このセクションでは、ルート タイプ、コネクト ルートとスタティック ルート、動的ルートと動的ルートのタイブレイク シナリオ、分散コスト計算 (DCC) を使用したオーバーレイ フロー制御 (OFC) の設定値など、VMware SASE のルーティング機能の概要について説明します。

概要

VMware SASE ルーティングは、[VCRP] と呼ばれる独自のプロトコルで構築されています。これは、マルチパス対応で、[VCMP] トランスポートによってセキュリティが保護されています。SD-WAN エンドポイントは、iBGP フル メッシュと同様の方法で VCRP を使用して接続されます。SD-WAN Gateway は、BGP ルート リフレクタのように機能し、プロファイル設定に基づいて、カスタマー エンタープライズ内の 1 台の SD-WAN Edge から他の SD-WAN Edge にルートを反映します。

次の図は、Orchestrator がルート計算を実行するマルチクラウドの Non SD-WAN Destination を使用した一般的な SD-WAN 展開を示しています(動的コスト計算 (DCC) を使用する新しい優先される方法とは対照的です)。

SD-WAN のコンポーネント

VMware SD-WAN のルーティングでは、Edge、Gateway、Orchestrator の 3 つのコンポーネントを使用します。
  • [SD-WAN Edge] は、プライベート、パブリック、ハイブリッドの各アプリケーションおよび仮想サービスへのセキュアで最適化された接続を提供するエンタープライズ クラスのデバイスまたは仮想クラウド インスタンスです。SD-WAN のルーティングでは、Edge は[境界ゲートウェイ]です。Edge は、通常の Edge(ハブ設定なし)、ハブ自体、クラスタの一部、スポーク(ハブが設定されている場合)のいずれかとして機能します。
  • [SD-WAN Gateway] は、自律的、ステートレス、水平方向に拡張可能で、複数のテナントの Edge が接続できるクラウドで提供されます。いずれの SD-WAN 展開でも、複数の SD-WAN Gateway が地理的に分散し(遅延の低減のため)、水平方向に拡張可能な(キャパシティ確保のため)ネットワークとして展開され、各 Gateway は接続されている Edge の[ルート リフレクタ]として機能します。

    Edge でローカルに学習されたすべてのルートは、設定に基づいて Gateway に送信されます。その後、Gateway は、これらのルートをエンタープライズ内の他の Edge に反映します。これにより、トンネルのフル メッシュを構築することなく、フル メッシュ VPN 接続を効率的に確立できます。

  • [SASE Orchestrator] は、マルチテナントのクラウドベースの設定および監視ポータルです。SD-WAN ルーティングでは、Orchestrator がすべてのエンタープライズのルートを管理し、デフォルトのルーティング動作を上書きできます。

ルート タイプ

SD-WAN には、次の 2 種類の一般的なルートがあります。
  • [ローカル ルート]:SD-WAN Edge でローカルに学習されるすべてのルート。これは、接続されたサブネット、静的に設定されたルート、BGP または OSPF を経由して学習されたルートのいずれかです。
  • [リモート ルート]:VCRP から学習されるルート。つまり、Edge にローカルに存在しないルートはリモート ルートです。このルートは別の Edge から送信され、設定に基づいて、Gateway によってカスタマー エンタープライズ内の他の Edge に反映されます。

SD-WAN には、非動的ルート(BGP や OSPF)のトラフィックをルーティングする際に使用する厳密な順序があり、これを変更することはできません。ただし、場合によっては、[最長プレフィックス一致]の手法を使用して、ルーティング フローを操作できます。

表 1. ルート タイプの順序
1. 最長プレフィックス一致
2. ローカル接続
3. スタティック LAN/WAN ローカル
4. リモート接続
5. スタティック LAN/WAN リモート
6. スタティック Non SD-WAN Destination
7. スタティック Partner Gateway
8. オーバーレイ フロー制御 (OFC) によるルート順序
注: 同じタイプのローカル ルートとリモート ルートの場合、VMware SD-WAN はリモートよりもローカルを優先します。たとえば、ローカル コネクト ルートは、リモート コネクト ルートよりも優先されます。同様に、ローカル スタティック ルートとリモート スタティック ルートの場合も、ローカル スタティック ルートが優先されます。

コネクト ルートとスタティック ルート

このセクションでは、コネクト ルートとスタティック ルートに関する重要な情報について説明します。コネクト ルートは、インターフェイスに直接接続されているネットワークへのルートです。スタティック ルートの詳細については、スタティック ルートの設定を参照してください。

[コネクト ルート]

  • コネクト ルートを SD-WAN で表示するには、Orchestrator で次のように設定します。
    • [クラウド VPN (Cloud VPN)] を有効にする必要があります。
    • コネクト ルートは、有効な IP アドレスを使用して設定する必要があります。
    • このルートの Edge インターフェイスが、レイヤー 1 で稼動し、レイヤー 2 および 3 で機能している必要があります。
    • この Edge インターフェイスに関連付けられた VLAN も稼動している必要があります。
    • [広報 (Advertise)] フラグは、コネクト ルートが設定されている Edge インターフェイスの [インターフェイスの IP アドレスの設定 (Interface IP settings)] で設定する必要があります。
[スタティック ルート]
  • スタティック ルートを SD-WAN で表示するには、Orchestrator で次のように設定します。
    • [クラウド VPN (Cloud VPN)] を有効にする必要があります。
    • [広報 (Advertise)] フラグは、スタティック ルートが設定されている Edge インターフェイスで設定する必要があります。
    • スタティック ルートの設定で [優先 (Preferred)] および [広報 (Advertised)] をオンにする必要があります。
  • スタティック ルートは、グローバル セグメントの場合は WAN アンダーレイ、非グローバル セグメントの場合は LAN または WAN アンダーレイにトラフィックを転送できます。
  • スタティック ルートを追加すると、Edge インターフェイスで NAT がバイパスされます。
  • スタティック ルートを使用する ECMP(等コスト マルチパス ルーティング)はサポートされていません。最初のスタティック ルートのみが使用されます。
  • ICMP プローブを使用して、トラフィックのブラックホールを回避します。
  • [優先 (Preferred)] フラグがオンになっているスタティック ルートは、オーバーレイで学習された VPN ルートよりも優先されます。
注: [優先 (Preferred)] フラグと [広報 (Advertise)] フラグの相違点は、以下のとおりです。

[優先 (Preferred)] チェックボックスをオンにすると、コストの低い VPN ルートが使用可能な場合でも、スタティック ルートが常に最初に一致します。

このオプションをオンにしないと、VPN ルートのコストがスタティック ルートより高くても、使用可能な VPN ルートがスタティック ルートよりも優先的に一致します。スタティック ルートは、対応する VPN ルートが使用できない場合にのみ一致します。

[優先 (Preferred)] オプションは、IPv6 アドレス タイプでは使用できません。

[広報 (Advertise)] チェックボックスをオンにすると、VPN ルートを経由してスタティック ルートが広報され、ネットワークの他の SD-WAN Edge がリソースにアクセスできるようになります。

このオプションは、リモート ワークをしている社員個人のプリンタなどのプライベート リソースがスタティック ルートとして設定されており、他のユーザーがリソースにアクセスできないようにする必要がある場合は選択しないでください。

[広報 (Advertise)] オプションは、IPv6 アドレス タイプでは使用できません。

OFC の[グローバル広報フラグ]は、オーバーレイに追加されるルートを制御します。デフォルトでは、外部 OSPF と Non SD-WAN Destination iBGP のルート タイプはオーバーレイに広報されません。また、Edge がハブとブランチの両方として機能している場合は、ハブではなくブランチ用に設定された[グローバル広報フラグ]が使用されます。

注: 他のルート タイプは、Edge の設定に応じて、Edge にインストールされる [自己ルート][クラウド ルート]の 2 種類です。各ルートは以下に説明するように、狭い範囲で適用され、ここに記載されている以上に扱う必要ありません。

[自己ルート]は、IP アドレスの最長プレフィックス一致 (LPM)(172.16.1.10/32 など)を使用したインターフェイスベースのプレフィックスを参照します。このプレフィックスは、Edge にローカルにインストールされますが、リモート Edge には広報されません。自己ルートは、「インターフェイス ルート」とも呼ばれます。Edge のログを確認すると、自己ルートにはルート フラグ「s」が表示されます。

コネクト ルートは、リモート Edge クライアントが送信元 Edge 側のコネクト ルートに属するクライアントに接続できるように、オーバーレイに広報できます。この点において、自己ルートはコネクト ルートとは区別されます。自己ルートは、Edge 自体に対して厳密にローカルです。

[クラウド ルート]は「v」フラグで示され、マルチパス トラフィックをインターネットに送信する(つまり、インターネットに到達する前に Gateway を利用する動的マルチパス最適化 (DMPO) を使用してインターネットにトラフィックを送信する)場合に、VMware SD-WAN Gateway を指す、Edge にインストールされたルートです。

また、Edge は、パブリック クラウドでホストされている VMware Orchestrator に管理トラフィックを送信する場合に、対応する Gateway を経由するクラウド ルートを使用します。

分散コスト計算 (DCC) を使用するオーバーレイ フロー制御 (OFC)

このセクションでは、DCC が有効になっている OFC を使用するルート順序の仕組みについて説明します。
重要: この文書は、 [分散コスト計算] (DCC) が有効なカスタマーにのみ適用されます。DCC は、SD-WAN リリース 3.4.0 で最初に登場し、今ではすべてのカスタマーで有効になる予定です。この機能は、今後のリリースでは、新規カスタマーに対して自動的に有効になります。ベスト プラクティスなど、DCC の詳細については、 分散コスト計算の設定を参照してください。

[分散コスト計算の概要]

分散コスト計算 (DCC) は、SASE Orchestrator ではなく、SD-WAN Edge と Gateway を利用してルート設定の計算を行う機能です。Edge と Gateway はそれぞれ、ルートを学習するとすぐにそのルートを挿入し、その設定を Orchestrator に伝達します。

DCC は、大規模な展開で、Orchestrator のみに依存している場合、Edge や Gateway が Orchestrator に到達できずに、更新されたルーティング設定を受信できない、あるいは一度に大量のルート設定を計算するときに Orchestrator がルートの更新を迅速に配信できないために、ルート設定をタイムリーに更新できないという問題を解決します。ルート設定の計算を Edge と Gateway に分散することで、迅速かつ信頼性の高いルート更新が保証されます。

[分散コスト計算設定の実行方法]

表 1-2 に SD-WAN でサポートされる動的ルートのタイプを示し、表 1-3 にルート タイプの用語を示します。動的ルートは、最初に Edge と Gateway のどちらで学習されるかによって分類されます。
表 2. 動的ルート タイプ
Edge Partner Gateway/ホスト型 Gateway
NSD E BGP NSD E/I BGP
NSD I BGP E/I BGP
NSD アップリンク BGP
OSPF O
OSPF IA
E BGP
I BGP
OSPF OE1
OSPF OE2
アップリンク BGP
表 3. ルート タイプの意味
O = OSPF イントラ エリア
IA = OSPF インター エリア
OE1 = OSPF 外部タイプ 1
OE2 = OSPF 外部タイプ 2
E BGP = 外部 BGP
I BGP = 内部 BGP
NSD = Non SD-WAN Destination
注: Non SD-WAN Destination (NSD) での OFC の使用は、リリース 4.3.0 以降でサポートされます。NSD の詳細については、 Non SD-WAN Destination の設定を参照してください。
各ルート タイプには設定値があり、学習された各ルートにはルートのタイプに基づいて設定値が割り当てられます。設定値が小さいほど、優先順位が高くなります。表 1-4 に、各ルート タイプのデフォルト設定値を示します。
表 4. 設定値
デバイス ルート タイプ デフォルト設定
Edge NSD E BGP 997
Edge NSD I BGP 998
Gateway NSD E/I BGP 999
Edge NSD アップリンク BGP 1000
Edge OSPF O 1001
Edge OSPF IA 1002
Edge E BGP 1003
Edge I BGP 1004
Partner Gateway E/I BGP 1005
ハブ OSFP OE1 1001006
ハブ OSPF OE2 1001007
ハブ BGP アップリンク 1001008

[動的ルートのワークフロー]

  1. Edge や Gateway が、動的ルートを学習します。
  2. SD-WAN が、内部でルートのタイプとそのデフォルト設定値を特定します。
  3. SD-WAN が、正しい設定値を割り当て、ルーティング情報ベース (RIB) および転送情報ベース (FIB) にルートをインストールします。
  4. SD-WAN が、このルートに設定されたデフォルトの広報アクションを判断します。広報アクションに基づいて、SD-WAN がカスタマー エンタープライズ全体でルートを広報するか(広報済み)、RIB と FIB にローカルにルートを追加する以外のアクションを実行しません(広報なし)。
  5. SD-WAN によって、このルートが Orchestrator に同期され、Orchestrator に表示されます。

優先 VPN 出口ポイント

このセクションでは、[優先 VPN 出口ポイント]とは何か、どのルートをどのカテゴリに分類できるか、およびルートの固定を使用するデフォルト値の上書きについて説明します。

エンタープライズ ポータルの [SD-WAN] サービスで [設定 (Configure)] > [オーバーレイ フロー制御 (Overlay Flow Control)] に移動すると、[優先 VPN 出口 (Preferred VPN Exits)] というセクションが表示されます。このセクションには、デフォルトの優先順位が表示され、一部のルート カテゴリが他のカテゴリよりも優先されることがマークで示されています。

優先 VPN 出口が表示されている [オーバーレイ フロー制御 (Overlay Flow Control)] 画面のスクリーンショット。

[優先 VPN 出口]のカテゴリは以下のとおりです。
  • [Edge]:ハブまたはスポーク Edge のいずれかで学習できる[内部ルート]はこのカテゴリに分類され、優先順位が最も高いことを示すマークが付けられます。[内部ルート]を OSPF OE 1/2 または BGP アップリンク タイプのルートにすることはできません。
  • [ハブ]:Edge で学習された外部サイトはハブ カテゴリに分類され、通常、優先順位は低いです。ハブ ルートには、OSPF OE 1/2 と BGP アップリンクが含まれます。
  • [Partner Gateway]:Partner Gateway で学習されたすべてのルート。
  • [ルーター]:ルーターは、BGP または OSPF を使用して Edge によって学習されたルート プレフィックスを表し、動的ルートに割り当てられる設定を決定します。通常、VPN 出口の[ルーター]より上のすべての出口ポイントには、小さい設定値が割り当てられるため、優先順位は高くなります。一方、[ルーター]より下のすべての出口ポイントには、大きい設定値が割り当てられるため、優先順位は低くなります。
    • たとえば、DCC が有効になっている場合、[ルーター]より上の [VPN 出口ポイント](Edge、Partner Gateway、またはハブ)に属するすべてのルートの設定値は 1,000,000 未満になり、[ルーター]より下のルートの設定値は 1,000,000 を超える値になります。
    • 次の例では、[ルーター]より上の [VPN 出口ポイント](NSD、Edge、Partner Gateway)の設定値は、1,000,000 未満になり、ハブの設定値は 1,000,000 を超える値になります。[オーバーレイ フロー制御 (Overlay Flow Control)] の別のスクリーンショット。[ルーター (Router)] が強調表示され、ルーター タイプの上下の設定値が示されています。

[ルートの固定によるデフォルト設定値の上書き]

SD-WAN には、動的ルートに割り当てられたデフォルトの設定値を上書きできるルートの固定機能があります。動的ルートが学習され、Orchestrator と同期されると、 [オーバーレイ フロー制御 (Overlay Flow Control)] ページに移動して、デフォルトの順序を上書きできます。このワークフローは次のとおりです。
  1. 次のいずれかの方法で、[オーバーレイ フロー制御 (Overlay Flow Control)] ページでルートを固定します。
    1. [ルートのリスト (Routes List)] で 1 つ以上のルートを選択し、[学習したルート設定を固定 (Pin Learned Route Preference)] オプションをクリックします。
    2. 表の下にある [編集 (Edit)] をクリックして、[優先 VPN 出口 (Preferred VPN Exits)] の順序を変更します。
  2. Orchestrator が、このルーティング イベントをカスタマー エンタープライズの関連する Edge に送信します。
  3. Edge が、固定された順序に一致するように既存の設定値を上書きします。
  4. 固定されたルートに割り当てられる設定値は、1、2、3 などの最小値から始まるため、優先順位が最も高くなり、[オーバーレイ フロー制御 (Overlay Flow Control)] ページのルートの順序と一致します。
    注: ルートの固定の詳細については、 サブネットの設定を参照してください。

動的ルートのタイブレイク シナリオ

Edge が 2 つ以上の送信元/ネイバーに対して同じプレフィックスを受信した場合のシナリオを以下に示します。

SD-WAN 展開のシナリオとして考えられるのは、2 台の異なる Edge または Partner Gateway から同じプレフィックスを広報することです。VMware SD-WAN では、サブネットが同じカテゴリ(Edge、ハブ、Partner Gateway)内にあり、設定値が同じ場合、ルートの並べ替えで BGP 属性または OSPF メトリックが最初に照合されます。

それでも優先順位を付けられない場合、SD-WAN はネクスト ホップ デバイスの[論理 ID](Edge または Gateway の [UUID (Universally Unique Identifier)] から取得)を使用して、関連付けを解除します。ネクスト ホップ デバイスは、使用されているブランチ間 VPN のタイプに応じて、Gateway またはハブ Edge になります。カスタマー エンタープライズが Gateway 経由のブランチ間 VPN を使用している場合、ネクスト ホップは Gateway になり、ブランチからハブ への VPN を使用しているカスタマーのネクスト ホップはハブ Edge になります。

複数の Gateway が同じ正確なルート タイプと設定を広報する場合は、最終的なタイ ブレーカーがあります。この最終的なタイ ブレーカーは、学習された最も古いルートを優先します。ルーティングの結果を確実に得るために、特定のルートを固定するか、BGP 属性とコストを設定して、一部のルートを他のルートよりも優先させることができます。

注: カスタマーは、 [論理 ID] (LID) の生成方法を制御できないため、値を変更できません。LID 値は直接比較可能ではありません。代わりに、LID を 4 つのブロックに分割して 1 つずつ比較する内部ソフトウェア アルゴリズムを使用して比較します。たとえば、lid1-data1 は lid1-data2 より大きく、lid1-data2 は lid2-data2 よりも大きくなります。