Protocolo de puerta de enlace de borde (BGP)

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016

Puede usar este tema para obtener una descripción del Protocolo de puerta de enlace de borde (BGP), incluidas las topologías de implementación admitidas por BGP y las características y capacidades de BGP.

Nota

Además de este tema, está disponible la siguiente documentación de BGP.

En este tema se incluyen las siguientes secciones.

Cuando se configura en una puerta de enlace de servicio de acceso remoto (RAS) de Windows Server 2016 en modo multiinquilino, el Protocolo de puerta de enlace de borde (BGP) le proporciona la capacidad de administrar el enrutamiento del tráfico de red entre las redes de máquina virtual de los inquilinos y sus sitios remotos. También puede usar BGP para implementaciones de puerta de enlace ras de inquilino único y, al implementar el acceso remoto como enrutador de red de área local (LAN).

BGP reduce la necesidad de configuración de enrutamiento manual en los enrutadores, ya que es un protocolo de enrutamiento dinámico y aprende automáticamente las rutas entre sitios que están conectados mediante conexiones VPN de sitio a sitio.

Para usar el enrutamiento BGP, debe instalar el servicio de acceso remoto (RAS) o el servicio de rol enrutamiento del rol de servidor de acceso remoto en un equipo o máquina virtual (VM): el tipo de sistema que use depende de si tiene o no una implementación multiinquilino:

  • Para una implementación multiinquilino, se recomienda instalar la puerta de enlace ras en una o varias máquinas virtuales. El uso de varias máquinas virtuales proporciona alta disponibilidad. La puerta de enlace ras es capaz de controlar varias conexiones desde varios inquilinos y consta de un host de Hyper-V y una máquina virtual que está configurada realmente como puerta de enlace. Esta puerta de enlace se configura con conexiones VPN de sitio a sitio como un enrutador BGP multiinquilino para intercambiar rutas de subred de inquilino y proveedor de servicios en la nube (CSP).

  • Para una implementación de puerta de enlace perimetral de un solo inquilino o una implementación de enrutador LAN, puede instalar la puerta de enlace ras en un equipo físico o en una máquina virtual.

Importante

Al instalar una puerta de enlace ras, debe especificar si BGP está habilitado para cada inquilino mediante el comando Enable-RemoteAccessRoutingDomain Windows PowerShell con el valor del parámetro Type de All. Para instalar el acceso remoto como un enrutador LAN habilitado para BGP sin funcionalidades multiinquilino, puede usar el comando Install-RemoteAccess -VpnType RoutingOnly.

En el código de ejemplo siguiente se muestra cómo instalar RAS en modo multiinquilino con todas las características de RAS (VPN de punto a sitio, VPN de sitio a sitio y enrutamiento BGP) habilitadas para dos inquilinos, Contoso y Fabrikam.

$Contoso_RoutingDomain = "ContosoTenant"
$Fabrikam_RoutingDomain = "FabrikamTenant"

Install-RemoteAccess -MultiTenancy

Enable-RemoteAccessRoutingDomain -Name $Contoso_RoutingDomain -Type All -PassThru
Enable-RemoteAccessRoutingDomain -Name $Fabrikam_RoutingDomain -Type All -PassThru

Topologías de implementación compatibles con BGP

A continuación se enumeran las topologías de implementación compatibles, en las que los sitios de empresa se conectan a un centro de datos del proveedor de servicios de nube (CSP).

En todos los escenarios, la puerta de enlace de CSP es una puerta de enlace ras Windows Server 2016 en el perímetro. La puerta de enlace ras, que es capaz de controlar varias conexiones desde varios inquilinos, consta de un host de Hyper-V y una máquina virtual que realmente está configurada como puerta de enlace. Esta puerta de enlace de perímetro se configura con conexiones VPN de sitio a sitio como un enrutador BGP multiinquilino para intercambiar rutas de subred CSP y de empresa.

Los inquilinos se conectan a sus recursos en el centro de datos de CSP mediante una conexión VPN sitio a sitio (S2S). Además, se implementa el protocolo de enrutamiento de BGP para el intercambio de información de enrutamiento dinámico entre las puertas de enlace de empresa y CSP.

Se admiten las siguientes topologías de implementación.

Las secciones siguientes contienen información adicional sobre cada topología BGP compatible.

Puerta de enlace de sitio a sitio de VPN de RAS con BGP en Enterprise perímetro del sitio

Esta topología muestra un sitio de empresa conectado a un CSP. La topología de enrutamiento de Enterprise incluye un enrutador interno, una puerta de enlace ras de Windows Server 2016 configurada para conexiones vpn de sitio a sitio con el CSP y un dispositivo de firewall perimetral. La puerta de enlace ras finaliza las conexiones VPN S2S y BGP.

RAS VPN Site-to-Site Gateway

Ambos sitios están conectados mediante el protocolo de puerta de enlace de perímetro externo (eBGP), que puede transmitir información entre enrutadores compatibles con BGP en sistemas independientes autónomos (AS). Esto requiere que la empresa y CSP dispongan de distintos números de sistema autónomos (ASN), que es un parámetro que está integrado en el protocolo BGP.

En este escenario, BGP funciona de la manera siguiente.

  • El dispositivo perimetral de sitio de empresa aprende las rutas de subred virtualizadas (10.2.1.0/24) hospedadas en la nube mediante el uso de BGP. Este dispositivo también anuncia las rutas de subred locales (10.1.1.0/24) a la puerta de enlace multiinquilino de RAS de CSP.

  • El enrutador perimetral de cliente aprende las rutas internas locales a través de uno de los siguientes mecanismos:

    • El dispositivo perimetral ejecuta BGP con un enrutador interno y aprende rutas internas (en este ejemplo, 10.1.1.0/24). Mientras tanto, el enrutador interno aprende rutas externas (por ejemplo, 10.2.1.0/24) del dispositivo perimetral y el enrutador interno debe distribuir estas rutas a otros enrutadores locales mediante un protocolo de puerta de enlace interior (IGP) como Abrir primero la ruta de acceso más corta (OSPF) o Protocolo de información de enrutamiento (RIP).

    • El dispositivo perimetral puede configurarse con rutas o interfaces estáticas para seleccionar rutas para anunciarlas mediante BGP. El dispositivo perimetral también distribuye las rutas de acceso externas a otros enrutadores locales mediante un IGP.

Puerta de enlace de terceros con BGP en el perímetro del sitio de empresa

Esta topología describe un sitio de empresa mediante un enrutador perimetral de terceros para conectarse a un CSP. El enrutador perimetral también actúa como una puerta de enlace VPN de sitio a sitio.

Third party Gateway with BGP at Enterprise site edge

El enrutador perimetral de empresa aprende las rutas internas locales a través de uno de los siguientes mecanismos:

  • El dispositivo perimetral ejecuta BGP con un enrutador interno y aprende rutas internas (en este caso, 10.1.1.0/24).

  • El dispositivo perimetral implementa un protocolo de puerta de enlace interior (IGP) y participa directamente en el enrutamiento interno.

Varios sitios de Enterprise que se conectan al centro de datos en la nube de CSP

Esta topología muestra varios sitios de empresa que usan las puertas de enlace de terceros para conectarse a un CSP. Los dispositivos perimetrales de terceros actúan como puertas de enlace VPN de sitio a sitio y como enrutadores BGP.

Multiple Enterprise sites connecting to CSP cloud datacenter

Los enrutadores perimetrales de cliente aprenden las rutas de acceso internas locales a través de uno de los siguientes mecanismos:

  • El dispositivo perimetral ejecuta BGP con un enrutador interno y aprende rutas internas (en este caso, 10.1.1.0/24).

  • El dispositivo perimetral implementa un protocolo de puerta de enlace interior (IGP) y participa directamente en el enrutamiento interno.

Cada sitio de empresa aprende las rutas del otro sitio sobre la conectividad eBGP directa.

Cada sitio de empresa aprende las rutas de red hospedadas directamente y mediante el uso del otro sitio de empresa, pero selecciona la mejor ruta según el costo de la ruta.

Si el enrutador BGP en Enterprise sitio 1 no se puede conectar con el enrutador BGP de sitio 2 Enterprise porque la conectividad no se ha podido realizar, el enrutador BGP del sitio 1 comienza dinámicamente a aprender las rutas a Enterprise red del sitio 2 del enrutador BGP de CSP y el tráfico se vuelve a enrutar sin problemas desde el sitio 1 al sitio 2 a través del enrutador BGP de servidor Windows en el CSP.

Puntos de terminación independientes para BGP y VPN

Esta topología muestra una empresa que usa dos enrutadores diferentes como extremos BGP y VPN de sitio a sitio. La VPN de sitio a sitio finaliza en la puerta de enlace ras de Windows Server 2016, mientras que BGP finaliza en un enrutador interno. En el lado CSP de las conexiones, el CSP finaliza las conexiones VPN y BGP con la puerta de enlace ras. Con esta configuración, el hardware del enrutador interno de terceros debe admitir la redistribución de rutas IGP a BGP, así como la redistribución de rutas BGP a IGP.

Separate termination points for BGP and VPN

El enrutador interno aprende las rutas de empresa a través de uno de los siguientes mecanismos:

  • BGP

  • Un protocolo de puerta de enlace interior (IGP) como OSPF o RIP.

  • Configuración de ruta estática

Cuando se usa cualquier IGP en el sitio de la empresa, el enrutador interno debe redistribuir rutas IGP a BGP (así como redistribuir las rutas BGP a rutas IGP) para mantener la conectividad de subred entre redes virtuales CSP y subredes locales de empresa.

Con esta implementación, la puerta de enlace ras de Enterprise tiene una conexión VPN de sitio a sitio con la puerta de enlace ras de CSP, que proporciona la puerta de enlace ras de Enterprise con las rutas a la puerta de enlace de CSP. A continuación, el enrutador interno Enterprise aprende esta ruta a la puerta de enlace de CSP mediante iBGP con la puerta de enlace ras de Enterprise. Por este motivo, el Enterprise enrutador interno puede establecer una sesión de emparejamiento con el enrutador BGP de puerta de enlace de RAS de CSP.

A partir de este punto, el Enterprise enrutador interno y la información de enrutamiento de intercambio de puerta de enlace ras de CSP. Y el enrutador BGP de RAS Enterprise aprende las rutas de CSP y Enterprise rutas a paquetes de enrutamiento físico entre las redes.

Características de BGP

A continuación se muestran las características del enrutador BGP de puerta de enlace ras.

Enrutamiento BGP como un servicio de rol de acceso remoto. Ahora puede instalar el servicio de rol de enrutamiento del rol de servidor de acceso remoto sin instalar el servicio de rol servicio de acceso remoto (RAS) cuando desee usar el acceso remoto como enrutador LAN de BGP. Esto reduce la superficie de memoria del enrutador BGP e instala solo los componentes necesarios para el enrutamiento BGP dinámico. El servicio de rol de enrutamiento es útil cuando solo se requiere una máquina virtual de enrutador BGP y no se requiere el uso de DirectAccess o VPN. Además, el uso del acceso remoto como enrutador LAN con BGP le proporciona las ventajas de enrutamiento dinámico de BGP en la red interna.

Estadísticas de BGP (contadores de mensajes, contadores de ruta). El enrutador BGP permite mostrar las estadísticas de mensajes y ruta si es necesario mediante el uso del comando de Windows PowerShell Get-BgpStatistics.

Compatibilidad con enrutamiento de varias rutas de costo igual. El enrutador BGP admite ECMP y puede tener más de una ruta de igual costo conectadas a la tabla y la pila de enrutamiento de BGP. La selección del enrutador BGP de la ruta para transmitir paquetes de datos es aleatoria con ECMP habilitado.

Configuración de HoldTime. El enrutador BGP es compatible con la configuración del valor HoldTimer según sus requisitos de red. Este temporizador se puede cambiar dinámicamente para dar cabida a la interoperabilidad con dispositivos de terceros o mantener un tiempo máximo específico para el tiempo de espera de sesión de emparejamiento BGP.

Compatibilidad con BGP interno y externo. El enrutador BGP es compatible con el emparejamiento BGP e iBGP. Para configurar ambos, debe asegurarse de que se hayan asignados los ASN adecuados a los enrutadores de BGP locales y remotos. Las cuatro topologías de implementación de BGP emplean el emparejamiento BGP, y la cuarta topología también usa el emparejamiento iBGP.

Interoperabilidad con soluciones de terceros. El enrutador BGP se basa en la última especificación de la versión 4 de BGP y se ha probado su interoperabilidad con la mayoría de los dispositivos de enrutamiento de BGP principales de terceros. Para obtener más información, consulte Solicitudes de comentarios (RFC) 4271, Protocolo de puerta de enlace perimetral 4 (BGP-4).

Compatibilidad de mismo nivel de transporte de IPv4 e IPv6. El enrutador BGP es compatible con el emparejamiento IPv4 e IPv6. Sin embargo, debe configurar el identificador BGP como la dirección IPv4 del enrutador BGP. Para todas las topologías de implementación de enrutador BGP, se puede usar cualquiera de los dos tipos de emparejamiento (IPV4/IPv6).

Aprendizaje de rutas de unidifusión IPv4 e IPv6 y capacidad de anuncio (información de disponibilidad de capa de red multiprotocolo [NLRI]). Independientemente del transporte que use, el enrutador BGP puede intercambiar rutas IPv4 e IPv6 si otros enrutadores BGP anuncian la capacidad adecuada al establecer la sesión. Para configurar el enrutamiento de IPv6, debe habilitarse el parámetro IPv6Routing y una dirección IPv6 global local a nivel del enrutador.

Emparejamiento de modo mixto y modo pasivo. Puede configurar sesiones de emparejamiento BGP en modo mixto , donde el enrutador BGP actúa como iniciador y respondedor - o modo pasivo, donde el enrutador BGP no inicia el emparejamiento, pero responde a las solicitudes entrantes. El modo mixto es el valor predeterminado y se recomienda para el emparejamiento BGP. Esto es así a menos que desee usar el modo pasivo para fines de depuración o de diagnóstico. Para todas las topologías de implementación de enrutador BGP, es necesario que el emparejamiento de modo mixto habilite reinicios automáticos en caso de que se produzcan eventos de error.

Capacidad de reescritura del atributo de ruta. Puede agregar, modificar o eliminar los siguientes atributos de los anuncios de ruta de entrada y salida de enrutador BGP mediante las directivas de enrutamiento BGP de próximo salto, MED, Local-Pref y Community.

Filtrado de rutas. El enrutador BGP admite el filtrado de anuncios de ruta de entrada o salida en función de varios atributos de ruta como Prefix, ASN-Range, Community y Próximo salto.

Cliente Route-Reflector (RR) y RR. El enrutador BGP puede actuar como un Route-Reflector y un cliente RR. Esto es útil en topologías complejas en las que RR puede simplificar la red mediante la formación de clústeres rr.

Compatibilidad con Route-Refresh. El enrutador BGP es compatible con Route-Refresh y anuncia esta capacidad en el emparejamiento de forma predeterminada. Es capaz de enviar un nuevo conjunto de actualizaciones de ruta cuando un elemento del mismo nivel lo solicite a través de un mensaje de actualización de ruta, así como enviar una Route-Refresh para actualizar su tabla de enrutamiento en los eventos como cambios de directiva de enrutamiento para un mismo nivel. Esto permite cambiar o actualizar las directivas de enrutamiento de BGP en Windows Server 2016 sin necesidad de reiniciar el emparejamiento.

Compatibilidad con la configuración de ruta estática. Puede configurar rutas estáticas o interfaces en el enrutador BGP mediante el comando de Windows PowerShell Add-BgpCustomRoute. Las rutas estáticas que configure pueden ser los prefijos o el nombre de las interfaces desde las que se deben elegir las rutas. Sin embargo, solamente se conectarán las rutas con próximos saltos que se puedan resolver en las tablas de enrutamiento de BGP y se anunciarán a los pares.

Compatibilidad con enrutamiento del tránsito. El enrutador BGP admite el enrutamiento de tránsito para conexiones iBGP a iBGP, iBGP a conexiones eBGP, así como eBGP a conexiones eBGP.

Amortiguación de flap de ruta. La amortiguación de flap de ruta al enrutamiento BGP en Windows Server 2016 proporciona compatibilidad con la amortiguación de flap de ruta. Por ejemplo, cuando una ruta se anuncia y retira constantemente, lo que hace que la tabla de enrutamiento sea inestable, puede configurar el enrutador BGP para asignar un peso de amortiguación a la ruta y supervisarlo para flaps y, en consecuencia, suprimirlo o anularlo según sea necesario. Esto ayuda a mantener una tabla de enrutamiento estable y menos procesamiento por el enrutador BGP.

Agregación de rutas. La agregación de rutas al enrutador BGP le proporciona la capacidad de configurar rutas agregadas y reemplazar los anuncios de ruta más granulares por rutas de resumen o agregado a pares. Esto da como resultado un menor número de mensajes de anuncio de ruta transmitidos en la red.

Nota

En System Center, la puerta de enlace ras se denomina Windows Puerta de enlace de servidor.