SD-WAN – BGP Additional Path Support

Actualmente, cuando desplegamos una Auto-Discovery VPN (ADVPN) con SD-WAN, el FortiGate desplegado como HUB de la red ADVPN funciona como route reflector. Como tal, este equipo solo publica una ruta, la cual es el mejor camino. Debido a esto, las sedes remotas (Spokes) reciben diferentes rutas en sus tablas de enrutamiento que apuntan al mismo next-hop (utilizamos solamente uno de los caminos disponibles).

En la versión 6.2, esto se soluciona agregando soporte adicional del protocolo de routing Border Gateway Protocol (BGP), lo cual permite al HUB de la red ADVPN anunciar múltiples caminos para el mismo destino.

Esta característica permite al BGP extender y mantener varias rutas a la misma red de acuerdo con el RFC 7911.

EJEMPLO

En la siguiente topología de red, cada sede remota tiene cuatro túneles VPN levantados contra el HUB de la red ADVPN. Cada sede remota establece un peer (vecino) contra el HUB por cada uno de los cuatro túneles.

Las delegaciones remotas “Spoke1” y “Spoke2” pueden aprender 4 rutas entre sí.

Hub

config router bgp

set as 65505

set router-id 11.11.11.11

set ibgp-multipath enable

set additional-path enable  <<<<<<<<<< new

set additional-path-select 4  <<<<<<<<<< new

config neighbor-group

edit “gr1”

set capability-default-originate enable

set remote-as 65505

set additional-path both  <<<<<<<<<< new

set adv-additional-path 4  <<<<<<<<<< new

set route-reflector-client enable

next

end

config neighbor-range

edit 1

set prefix 10.10.0.0 255.255.0.0

set neighbor-group “gr1”

next

end

config network

edit 12

set prefix 11.11.11.11 255.255.255.255

next

end

end

Spoke

config router bgp

set as 65505

set router-id 2.2.2.2

set ibgp-multipath enable

set additional-path enable <<<<<<<<<< new

set additional-path-select 4 <<<<<<<<<< new

config neighbor

edit “10.10.100.254”

set soft-reconfiguration enable

set remote-as 65505

set additional-path both <<<<<<<<<< new

set adv-additional-path 4 <<<<<<<<<< new

next

edit “10.10.200.254”

set soft-reconfiguration enable

set remote-as 65505

set additional-path both

set adv-additional-path 4

next

edit “10.10.203.254”

set soft-reconfiguration enable

set remote-as 65505

set additional-path both

set adv-additional-path 4

next

edit “10.10.204.254”

set soft-reconfiguration enable

set remote-as 65505

set additional-path both

set adv-additional-path 4

next

end

config network

edit 3

set prefix 22.1.1.0 255.255.255.0

next

end

end

Información de rutas

Spoke1 # get router info routing-table bgp

Routing table for VRF=0

B*      0.0.0.0/0 [200/0] via 10.10.200.254, vd2-2, 03:57:26

[200/0] via 10.10.203.254, vd2-3, 03:57:26

[200/0] via 10.10.204.254, vd2-4, 03:57:26

[200/0] via 10.10.100.254, vd2-1, 03:57:26

B       1.1.1.1/32 [200/0] via 11.1.1.1 (recursive via 12.1.1.1), 03:57:51

[200/0] via 11.1.1.1 (recursive via 12.1.1.1), 03:57:51

[200/0] via 11.1.1.1 (recursive via 12.1.1.1), 03:57:51

[200/0] via 11.1.1.1 (recursive via 12.1.1.1), 03:57:51

B       11.11.11.11/32 [200/0] via 10.10.200.254, vd2-2, 03:57:51

[200/0] via 10.10.203.254, vd2-3, 03:57:51

[200/0] via 10.10.204.254, vd2-4, 03:57:51

[200/0] via 10.10.100.254, vd2-1, 03:57:51

B       33.1.1.0/24 [200/0] via 10.10.204.3, vd2-4, 03:57:26

[200/0] via 10.10.203.3, vd2-3, 03:57:26

[200/0] via 10.10.200.3, vd2-2, 03:57:26

[200/0] via 10.10.100.3, vd2-1, 03:57:26