Panoramica del routing di VMware SD-WAN

Panoramica

Il routing di VMware SASE è basato su un protocollo proprietario denominato VCRP, che è compatibile con il percorso multiplo e protetto tramite il trasporto VCMP. Gli endpoint SD-WAN sono connessi tramite VCRP in modo simile alla mesh completa di iBGP. SD-WAN Gateway agisce come reflector di route BGP che riflette le route da un SD-WAN Edge a un altro SD-WAN Edge nell'azienda del cliente in base alle impostazioni del profilo.

Il diagramma seguente illustra una distribuzione di SD-WAN tipica con destinazioni non SD-WAN multi-cloud in cui Orchestrator esegue il calcolo della route (a differenza del metodo più recente e preferito che utilizza il calcolo dei costi dinamico).

Componenti di SD-WAN

Il routing di VMware SD-WAN utilizza tre componenti, ovvero Edge, Gateway e Orchestrator.

SD-WAN Edge è un dispositivo di classe aziendale o un'istanza di cloud virtualizzata che fornisce connettività sicura e ottimizzata ad applicazioni private, pubbliche e ibride e servizi virtualizzati. Nel routing SD-WAN, l'Edge è un Border Gateway. Un Edge può funzionare come un Edge regolare (senza configurazione di hub), come hub autonomo o come parte di un cluster oppure come spoke (quando sono configurati gli hub).
SD-WAN Gateway è autonomo, stateless, scalabile orizzontalmente e fornito dal cloud a cui gli Edge di più tenant possono connettersi. Per qualsiasi distribuzione di SD-WAN, diversi SD-WAN Gateway vengono distribuiti come una rete distribuita geograficamente (per ridurre la latenza) e scalabile orizzontalmente (per capacità), con ciascun gateway che funge da Reflector di route per gli Edge connessi.
Tutte le route acquisite localmente in un Edge vengono inviate al gateway in base alla configurazione. Il gateway riflette quindi queste route negli altri Edge dell'azienda, consentendo una connettività VPN della mesh completa efficiente senza creare una mesh completa di tunnel.
SASE Orchestrator è un portale di monitoraggio e configurazione basato sul cloud multi-tenant. Nel routing di SD-WAN, Orchestrator gestisce le route per tutte le aziende e può sostituire il comportamento di routing predefinito.

Tipi di route

Sono disponibili due tipi di route generali per SD-WAN:

Route locale: qualsiasi route acquisita localmente in un SD-WAN Edge. Può trattarsi di una subnet connessa, di una route configurata staticamente o di qualsiasi route acquisita tramite BGP oppure OSPF.

Route remota: qualsiasi route acquisita da VCRP. In altre parole, una route che non è localmente presente in un Edge è una route remota. Questa route proviene da un Edge diverso e viene riflessa dal gateway negli altri Edge dell'azienda del cliente in base alla configurazione.

Per instradare il traffico per le route non dinamiche (BGP e OSPF), SD-WAN utilizza un ordine rigido che non può essere modificato. In alcuni scenari, è tuttavia possibile utilizzare la tecnica Corrispondenza prefisso più lungo (Longest Prefix Match) per modificare il flusso del routing.

Tabella 1. Ordine dei tipi di route
1. Corrispondenza prefisso più lungo
2. Locale connesso
3. LAN/WAN statica locale
4. Connesso in remoto
5. LAN/WAN statica remota
6. Destinazione non SD-WAN statica
7. Gateway partner statico
8. Ordine di routing basato sul controllo del flusso di overlay

Nota: Tra una route locale e una route remota dello stesso tipo, VMware SD-WAN preferisce quella locale rispetto a quella remota. Ad esempio, una route connessa locale viene preferita rispetto , a una route connessa remota. Analogamente, tra una route statica locale e una route statica remota, viene preferita la route statica locale.

Route connesse e statiche

Questa sezione include informazioni essenziali relative alle route connesse e statiche. Una route connessa è una route verso una rete direttamente collegata all'interfaccia. Le informazioni sulle route statiche sono disponibili in Configurazione delle impostazioni di routing statiche.

Route connesse

Per fare in modo che una route connessa sia visibile in SD-WAN, configurare le impostazioni seguenti in Orchestrator:
- La funzionalità VPN cloud (Cloud VPN) deve essere attivata.
- La route connessa deve essere configurata con un indirizzo IP valido.
- L'interfaccia dell'Edge per questa route deve essere attiva al livello 1 e funzionante ai livelli 2 e 3.
- Anche le VLAN associate a questa interfaccia dell'Edge devono essere attive.
- Il flag Annuncia (Advertise) deve essere impostato nell'interfaccia dell'Edge in Impostazioni IP interfaccia (Interface IP settings) per cui la route connessa è configurata.

Route statiche

Per fare in modo che una route statica sia visibile in SD-WAN, configurare le impostazioni seguenti in Orchestrator:
- La funzionalità VPN cloud (Cloud VPN) deve essere attivata.
- Il flag Annuncia (Advertise) deve essere impostato nell'interfaccia dell'Edge per cui la route statica è configurata.
- Nella configurazione della route statica devono essere selezionate le opzioni Preferita (Preferred) e Annunciata (Advertised).
Le route statiche possono inoltrare il traffico all'underlay WAN per i segmenti globali e all'underlay LAN o WAN per i segmenti non globali.
Se si aggiunge una route statica, viene ignorato il NAT nell'interfaccia dell'Edge.
Il routing ECMP (Equal-Cost Multi-Path) non è supportato con una route statica e viene utilizzata solo la prima route statica.
Utilizzare un probe ICMP per evitare il blackholing del traffico.
Una route statico con il flag Preferita (Preferred) selezionato è preferibile rispetto a qualsiasi route VPN acquisita nell'overlay.

Nota: Differenza tra il flag Preferita (Preferred) e il flag Annuncia (Advertise):

Quando è selezionata la casella di controllo Preferita (Preferred), la route statica viene sempre associata per prima, anche se è disponibile una route VPN con un costo inferiore.

Se non si seleziona questa opzione, qualsiasi route VPN disponibile viene associata prima della route statica, anche se la route VPN ha un costo maggiore rispetto alla route statica. La route statica viene associata solo quando le route VPN corrispondenti non sono disponibili.

L'opzione Preferita (Preferred) non è disponibile per un tipo di indirizzo IPv6.

Quando la casella di controllo Annuncia (Advertise) è selezionata, la route statica viene annunciata per prima rispetto alle route VPN e gli altri SD-WAN Edge nella rete avranno accesso alla risorsa.

Non selezionare questa opzione quando una risorsa privata, come la stampante personale di un utente che lavora da remoto, è configurata come route statica e agli altri utenti deve essere impedito l'accesso alla risorsa.

L'opzione Annuncia (Advertise) non è disponibile per il tipo di indirizzo IPv6.

Il controllo del flusso di overlay Contrassegni annunci globali (Global Advertise Flags) controlla quali route vengono aggiunte all'overlay. Per impostazione predefinita, i seguenti tipi di route non vengono annunciati nell'overlay: OSPF esterno e iBGP di destinazione non SD-WAN. Inoltre, se un Edge funge da hub e filiale, vengono utilizzati i Contrassegni annunci globali (Global Advertise Flags) configurati per la filiale, non quelli configurati per l'hub.

Nota: Sono disponibili due tipi di route aggiuntivi, ovvero route automatica e route cloud che vengono installati in un Edge in base alla configurazione dell'Edge. Ogni route ha l'applicazione limitata descritta di seguito e non richiede ulteriori approfondimenti oltre a questi:

Una route automatica fa riferimento a un prefisso basato sull'interfaccia che utilizza la corrispondenza del prefisso IP più lungo (ad esempio: 172.16.1.10/32) che viene installato in locale nell'Edge ma non viene annunciato agli Edge remoti. Le route autonome sono denominate anche "route dell'interfaccia". Nei registri di un Edge, queste route automatiche sono contrassegnate con il flag "s".

Una route automatica è diversa da una route connessa perché la route connessa può essere annunciata nell'overlay in modo che i client Edge remoti possano raggiungere i client appartenenti alla route connessa sul lato dell'Edge di origine. Le route automatiche sono locali per l'Edge stesso.

Una route cloud è indicata con il flag "v" e si riferisce a una route installata in un Edge che punta a un VMware SD-WAN Gateway per il traffico con percorso multiplo destinato a Internet (in altre parole, il traffico Internet che utilizza l'ottimizzazione dinamica del percorso multiplo che sfrutta un gateway prima di raggiungere Internet).

L'Edge utilizza anche una route cloud tramite un gateway corrispondente per il traffico di gestione destinato a un VMware Orchestrator che è ospitato nel cloud pubblico.

Controllo del flusso di overlay con calcolo dei costi distribuito

Questa sezione illustra come funziona un ordine di routing che utilizza il controllo del flusso di overlay con il calcolo dei costi distribuito.

Importante: Questo materiale è valido solo per i clienti che hanno attivato il Calcolo dei costi distribuito. Il calcolo dei costi distribuito è stato reso disponibile per la prima volta nella versione 3.4.0 di SD-WAN e ora è prevista la sua attivazione per tutti i clienti. Questa funzionalità verrà automaticamente attivata per i nuovi clienti in una versione futura. Per ulteriori informazioni sul calcolo dei costi distribuito, incluse le procedure consigliate, vedere Configurazione del calcolo dei costi distribuito.

Panoramica del calcolo dei costi distribuito

Calcolo dei costi distribuito è una funzionalità che utilizza gli SD-WAN Edge e i gateway anziché SASE Orchestrator per il calcolo della preferenza della route. L'Edge e il Gateway inseriscono le route immediatamente dopo averle acquisite e quindi comunicano queste preferenze a Orchestrator.

Calcolo dei costi distribuito risolve un problema che si verifica nelle distribuzioni su larga scala in cui l'utilizzo del solo Orchestrator può impedire aggiornamenti tempestivi delle preferenze delle route perché Orchestrator non può essere raggiunto da un Edge o un gateway per ricevere le preferenze di routing aggiornate oppure perché Orchestrator non è in grado di fornire rapidamente gli aggiornamenti delle route quando ne sta calcolando un numero elevato contemporaneamente. La distribuzione delle responsabilità per il calcolo delle preferenze delle route agli Edge e ai gateway assicura aggiornamenti delle route veloci e affidabili.

Come viene eseguita la preferenza del calcolo dei costi distribuito

Nella tabella 1-2 sono indicati i tipi di route dinamiche supportate in SD-WAN, mentre la tabella 1-3 è un glossario dei tipi di route. Una route dinamica viene innanzitutto categorizzata in base al fatto che venga acquisita nell'Edge o nel gateway.

Tabella 2. Tipi di route dinamiche
Edge	Gateway partner/Gateway ospitato
NSD E BGP	NSD E/I BGP
NSD I BGP	E/I BGP
NSD Uplink BGP
OSPF O
OSPF IA
E BGP
I BGP
OSPF OE1
OSPF OE2
Uplink BGP

Tabella 3. Significati dei tipi di route
O = OSPF interno all'area
IA = OSPF tra aree
OE1 = Tipo esterno OSPF 1
OE2 = Tipo esterno OSPF 2
E BGP = BGP esterno
I BGP = BGP interno
NSD = Destinazione non SD-WAN

Nota: Il supporto della destinazione non SD-WAN (NSD) con controllo del flusso di overlay è disponibile nelle versioni 4.3.0 e successive. Per ulteriori informazioni su NSD, vedere Configurazione di una destinazione non SD-WAN.

Ogni tipo di route ha un valore di preferenza e a ogni route acquisita viene assegnato un valore di preferenza in base al tipo di route. Più basso è il valore di preferenza, più alta è la priorità. Nella tabella 1-4 è indicato il valore di preferenza predefinito per ogni tipo di route.

Tabella 4. Valori di preferenza
Dispositivo	Tipo di route	Preferenza predefinita
Edge	NSD E BGP	997
Edge	NSD I BGP	998
Gateway	NSD E/I BGP	999
Edge	NSD Uplink BGP	1000
Edge	OSPF O	1001
Edge	OSPF IA	1002
Edge	E BGP	1003
Edge	I BGP	1004
Gateway partner	E/I BGP	1005
Hub	OSFP OE1	1001006
Hub	OSPF OE2	1001007
Hub	Uplink BGP	1001008

Workflow della route dinamica

L'Edge o il gateway acquisisce una route dinamica.
SD-WAN identifica internamente il tipo di route e il valore di preferenza predefinito di tale route dinamica.
SD-WAN assegna il valore di preferenza corretto e installa la route in RIB (Routing Information Base) e FIB (Forwarding Information Base).
SD-WAN considera l'azione di annuncio predefinita configurata per questa route. In base all'azione di annuncio, SD-WAN annuncia la route nell'azienda cliente (annunciata) o non esegue alcuna azione oltre ad aggiungere la route in locale in RIB e FIB (non annunciata).
SD-WAN sincronizza quindi questa route con Orchestrator, che la visualizza in Orchestrator.

Punti di uscita VPN preferiti

Questa sezione illustra i punti di uscita VPN preferiti, spiega cosa sono, quali route possono appartenere a determinate categorie e come utilizzare l'aggiunta di route per sostituire i valori predefiniti.

Nel servizio SD-WAN del portale dell'azienda, quando si passa a Configura (Configure) > Controllo flusso overlay (Overlay Flow Control) è possibile vedere una sezione intitolata Uscite VPN preferite (Preferred VPN Exits). Questa sezione mostra le priorità predefinite e indica alcune categorie di route da preferire rispetto ad altre.

Screenshot della schermata Controllo flusso overlay (Overlay Flow Control) che mostra le uscite VPN preferite.

Categorie di Uscite VPN preferite (Preferred VPN Exits):

Edge: qualsiasi route interna che può essere acquisita in un Edge hub o spoke rientra in questa categoria ed è contrassegnata con la priorità più alta. Una route interna non può essere una route di tipo OSPF OE 1/2 o Uplink BGP.
Hub: tutti i siti esterni acquisiti in un Edge rientrano nella categoria Hub e hanno in genere una priorità più bassa. Le route di tipo Hub includono OSPF OE1/2 e Uplink BGP.
Gateway partner: qualsiasi route acquisita in un gateway partner.
Router: il router rappresenta qualsiasi prefisso di route acquisito da un Edge con BGP o OSPF e determina la preferenza assegnata a una route dinamica. In genere, a tutti i punti di uscita sopra Router nell'uscita VPN viene assegnato un valore di preferenza basso e risultano quindi più preferiti, mentre a tutti i punti di uscita sotto Router viene assegnato un valore di preferenza più elevato e risultano quindi meno preferiti.
- Ad esempio, quando è attivato il calcolo dei costi distribuito, tutte le route che appartengono a Punti di uscita VPN (VPN Exit Points) (Edge, Gateway partner o Hub) sopra Router ottengono un valore di preferenza inferiore a 1.000.000 e le route sotto Router ottengono un valore di preferenza superiore a 1.000.000.
- Nell'esempio seguente, i Punti di uscita VPN (VPN Exit Points) sopra Router, che sono NSD, Edge e Gateway partner riceveranno un valore di preferenza inferiore a 1.000.000 e Hub otterrà un valore di preferenza superiore a 1.000.000.

Aggiunta di una route per sostituire un valore di preferenza predefinito

SD-WAN dispone di una funzionalità di aggiunta della route che consente a un utente di sostituire il valore di preferenza predefinito assegnato a qualsiasi route dinamica. Dopo l'acquisizione e la sincronizzazione della route dinamica con Orchestrator, l'utente può passare alla pagina Controllo flusso overlay (Overlay Flow Control) e sostituire l'ordine predefinito. Il workflow di questa operazione è il seguente:

Un utente aggiunge una route nella pagina Controllo flusso overlay (Overlay Flow Control) eseguendo una delle operazioni seguenti:
1. In Elenco route (Routes List), selezionare una o più route e quindi fare clic sull'opzione Aggiungi preferenza route acquisita (Pin Learned Route Preference).
2. Modificare l'ordine delle Uscite VPN preferite (Preferred VPN Exits) facendo clic su Modifica (Edit) nella tabella.
Orchestrator invia questo evento di routing agli Edge pertinenti dell'azienda del cliente.
Gli Edge sostituiscono il valore di preferenza precedente in modo che corrisponda all'ordine aggiunto.
I valori di preferenza assegnati alle route aggiunte iniziano da 1, 2, 3 e così via (i valori più bassi e quindi le preferenze più elevate), e questo corrisponde all'ordine delle route nella pagina Controllo flusso overlay (Overlay Flow Control).
Nota: Per ulteriori informazioni sull'aggiunta di una route, consultare Configurazione delle subnet.

Come stabilire quale route dinamica preferire

Che cosa succede quando un Edge riceve lo stesso prefisso per due o più origini o router adiacenti?

Uno scenario potenziale nelle distribuzioni di SD-WAN prevede che lo stesso prefisso venga annunciato da due Edge o gateway partner diversi. Con VMware SD-WAN, se le subnet appartengono alla stessa categoria (Edge, Hub o Gateway partner) e hanno lo stesso valore di preferenza, per l'ordinamento delle route vengono innanzitutto considerati gli attributi BGP o le metriche OSPF.

Se non è comunque possibile stabilire quale route preferire, SD-WAN utilizza l'ID logico, che deriva dall'UUID (Universally Unique Identifier) dell'Edge o del gateway, del dispositivo dell'hop successivo per decidere. Il dispositivo dell'hop successivo può essere un gateway o un Edge hub in base al tipo di VPN da filiale a filiale (Branch to Branch VPN) in uso. Se l'azienda del cliente utilizza la VPN da filiale a filiale tramite gateway, l'hop successivo è un gateway, mentre per un cliente che utilizza la VPN da filiale ad hub, l'hop successivo è un Edge hub.

Se più gateway annunciano lo stesso tipo di route e preferenza, esiste un criterio di selezione finale. Questo criterio di selezione finale preferisce la route meno recente acquisita. Per garantire il risultato di routing desiderato, è possibile bloccare determinate route o configurare gli attributi e i costi BGP in modo da favorire alcune route rispetto ad altre.

Nota: I clienti non possono controllare la modalità di generazione di un ID logico (Logical ID) (LID) e non è possibile modificarne il valore. I valori LID non possono essere confrontati direttamente. Al contrario, vengono confrontati utilizzando un algoritmo software interno che suddivide un LID in quattro blocchi e li confronta uno per uno. Ad esempio, lid1-data1 è maggiore di lid1-data2 e lid1-data2 è maggiore di lid2-data2.