Протокол пограничного шлюза (BGP)
В этом разделе вы можете получить представление о протоколе BGP, в том числе о поддерживаемых им топологиях развертывания, а также его компонентах и возможностях.
Примечание.
Помимо этого раздела, доступна следующая документация по BGP.
Эта тема описана в следующих разделах.
При настройке шлюза службы удаленного доступа Windows Server 2016 (RAS) в мультитенантном режиме протокол BGP обеспечивает возможность управления маршрутизацией сетевого трафика между сетями виртуальных машин клиента и их удаленными сайтами. Вы также можете использовать BGP для развертываний шлюза RAS одного клиента и при развертывании удаленного доступа в качестве маршрутизатора локальной сети (LAN).
Протокол BGP снижает потребность в ручной настройке маршрутов в маршрутизаторах, так как является протоколом динамической маршрутизации и автоматически определяет маршруты между сайтами, связанными с помощью межсайтовых подключений VPN.
Чтобы использовать маршрутизацию BGP, необходимо установить службу удаленного доступа (RAS) и/или службу роли маршрутизации сервера удаленного доступа на компьютере или виртуальной машине (VM) — тип используемой системы зависит от наличия у вас мультитенантного развертывания.
Для мультитенантного развертывания рекомендуется установить шлюз RAS на одной или нескольких виртуальных машинах. Использование нескольких виртуальных машин обеспечивает высокий уровень доступности. Шлюз RAS может обрабатывать несколько подключений из нескольких клиентов и состоит из узла Hyper-V и виртуальной машины, которая фактически настроена в качестве шлюза. Этот шлюз настраивается с VPN-подключениями типа "сеть — сеть" в качестве мультитенантного маршрутизатора BGP для обмена маршрутами подсети клиента и поставщика облачных служб (CSP).
Для развертывания одного пограничного шлюза клиента или развертывания маршрутизатора локальной сети можно установить шлюз RAS на физическом компьютере или виртуальной машине.
Внимание
При установке шлюза RAS необходимо указать, включена ли BGP для каждого клиента, используя команду Enable-RemoteAccessRoutingDomain Windows PowerShell со значением параметра TypeAll. Чтобы установить удаленный доступ в качестве маршрутизатора локальной сети с поддержкой BGP без мультитенантных возможностей, можно использовать команду Install-RemoteAccess -VpnType RoutingOnly.
В следующем примере кода показано, как установить RAS в режиме мультитенантности со всеми функциями RAS (VPN типа "точка — сеть", VPN типа "сеть — сеть" и "маршрутизация BGP") для двух клиентов, Contoso и Fabrikam.
$Contoso_RoutingDomain = "ContosoTenant"
$Fabrikam_RoutingDomain = "FabrikamTenant"
Install-RemoteAccess -MultiTenancy
Enable-RemoteAccessRoutingDomain -Name $Contoso_RoutingDomain -Type All -PassThru
Enable-RemoteAccessRoutingDomain -Name $Fabrikam_RoutingDomain -Type All -PassThru
Топологии развертывания, поддерживаемые протоколом BGP
Ниже перечислены поддерживаемые топологии развертывания, в которых сайты предприятия подключены к центру обработки данных поставщика облачных услуг (CSP).
Во всех сценариях шлюз CSP — это шлюз RAS Windows Server 2016 на границе. Шлюз RAS, который способен обрабатывать несколько подключений из нескольких клиентов, состоит из узла Hyper-V и виртуальной машины, которая фактически настроена в качестве шлюза. Этот пограничный шлюз настраивается для межсайтовых подключений VPN как мультитенантный маршрутизатор BGP, служащий для обмена маршрутами между предприятием и подсетью CSP.
Клиенты подключаются к своим ресурсам в центре обработки данных CSP с помощью межсайтовых (S2S) подключений VPN. Кроме того, протокол маршрутизации BGP развертывается для динамического обмена информацией о маршрутизации между предприятием и шлюзами CSP.
Поддерживаются указанные ниже топологии развертывания.
В дальнейших подразделах приведены дополнительные сведения о каждой поддерживаемой топологии BGP.
VPN-шлюз «сеть-сеть» с BGP на крайний узел предприятия
В этой топологии представлен сайт предприятия, подключенный к CSP. Топология корпоративной маршрутизации включает внутренний маршрутизатор, шлюз RAS Windows Server 2016, настроенный для VPN-подключений типа "сеть — сеть" с помощью CSP и пограничного брандмауэра. Шлюз RAS завершает vpn-подключение S2S и BGP.
Оба сайта подключаются по протоколу eBGP, который позволяет передавать данные между маршрутизаторами с поддержкой BGP в отдельных автономных системах. Для этого необходимо, чтобы у предприятия и CSP были отдельные номера автономных систем (ASN), что является неотъемлемым параметром протокола BGP.
В этом сценарии протокол BGP работает описанным ниже образом.
Устройство на границе сети предприятия изучает маршруты виртуализованной подсети (10.2.1.0/24), размещенной в облаке, с помощью BGP. Это устройство также объявляет локальные маршруты подсети (10.1.1.0/24) в мультитенантный шлюз CSP RAS.
Пограничный маршрутизатор клиента изучает внутренние маршруты на месте с помощью одного из следующих механизмов.
Пограничное устройство использует протокол BGP с внутренним маршрутизатором и изучает внутренние маршруты (например, 10.1.1.0/24). Тем временем внутренний маршрутизатор узнает внешние маршруты (например, 10.2.1.0/24) от пограничного устройства и должен распространять эти маршруты другим локальным маршрутизаторам с помощью внутреннего протокола маршрутизации, такого как OSPF или RIP.
В пограничном устройстве можно настроить статические маршруты или интерфейсы для выбора маршрутов для объявления с помощью BGP. Граничное устройство также распределяет внешние маршруты другим локальным маршрутизаторам с помощью IGP.
Сторонний шлюз с BGP на периметре сети предприятия
В этой топологии представлен сайт предприятия, который использует сторонний пограничный маршрутизатор для подключения к CSP. Пограничный маршрутизатор также служит шлюзом для межсайтовых VPN-соединений.
Пограничный маршрутизатор корпоративной сети изучает внутренние маршруты на месте одним из перечисленных ниже методов.
Пограничное устройство использует протокол BGP с внутренним маршрутизатором и изучает внутренние маршруты (в этом случае 10.1.1.0/24).
Пограничное устройство реализует протокол внутреннего шлюза (IGP) и непосредственно участвует во внутренней маршрутизации.
Несколько корпоративных сайтов, подключающихся к облачному центру обработки данных CSP
В этой топологии представлено несколько сайтов предприятия, которые используют сторонние шлюзы для подключения к CSP. Сторонние пограничные устройства служат в качестве шлюзов для межсайтовых подключений VPN и маршрутизаторов BGP.
Пограничные маршрутизаторы клиента определяют внутренние локальные маршруты одним из указанных ниже способов.
Пограничное устройство использует протокол BGP с внутренним маршрутизатором и изучает внутренние маршруты (в данном случае 10.1.1.0/24).
Пограничное устройство реализует протокол IGP и непосредственно участвует во внутренней маршрутизации.
Каждый сайт предприятия узнает маршруты от другого сайта посредством прямого подключения eBGP.
Каждый сайт предприятия получает сведения о маршрутах в размещенной сети напрямую и от другого сайта предприятия, а затем выбирает оптимальный маршрут на основе его стоимости.
Если маршрутизатор BGP на корпоративном сайте 1 не может подключиться к маршрутизатору BGP корпоративного сайта 2 из-за сбоя подключения, маршрутизатор BGP site 1 динамически начинает изучать маршруты к сети Enterprise Site 2 из маршрутизатора BGP CSP, а трафик легко перенаправляется с сайта 1 на сайт 2 через маршрутизатор BGP Windows Server в CSP.
Отдельные точки завершения для BGP и VPN
В этой топологии представлено предприятие, в котором в качестве конечной точки BGP и конечной точки межсайтовых подключений VPN используются два разных маршрутизатора. VPN типа "сеть — сеть" завершается на шлюзе RAS Windows Server 2016, а BGP завершается на внутреннем маршрутизаторе. На стороне подключения CSP, CSP завершает как VPN, так и BGP соединения с шлюзом RAS. В такой конфигурации оборудование внутреннего стороннего маршрутизатора должно поддерживать повторное распространение маршрутов IGP в BGP, а также повторное распространение маршрутов BGP в IGP.
Внутренний маршрутизатор определяет маршруты предприятия одним из указанных ниже способов.
BGP
Протокол IGP, например OSPF или RIP
Настройка статических маршрутов
При использовании любого протокола IGP на сайте предприятия внутренний маршрутизатор должен повторно распространять маршруты IGP в BGP, а также повторно распространять маршруты BGP в IGP для обеспечения связи между виртуальными сетями CSP и локальными подсетями предприятия.
В этом развертывании корпоративный шлюз RAS имеет VPN-подключение типа "сайт-и-сайт" с шлюзом RAS CSP, который предоставляет корпоративному шлюзу RAS маршруты к шлюзу CSP. Затем внутренний маршрутизатор Enterprise узнает этот маршрут к шлюзу CSP с помощью iBGP с корпоративным шлюзом RAS. Из-за этого внутренний маршрутизатор Enterprise может установить сеанс пиринга с маршрутизатором BGP шлюза RAS от CSP.
С этого момента внутренний маршрутизатор Enterprise и шлюз RAS CSP обмениваются сведениями о маршрутизации. И маршрутизатор Enterprise RAS BGP изучает маршруты CSP и корпоративные маршруты для физического маршрутизации пакетов между сетями.
Возможности BGP
Ниже приведены функции маршрутизатора BGP шлюза RAS.
Маршрутизация BGP в качестве службы удаленного доступа. Теперь вы можете установить службу роли маршрутизации в составе роли сервера удаленного доступа без установки службы роли удаленного доступа (RAS), если вы хотите использовать удаленный доступ в качестве маршрутизатора BGP в локальной сети. Это сокращает объем памяти маршрутизатора BGP и устанавливает только компоненты, необходимые для динамической маршрутизации BGP. Служба роли маршрутизации полезна, если требуется только виртуальная машина маршрутизатора BGP, и вам не требуется использовать DirectAccess или VPN. Кроме того, использование удаленного доступа в качестве маршрутизатора локальной сети с BGP обеспечивает преимущества динамической маршрутизации BGP во внутренней сети.
Статистика BGP (счетчики сообщений, счетчики маршрутов). Маршрутизатор BGP поддерживает отображение статистики по сообщениями и маршрутам, если это необходимо, с помощью команды Get-BgpStatistics среды Windows PowerShell.
Поддержка маршрутизации на основе множественных маршрутов равной стоимости (ECMP). Маршрутизатор BGP поддерживает ECMP, и в его таблице и стеке маршрутизации BGP может быть несколько маршрутов равной стоимости. Если маршрутизация ECMP включена, маршрутизатор BGP выбирает маршрут для передачи пакетов данных случайным образом.
Настройка значения HoldTime. Маршрутизатор BGP поддерживает настройку значения HoldTimer в соответствии с требованиями сети. Этот таймер можно динамически изменять для обеспечения взаимодействия с устройствами сторонних производителей или для поддержания определенного максимального времени ожидания завершения сеанса пиринга BGP.
Поддержка iBGP и eBGP. Маршрутизатор BGP поддерживает пиринг iBGP и eBGP. Для его настройки необходимо назначить соответствующие номера ASN локальному и удаленному маршрутизаторам BGP. Во всех четырех топологиях развертывания BGP используется пиринг eBGP, а в четвертой топологии также применяется пиринг iBGP.
Взаимодействие с решениями сторонних производителей. Маршрутизатор BGP основан на последней спецификации BGP версии 4 и был проверен на возможность взаимодействия с большинством основных устройств маршрутизации BGP сторонних производителей. Для получения более подробной информации смотрите документ "Запрос комментариев" (RFC) 4271, Протокол пограничного шлюза версии 4 (BGP-4).
Поддержка пиринга транспорта IPv4 и IPv6. Маршрутизатор BGP поддерживает пиринг IPv4 и IPv6. Однако идентификатор BGP нужно настроить как IPv4-адрес маршрутизатора BGP. Для всех топологий развертывания маршрутизатора BGP можно использовать любой из двух типов пиринга (IPV4 или IPv6).
Возможность уникастного изучения и анонсирования маршрутов IPv4 и IPv6 (мультипротокольная информация сетевого уровня о доступности сети [NLRI]). Независимо от используемого транспорта маршрутизатор BGP может обмениваться сведениями о маршрутах IPv4 и IPv6, если соответствующая возможность была объявлена другими маршрутизаторами BGP при создании сеанса. Чтобы настроить маршрутизацию IPv6, нужно включить параметр IPv6Routing и настроить локальный глобальный IPv6-адрес на уровне маршрутизатора.
Пиринг в смешанном и пассивном режимах. Сеансы пиринга BGP можно настроить в смешанном режиме, где маршрутизатор BGP выступает как инициатор, так и в пассивном режиме, где маршрутизатор BGP не инициирует пиринг, но отвечает на входящие запросы. Смешанный режим используется по умолчанию и рекомендуется для пиринга BGP. Это верно во всех случаях, кроме тех, когда нужно использовать пассивный режим в целях отладки или диагностики. Во всех топологиях развертывания маршрутизатора BGP пиринг в смешанном режиме необходим для обеспечения автоматического перезапуска в случае сбоев.
Возможность перезаписи атрибутов маршрутизатора. С помощью политик маршрутизации BGP можно добавлять, изменять и удалять следующие атрибуты из входящих и исходящих объявлений маршрутов маршрутизатора BGP: Next-Hop, MED, Local-Pref и Community.
Фильтрация маршрутов. Маршрутизатор BGP поддерживает фильтрацию входящих и исходящих объявлений маршрутов на основе различных атрибутов маршрутов, таких как Prefix, ASN-Range, Community и Next-Hop.
Маршрутизатор-Отражатель (RR) и клиент RR. Маршрутизатор BGP может выступать в качестве отражателя маршрутов и клиента RR. Это полезно в сложных топологиях, где RR может упростить сеть, формируя кластеры RR.
Поддержка обновления маршрутов. Маршрутизатор BGP поддерживает обновление маршрутов и по умолчанию объявляет эту возможность при пиринге. Он в состоянии отправлять свежий набор обновлений маршрутов при запросе однорангового узла через сообщение об обновлении маршрутов, а также отправлять Route-Refresh для обновления таблицы маршрутизации в случае таких событий, как изменения политики маршрутизации для однорангового узла. Это позволяет изменять или обновлять политики маршрутизации BGP в Windows Server 2016 без необходимости перезапускать пиринг.
Поддержка настройки статических маршрутов. Статические маршруты и интерфейсы в маршрутизаторе BGP можно настроить с помощью команды Add-BgpCustomRoute среды Windows PowerShell. Настраиваемые статические маршруты могут быть префиксами или именами интерфейсов, из которых выбираются маршруты. Однако только маршруты с разрешаемыми следующими прыжками включаются в таблицы маршрутизации BGP и объявляются для одноранговых узлов.
Поддержка транзитной маршрутизации. Маршрутизатор BGP поддерживает транзитную маршрутизацию для подключений iBGP к iBGP, подключения iBGP к eBGP, а также подключения eBGP к eBGP.
Подавление флаппинга маршрутов. Маршрутизация в Windows Server 2016 поддерживает демпфирование колебаний маршрутов для BGP. Например, когда маршрут постоянно объявляется и отзывается, что делает таблицу маршрутизации нестабильной, вы можете настроить маршрутизатор BGP, чтобы назначить маршруту коэффициент подавления и отслеживать его на предмет колебаний - и, соответственно, подавлять или восстанавливать его при необходимости. Это помогает поддерживать стабильную таблицу маршрутизации и меньше обработки маршрутизатором BGP.
Агрегация маршрутов. Агрегирование маршрутов к маршрутизатору BGP предоставляет возможность настроить агрегатные маршруты и заменить более детализированные объявления маршрутов сводными или агрегированными маршрутами на одноранговые. Это приводит к меньшему количеству сообщений рекламы маршрутов, передаваемых в сети.
Примечание.
В System Center шлюз RAS называется шлюзом Windows Server.