En esta sección, se proporciona una descripción general de la funcionalidad de enrutamiento de VMware SASE, incluidos los tipos de rutas, las rutas conectadas y estáticas, las rutas dinámicas con escenarios de desempate y los valores de preferencia de control de flujo superpuesto (OFC) con cálculo de costes distribuidos (DCC).
Descripción general
El enrutamiento de VMware SASE se basa en un protocolo propio denominado VCRP, que admite múltiples rutas de acceso y que se protege a través del transporte de VCMP. Los endpoints de SD-WAN se conectan mediante VCRP de manera similar a la malla completa de iBGP. La puerta de enlace de SD-WAN actúa como un reflector de rutas BGP que refleja las rutas de una instancia de SD-WAN Edge en otra instancia de SD-WAN Edge dentro de la empresa del cliente en función de la configuración del perfil.
En el siguiente diagrama, se muestra una implementación típica de SD-WAN con destinos que no son de SD-WAN de varias nubes en la que Orchestrator realiza el cálculo de rutas (en comparación con el método más reciente y preferido que utiliza el cálculo de costes dinámicos (DCC).
Componentes de SD-WAN
- SD-WAN Edge es un dispositivo de clase empresarial o una instancia de nube virtualizada que proporciona conectividad segura y optimizada a aplicaciones privadas, públicas e híbridas y que presta servicios virtualizados. En el enrutamiento de SD-WAN, Edge es una puerta de enlace de borde. Una instancia de Edge puede funcionar como una instancia de Edge normal (sin configuración de hub), como un hub en sí mismo o como parte de un clúster (cuando se configuran hubs).
- La puerta de enlace de SD-WAN es autónoma, sin estado, ampliable horizontalmente y se proporciona en la nube a la que se pueden conectar las instancias de Edge de varios tenants. En cualquier implementación de SD-WAN, varias puertas de enlace de SD-WAN se implementan como una red distribuida geográficamente (latencia más baja) y son ampliables horizontalmente (capacidad) con cada puerta de enlace que actúa como un reflector de ruta en las instancias de Edge conectadas.
Todas las rutas aprendidas localmente en una instancia de Edge se envían a la puerta de enlace en función de la configuración. Tras ello, la puerta de enlace refleja estas rutas en otras instancias de Edge de la empresa, lo que permite una conectividad de VPN de malla completa eficiente sin crear una malla completa de túneles.
- SASE Orchestrator es un portal de configuración y supervisión basado en la nube de varios tenants. En el enrutamiento de SD-WAN, Orchestrator administra las rutas de todas las empresas y puede anular el comportamiento de enrutamiento predeterminado.
Tipos de ruta
- Rutas locales: cualquier ruta aprendida localmente en una instancia de SD-WAN Edge. Puede tratarse de una subred conectada, una ruta configurada estáticamente o cualquier ruta aprendida a través de BGP o OSPF.
- Rutas remotas: cualquier ruta aprendida de VCRP (es decir, una ruta que no está presente localmente en una instancia de Edge) es una ruta remota. Esta ruta se originó en una instancia de Edge diferente y la puerta de enlace la refleja en otras instancias de Edge de la empresa del cliente en función de la configuración.
Existe un orden estricto que SD-WAN sigue para enrutar el tráfico de rutas no dinámicas (BGP y OSPF) que no se pueden modificar. Sin embargo, en algunos escenarios, se puede recurrir a la técnica de coincidencia de prefijo más larga para manipular el modo en que el enrutamiento fluye.
1. Coincidencia de prefijo más larga |
2. Local conectada |
3. Local LAN/WAN estática |
4. Remota conectada |
5. Remota LAN/WAN estática |
6. Destino que no es de SD-WAN estático |
7. Puerta de enlace de socio estática |
8. Orden de rutas controladas por control de flujo superpuesto (OFC) |
Rutas conectadas y estáticas
Esta sección incluye información esencial sobre las rutas conectadas y estáticas. Una ruta conectada es una ruta hacia una red que está conectada directamente a la interfaz. Encontrará información sobre las rutas estáticas en Configurar ajustes de ruta estática.
Rutas conectadas
- Configure los siguientes ajustes en la interfaz de usuario de Orchestrator para que una ruta conectada sea visible en SD-WAN:
- VPN de nube (Cloud VPN) debe estar activado.
- La ruta conectada debe estar configurada con una dirección IP válida.
- La interfaz de Edge de esta ruta debe estar activa en la capa 1 y funcional en las capas 2 y 3.
- Las VLAN asociadas a esta interfaz de Edge también deben estar activas.
- La marca Anunciar (Advertise) debe estar establecida en la interfaz de Edge en Configuración de IP de interfaz (Interface IP settings) en la que está configurada la ruta conectada.
- Configure los siguientes ajustes en la interfaz de usuario de Orchestrator para que una ruta estática sea visible en SD-WAN:
- VPN de nube (Cloud VPN) debe estar activado.
- La marca Anunciar (Advertise) debe estar establecida en la interfaz de Edge en la que está configurada la ruta estática.
- La configuración de la ruta estática debe tener marcadas las opciones Preferida (Preferred) y Anunciada (Advertised).
- Las rutas estáticas pueden reenviar el tráfico a la red WAN subyacente para los segmentos globales y a la red LAN o WAN subyacente para los segmentos no globales.
- Si se agrega una ruta estática, se omite la NAT en la interfaz de Edge.
- Las rutas estáticas no admiten ECMP (enrutamiento de múltiples rutas de igual coste) y solo se usaría la primera ruta estática.
- Utilice una sonda ICMP para evitar el tráfico bloqueado.
- Se prefiere una ruta estática con la marca Preferida (Preferred) a cualquier ruta de VPN aprendida a través de la superposición.
Cuando la casilla de verificación Preferida (Preferred) está activada, siempre se intentará enlazar con la ruta estática en primer lugar, incluso si hay disponible una ruta de VPN con un coste menor.
Si no selecciona esta opción, se enlazará con cualquier ruta VPN disponible en vez de con la ruta estática, aun cuando la ruta VPN tenga un coste más alto que la ruta estática. Solamente se enlazará con la ruta estática cuando las rutas de VPN correspondientes no estén disponibles.
La opción Preferida (Preferred) no está disponible en un tipo de dirección IPv6.
Cuando la casilla Anunciar (Advertise) está activada, la ruta estática se anuncia a través de rutas VPN, y otras instancias de SD-WAN Edge de la red tendrán acceso al recurso.
No seleccione esta opción cuando un recurso privado, como la impresora personal de un trabajador a distancia, esté configurado como una ruta estática y otros usuarios no puedan acceder al recurso.
La opción Anunciar (Advertise) no está disponible en un tipo de dirección IPv6.
Las Marcas de anuncio globales (Global Advertise Flags) de OFC controlan qué rutas se agregan a la superposición. De forma predeterminada, los siguientes tipos de ruta no se anuncian en la superposición: OSPF externo y iBGP de destino que no es de SD-WAN. Además, si una instancia de Edge actúa como hub y sucursal, se utilizarán las Marcas de anuncio globales (Global Advertise Flags) configuradas para la sucursal, no el hub.
Una ruta automática hace referencia a un prefijo basado en interfaces que utiliza la coincidencia de prefijo más larga de IP (por ejemplo: 172.16.1.10/32) que se instala localmente en la instancia de Edge, pero no se anuncia a las instancias de Edge remotas. Otro término para designar las rutas automáticas es "rutas de interfaz". Al consultar los registros de una instancia de Edge, un usuario vería estas rutas automáticas con la marca de ruta "s".
Una ruta automática es distinta de una ruta conectada, ya que esta última se puede anunciar en la superposición, de modo que los clientes de Edge remotos puedan acceder a los clientes que pertenecen a la ruta conectada en el lado de Edge de origen. Las rutas automáticas son estrictamente locales de la propia instancia de Edge.
Una ruta de nube se indica con una marca "v", y hace referencia a una ruta instalada en una instancia de Edge que apunta a una puerta de enlace de VMware SD-WAN para el tráfico de múltiples rutas destinado a Internet (es decir, el tráfico de Internet que utiliza la optimización dinámica de múltiples rutas y que emplea una puerta de enlace antes de acceder a Internet).La instancia de Edge también utiliza una ruta de nube a través de la correspondiente puerta de enlace para el tráfico de administración destinado a una instancia de VMware Orchestrator alojada en la nube pública.
Control de flujo superpuesto (OFC) con cálculo de costes distribuidos (DCC)
Descripción general del cálculo de costes distribuidos
El cálculo de costes distribuidos (DCC) es una función que utiliza las puertas de enlace y las instancias de Edge de SD-WAN para calcular preferencias de ruta, en lugar de basarse en SASE Orchestrator. La instancia de Edge y la puerta de enlace insertan cada una las rutas inmediatamente después de aprenderlas y transmiten estas preferencias a Orchestrator.
DCC resuelve un problema que tenía lugar en las implementaciones a gran escala, donde basarse exclusivamente en Orchestrator impedía la actualización oportuna de las preferencias de ruta, ya sea porque una instancia de Edge o una puerta de enlace no podía acceder a ellas para recibir preferencias de enrutamiento actualizadas, o bien porque Orchestrator no podía distribuir actualizaciones de rutas rápidamente al calcular un gran número de ellas a la vez. La distribución de las responsabilidades para el cálculo de preferencias de ruta a las instancias de Edge y las puertas de enlace garantiza unas actualizaciones de ruta rápidas y fiables.
Modo en que se realiza la preferencia de cálculo de costes distribuidos
Edge | Puerta de enlace de socio/Puerta de enlace alojada |
---|---|
NSD E BGP | NSD E/I BGP |
NSD I BGP | E/I BGP |
BGP de enlace ascendente de NSD | |
OSPF O | |
OSPF IA | |
E BGP | |
I BGP | |
OSPF OE1 | |
OSPF OE2 | |
BGP de enlace ascendente |
O = Intra-área OSPF |
IA = Inter-área OSPF |
OE1 = Tipo externo de OSPF-1 |
OE2 = Tipo externo de OSPF-2 |
E BGP = BGP externo |
BGP I = BGP interno |
NSD = Destino que no es de SD-WAN |
Dispositivo | Tipo de ruta (Route Type) | Preferencia predeterminada |
---|---|---|
Edge | NSD E BGP | 997 |
Edge | NSD I BGP | 998 |
Gateway | NSD E/I BGP | 999 |
Edge | BGP de enlace ascendente de NSD | 1000 |
Edge | OSPF O | 1001 |
Edge | OSPF IA | 1002 |
Edge | E BGP | 1003 |
Edge | I BGP | 1004 |
Puerta de enlace de socio (Partner Gateway) | E/I BGP | 1005 |
Hub | OSFP OE1 | 1001006 |
Hub | OSPF OE2 | 1001007 |
Hub | Enlace ascendente de BGP | 1001008 |
Flujo de trabajo de ruta dinámica
- La instancia de Edge o la puerta de enlace obtiene una ruta dinámica.
- SD-WAN identifica internamente el tipo de ruta y su valor de preferencia predeterminado.
- SD-WAN asigna el valor de preferencia correcto e instala la ruta en la base de información de enrutamiento (RIB) y en la base de información de reenvío (FIB).
- SD-WAN considera la acción de anuncio predeterminada configurada para esta ruta. Según cuál sea la acción de anuncio configurada, SD-WAN anuncia la ruta en toda la empresa del cliente (anunciada) o no realiza ninguna acción aparte de agregar la ruta localmente a RIB y FIB (no anunciada).
- A continuación, SD-WAN sincroniza esta ruta con la instancia de Orchestrator, que la muestra en su interfaz de usuario.
Puntos de salida de VPN preferidos
Esta sección cubre los puntos de salida de VPN preferidos: qué son, qué rutas pertenecen a cada categoría y el uso de la fijación de rutas para anular valores predeterminados.
En el servicio de SD-WAN del portal de empresas, al navegar a , puede ver una sección que se llama Salidas de VPN preferidas (Preferred VPN Exits). En esta sección, se muestran las prioridades predeterminadas y se marcan algunas categorías de rutas como preferidas frente a otras.
- Edge: cualquier ruta interna que se pueda aprender en una instancia de Edge de hub o de radios pertenece a esta categoría y está marcada con la prioridad más alta. Una ruta interna no puede ser una ruta de tipo OSPF OE 1/2 o de enlace ascendente de BGP.
- Hub: cualquier sitio externo que se conozca en una instancia de Edge pertenece a la categoría de hub y, por lo general, tiene una prioridad más baja. Las rutas de hub incluyen las rutas de tipo OSPF OE 1/2 o de enlace ascendente de BGP.
- Puerta de enlace de socio (Partner Gateway): cualquier ruta aprendida en una puerta de enlace de socio.
- Enrutador: el enrutador representa cualquier prefijo de ruta aprendido por una instancia de Edge con BGP u OSPF y determina la preferencia que se asigna a una ruta dinámica. Por lo general, todos los puntos de salida por encima de Enrutador (Router) en la salida de VPN tienen asignado un valor de preferencia bajo y, por lo tanto, tienen una mayor preferencia, mientras que todos los puntos de salida por debajo de Enrutador (Router) tienen asignado un valor de preferencia más alto y, por lo tanto, tienen una preferencia menor.
- Por ejemplo: cuando DCC está activado, todas las rutas pertenecientes a puntos de salida de VPN (Edge, Puerta de enlace de socio [Partner Gateway] o Hub) que están por encima de Enrutador (Router) obtienen un valor de preferencia inferior a 1 000 000, y las que están por debajo obtienen un valor de preferencia superior a 1 000 000.
- En el siguiente ejemplo, los puntos de salida de VPN por encima de Enrutador (Router) —a saber, NSD, Edge y Puerta de enlace de socio (Partner Gateway)— obtendrán un valor de preferencia inferior a 1 000 000, y Hub obtendrá un valor de preferencia superior a 1 000 000.
Fijar una ruta para reemplazar un valor de preferencia predeterminado
- Un usuario fija una ruta en la página Control de flujo superpuesto (Overlay Flow Control) mediante una de las siguientes opciones:
- En Lista de rutas (Routes List), seleccione una o varias rutas y haga clic en la opción Preferencia de ruta aprendida (Learned Route Preference).
- Para modificar el orden en Salidas de VPN preferida (Preferred VPN Exits), haga clic en Editar (Edit) en la tabla.
- Orchestrator envía este evento de enrutamiento a las instancias de Edge relevantes en la empresa del cliente.
- Las instancias de Edge anulan el valor de preferencia anterior para que coincida con el orden de fijación.
- Los valores de preferencia que se asignan a las rutas fijadas comienzan por 1, 2, 3, etc. (los valores más bajos y, por lo tanto, las preferencias más altas), y este valor coincide con el orden de las rutas en la página Control de flujo superpuesto (Overlay Flow Control).
Nota: Para obtener más información sobre cómo fijar una ruta, consulte Configurar subredes.
Escenarios de desempate de rutas dinámicas
¿Qué sucede cuando una instancia de Edge recibe el mismo prefijo para dos o más orígenes/vecinos?
Un posible escenario en las implementaciones de SD-WAN es que el mismo prefijo se anuncie desde dos instancias de Edge o puertas de enlace de socio diferentes. Con VMware SD-WAN, si las subredes están dentro de la misma categoría (Edge, Hub o Puerta de enlace de socio [Partner Gateway]) y tienen el mismo valor de preferencia, los atributos de BGP o las métricas de OSPF se tienen en cuenta en primer lugar para ordenar las rutas.
Si sigue habiendo un empate, SD-WAN utiliza el identificador lógico, derivado del identificador único universal (UUID) de la puerta de enlace o de Edge, del dispositivo de próximo salto para desempatar. El dispositivo de próximo salto puede ser una puerta de enlace o una instancia de Edge de hub, según el tipo de VPN de sucursal a sucursal que se utilice. Si la empresa del cliente utiliza una VPN de sucursal a sucursal a través de la puerta de enlace, el próximo salto será una puerta de enlace, mientras que si utiliza una VPN de sucursal a hub, el próximo salto será una instancia de Edge de hub.
Habrá un desempate final si varias puertas de enlace anuncian el mismo tipo de ruta exacta y preferencia. Este desempate final prefiere la ruta más antigua aprendida. Para garantizar el resultado de enrutamiento que desea, puede anclar ciertas rutas o configurar los atributos y los costes de BGP para favorecer algunas rutas en lugar de otras.