Tato část poskytuje přehled funkcí směrování VMware SASE včetně typů směrů, připojených a statických směrů, dynamických směrů s rozhodujícími scénáři pro ně a hodnot preferencí v řízení toku overlay (OFC) s výpočtem distribuovaných nákladů (DCC).
Obecné
Směrování VMware SASE je postaveno na proprietárním protokolu nazvaném VCRP, který umožňuje více cest a je zabezpečen přenosem VCMP. Koncové body SD-WAN jsou připojeny pomocí VCRP podobným způsobem jako iBGP full mesh. Brána SD-WAN funguje jako reflektor trasy BGP, který na základě nastavení profilu odráží trasy z jednoho zařízení SD-WAN Edge do druhého zařízení SD-WAN Edge v rámci podniku zákazníka.
Následující diagram znázorňuje typické nasazení SD-WAN s cíli jinými než SD-WAN s více cloudy, kde systém Orchestrator provádí výpočet trasy (na rozdíl od novější a preferované metody pomocí dynamického výpočtu nákladů (DCC)).
Komponenty SD-WAN
- SD-WAN Edge je zařízení podnikové třídy nebo virtualizovaná cloudová instance, která poskytuje zabezpečené a optimalizované připojení k soukromým, veřejným a hybridním aplikacím a virtualizovaným službám. Při směrování SD-WAN je zařízení Edge hraniční bránou. Zařízení Edge může fungovat jako běžné zařízení Edge (bez konfigurace Hubu), jako Hub sám o sobě, nebo jako součást clusteru či jako paprsek (jsou-li nakonfigurovány Huby).
- Brána SD-WAN je autonomní, bezstavová, horizontálně škálovatelná a cloudová a mohou se k ní připojit zařízení Edge od více tenantů. Pro jakékoli nasazení SD-WAN je nasazeno několik bran SD-WAN jako geograficky distribuovaná (pro nižší latenci) a horizontálně škálovatelná (pro kapacitu) síť, přičemž každá brána funguje jako reflektor trasy pro připojená zařízení Edge.
Všechny trasy, které jsou na zařízení Edge lokálně naučené, jsou odesílány do brány na základě konfigurace. Brána poté tyto trasy odráží do ostatních zařízení Edge v rámci podniku, což umožní efektivní připojení k celé síti VPN bez vytvoření kompletní sítě tunelů.
- Nástroj SASE Orchestrator je cloudový konfigurační a monitorovací portál pro více tenantů. Při směrování SD-WAN spravuje systém Orchestrator trasy pro všechny podniky a může přepsat výchozí chování směrování.
Typy tras
- Místní trasy: Všechny trasy naučené lokálně na zařízení SD-WAN Edge. Může se jednat o připojenou podsíť, staticky nakonfigurovanou trasu nebo jakoukoli trasu naučenou prostřednictvím protokolů BGP nebo OSPF.
- Vzdálené trasy: Jakákoli trasa, která je naučena z VCRP, jinými slovy trasa, která není na zařízení Edge přítomna lokálně, je vzdálená trasa. Tato trasa pochází z jiného zařízení Edge a je na základě konfigurace odražena bránou do jiných zařízení Edge v podniku zákazníka.
Existuje striktní pořadí, které SD-WAN používá pro směrování provozu pro jiné než dynamické trasy (BGP a OSPF), které nelze upravit. V některých scénářích však můžete použít techniku Nejdelší shoda předpony (Longest Prefix Match) k manipulaci s tokem směrování.
| 1. Nejdelší shoda předpony |
| 2. Místní připojení |
| 3. Místní statická LAN/WAN |
| 4. Vzdálená připojení |
| 5. Vzdálená statická LAN/WAN |
| 6. Statický cíl jiný než SD-WAN |
| 7. Statická brána partnera |
| 8. Pořadí tras řízené řízením overlay toku (OFC). |
Připojené a statické trasy
Tento článek obsahuje základní informace týkající se připojených a statických tras. Připojená trasa je trasa k síti, která je přímo připojena k rozhraní. Informace o statických trasách najdete v článku Konfigurace nastavení statické směru.
Připojené trasy
- Aby byl připojený směr viditelný v SD-WAN, nakonfigurujte v nástroji Orchestrator následující nastavení:
- Musí být aktivována Cloudová VPN (Cloud VPN).
- Připojená trasa musí být nakonfigurována s platnou IP adresou.
- Rozhraní Edge pro tuto trasu musí být v provozu v úrovni 1 a musí být funkční v úrovních 2 a 3.
- Sítě VLAN přidružené k tomuto rozhraní Edge musí být také aktivní.
- Na rozhraní Edge, pro které je připojená trasa nakonfigurována, musí být nastaven příznak Oznamovat (Advertise) v nabídce Nastavení IP adresy rozhraní (Interface IP settings).
- Aby byl statický směr viditelný v SD-WAN, nakonfigurujte v nástroji Orchestrator následující nastavení:
- Musí být aktivována Cloudová VPN (Cloud VPN).
- V rozhraní Edge, pro které je nakonfigurována statická trasa, musí být nastaven příznak Oznamovat (Advertise).
- Konfigurace statické trasy musí mít zaškrtnuté funkce Preferované (Preferred) a Oznamované (Advertised).
- Statické trasy mohou předávat provoz do podřízené vrstvy WAN underlay pro globální segmenty a do podřízené vrstvy LAN nebo WAN underlay pro neglobální segmenty.
- Přidání statické trasy obchází NAT na rozhraní Edge.
- ECMP (směrování více tras s vyrovnáním nákladů) se statickou trasou není podporováno a bude použita pouze první statická trasa.
- Abyste se vyhnuli ztrátám provozu, použijte funkci Testování paměti modulu ICMP.
- Statická trasa se zaškrtnutým příznakem Preferovaná (Preferred) je upřednostňována před jakoukoli trasou VPN naučenou přes overlay.
Když je zaškrtnuté pole Preferovaná (Preferred), statická trasa bude vždy přiřazena jako první, i když je k dispozici trasa VPN s nižšími náklady.
Nevyberete-li tuto možnost, znamená to, že jakákoli dostupná trasa VPN je spárována se statickou trasou, i když trasa VPN stojí vyšší náklady než statická trasa. Statická trasa je spárovaná pouze v případě, že nejsou k dispozici odpovídající trasy VPN.
Možnost Preferovaná není k dispozici pro typ adresy IPv6.
Když je zaškrtnuté pole Oznamovat (Advertise), bude statická trasa oznamována přes trasy VPN a ostatní zařízení SD-WAN Edge v síti budou mít přístup ke zdroji.
Nevolte tuto možnost, pokud je privátní zdroj, například osobní tiskárna pracovníků pracujících na dálku, nakonfigurován jako statická trasa a ostatním uživatelům je třeba zabránit v přístupu ke zdroji.
Možnost Oznamovat není k dispozici pro typ adresy IPv6.
Globálně oznamované příznaky (Global Advertise Flags) OFC řídí, které trasy budou přidány do překrytí overlay. Ve výchozím nastavení nejsou do překrytí overlay oznamovány následující typy tras: Externí OSPF a iBGP pro cíle jiné než SD-WAN. Kromě toho, pokud zařízení Edge funguje jako centrum Hub i větev, budou použity Globálně oznamované příznaky (Global Advertise Flags) nakonfigurované pro větev, nikoli centrum Hub.
Vlastní trasa (Self Route) odkazuje na předponu založenou na rozhraní pomocí IP Longest prefix match (LPM) (například: 172.16.1.10/32), která je nainstalována lokálně na zařízení Edge, ale není oznamována na vzdálených Edge. Dalším termínem pro vlastní trasy je „Trasy rozhraní“. Při pohledu do protokolů zařízení Edge by uživatel viděl tyto vlastní trasy s příznakem trasy „s“.
Vlastní trasa se liší od připojené trasy, protože připojená trasa může být oznamována do overlay, takže vzdálení klienti Edge se mohou dostat zpět ke klientům patřícím do připojené trasy na straně zdrojového zařízení Edge. Vlastní trasy jsou pro samotné zařízení Edge výhradně lokální.
Cloudová trasa (Cloud Route) je označena příznakem „v“ a odkazuje na trasu nainstalovanou na zařízení Edge směřující k bráně VMware SD-WAN pro provoz s více cestami určený pro internet (jinými slovy, internetový provoz využívající dynamickou optimalizaci více cest, DMPO, který využívá bránu před připojením k internetu).Edge také používá cloudovou trasu přes odpovídající bránu pro správu provozu určeného pro nástroj VMware Orchestrator, který je hostován ve veřejném cloudu.
Řízení toku overlay (OFC) s výpočtem distribuovaných nákladů (DCC)
Přehled distribuovaného výpočtu směru
Výpočet distribuovaného výpočtu směru (DCC) je funkce, která používá zařízení SD-WAN Edge a brány pro výpočet předvoleb trasy namísto spoléhání na nástroj SASE Orchestrator. Zařízení Edge i brána vloží trasy okamžitě po jejich naučení a poté tyto preference předá nástroji Orchestrator.
DCC řeší problém, který se vyskytuje u rozsáhlých nasazení, kdy spoléhání se pouze na nástroj Orchestrator může zabránit včasným aktualizacím předvoleb trasy, buď proto, že se k nim zařízení Edge nebo brána nemohly dostat, nebo proto, že nástroj Orchestrator nemohl rychle doručit aktualizace trasy, protože jich počítá velké množství současně. Distribuce odpovědností pro výpočet předvoleb tras pro Edge a brány zajišťuje rychlé a spolehlivé aktualizace trasy.
Způsob vytváření předvoleb výpočtu distribuovaných nákladů
| Edge | Brána partnera / hostovaná brána |
|---|---|
| NSD E BGP | NSD E/I BGP |
| NSD I BGP | E/I BGP |
| BGP odchozího připojení NSD | |
| OSPF O | |
| OSPF IA | |
| E BGP | |
| I BGP | |
| OSPF OE1 | |
| OSPF OE2 | |
| BGP odchozího připojení (Uplink BGP) |
| O = Oblast Intra protokolu OSPF |
| IA = Oblast Inter protokolu OSPF |
| OE1 = Externí typ OSPF 1 |
| OE2 = Externí typ OSPF 2 |
| E BGP = externí BGP |
| I BGP = interní BGP |
| NSD = Cíl jiný než SD-WAN |
| Zařízení (Device) | Typ směrování (Route Type) | Výchozí preference |
|---|---|---|
| Edge | NSD E BGP | 997 |
| Edge | NSD I BGP | 998 |
| Brána (Gateway) | NSD E/I BGP | 999 |
| Edge | BGP odchozího připojení NSD | 1000 |
| Edge | OSPF O | 1001 |
| Edge | OSPF IA | 1002 |
| Edge | E BGP | 1003 |
| Edge | I BGP | 1004 |
| Brána partnera (Partner Gateway) | E/I BGP | 1005 |
| Hub | OSFP OE1 | 1001006 |
| Hub | OSPF OE2 | 1001007 |
| Hub | Odchozí připojení BGP (BGP Uplink) | 1001008 |
Pracovní postup dynamické trasy
- Edge nebo brána se naučí dynamickou trasu.
- SD-WAN interně identifikuje typ trasy a výchozí preferenční hodnotu.
- SD-WAN přiřadí správnou preferenční hodnotu a nainstaluje trasu do informační báze směrování (RIB) a informační báze předávání (FIB).
- SD-WAN vezme v úvahu akci výchozího oznamování nakonfigurovanou pro tuto trasu. Na základě akce oznamování SD-WAN oznámí trasu napříč podnikem zákazníka (oznamovaná), nebo neprovede žádnou akci kromě lokálního přidání trasy do RIB a FIB (neoznamovaná).
- SD-WAN poté synchronizuje tento směr do nástroje Orchestrator, který ho zobrazí v nástroji Orchestrator.
Preferované výstupní body VPN
Tato část pojednává o preferovaných výstupních bodech VPN: čím jsou, jaké trasy mohou spadat do kterých kategorií a jak používat připnutí trasy k přepsání výchozích hodnot.
Ve službě SD-WAN podnikového portálu se vám při přechodu na možnost zobrazí část s názvem Upřednostňované výstupy VPN (Preferred VPN Exits). Tato část uvádí výchozí priority a označuje některé kategorie směrů jako preferované před ostatními.
- Edge: Do této kategorie spadá jakákoli interní trasa, kterou lze naučit buď na Hubu, nebo na zařízení Edge paprsku, a je označena nejvyšší prioritou. Interní trasou nemůže být trasa typu odchozího připojení protokolu OSPF 1/2 nebo BGP.
- Hub: Jakákoli externí lokalita naučená v zařízení edge spadá do kategorie Hubu a obvykle má nižší prioritu. Trasy Hubu zahrnují odchozí připojení protokolu OSPF 1/2 nebo BGP
- Brána partnera (Partner Gateway): Jakákoli trasa naučená v bráně partnera.
- Směrovač (Router): Směrovač představuje jakoukoli předponu trasy naučenou zařízením Edge s protokoly BGP nebo OSPF a určuje předvolbu, která je přiřazena dynamické trase. Obvykle je všem výstupním bodům nad směrovačem na výstupu VPN přiřazena nízká preferenční hodnota, a jsou tedy preferovanější, zatímco všem výstupním bodům pod směrovačem je přiřazena vyšší preferenční hodnota, a jsou tedy méně preferované.
- Například když je aktivován DCC, všechny trasy, které patří k výstupním bodům VPN (Edge, brána partnera nebo Hub) nad směrovačem, získají preferenční hodnotu nižší než 1 000 000 a trasy, které jsou pod směrovačem, získají preferenční hodnotu vyšší než 1 000 000.
- V níže uvedeném příkladu získají výstupní body VPN nad směrovačem, tedy NSD, Edge a brána partnera, preferenční hodnotu nižší než 1 000 000 a Hub získá preferenční hodnotu vyšší než 1 000 000.
Připnutí trasy k přepsání výchozí preferenční hodnoty
- Uživatel připne trasu na stránku Řízení toku overlay (Overlay Flow Control) jedním z těchto způsobů:
- V Seznamu tras (Routes List) vybere jednu nebo více tras a poté klikne na možnost Připnout zjištěné předvolby směrování (Pin Learned Route Preference).
- Upraví pořadí Upřednostňované výstupy VPN (Preferred VPN Exits) kliknutím na volbu Upravit (Edit) pod tabulkou.
- Nástroj Orchestrator odešle tuto událost směrování relevantním zařízením Edge v podniku zákazníka.
- Zařízení Edge přepíší předchozí hodnotu předvolby tak, aby odpovídala připnutému pořadí.
- Preferenční hodnoty, které jsou přiřazeny k připnutým trasám, začínají od 1, 2, 3 atd. (nejnižší hodnoty, a tedy nejvyšší preference), a to odpovídá pořadí tras na stránce Řízení toku overlay.
Poznámka: Další informace o připnutí trasy najdete v článku Konfigurace podsítí.
Scénáře výběru dynamických tras
Co se stane, když Edge obdrží stejnou předponu pro dva nebo více zdrojů/sousedů?
Potenciální scénář v nasazení SD-WAN je, že stejná předpona bude oznámena ze dvou různých zařízení Edge nebo bran partnera. Pokud jsou za použití VMware SD-WAN podsítě ve stejné kategorii (Edge, Hub nebo brána partnera) a mají stejnou preferenční hodnotu, při třídění tras se nejprve zvažují atributy BGP nebo metriky OSPF.
Pokud je to stále „nerozhodně“, SD-WAN použije logické ID (které je odvozeno od univerzálního jedinečného identifikátoru (UUID) zařízení Edge nebo brány) zařízení dalšího skoku pro konečné rozhodnutí. Zařízením dalšího hopu může být brána nebo zařízení Edge Hubu v závislosti na typu používané sítě VPN mezi dvěma větvemi. Pokud podnik zákazníka používá spojení mezi dvěma větvemi prostřednictvím brány, dalším skokem je brána, zatímco u zákazníka používajícího spojení mezi větví a Hubem bude dalším skokem zařízení Edge Hub.
K dispozici je konečné přerušení, pokud více bran oznamuje stejný přesný typ a preference trasy. Toto konečné přerušení preferuje nejstarší naučenou trasu. Chcete-li zajistit požadovaný výsledek směrování, můžete buď připnout určité trasy, nebo nakonfigurovat atributy protokolu BGP a náklady pro upřednostňování vybraných tras před ostatními.
