl von Routenankündigungsnachrichten, die im Netzwerk übertragen werden.
Hinweis
Im System Center wird das RAS-Gateway als Windows Server-Gateway bezeichnet.