Cette section fournit une vue d'ensemble de la fonctionnalité de routage de VMware SASE, notamment les types de routes, les routes connectées et statiques, les routes dynamiques avec des scénarios déterminants pour eux et les valeurs de préférence dans Overlay Flow Control (OFC) avec Calcul du coût distribué (DCC).

Présentation

Le routage VMware SASE est basé sur un protocole propriétaire appelé VCRP qui est compatible avec les chemins multiples et sécurisé via le transport VCMP. Les points de terminaison SD-WAN sont connectés à l'aide de VCRP d'une manière semblable à un maillage complet iBGP. SD-WAN Gateway agit comme un réflecteur de route BGP qui reflète les routes d'un dispositif SD-WAN Edge vers un autre dispositif SD-WAN Edge au sein de l'entreprise cliente en fonction des paramètres du profil.

Le diagramme suivant décrit un déploiement de SD-WAN classique avec des destinations non-SD-WAN multicloud dans lesquelles Orchestrator effectue le calcul de route, contrairement à la méthode la plus récente et préférée utilisant le calcul de coût dynamique (DCC, Dynamic Cost Calculation).

Composants SD-WAN

Le routage VMware SD-WAN utilise trois composants : le dispositif Edge, la passerelle et le dispositif Orchestrator.
  • Le dispositif SD-WAN Edge est un périphérique de classe d'entreprise ou une instance de cloud virtualisé, qui fournit une connectivité sécurisée et optimisée aux applications privées, publiques et hybrides, ainsi qu'aux services virtualisés. Dans le routage SD-WAN, le dispositif Edge est une Passerelle frontière (Border Gateway). Un dispositif Edge peut fonctionner comme un dispositif Edge normal (sans configuration de Hub) en tant que Hub lui-même ou en tant que partie d'un cluster, ou en tant que Spoke (lorsque des Hubs sont configurés).
  • La passerelle SD-WAN Gateway est autonome, sans état, évolutive, horizontalement évolutive et fournie par le cloud auquel les dispositifs Edge de plusieurs locataires peuvent se connecter. Pour tout déploiement de SD-WAN, plusieurs passerelles SD-WAN Gateway sont déployées en tant que réseau géographiquement distribué (pour une latence inférieure) et horizontalement évolutif (pour la capacité) avec chaque passerelle agissant comme un Réflecteur de route pour leurs dispositifs Edge connectés.

    Toutes les routes apprises localement sur un dispositif Edge sont envoyées à la passerelle en fonction de la configuration. La passerelle reflète ensuite ces routes vers d'autres dispositifs Edge de l'entreprise, ce qui permet une connectivité VPN de maillage complet efficace sans créer un maillage complet des tunnels.

  • SASE Orchestrator est un portail de configuration et de surveillance basé sur le cloud à locataires multiples. Dans le routage SD-WAN, Orchestrator gère les routes pour toutes les entreprises et peut remplacer le comportement de routage par défaut.

Types de route

Il existe deux types généraux de routes pour SD-WAN :
  • Routes locales (Local Routes) : toute route apprise localement sur un dispositif SD-WAN Edge. Il peut s'agir d'un sous-réseau connecté, d'une route configurée statiquement ou de n'importe quelle route apprise via BGP ou OSPF.
  • Routes distantes (Remote Routes) : toute route apprise à partir de VCRP. Une route qui n'est pas localement présente sur un dispositif Edge est donc une route distante. Cette route provient d'un dispositif Edge différent et est reflétée par la passerelle vers d'autres dispositifs Edge dans l'entreprise cliente en fonction de la configuration.

Il s'agit d'un ordre strict que SD-WAN utilise pour acheminer le trafic pour les routes non dynamiques (BGP et OSPF) qui ne peuvent pas être modifiées. Toutefois, dans certains scénarios, vous pouvez utiliser la technique de Correspondance de préfixe la plus longue pour manipuler la manière dont le routage est acheminé.

Tableau 1. Liste des types de routes
1. Correspondance de préfixe la plus longue
2. Route connectée locale
3. Réseau LAN/WAN statique local
4. Route connectée distante
5. Réseau LAN/WAN statique distant
6. Destination non-SD-WAN statique
7. Passerelle de partenaires statique
8. Ordre des routes basé sur Overlay Flow Control (OFC)
Note : Entre les routes locales et distantes du même type, VMware SD-WAN préférera l'instance locale à l'instance distante. Par exemple, une route connectée locale est préférée à une route connectée distante. De même, entre une route statique locale et une route statique distante, la route statique locale est préférée.

Routes connectées et statiques

Cette section inclut des informations essentielles sur les routes connectées et statiques. Une route connectée est une route vers un réseau qui est directement attaché à l'interface. Des informations sur les routes statiques sont disponibles dans la section Configurer les paramètres de route statique.

Routes connectées (Connected Routes)

  • Pour qu'une route connectée soit visible dans SD-WAN, configurez les paramètres suivants sur Orchestrator :
    • VPN cloud doit être activé.
    • La route connectée doit être configurée avec une adresse IP valide.
    • L'interface Edge pour cette route doit être active sur la couche 1 et fonctionnelle sur les couches 2 et 3.
    • Les VLAN associés à cette interface Edge doivent également être actifs.
    • L'indicateur Advertise (Annoncer) doit être défini sur l'interface Edge sous Paramètres IP de l'interface (Interface IP settings) pour laquelle la route connectée est configurée.
Routes statiques
  • Pour qu'une route statique soit visible dans SD-WAN, configurez les paramètres suivants sur Orchestrator :
    • VPN cloud doit être activé.
    • L'indicateur Advertise (Annoncer) doit être défini sur l'interface Edge pour laquelle la route statique est configurée.
    • Les options Préférré (Preferred) et Annoncé (Advertised) doivent être cochées pour la configuration de la route statique.
  • Les routes statiques peuvent transférer le trafic vers la sous-couche WAN pour les segments globaux et vers la sous-couche LAN ou WAN pour les segments non globaux.
  • L'ajout d'une route statique contourne la NAT sur l'interface Edge.
  • ECMP (Equal-cost multi-path routing) avec une route statique n'est pas pris en charge et seule la première route statique est utilisée.
  • Utilisez une sonde ICMP pour éviter le blocage du trafic.
  • Une route statique avec l'indicateur Préféré (Preferred) coché est préférée à toute route VPN apprise sur la superposition.
Note : Différence entre l'indicateur Préféré (Preferred) et l'indicateur Annoncer (Advertise) :

Lorsque la case Préféré (Preferred) est sélectionnée, la route statique est toujours mise en correspondance en premier, même si une route VPN avec un coût inférieur est disponible.

Ne pas sélectionner cette option signifie qu'une route VPN disponible est mise en correspondance sur la route statique, même lorsque la route VPN a un coût plus élevé que la route statique. La route statique est mise en correspondance uniquement lorsque les routes VPN correspondantes ne sont pas disponibles.

L'option Préféré (Preferred) n'est pas disponible pour le type d'adresse IPv6.

Lorsque la case Advertise (Annoncer) est cochée, la route statique est annoncée sur les routes VPN et les autres dispositifs SD-WAN Edge du réseau auront accès à la ressource.

Ne sélectionnez pas cette option lorsqu'une ressource privée telle que l'imprimante personnelle d'un télétravailleur est configurée comme route statique et que les autres utilisateurs ne doivent pas être autorisés à accéder à la ressource.

L'option Advertise (Annoncer) n'est pas disponible pour le type d'adresse IPv6.

Les Indicateurs d'annonce globale (Global Advertise Flags) d'OFC contrôlent les routes qui sont ajoutées à la superposition. Par défaut, les types de routes suivants ne sont pas annoncés dans la superposition : OSPF externe et iBGP de destination non-SD-WAN. En outre, si un dispositif Edge agit à la fois comme Hub et Site distant, les Indicateurs d'annonce globale (Global Advertise Flags) configurés pour le site distant seront utilisés, pas le Hub.

Note : Il existe deux types de routes supplémentaires : Routes auto (Self Routes) et Routes de cloud (Cloud Routes), qui sont installées sur un dispositif Edge en fonction de la configuration du dispositif Edge. Chaque route dispose d'une application limitée décrite ci-dessous et ne nécessite pas de traitement supplémentaire au-delà de sa mention ici :

La Route auto (Self Route) fait référence à un préfixe basé sur l'interface utilisant la correspondance de préfixe IP la plus longue (LPM) (par exemple : 172.16.1.10/32) qui est installé localement sur le dispositif Edge, mais qui n'est pas annoncé aux dispositifs Edge distants. Un autre terme pour les routes auto est « Routes d'interface ». Lorsque vous consultez les journaux d'un dispositif Edge, un utilisateur voit ces routes auto avec l'indicateur de route « s ».

Une route auto se distingue d'une route connectée par le fait qu'une route connectée peut être annoncée dans la superposition afin que les clients Edge distants puissent revenir aux clients appartenant à la route connectée du côté du dispositif Edge source. Les routes auto sont strictement locales pour le dispositif Edge lui-même.

Une route Cloud est désignée par un indicateur « v » et fait référence à une route installée sur un dispositif Edge pointant vers une passerelle VMware SD-WAN Gateway pour le trafic à chemins multiples destiné à Internet (en d'autres termes, le trafic Internet à l'aide de DMPO (Dynamic Multi-Path Optimization) qui exploite une passerelle avant d'atteindre Internet).

Le dispositif Edge utilise également une route cloud via une passerelle correspondante pour le trafic de gestion destiné à un dispositif VMware Orchestrator qui est hébergé sur le cloud public.

Overlay Flow Control (OFC) avec Calcul du coût distribué (DCC)

Cette section explique le fonctionnement d'une commande de route utilisant OFC avec DCC.
Important : Ce matériel n'est valide que pour les clients sur lesquels Contrôle de coût distribués (Distributed Cost Control, DCC) est activé. DCC a été mis à disposition pour la première fois dans SD-WAN version 3.4.0 et doit désormais être activé pour tous les clients. Cette fonctionnalité sera automatiquement activée pour les nouveaux clients dans une prochaine version. Pour plus d'informations sur DCC, notamment sur les meilleures pratiques, reportez-vous à la section Configurer le calcul du coût distribué.

Présentation du calcul du coût distribué

Calcul du coût distribué (Distributed Cost Calculation, DCC) est une fonctionnalité qui utilise les dispositifs SD-WAN Edge et les passerelles pour le calcul des préférences de route au lieu de l'appliquer sur SASE Orchestrator. Le dispositif Edge et la passerelle insèrent chacun les routes instantanément lors de leur apprentissage, puis transmettent ces préférences à Orchestrator.

DCC résout un problème rencontré dans des déploiements à grande échelle où le recours à Orchestrator uniquement peut empêcher les mises à jour des préférences de route en temps opportun, soit parce qu'un dispositif Edge ou une passerelle ne peut pas y accéder pour recevoir des préférences de routage mises à jour, soit parce qu'Orchestrator ne peut pas fournir rapidement des mises à jour de routes lorsqu'il en calcule un grand nombre en même temps. La distribution des responsabilités pour le calcul des préférences de route aux dispositifs Edge et aux passerelles garantit des mises à jour de routes rapides et fiables.

Fonctionnement des préférences de calcul du coût distribué

Le tableau 1-2 inclut les types de routes dynamiques pris en charge dans SD-WAN, tandis que le tableau 1-3 est un glossaire des types de routes. Une route dynamique est d'abord classée selon qu'elle est apprise sur le dispositif Edge ou la passerelle.
Tableau 2. Types de route dynamique
Dispositif Edge Passerelle partenaire/Passerelle hébergée
BGP NSD E BGP NSD E/I
BGP NSD I BGP E/I
BGP de liaison montante NSD
OSPF O
OSPF IA
BGP E
BGP I
OSPF OE1
OSPF OE2
BGP de liaison montante
Tableau 3. Significations des types de route
O = OSPF intra-zone
IA = OSPF inter-zone
OE1 = OSPF externe type 1
OE2 = OSPF externe type 2
BGP E = BGP externe
BGP I = BGP interne
NSD = Destination non-SD-WAN
Note : La prise en charge de la destination non-SD-WAN (NSD) avec OFC est disponible à partir de la version 4.3.0 et versions ultérieures. Pour plus d'informations sur les NSD, reportez-vous à la section Configurer une destination non-SD-WAN.
Chaque type de route a une valeur de préférence et une valeur de préférence est attribuée à chaque route apprise en fonction du type de route. Plus la valeur de préférence est faible, plus la priorité est élevée. Le tableau 1 à 4 répertorie la valeur de préférence par défaut pour chaque type de route.
Tableau 4. Valeurs des préférences
Périphérique (Device) Type de route (Route Type) Préférence par défaut
Dispositif Edge BGP NSD E 997
Dispositif Edge BGP NSD I 998
Gateway BGP NSD E/I 999
Dispositif Edge BGP de liaison montante NSD 1000
Dispositif Edge OSPF O 1001
Dispositif Edge OSPF IA 1002
Dispositif Edge BGP E 1003
Dispositif Edge BGP I 1004
Passerelle partenaire (Partner Gateway) BGP E/I 1005
Hub OSFP OE1 1001006
Hub OSPF OE2 1001007
Hub Liaison montante BGP 1001008

Workflow de route dynamique

  1. Le dispositif Edge ou la passerelle apprend une route dynamique.
  2. SD-WAN identifie en interne le type de route et sa valeur de préférence par défaut.
  3. SD-WAN attribue la valeur de préférence correcte et installe la route dans la base d'informations de routage (RIB) et la base d'informations de transfert (FIB).
  4. SD-WAN prend en compte l'action publicitaire par défaut configurée pour cette route. En fonction de l'action d'annonce, SD-WAN annonce la route sur l'entreprise cliente (annoncée) ou n'effectue aucune action autre que l'ajout local de la route dans la RIB et la FIB (non annoncées).
  5. SD-WAN synchronise ensuite cette route avec Orchestrator qui l'affiche.

Points de sortie VPN préférés

Cette section couvre les Points de sortie VPN préférés (Preferred VPN Exit Points) : ce qu'ils sont, quelles routes se trouvent dans quelles catégories et l'utilisation de l'épinglage de routes pour remplacer les valeurs par défaut.

Dans le service SD-WAN du portail d'entreprise, lorsque vous accédez à Configurer (Configure) > Overlay Flow Control, vous pouvez voir une section intitulée Sorties VPN préférées (Preferred VPN Exits). Cette section affiche les priorités par défaut et marque certaines catégories de routes comme préférées à d'autres.

Capture d'écran de la fenêtre Overlay Flow Control affichant Sorties VPN préférées (Preferred VPN Exits).

Catégories de Sortie VPN préférée (Preferred VPN Exit) :
  • Dispositif Edge (Edge) : toute route interne qui peut être apprise sur un Hub ou un dispositif Spoke Edge entre dans cette catégorie et est marquée avec la priorité la plus élevée. Une route interne ne peut pas être une route de type liaison montante OSPF OE 1/2 ou BGP.
  • Hub : tout site externe appris sur un dispositif Edge entre dans la catégorie Hub et a généralement une priorité inférieure. Les routes du Hub incluent la liaison montante OSPF OE1/2 et BGP.
  • Passerelle partenaire (Partner Gateway) : toute route apprise sur une passerelle partenaire.
  • Routeur : le routeur représente n'importe quel préfixe de route appris par un dispositif Edge avec BGP ou OSPF et détermine la préférence attribuée à une route dynamique. En général, tous les points de sortie au-dessus du routeur dans la sortie VPN reçoivent une valeur de préférence faible et sont donc plus préférés, tandis que tous les points de sortie en dessous du routeur reçoivent une valeur de préférence plus élevée et sont donc moins préférés.
    • Par exemple : lorsque DCC est activé, toutes les routes qui appartiennent aux Points de sortie VPN (Edge, passerelle partenaire ou Hub) qui se trouvent au-dessus du routeur reçoivent une valeur de préférence inférieure à 1 000 000 et les routes qui se trouvent en dessous du routeur reçoivent une valeur de préférence supérieure à 1 000 000.
    • Dans l'exemple ci-dessous, les points de sortie VPN au-dessus du routeur, qui sont NSD, Edge et Passerelle partenaire (Partner Gateway), reçoivent une valeur de préférence inférieure à 1 000 000 et le Hub reçoit une valeur de préférence supérieure à 1 000 000.Autre capture d'écran de la fenêtre Overlay Flow Control, mais celle-ci met en surbrillance le routeur pour indiquer les valeurs de préférence au-dessus et en dessous du type de routeur.

Épinglage d'une route pour remplacer une valeur de préférence par défaut

SD-WAN dispose d'une fonctionnalité d'épinglage de route qui permet à un utilisateur de remplacer la valeur de préférence par défaut attribuée à n'importe quelle route dynamique. Une fois qu'une route dynamique est apprise et synchronisée avec Orchestrator, l'utilisateur peut accéder à la page Overlay Flow Control et remplacer l'ordre par défaut. Le workflow correspondant est le suivant :
  1. Un utilisateur épingle une route sur la page Overlay Flow Control de l'une des manières suivantes :
    1. Dans Liste des routes (Routes List), sélectionnez une ou plusieurs routes, puis cliquez sur l'option Épingler la préférence de route apprise (Pin Learned Route Preference).
    2. En modifiant l'ordre des Sorties VPN préférées (Preferred VPN Exits) en cliquant sur Modifier (Edit) sous le tableau.
  2. Orchestrator envoie cet événement de routage aux dispositifs Edge appropriés dans l'entreprise cliente.
  3. Les dispositifs Edge remplacent la valeur de préférence précédente pour correspondre à l'ordre épinglé.
  4. Les valeurs de préférence attribuées aux routes épinglées commencent par 1, 2, 3 et ainsi de suite (les valeurs les plus faibles et donc les préférences les plus élevées), ce qui correspond à l'ordre des routes sur la page Overlay Flow Control.
    Note : Pour plus d'informations sur l'épinglage d'une route, reportez-vous à la section Configurer les sous-réseaux.

Scénarios prépondérants pour les routes dynamiques

Que se passe-t-il lorsqu'un dispositif Edge reçoit le même préfixe pour au moins deux sources/voisins ?

Dans les déploiements SD-WAN, un scénario potentiel consiste à annoncer le même préfixe à partir de deux passerelles partenaires ou dispositifs Edge différents. Avec VMware SD-WAN, si les sous-réseaux se trouvent dans la même catégorie (Edge, Hub ou passerelle partenaire) et ont la même valeur de préférence, les mesures OSPF ou les attributs BGP sont d'abord pris en compte pour le tri de route.

S'il reste un lien, SD-WAN utilise l'ID logique (qui est dérivé de l'identifiant unique universel ou UUID) du périphérique next-hop pour interrompre le lien. Le périphérique next-hop peut être une passerelle ou un dispositif Hub Edge en fonction du type de VPN de site distant vers site distant utilisé. L'entreprise cliente utilise une relation de site distant vers site distant via une passerelle ; le next-hop est une passerelle, tandis qu'un client utilisant une relation de site distant vers Hub aura le next-hop comme dispositif Edge du Hub.

Il existe un élément déterminant final si plusieurs passerelles annoncent le même type de route exact et la même préférence. Cet élément déterminant final préfère la voie la plus ancienne apprise. Pour garantir le résultat de routage souhaité, vous pouvez épingler certaines routes ou configurer les attributs et les coûts BGP pour favoriser certaines routes par rapport à d'autres.

Note : Les clients n'ont pas de contrôle sur la manière dont un ID logique (LID, Logical ID) est généré et vous ne pouvez pas modifier sa valeur. Les valeurs LID ne sont pas directement comparables. Au lieu de cela, elles sont comparées à l'aide d'un algorithme logiciel interne qui décompose un LID en quatre blocs et les compare un par un. Par exemple, lid1-data1 est supérieur à lid1-data2 et lid1-data2 est supérieur à lid2-data2.