Silver Peak SD-WAN BGP over IPsec 的配置

各个厂商在解决 BGP over IPsec 的时候都比较统一的使用了 Virtual Tunnel Interface (VTI) 的方案,即在物理接口上建立 IPsec 以后再在 VTI 接口上建立 BGP 连接进行路由交换。Silver Peak 同样也支持使用 VTI 的方法,使用这种方法我们可以实现 EC 和 EC 之间,EC 和 Cloud 之间,EC 和其他网络设备之间实现 BGP over IPsec:

  • EC 和 EC 之间实现 BGP over IPsec 以后我们就可以将不同的 Silver Peak SD-WAN fabric 互联
  • EC 和 Cloud 之间现实 BGP over IPsec 以后我们就可以和 Cloud 之间实现互联
  • EC 和其他网络设备之间实现 BGP over IPsec 以后我们就可以和 Non SD-WAN fabric 或者和其他厂商的 SD-WAN fabric 实现互联

我们将配置 EC 与 EC 之间, EC 与 Cisco 路由器之间的 BGP over IPsec,实验拓扑如下:

逻辑上看这种方案就是先在物理接口建立 IPsec 然后 VTI 通过 IPsec 隧道于对端的 VTI 建立 BGP

第一步先在 EC 上创建 Passthrough Tunnel (即第三方 IPsec)

Cisco IPsec 配置如下:

crypto isakmp policy 10
 encr aes
 authentication pre-share
 group 2
!
crypto isakmp key ciscocisco address 172.16.10.1    
!
crypto ipsec transform-set TS esp-aes esp-sha256-hmac 
 mode tunnel
!
crypto ipsec profile IPsec_Profile
 set transform-set TS 

第二步,创建 VTI 接口

Cisco VTI 配置如下:

interface Tunnel0
 ip address 192.168.200.2 255.255.255.252
 tunnel source 172.16.10.254
 tunnel mode ipsec ipv4
 tunnel destination 172.16.10.1
 tunnel protection ipsec profile IPsec_Profile

第三步,配置 BGP

在 Silver Peak 上配置 BGP 的时候 Inbound Route Map 一定不能为空,否则 BGP 会一直处于 idel 状态无法建立连接。在上图中的 ECV-Hot-1 我配置了一个 BGP_Out 的 Outbound Route Map,因为在接下来的实验里我会从 Router 宣告一个路由给 ECV-Hot-1,BGP_Out 允许 ECV-Hot-1 将该路由宣告给 ECV-Hot-2。BGP_In 和 BGP_Out 的配置如下:

Cisco BGP 配置如下:

interface Loopback0
ip address 8.8.8.8 255.255.255.255
!
router bgp 65003 bgp log-neighbor-changes redistribute connected neighbor 192.168.200.1 remote-as 65001

最后我们将 8.8.8.8 重分布到 BGP 里,分别查看 ECV-Hot-1 和 ECV-Hot-2 的路由表:

 

发表评论

电子邮件地址不会被公开。