Protocolo de puerta de enlace de borde (BGP)
Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016
Puede usar este tema para obtener una descripción del Protocolo de puerta de enlace de borde (BGP), incluidas las topologías de implementación admitidas por BGP y las características y capacidades de BGP.
Nota
Además de este tema, está disponible la siguiente documentación sobre BGP.
En este tema se incluyen las siguientes secciones.
Cuando se configura en una puerta de enlace multiinquilino de Servicio de acceso remoto (RAS) en Windows Server 2016, el Protocolo de puerta de enlace de borde (BGP) proporciona la capacidad de administrar el enrutamiento del tráfico de red entre redes de VM de los inquilinos y sus sitios remotos. También puede usar BGP para implementaciones de puerta de enlace RAS de inquilino único y al implementar el acceso remoto como enrutador de red de área local (LAN).
BGP reduce la necesidad de configuración de enrutamiento manual en los enrutadores, ya que es un protocolo de enrutamiento dinámico y aprende automáticamente las rutas entre sitios que están conectados mediante conexiones VPN de sitio a sitio.
Para usar el enrutamiento BGP, debe instalar el Servicio de acceso remoto (RAS) y/o el servicio de rol de Enrutamiento del rol de servidor de acceso remoto en una computadora o máquina virtual (VM); el tipo de sistema que use depende de si tiene una implementación multiusuario:
Para una implementación multiinquilino, se recomienda que instale la puerta de enlace multiinquilino RAS en una máquina virtual. El uso de varias máquinas virtuales proporciona una alta disponibilidad. La puerta de enlace multiinquilino RAS es capaz de controlar varias conexiones de varios inquilinos y consta de un host de Hyper-V y una máquina virtual (VM) que en realidad está configurada como puerta de enlace. Esta puerta de enlace se configura con conexiones VPN de sitio a sitio como un enrutador BGP multiinquilino para intercambiar rutas de subred de inquilinos y proveedores de servicios en la nube (CSP).
Para una implementación de puerta de enlace perimetral de inquilino único o una implementación de enrutador LAN, puede instalar la puerta de enlace RAS en un equipo físico o en una máquina virtual.
Importante
Cuando instala una puerta de enlace RAS, debe especificar si se ha habilitado BGP para cada inquilino mediante el comando de Windows PowerShell Enable-RemoteAccessRoutingDomain con el parámetro Type con valor All. Para instalar el acceso remoto como un enrutador LAN habilitado para BGP sin funcionalidades multiinquilino, puede usar el comando Install-RemoteAccess -VpnType RoutingOnly.
El siguiente código de ejemplo ilustra cómo instalar RAS en modo multiinquilino con todas las características de RAS (VPN de punto a sitio, VPN de sitio a sitio y enrutamiento BGP) habilitadas para dos inquilinos, Contoso y Fabrikam.
$Contoso_RoutingDomain = "ContosoTenant"
$Fabrikam_RoutingDomain = "FabrikamTenant"
Install-RemoteAccess -MultiTenancy
Enable-RemoteAccessRoutingDomain -Name $Contoso_RoutingDomain -Type All -PassThru
Enable-RemoteAccessRoutingDomain -Name $Fabrikam_RoutingDomain -Type All -PassThru
Topologías de implementación compatibles con BGP
A continuación se enumeran las topologías de implementación compatibles, en las que los sitios de empresa se conectan a un centro de datos del proveedor de servicios de nube (CSP).
En todos los escenarios, la puerta de enlace CSP es una puerta de enlace RAS de Windows Server 2016 en el perímetro. La puerta de enlace RAS es capaz de controlar varias conexiones de varios inquilinos y consta de un host de Hyper-V y una máquina virtual (VM) que, realmente, + está configurada como puerta de enlace. Esta puerta de enlace de perímetro se configura con conexiones VPN de sitio a sitio como un enrutador BGP multiinquilino para intercambiar rutas de subred CSP y de empresa.
Los inquilinos se conectan a sus recursos en el centro de datos de CSP mediante una conexión VPN sitio a sitio (S2S). Además, se implementa el protocolo de enrutamiento de BGP para el intercambio de información de enrutamiento dinámico entre las puertas de enlace de empresa y CSP.
Se admiten las siguientes topologías de implementación.
Puerta de enlace de sitio a sitio de VPN de RAS con BGP en el perímetro del sitio empresarial
Puerta de enlace de terceros con BGP en el perímetro del sitio de empresa
Las secciones siguientes contienen información adicional sobre cada topología BGP compatible.
Puerta de enlace de sitio a sitio de VPN de RRAS con BGP en el perímetro del sitio empresarial
Esta topología muestra un sitio de empresa conectado a un CSP. La topología de enrutamiento de empresa incluye un enrutador interno, una puerta de enlace RAS de Windows Server 2016 configurada para conexiones VPN de sitio a sitio con el CSP y un dispositivo de firewall perimetral. La puerta de enlace RAS termina las conexiones VPN y BGP de S2S.
Ambos sitios están conectados mediante el protocolo de puerta de enlace de perímetro externo (eBGP), que puede transmitir información entre enrutadores compatibles con BGP en sistemas independientes autónomos (AS). Esto requiere que la empresa y CSP dispongan de distintos números de sistema autónomos (ASN), que es un parámetro que está integrado en el protocolo BGP.
En este escenario, BGP funciona de la manera siguiente.
El dispositivo perimetral de sitio de empresa aprende las rutas de subred virtualizadas (10.2.1.0/24) hospedadas en la nube mediante el uso de BGP. Este dispositivo también anuncia las rutas de subred locales (10.1.1.0/24) a la puerta de enlace multiinquilino de CSP RAS.
El enrutador perimetral de cliente aprende las rutas internas locales a través de uno de los siguientes mecanismos:
El dispositivo perimetral ejecuta BGP con un enrutador interno y aprende rutas internas (en este ejemplo, 10.1.1.0/24). Mientras tanto, el enrutador interno aprende rutas externas (por ejemplo, 10.2.1.0/24) del dispositivo perimetral y el enrutador interno debe distribuir estas rutas a otros enrutadores locales mediante un protocolo de puerta de enlace interior (IGP) como Abrir primero la ruta de acceso más corta (OSPF) o Protocolo de información de enrutamiento (RIP).
El dispositivo perimetral puede configurarse con rutas o interfaces estáticas para seleccionar rutas para anunciarlas mediante BGP. El dispositivo perimetral también distribuye las rutas de acceso externas a otros enrutadores locales mediante un IGP.
Puerta de enlace de terceros con BGP en el perímetro del sitio de empresa
Esta topología describe un sitio de empresa mediante un enrutador perimetral de terceros para conectarse a un CSP. El enrutador perimetral también actúa como una puerta de enlace VPN de sitio a sitio.
El enrutador perimetral de empresa aprende las rutas internas locales a través de uno de los siguientes mecanismos:
El dispositivo perimetral ejecuta BGP con un enrutador interno y aprende rutas internas (en este caso, 10.1.1.0/24).
El dispositivo perimetral implementa un protocolo de puerta de enlace interior (IGP) y participa directamente en el enrutamiento interno.
Múltiples sitios empresariales conectados al centro de datos en la nube de CSP
Esta topología muestra varios sitios de empresa que usan las puertas de enlace de terceros para conectarse a un CSP. Los dispositivos perimetrales de terceros actúan como puertas de enlace VPN de sitio a sitio y como enrutadores BGP.
Los enrutadores perimetrales de cliente aprenden las rutas de acceso internas locales a través de uno de los siguientes mecanismos:
El dispositivo perimetral ejecuta BGP con un enrutador interno y aprende rutas internas (en este caso, 10.1.1.0/24).
El dispositivo perimetral implementa un protocolo de puerta de enlace interior (IGP) y participa directamente en el enrutamiento interno.
Cada sitio de empresa aprende las rutas del otro sitio sobre la conectividad eBGP directa.
Cada sitio de empresa aprende las rutas de red hospedadas directamente y mediante el uso del otro sitio de empresa, pero selecciona la mejor ruta según el costo de la ruta.
Si el enrutador BGP en el sitio 1 de la empresa no puede conectarse con el enrutador BGP del sitio 2 de la empresa porque la conectividad falló, el enrutador BGP del sitio 1 comienza a aprender dinámicamente las rutas a la red del sitio 2 de la empresa desde el enrutador BGP del CSP y el tráfico se redirige sin esfuerzo del sitio 1 al sitio 2 a través del enrutador BGP de Windows Server en el CSP.
Puntos de terminación independientes para BGP y VPN
Esta topología muestra una empresa que usa dos enrutadores diferentes como extremos BGP y VPN de sitio a sitio. La VPN de sitio a sitio termina en la puerta de enlace RAS de Windows Server 2016, mientras que BGP termina en un enrutador interno. En el lado CSP de las conexiones, el CSP termina las conexiones de VPN y BGP con la puerta de enlace multiinquilino RAS. Con esta configuración, el hardware del enrutador interno de terceros debe admitir la redistribución de rutas IGP a BGP, así como la redistribución de rutas BGP a IGP.
El enrutador interno aprende las rutas de empresa a través de uno de los siguientes mecanismos:
BGP
Un protocolo de puerta de enlace interior (IGP) como OSPF o RIP.
Configuración de ruta estática
Cuando se usa cualquier IGP en el sitio de la empresa, el enrutador interno debe redistribuir rutas IGP a BGP (así como redistribuir las rutas BGP a rutas IGP) para mantener la conectividad de subred entre redes virtuales CSP y subredes locales de empresa.
Con esta implementación, la puerta de enlace RAS de empresa tiene una conexión de VPN de sitio a sitio con la puerta de enlace multiinquilino CSP RAS, que proporciona la puerta de enlace RAS de empresa las rutas a la puerta de enlace CSP. El enrutador interno de empresa aprende esta ruta a la puerta de enlace CSP mediante el uso de iBGP con la puerta de enlace RAS de empresa. Por este motivo, el enrutador interno de la empresa es capaz de establecer una sesión de emparejamiento con el enrutador BGP de puerta de enlace de CSP RAS.
A partir de este punto, el enrutador interno de empresa y la puerta de enlace multiinquilino de CSP RRAS intercambian información de enrutamiento. Y el enrutador RAS de BGP de empresa aprende las rutas de CSP y de empresa para enrutar paquetes entre las redes físicamente.
Características de BGP
A continuación, se facilitan las características del enrutador BGP de puerta de enlace multiinquilino RAS.
Enrutamiento BGP como un servicio de rol de acceso remoto. Ahora puede instalar el servicio de rol deEnrutamiento del rol de servidor de acceso remoto sin instalar el servicio de rol Servicio de acceso remoto (RAS) cuando desee usar el acceso remoto como enrutador BGP LAN. Esto reduce la superficie de memoria del enrutador BGP e instala solo los componentes necesarios para el enrutamiento BGP dinámico. El servicio de rol de enrutamiento es útil cuando solo se requiere una máquina virtual de enrutador BGP y no se requiere el uso de DirectAccess o VPN. Además, el uso del acceso remoto como enrutador LAN con BGP le proporciona las ventajas de enrutamiento dinámico de BGP en la red interna.
Estadísticas de BGP (contadores de mensajes, contadores de ruta). El enrutador BGP permite mostrar las estadísticas de mensajes y ruta si es necesario mediante el uso del comando de Windows PowerShell Get-BgpStatistics.
Compatibilidad con enrutamiento de varias rutas de costo igual. El enrutador BGP admite ECMP y puede tener más de una ruta de igual costo conectadas a la tabla y la pila de enrutamiento de BGP. La selección del enrutador BGP de la ruta para transmitir paquetes de datos es aleatoria con ECMP habilitado.
Configuración de HoldTime. El enrutador BGP es compatible con la configuración del valor HoldTimer según sus requisitos de red. Este temporizador se puede cambiar dinámicamente para dar cabida a la interoperabilidad con dispositivos de terceros o mantener un tiempo máximo específico para el tiempo de espera de sesión de emparejamiento BGP.
Compatibilidad con BGP interno y externo. El enrutador BGP es compatible con el emparejamiento BGP e iBGP. Para configurar ambos, debe asegurarse de que se hayan asignados los ASN adecuados a los enrutadores de BGP locales y remotos. Las cuatro topologías de implementación de BGP emplean el emparejamiento BGP, y la cuarta topología también usa el emparejamiento iBGP.
Interoperabilidad con soluciones de terceros. El enrutador BGP se basa en la última especificación de la versión 4 de BGP y se ha probado su interoperabilidad con la mayoría de los dispositivos de enrutamiento de BGP principales de terceros. Para obtener más información, consulte Solicitudes de comentarios (RFC) 4271, Protocolo de puerta de enlace perimetral 4 (BGP-4).
Compatibilidad de mismo nivel de transporte de IPv4 e IPv6. El enrutador BGP es compatible con el emparejamiento IPv4 e IPv6. Sin embargo, debe configurar el identificador BGP como la dirección IPv4 del enrutador BGP. Para todas las topologías de implementación de enrutador BGP, se puede usar cualquiera de los dos tipos de emparejamiento (IPV4/IPv6).
Aprendizaje de rutas de unidifusión IPv4 e IPv6 y capacidad de anuncio (información de disponibilidad de capa de red multiprotocolo [NLRI]). Independientemente del transporte que use, el enrutador BGP puede intercambiar rutas IPv4 e IPv6 si otros enrutadores BGP anuncian la capacidad adecuada al establecer la sesión. Para configurar el enrutamiento de IPv6, debe habilitarse el parámetro IPv6Routing y una dirección IPv6 global local a nivel del enrutador.
Emparejamiento de modo mixto y modo pasivo. Puede configurar sesiones de emparejamiento BGP en modo mixto (en el que el enrutador BGP actúa como iniciador y respondedor) o en modo pasivo, en el que el enrutador BGP no inicia el emparejamiento, pero responde a las solicitudes entrantes. El modo mixto es el valor predeterminado y se recomienda para el emparejamiento BGP. Esto es así a menos que desee usar el modo pasivo para fines de depuración o de diagnóstico. Para todas las topologías de implementación de enrutador BGP, es necesario que el emparejamiento de modo mixto habilite reinicios automáticos en caso de que se produzcan eventos de error.
Capacidad de reescritura del atributo de ruta. Puede agregar, modificar o eliminar los siguientes atributos de los anuncios de ruta de entrada y salida de enrutador BGP mediante las directivas de enrutamiento BGP de próximo salto, MED, Local-Pref y Community.
Filtrado de rutas. El enrutador BGP admite el filtrado de anuncios de ruta de entrada o salida en función de varios atributos de ruta como Prefix, ASN-Range, Community y Próximo salto.
Route-Reflector (RR) y cliente de RR. El enrutador BGP puede actuar como un Route-Reflector y un cliente RR. Esto es útil en topologías complejas en las que RR puede simplificar la red mediante la formación de clústeres RR.
Compatibilidad con Route-Refresh. El enrutador BGP es compatible con Route-Refresh y anuncia esta capacidad en el emparejamiento de forma predeterminada. Es capaz de enviar un nuevo conjunto de actualizaciones de ruta cuando un nodo del mismo nivel lo solicite a través de un mensaje de actualización de ruta, así como enviar una Route-Refresh para actualizar su tabla de enrutamiento en los eventos como cambios de directiva de enrutamiento para un mismo nivel. Esto permite cambiar o actualizar las directivas de enrutamiento de BGP en Windows Server 2016 sin necesidad de reiniciar el emparejamiento.
Compatibilidad con la configuración de ruta estática. Puede configurar rutas estáticas o interfaces en el enrutador BGP mediante el comando de Windows PowerShell Add-BgpCustomRoute. Las rutas estáticas que configure pueden ser los prefijos o el nombre de las interfaces desde las que se deben elegir las rutas. Sin embargo, solamente se conectarán las rutas con próximos saltos que se puedan resolver en las tablas de enrutamiento de BGP y se anunciarán a los pares.
Compatibilidad con enrutamiento del tránsito. El enrutador BGP admite el enrutamiento de tránsito para conexiones iBGP a iBGP, iBGP a conexiones eBGP, así como eBGP a conexiones eBGP.
Estabilización ligera de ruta. La estabilización ligera de ruta BGP en Windows Server 2016 proporciona compatibilidad con la amortiguación de flap de ruta. Por ejemplo, cuando una ruta se anuncia y retira constantemente, lo que hace que la tabla de enrutamiento sea inestable, puede configurar el enrutador BGP para asignar un peso de amortiguación a la ruta y supervisar para flaps y, en consecuencia, suprimirlo o anularlo según sea necesario. Esto ayuda a mantener una tabla de enrutamiento estable y menos procesamiento por el enrutador BGP.
Agregación de rutas. La agregación de rutas al enrutador BGP le proporciona la capacidad de configurar rutas agregadas y reemplazar los anuncios de ruta más granulares por rutas de resumen o agregado a nodos del mismo nivel. Esto da como resultado un menor número de mensajes de anuncio de ruta transmitidos en la red.
Nota
En System Center, la puerta de enlace RAS se denomina Puerta de enlace de Windows Server.