Dieser Abschnitt bietet eine Übersicht über die Routingfunktionalität von VMware SASE, einschließlich Routentypen, verbundene und statische Routen, dynamische Routen mit entsprechenden Tiebreak-Szenarien und Präferenzwerten für Overlay-Flow-Steuerung (Overlay Flow Control, OFC) mit verteilter Kostenberechnung (Distributed Cost Calculation, DCC).

Übersicht

VMware SASE-Routing basiert auf einem proprietären Protokoll namens VCRP, das mehrfachpfadfähig und durch VCMP-Transport gesichert ist. Die SD-WAN-Endpoints sind über VCRP ähnlich wie bei iBGP Full Mesh verbunden. Das SD-WAN Gateway fungiert als BGP-Routen-Reflector, der die Routen von einem SD-WAN-Edge zu einem anderen SD-WAN Edge innerhalb des Kundenunternehmens basierend auf den Profileinstellungen reflektiert.

Das folgende Diagramm zeigt eine typische SD-WAN-Bereitstellung mit Multi-Cloud-Nicht-SD-WAN-Zielen, bei denen der Orchestrator die Routenberechnung durchführt (im Gegensatz zur neueren und bevorzugten Methode mit dynamischer Kostenberechnung (Dynamic Cost Calculation, DCC).

SD-WAN-Komponenten

VMware SD-WAN-Routing verwendet drei Komponenten: Edge, Gateway und Orchestrator.
  • Der SD-WAN Edge ist ein Gerät der Enterprise-Klasse oder eine virtualisierte Cloud-Instanz, die sichere und optimierte Konnektivität zu privaten, öffentlichen und hybriden Anwendungen und virtualisierten Diensten bereitstellt. Beim SD-WAN-Routing ist der Edge ein Border Gateway. Ein Edge kann als regulärer Edge (ohne Hub-Konfiguration), als Hub allein oder als Teil eines Clusters oder als Spoke (wenn Hubs konfiguriert sind) fungieren.
  • Das SD-WAN Gateway ist ein autonomes, zustandsloses, horizontal skalierbares und in der Cloud bereitgestelltes Gateway, mit dem Edges von mehreren Mandanten eine Verbindung herstellen können. Bei jeder SD-WAN-Bereitstellung werden mehrere SD-WAN Gateways als geografisch verteiltes (für geringere Latenz) und horizontal skalierbares (für Kapazität) Netzwerk bereitgestellt. Dabei fungiert jedes Gateway als Routen-Reflector für seine verbundenen Edges.

    Alle Routen, die lokal auf einem Edge erlernt werden, werden basierend auf der Konfiguration an das Gateway gesendet. Das Gateway gibt diese Routen dann an andere Edges im Unternehmen weiter und ermöglicht so eine effiziente Full-Mesh-VPN-Konnektivität, ohne ein komplettes Netz von Tunneln aufzubauen.

  • Der SASE Orchestrator ist ein mandantenfähiges cloudbasiertes Konfigurations- und Überwachungsportal. Beim SD-WAN-Routing verwaltet der Orchestrator die Routen für alle Unternehmen und kann das Standard-Routingverhalten überschreiben.

Routentypen

Es gibt zwei grundlegende Routentypen für SD-WAN:
  • Lokale Routen (Local Routes): Jede Route, die lokal auf einem SD-WAN Edge gelernt wird. Dabei kann es sich entweder um ein verbundenes Subnetz, eine statisch konfigurierte Route oder eine Route handeln, die aus einem Routingprotokoll wie BGP oder OSPF gelernt wurde.
  • Remote-Routen (Remote Routes): Jede Route, die aus VCRP gelernt wird, d. h. eine Route, die nicht lokal auf einem Edge vorhanden ist, ist eine Remote-Route. Diese Route stammt von einem anderen Edge und wird vom Gateway je nach Konfiguration an andere Edges im Kundenunternehmen weitergegeben.

Die Reihenfolge, in der SD-WAN den Datenverkehr für nicht-dynamische Routen (BGP und OSPF) weiterleitet, ist streng festgelegt und kann nicht geändert werden. In einigen Szenarien können Sie jedoch die Technik der längsten Präfixübereinstimmung (Longest Prefix Match) verwenden, um den Ablauf des Routings zu beeinflussen.

Tabelle 1. Reihenfolge der Routentypen
1. Längste Präfixübereinstimmung
2. Lokal verbundene
3. Statische LAN/Lokale WAN
4. Remote verbundene
5. Statische LAN/Remote WAN
6. Statische – Nicht-SD-WAN-Ziel
7. Statische – Partner-Gateway
8. Overlay-Flow-Steuerung (OFC)-gesteuerte Routenreihenfolge
Hinweis: Zwischen lokalen und Remote-Routen desselben Typs bevorzugt VMware SD-WAN die lokale Route gegenüber der Remote-Route. So wird beispielsweise eine lokal verbundene Route gegenüber einer remote verbundenen Route bevorzugt. Gleichermaßen wird bei einer lokalen statischen Route gegenüber einer statischen Remote-Route die lokale statische Route bevorzugt.

Verbundene und statische Routen

Dieser Abschnitt enthält wichtige Informationen zu verbundenen und statischen Routen. Eine verbundene Route ist eine Route zu einem Netzwerk, das direkt an die Schnittstelle angehängt ist. Informationen zu statischen Routen finden Sie in Konfigurieren von statischen Routeneinstellungen.

Verbundene Routen

  • Damit eine verbundene Route in SD-WAN sichtbar ist, konfigurieren Sie die folgenden Einstellungen im Orchestrator:
    • Cloud-VPN muss aktiviert sein.
    • Die verbundene Route muss mit einer gültigen IP-Adresse konfiguriert werden.
    • Die Edge-Schnittstelle für diese Route muss auf Schicht 1 aktiviert sein und auf den Layern 2 und 3 funktionsfähig sein.
    • Die mit dieser Edge-Schnittstelle verbundenen VLANs müssen ebenfalls aktiviert sein.
    • Das Flag Annoncieren (Advertise) muss auf der Edge-Schnittstelle unter Schnittstellen-IP-Einstellungen (Interface IP settings) festgelegt werden, für die die verbundene Route konfiguriert ist.
Statische Routen
  • Damit eine statische Route in SD-WAN angezeigt wird, konfigurieren Sie die folgenden Einstellungen im Orchestrator:
    • Cloud-VPN muss aktiviert sein.
    • Das Flag Annoncieren (Advertise) muss auf der Edge-Schnittstelle festgelegt werden, für die die verbundene Route konfiguriert ist.
    • Bei der Konfiguration der statischen Route müssen die Optionen Bevorzugt (Preferred) und Annonciert (Advertised) aktiviert sein.
  • Statische Routen können Datenverkehr an den WAN-Underlay für globale Segmente und an das LAN- oder WAN-Underlay für nicht globale Segmente weiterleiten.
  • Das Hinzufügen einer statischen Route umgeht die NAT auf der Edge-Schnittstelle.
  • ECMP (Equal-Cost-Multi-Path-Routing) mit einer statischen Route wird nicht unterstützt, und nur die erste statische Route würde verwendet werden.
  • Verwenden Sie einen ICMP-Test, um ein Blackholing des Datenverkehrs zu vermeiden.
  • Eine statische Route mit aktiviertem Flag Bevorzugt (Preferred) wird gegenüber jeder VPN-Route bevorzugt, die über das Overlay erlernt wurde.
Hinweis: Der Unterschied zwischen dem Flag Bevorzugt (Preferred) und dem Flag Annonciert (Advertised):

Wenn das Kontrollkästchen Bevorzugt (Preferred) aktiviert ist, wird die statische Route immer zuerst abgeglichen, selbst wenn eine VPN-Route mit niedrigeren Kosten verfügbar ist.

Wenn Sie diese Option nicht auswählen, wird jede verfügbare VPN-Route abgeglichen, selbst wenn die VPN-Route höhere Kosten verursacht als die statische Route. Die statische Route wird nur abgeglichen, wenn die entsprechenden VPN-Routen nicht verfügbar sind.

Die Option „Bevorzugt“ ist für einen IPv6-Adresstyp nicht verfügbar.

Wenn das Kontrollkästchen Annoncieren (Advertise) aktiviert ist, wird die statische Route über VPN-Routen annonciert, und andere SD-WAN Edges im Netzwerk haben Zugriff auf die Ressource.

Wählen Sie diese Option nicht aus, wenn eine private Ressource wie der persönliche Drucker eines Remote-Mitarbeiters als statische Route konfiguriert ist und andere Benutzer daran gehindert werden sollen, auf die Ressource zuzugreifen.

Die Option „Annoncieren“ ist für einen IPv6-Adresstyp nicht verfügbar.

Die OFC Globale Annoncierte Flags (Global Advertise Flags) steuern, welche Routen dem Overlay hinzugefügt werden. Standardmäßig werden die folgenden Routentypen nicht im Overlay angekündigt: „Externes OSPF (Externes OSPF)“ und „Nicht-SD-WAN-Ziel-iBGP (Non SD-WAN Destination iBGP)“. Wenn ein Edge als Hub und Zweigstelle fungiert, werden darüber hinaus die Flags über Globale Annoncierte Flags (Global Advertise Flags) verwendet, die für die Zweigstelle konfiguriert sind, und nicht der Hub.

Hinweis: Es gibt zwei zusätzliche Routentypen: Direkte Routen und Cloud-Routen, die auf einem Edge je nach dessen Konfiguration installiert werden. Jede Route hat einen engen Anwendungsbereich (der unten erläutert wird) und erfordert keine weitere Behandlung über ihre Erwähnung hier hinaus:

Eine Direkte Route (Self Route) bezieht sich auf ein schnittstellenbasiertes Präfix, das die IP-Längste-Präfixübereinstimmung (Longest Prefix Match, LPM) verwendet (z. B. 172.16.1.10/32). Diese Route ist lokal auf dem Edge installiert, wird aber nicht auf Remote-Edges annonciert. Ein anderer Begriff für Direkte Routen ist „Schnittstellenrouten (Interface Routes)“. In den Protokollen eines Edge sieht ein Benutzer diese Direkte Routen mit dem Routenflag „s“.

Eine direkte Route unterscheidet sich von einer verbundenen Route, da eine verbundene Route im Overlay annonciert werden kann, sodass die Remote-Edge-Clients zurück zu den Clients gelangen können, die zur verbundenen Route auf der Edge-Quellseite gehören. Direkte Routen sind ausschließlich auf den Edge selbst beschränkt.

Eine Cloud-Route ist mit einem „v“-Flag gekennzeichnet und bezieht sich auf eine auf einem Edge installierte Route, die auf ein VMware SD-WAN Gateway für Mehrfachpfad-Datenverkehr, der für das Internet bestimmt ist, verweist (mit anderen Worten: Internet-Datenverkehr mit dynamischer Mehrfachpfadoptimierung (Dynamic Multi-Path Optimization, DMPO), der ein Gateway nutzt, bevor er das Internet erreicht).

Der Edge verwendet auch eine Cloud-Route über ein entsprechendes Gateway für den Verwaltungsdatenverkehr, der für einen VMware Orchestrator bestimmt ist, der in der Public Cloud gehostet wird.

Overlay-Flow-Steuerung (Overlay Flow Control, OFC) mit verteilter Kostenberechnung (Distributed Cost Calculation, DCC)

In diesem Abschnitt wird erläutert, wie eine Routenreihenfolge unter Verwendung von OFC mit DCC funktioniert.
Wichtig: Dieses Material gilt nur für Kunden, für die Distributed Cost Control (DCC) aktiviert ist. DCC wurde erstmals in SD-WAN Version 3.4.0 verfügbar gemacht und wird jetzt für alle Kunden aktiviert. Diese Funktion wird in einer kommenden Version automatisch für neue Kunden aktiviert. Weitere Informationen zu DCC, einschließlich Best Practices, finden Sie unter Konfigurieren von DCC (Distributed Cost Calculation).

DCC (Distributed Cost Calculation) – Übersicht

Verteilte Kostenberechnung (Distributed Cost Calculation, DCC) ist eine Funktion, die die SD-WAN-Edges und -Gateways für die Berechnung von Routenvoreinstellungen nutzt, anstatt sich auf den SASE Orchestrator zu verlassen. Der Edge und das Gateway fügen die Routen jeweils sofort nach dem Erlernen ein und übermitteln diese Voreinstellungen dann an den Orchestrator.

DCC behebt ein Problem, das in großen Bereitstellungen auftritt, in denen der Orchestrator allein die rechtzeitige Aktualisierung von Routenvoreinstellungen verhindern kann, entweder weil er nicht von einem Edge oder Gateway erreicht werden kann, um aktualisierte Routenvoreinstellungen zu erhalten, oder weil der Orchestrator nicht in der Lage ist, Routenaktualisierungen schnell zu liefern, wenn er eine große Anzahl von ihnen gleichzeitig berechnet. Die Verteilung der Verantwortlichkeiten für die Berechnung von Routenvoreinstellungen auf die Edges und Gateways gewährleistet schnelle und zuverlässige Routenaktualisierungen.

Berechnen von Voreinstellungen mit verteilter Kostenberechnung (DCC)

Tabelle 1-2 enthält eine Auflistung der in SD-WAN unterstützten dynamischen Routentypen. Tabelle 1-3 ist ein Glossar der Routentypen. Eine dynamische Route wird zunächst danach kategorisiert, ob sie auf dem Edge oder dem Gateway erlernt wurde.
Tabelle 2. Dynamische Routentypen
Edge Partner-Gateway/gehostetes Gateway
NSD-E-BGP NSD-E/I-BGP
NSD-I-BGP E/I-BGP
NSD-Uplink-BGP
OSPF-O
OSPF-IA
E-BGP
I-BGP
OSPF-OE1
OSPF-OE2
Uplink-BGP
Tabelle 3. Bedeutung der Routentypen
O = OSPF-Intrabereich
IA = OSPF-Interbereich
OE1 = Externer OSPF-Typ-1
OE2 = Externer OSPF-Typ-2
E BGP = Externes BGP
I BGP = Internes BGP
NSD = Nicht-SD-WAN-Ziel
Hinweis: Unterstützung für Nicht-SD-WAN-Ziel (NSD) mit OFC ist ab Version 4.3.0 und höher verfügbar. Weitere Informationen zu NSDs finden Sie unter Konfigurieren eines Nicht-SD-WAN-Ziels.
Jeder Routentyp hat einen Voreinstellungswert, und jeder gelernten Route wird ein Voreinstellungswert auf der Grundlage des Routentyps zugewiesen. Je niedriger der Voreinstellungswert, desto höher ist die Priorität. In Tabelle 1-4 ist der Standard-Voreinstellungswert für jeden Routentyp aufgeführt.
Tabelle 4. Voreinstellungswerte
Gerät Routentyp Standardvoreinstellung
Edge NSD-E-BGP 997
Edge NSD-I-BGP 998
Gateway NSD-E/I-BGP 999
Edge NSD-Uplink-BGP 1000
Edge OSPF-O 1001
Edge OSPF-IA 1002
Edge E-BGP 1003
Edge I-BGP 1004
Partner-Gateway E/I-BGP 1005
Hub OSFP OE1 1001006
Hub OSPF-OE2 1001007
Hub BGP-Uplink 1001008

Workflow für dynamische Routen

  1. Der Edge oder das Gateway erlernt eine dynamische Route.
  2. SD-WAN erkennt intern, um welche Art von Route es sich handelt und welchen Voreinstellungswert sie hat.
  3. SD-WAN weist den richtigen Voreinstellungswert zu und installiert die Route in der Routing Information Base (RIB) und Forwarding Information Base (FIB).
  4. SD-WAN berücksichtigt die für diese Route konfigurierte Standard-Annoncierungsaktion. Auf der Grundlage der Annoncierungsaktion annonciert SD-WAN die Route entweder im gesamten Kundenunternehmen (annonciert) oder ergreift keine weiteren Maßnahmen als das lokale Hinzufügen der Route in die RIB und FIB (nicht annonciert).
  5. SD-WAN synchronisiert diese Route dann mit dem Orchestrator, der sie im Orchestrator anzeigt.

Bevorzugte VPN-Exit-Points

Dieser Abschnitt behandelt Bevorzugte VPN-Exit-Points (Preferred VPN Exit Points): was sie sind, welche Routen in welche Kategorien fallen können und die Verwendung von Routen-Anheftung, um Standardwerte zu überschreiben.

Wenn Sie im SD-WAN-Dienst des Unternehmensportals zu Konfigurieren (Configure) > Overlay-Flow-Steuerung (Overlay Flow Control) navigieren, wird ein Abschnitt mit dem Titel Bevorzugte VPN-Beendigungen (Preferred VPN Exits) angezeigt. Dieser Abschnitt zeigt Standardprioritäten an und markiert einige Routenkategorien, die gegenüber anderen bevorzugt werden sollen.

Screenshot des Bildschirms „Overlay-Flow-Steuerung (Overlay Flow Control)“ mit bevorzugten VPN-Beendigungen.

Die Kategorien der bevorzugten VPN-Beendigungen:
  • Edge: Jede interne Route, die entweder auf einem Hub oder einem Spoke-Edge erlernt werden kann, fällt in diese Kategorie und ist mit der höchsten Priorität gekennzeichnet. Eine interne Route kann keine OSPF OE 1/2- oder BGP-Uplink-Route sein.
  • Hub: Jede externe Site, die auf einem Edge erlernt wird, fällt in die Hub-Kategorie und hat in der Regel eine niedrigere Priorität. Hub-Routen umfassen OSPF OE1/2 und BGP-Uplink.
  • Partner-Gateway: Jede Route, die auf einem Partner-Gateway erlernt wird.
  • Router: Router stellt jedes Routenpräfix dar, das von einem Edge mit BGP oder OSPF erlernt wird, und bestimmt die Präferenz, die einer dynamischen Route zugewiesen ist. Normalerweise wird allen Exit-Points oberhalb von Router im VPN-Exit ein niedriger Voreinstellungswert zugewiesen und sie werden daher bevorzugt, während allen Exit-Points unterhalb von Router ein höherer Voreinstellungswert zugewiesen wird und sie daher weniger bevorzugt sind.
    • Beispiel: Wenn DCC aktiviert ist, erhalten alle Routen, die zu VPN-Exit-Points (Edge, Partner Gateway oder Hub) gehören, die oberhalb von Router liegen, einen Voreinstellungswert von weniger als 1.000.000, und die Routen, die unterhalb von Router liegen, erhalten einen Voreinstellungswert von mehr als 1.000.000.
    • Im folgenden Beispiel erhalten die VPN-Exit-Points oberhalb von Router, d. h. NSD, Edge und Partner Gateway, einen Voreinstellungswert von weniger als 1.000.000 und Hub einen Voreinstellungswert von mehr als 1.000.000.Ein weiterer Screenshot der Overlay-Flow-Steuerung. In diesem Screenshot wird jedoch „Router“ hervorgehoben, um die Voreinstellungswerte oberhalb und unterhalb des Router-Typs zu verdeutlichen.

Anheften einer Route, um einen Standard-Voreinstellungswert zu überschreiben

SD-WAN verfügt über eine Funktion zum Anheften von Routen, mit der ein Benutzer den Standard-Voreinstellungswert, der einer dynamischen Route zugewiesen wurde, überschreiben kann. Sobald eine dynamische Route gelernt und mit dem Orchestrator synchronisiert wurde, kann der Benutzer zur Seite Overlay-Flow-Steuerung (Overlay Flow Control) navigieren und die Standardreihenfolge überschreiben. Der Workflow hierfür lautet wie folgt:
  1. Ein Benutzer pinnt eine Route auf der Seite Overlay-Flow-Steuerung (Overlay Flow Control) anhand einer der folgenden Möglichkeiten an:
    1. Wählen Sie auf der Routenliste (Routes List) eine oder mehrere Routen aus und klicken Sie dann auf die Option Erlernte Routenvoreinstellung anheften (Pin Learned Route Preference).
    2. Ändern der Reihenfolge der Bevorzugte VPN-Beendigungen (Preferred VPN Exits) indem Sie in der Tabelle auf Bearbeiten (Edit) klicken.
  2. Der Orchestrator sendet dieses Routing-Ereignis an die relevanten Edges im Kundenunternehmen.
  3. Die Edges überschreiben den vorherigen Voreinstellungswert entsprechend der angehefteten Reihenfolge.
  4. Die Voreinstellungswerte, die angehefteten Routen zugewiesen werden, beginnen bei 1, 2, 3 usw. (die niedrigsten Werte und somit die höchsten Einstellungen). Dies entspricht der Reihenfolge der Routen auf der Seite Overlay-Flow-Steuerung (Overlay Flow Control).
    Hinweis: Weitere Informationen zum Anheften einer Route finden Sie unter Konfigurieren von Subnetzen.

Tie-Breaking-Szenarien für dynamische Routes

Was passiert, wenn ein Edge dasselbe Präfix für zwei oder mehr Quellen/Nachbarn erhält?

Ein mögliches Szenario in SD-WAN-Bereitstellungen ist, dass dasselbe Präfix von zwei verschiedenen Edges oder Partner-Gateways annonciert wird. Wenn sich die Subnetze bei VMware SD-WAN innerhalb derselben Kategorie (Edge, Hub oder Partner-Gateway) befinden und denselben Voreinstellungswert aufweisen, werden die BGP-Attribute oder OSPF-Metriken zuerst für die Routensortierung berücksichtigt.

Wenn immer noch ein Tie vorhanden ist, verwendet SD-WAN die logische ID (die von der universell eindeutigen Kennung (UUID) des Edge oder Gateways abgeleitet ist) des Geräts für den nächsten Hop, um den Tie zu brechen. Das Gerät für den nächsten Hop kann ein Gateway oder ein Hub-Edge sein, je nach Typ des verwendeten Zweigstelle-zu-Zweigstelle-VPN. Wenn das Kundenunternehmen Zweigstelle-zu-Zweigstelle über Gateway verwendet, ist der nächste Hop ein Gateway, während bei einem Kunden, der Zweigstelle-zu-Hub verwendet, der nächste Hop ein Hub Edge ist.

Wenn mehrere Gateways genau denselben Routentyp und dieselbe Präferenz bekannt geben, kommt es zu einer endgültigen Entscheidungsfindung. Bei dieser letzten Entscheidung wird die älteste gelernte Route bevorzugt. Um das gewünschte Routing-Ergebnis zu erzielen, können Sie entweder bestimmte Routen festlegen oder die BGP-Attribute und -Kosten so konfigurieren, dass einige Routen gegenüber anderen bevorzugt werden.

Hinweis: Kunden haben keine Kontrolle darüber, wie eine logische ID (LID) generiert wird, und Sie können ihren Wert nicht ändern. LID-Werte sind nicht direkt vergleichbar. Stattdessen werden sie mit einem internen Softwarealgorithmus verglichen, der einen LID in vier Blöcke aufschlüsselt und nacheinander vergleicht. Beispielsweise ist „lid1-data1“ größer als „lid1-data2“ und „lid1-data2“ größer als „lid2-data2“.