이 섹션에서는 경로 유형, 연결된 경로 및 고정 경로, 순서 지정 시나리오가 적용되는 동적 경로, DCC(분산 비용 계산)를 사용하는 OFC(오버레이 흐름 제어)의 기본 설정 값을 비롯한 VMware SASE 라우팅 기능에 대한 개요를 제공합니다.

개요

VMware SASE 라우팅은 다중 경로가 가능하고 VCMP 전송을 통해 보호되는 VCRP라는 독점 프로토콜을 기준으로 합니다. SD-WAN 끝점은 iBGP 전체 메시와 유사한 방식으로 VCRP를 사용하여 연결됩니다. SD-WAN Gateway는 프로필 설정에 따라 한 SD-WAN Edge에서 고객 엔터프라이즈 내의 다른 SD-WAN Edge로의 경로를 반영하는 BGP 경로 리플렉터로 작동합니다.

다음 다이어그램은 Orchestrator가 경로 계산을 수행하는 다중 클라우드 비 SD-WAN 대상이 있는 일반적인 SD-WAN 배포를 나타냅니다(DCC(동적 비용 계산)를 사용하는 최신 및 기본 설정 방법과는 대조적).

SD-WAN 구성 요소

VMware SD-WAN 라우팅은 Edge, 게이트웨이 및 Orchestrator의 세 가지 구성 요소를 사용합니다.
  • SD-WAN Edge는 개인, 공용 및 하이브리드 애플리케이션 및 가상화된 서비스에 대한 안전하고 최적화된 연결을 제공하는 엔터프라이즈급 디바이스 또는 가상화된 클라우드 인스턴스입니다. SD-WAN 라우팅에서 Edge는 경계 게이트웨이입니다. Edge는 일반 Edge(허브 구성 없음), 자체적으로 또는 클러스터의 일부로 사용되는 허브, 스포크(허브가 구성된 경우)로 작동할 수 있습니다.
  • SD-WAN Gateway는 자치, 상태 비저장, 수평 확장 가능 및 여러 테넌트의 Edge에 대해 클라우드에서 전달됩니다. 모든 SD-WAN 배포의 경우 여러 SD-WAN Gateway가 각 게이트웨이가 연결된 Edge에 대해 경로 리플렉터 역할을 하는 지리적으로 분산되고(낮은 지연 시간) 수평으로 확장 가능한(용량을 위해) 네트워크로 배포됩니다.

    Edge에서 로컬로 학습된 모든 경로는 구성을 기준으로 게이트웨이로 전송됩니다. 그런 다음, 게이트웨이는 이러한 경로를 엔터프라이즈의 다른 Edge에 반영하여, 터널의 전체 메시를 구축하지 않고도 효율적인 전체 메시 VPN 연결을 허용합니다.

  • SASE Orchestrator는 다중 테넌트 클라우드 기반 구성 및 모니터링 포털입니다. SD-WAN 라우팅에서 Orchestrator는 모든 엔터프라이즈에 대한 경로를 관리하고 기본 라우팅 동작을 재정의할 수 있습니다.

경로 유형

SD-WAN에 대한 다음과 같은 두 가지 일반 경로 유형이 있습니다.
  • 로컬 경로(Local Routes): SD-WAN Edge에서 로컬로 학습된 경로입니다. 연결된 서브넷, 고정으로 구성된 경로, BGP 또는 OSPF를 통해 학습된 경로일 수 있습니다.
  • 원격 경로(Remote Routes): VCRP에서 학습된 경로입니다. 즉 Edge에 로컬로 존재하지 않는 경로는 원격 경로입니다. 이 경로는 다른 Edge에서 가져온 것이며, 구성을 기준으로 고객 엔터프라이즈의 다른 Edge로의 게이트웨이에 반영됩니다.

SD-WAN은 변경할 수 없는 비동적 경로(BGP 및 OSPF)에 대한 트래픽을 라우팅하는 데 사용하는 엄격한 순서가 있습니다. 그러나 일부 시나리오에서는 가장 긴 접두사 일치(Longest Prefix Match) 기술을 사용하여 라우팅이 흐르는 방식을 조작할 수 있습니다.

표 1. 경로 유형 순서
1. 가장 긴 접두사 일치
2. 연결된 로컬
3. 고정 LAN/WAN 로컬
4. 연결된 원격
5. 고정 LAN/WAN 원격
6. 고정 비 SD-WAN 대상
7. 고정 파트너 게이트웨이
8. OFC(오버레이 흐름 제어) 기반 경로 순서
참고: 동일한 유형의 로컬 및 원격 경로 사이에서 VMware SD-WAN은 원격보다 로컬을 선호합니다. 예를 들어 로컬 연결된 경로가 원격 연결된 경로보다 선호됩니다. 마찬가지로 로컬 고정 경로와 원격 고정 경로의 경우 로컬 고정 경로가 선호됩니다.

연결된 경로 및 고정 경로

이 섹션에는 연결된 경로 및 고정 경로에 대한 필수 정보가 포함되어 있습니다. 연결된 경로는 인터페이스에 직접 연결된 네트워크에 대한 경로입니다. 고정 경로에 대한 정보는 고정 경로 설정 구성에서 찾을 수 있습니다.

연결된 경로(Connected Routes)

  • SD-WAN에 연결된 경로가 표시되도록 하려면 Orchestrator에서 다음 설정을 구성합니다.
    • 클라우드 VPN(Cloud VPN)을 활성화해야 합니다.
    • 연결된 경로는 올바른 IP 주소로 구성되어야 합니다.
    • 이 경로에 대한 Edge 인터페이스는 계층 1에서 실행되고 계층 2와 3에서 작동해야 합니다.
    • 이 Edge 인터페이스와 연결된 VLAN도 실행 중이어야 합니다.
    • 애드버타이즈(Advertise) 플래그는 연결된 경로가 구성된 Edge 인터페이스의 인터페이스 IP 설정(Interface IP settings)에서 설정해야 합니다.
고정 경로(Static Routes)
  • SD-WAN에 고정 경로가 표시되도록 하려면 Orchestrator에서 다음 설정을 구성합니다.
    • 클라우드 VPN(Cloud VPN)을 활성화해야 합니다.
    • 애드버타이즈(Advertise) 플래그는 고정 경로가 구성된 Edge 인터페이스에서 설정해야 합니다.
    • 고정 경로 구성에는 기본 설정(Preferred)애드버타이즈됨(Advertised)이 선택되어 있어야 합니다.
  • 고정 경로는 트래픽을 글로벌 세그먼트의 경우 WAN 언더레이로, 비글로벌 세그먼트의 경우 LAN 또는 WAN 언더레이로 전달할 수 있습니다.
  • 고정 경로를 추가하면 Edge 인터페이스에서 NAT를 바이패스합니다.
  • 고정 경로가 있는 ECMP(동일 비용 다중 경로) 라우팅은 지원되지 않으며 첫 번째 고정 경로만 사용할 수 있습니다.
  • 트래픽 블랙홀링을 방지하려면 ICMP 프로브를 사용합니다.
  • 기본 설정(Preferred) 플래그가 선택된 고정 경로는 오버레이를 통해 학습된 VPN 경로보다 우선됩니다.
참고: 기본 설정(Preferred) 플래그와 애드버타이즈(Advertise) 플래그 간의 차이는 다음과 같습니다.

기본 설정(Preferred) 확인란을 선택하면 더 낮은 비용의 VPN 경로를 사용할 수 있더라도 항상 고정 경로가 먼저 검색됩니다.

이 옵션을 선택하지 않으면 고정 경로보다 비용이 높은 경우에도 사용 가능한 VPN 경로가 고정 경로보다 먼저 검색됩니다. 해당 VPN 경로를 사용할 수 없는 경우에만 일치하는 고정 경로가 검색됩니다.

IPv6 주소 유형에는 기본 설정(Preferred) 옵션을 사용할 수 없습니다.

애드버타이즈(Advertise) 확인란을 선택하면 고정 경로가 VPN 경로를 통해 애드버타이즈되고 네트워크의 다른 SD-WAN Edge가 리소스에 액세스할 수 있게 됩니다.

원격 작업자의 개인 프린터와 같은 개인 리소스가 고정 경로로 구성되어 있고 다른 사용자가 리소스에 액세스하지 못하도록 해야 하는 경우에는 이 옵션을 선택하지 마십시오.

IPv6 주소 유형에는 애드버타이즈(Advertise) 옵션을 사용할 수 없습니다.

OFC 전체 애드버타이즈 플래그(Global Advertise Flags)는 오버레이에 추가되는 경로를 제어합니다. 기본적으로 경로 유형인 외부 OSPF 및 비 SD-WAN 대상 iBGP는 오버레이에 애드버타이즈되지 않습니다. 또한 Edge가 허브와 분기 양쪽 모두로 작동하는 경우 허브가 아닌 분기에 대해 구성된 전체 애드버타이즈 플래그(Global Advertise Flags)가 사용됩니다.

참고: Edge의 구성에 따라 Edge에 설치되는 자체 경로(Self Routes)클라우드 경로(Cloud Routes)의 두 가지 추가 경로 유형이 있습니다. 각 경로는 아래에 요약된 것처럼 응용 범위가 넓지 않으며, 여기에 언급된 것 외의 추가 처리는 필요하지 않습니다.

자체 경로(Self Route)는 Edge에 로컬로 설치되지만 원격 Edge에 애드버타이즈되지 않는 IP LPM(가장 긴 접두사 일치)(예: 172.16.1.10/32)을 사용하는 인터페이스 기반 접두사를 나타냅니다. 자체 경로를 나타내는 또 다른 용어는 “인터페이스 경로”입니다. Edge의 로그를 살펴보면 경로 플래그가 "s"인 이러한 자체 경로가 표시됩니다.

연결된 경로는 원격 Edge 클라이언트가 소스 Edge 측의 연결된 경로에 속하는 클라이언트에 다시 연결할 수 있도록 오버레이에 애드버타이즈될 수 있으므로 자체 경로는 연결된 경로와는 구분됩니다. 자체 경로는 Edge 자체에 엄격히 로컬입니다.

클라우드 라우터(Cloud Route)는 "v" 플래그로 표시되며 인터넷을 대상으로 하는 다중 경로 트래픽에 대해 VMware SD-WAN Gateway를 가리키는 Edge에 설치된 경로를 나타냅니다(즉, 인터넷에 도달하기 전에 게이트웨이를 활용하는 DMPO(동적 다중 경로 최적화)를 사용하는 인터넷 트래픽).

또한 Edge는 공용 클라우드에서 호스팅되는 VMware Orchestrator를 대상으로 하는 관리 트래픽에 대해 해당 게이트웨이를 통한 클라우드 경로를 사용합니다.

DCC(분산 비용 계산)를 사용하는 OFC(오버레이 흐름 제어)

이 섹션에서는 DCC와 함께 OFC를 사용하는 경로 순서의 작동 방식을 설명합니다.
중요: 이 자료는 분산 비용 제어(Distributed Cost Control)(DDC)가 활성화된 고객에게만 유효합니다. DCC는 SD-WAN 릴리스 3.4.0에서 처음 사용할 수 있게 제공되었으며 이제 모든 고객에 대해 활성화될 예정입니다. 이 기능은 향후 릴리스에서 신규 고객에 대해 자동으로 활성화될 예정입니다. 모범 사례를 포함한 DCC에 대한 자세한 내용은 분산 비용 계산 구성을 참조하십시오.

분산 비용 계산 개요(Distributed Cost Calculation Overview)

DCC(분산 비용 계산)는 SASE Orchestrator에 의존하는 대신, 경로 기본 설정 계산을 위해 SD-WAN Edge 및 게이트웨이를 활용하는 기능입니다. Edge 및 게이트웨이는 학습 시 즉시 경로를 삽입한 다음, 이러한 기본 설정을 Orchestrator에 전달합니다.

DCC는 Orchestrator에만 의존할 경우 Edge 또는 게이트웨이가 업데이트된 라우팅 기본 설정을 수신하기 위해 Orchestrator에 연결할 수 없거나, Orchestrator가 한 번에 많은 수의 경로 비용을 계산할 때 경로 업데이트를 신속하게 전달할 수 없기 때문에, 경로 기본 설정을 시기 적절하게 업데이트할 수 없는 대규모 배포에서 발생하는 문제를 해결합니다. 경로 기본 설정 계산에 대한 책임을 Edge 및 게이트웨이에 분산하면 빠르고 신뢰할 수 있는 경로 업데이트가 진행됩니다.

분산 비용 계산 기본 설정이 수행되는 방식(How Distributed Cost Calculation Preference is Done)

표 1-2에는 SD-WAN에서 지원되는 동적 경로 유형이 포함되어 있지만 표 1-3은 경로 유형의 용어집입니다. 동적 경로는 먼저 Edge에서 학습되었는지 아니면 게이트웨이에서 학습되었는지에 따라 분류됩니다.
표 2. 동적 경로 유형
Edge 파트너 게이트웨이/호스팅된 게이트웨이
NSD E BGP NSD E/I BGP
NSD I BGP E/I BGP
NSD 업링크 BGP
OSPF O
OSPF IA
E BGP
I BGP
OSPF OE1
OSPF OE2
업링크 BGP
표 3. 경로 유형의 의미
O = OSPF 영역 내
IA = OSPF 영역 간
OE1 = OSPF 외부 유형-1
OE2 = OSPF 외부 유형-2
E BGP = 외부 BGP
I BGP = 내부 BGP
NSD = 비 SD-WAN 대상
참고: OFC를 통한 NSD(비 SD-WAN 대상) 지원은 릴리스 4.3.0 이상에서 사용할 수 있습니다. NSD에 대한 자세한 내용은 항목을 참조하십시오.
각 경로 유형에는 기본 설정 값이 있으며 학습된 각 경로에는 경로 유형에 따라 기본 설정 값이 할당됩니다. 기본 설정 값이 낮을수록 우선 순위가 높습니다. 표 1-4에는 각 경로 유형에 대한 기본 설정 값이 나와 있습니다.
표 4. 기본 설정 값
디바이스(Device) 경로 유형(Route Type) 기본 설정
Edge NSD E BGP 997
Edge NSD I BGP 998
게이트웨이 NSD E/I BGP 999
Edge NSD 업링크 BGP 1000
Edge OSPF O 1001
Edge OSPF IA 1002
Edge E BGP 1003
Edge I BGP 1004
파트너 게이트웨이(Partner Gateway) E/I BGP 1005
허브 OSFP OE1 1001006
허브 OSPF OE2 1001007
허브 BGP 업링크 1001008

동적 경로 워크플로(Dynamic Route Workflow)

  1. Edge 또는 게이트웨이는 동적 경로를 학습합니다.
  2. SD-WAN은 내부적으로 경로 유형과 기본 설정 값을 식별합니다.
  3. SD-WAN은 올바른 기본 설정 값을 할당하고 RIB(라우팅 정보 기반) 및 FIB(전달 정보 기반)에 경로를 설치합니다.
  4. SD-WAN은 이 경로에 대해 구성된 기본 애드버타이즈 작업을 고려합니다. SD-WAN은 애드버타이즈 작업을 기반으로 고객 엔터프라이즈 전체에서 경로를 애드버타이즈하거나(애드버타이즈됨), 경로를 RIB 및 FIB에 로컬로 추가하는 것 외에는 아무 작업도 수행하지 않습니다(애드버타이즈되지 않음).
  5. 그런 다음, SD-WAN은 이 경로를 Orchestrator에 표시하는 Orchestrator와 동기화합니다.

기본 설정 VPN 종료 지점(Preferred VPN Exit Points)

이 섹션에서는 기본 설정 VPN 종료 지점(Preferred VPN Exit Points), 즉 이러한 종료 지점이 무엇인지, 어떤 경로가 어떤 범주에 속할 수 있는지, 경로 고정을 사용하여 기본값을 재정의하는 방법을 다룹니다.

엔터프라이즈 포털의 SD-WAN 서비스에서 구성(Configure) > 오버레이 흐름 제어(Overlay Flow Control)로 이동하면 기본 설정 VPN 종료(Preferred VPN Exits) 섹션을 볼 수 있습니다. 이 섹션에는 기본 우선순위가 표시되고 일부 경로 범주가 다른 경로 범주보다 우선한 것으로 표시됩니다.

기본 설정 VPN 종료를 표시하는 오버레이 흐름 제어 화면의 스크린샷

기본 설정 VPN 종료(Preferred VPN Exit) 범주:
  • Edge: 허브 또는 스포크 Edge에서 학습할 수 있는 모든 내부 경로는 이 범주에 속하며 가장 높은 우선 순위로 표시됩니다. 내부 경로(Internal route)는 OSPF OE 1/2 또는 BGP 업링크 유형 경로일 수 없습니다.
  • 허브(Hub): Edge에서 학습된 외부 사이트는 허브 범주에 속하며 일반적으로 우선 순위가 낮습니다. 허브 경로에는 OSPF OE1/2 및 BGP 업링크가 포함됩니다.
  • 파트너 게이트웨이(Partner Gateway): 파트너 게이트웨이에서 학습된 경로입니다.
  • 라우터(Router): 라우터는 BGP 또는 OSPF가 있는 Edge에서 학습한 경로 접두사이며 동적 경로에 할당된 기본 설정을 결정합니다. 일반적으로 VPN 종료의 라우터(Router)를 초과하는 모든 종료 지점에는 낮은 기본 설정 값이 할당되므로 더 선호되지만 라우터(Router) 미만의 모든 종료 지점에는 높은 기본 설정 값으로 할당되므로 덜 선호됩니다.
    • 예를 들어, DCC가 활성화되면 라우터(Router)를 초과하는 VPN 종료 지점(Edge, 파트너 게이트웨이 또는 허브)에 속하는 모든 경로의 기본 설정 값은 1,000,000보다 작고, 라우터(Router) 미만 경로의 기본 설정 값은 1,000,000보다 큽니다.
    • 아래 예에서 라우터(Router)를 초과하는 VPN 종료 지점(VPN Exit Points)에서 NSD, Edge 및 파트너 게이트웨이는 기본 설정 값이 1,000,000보다 작고, 허브의 기본 설정 값은 1,000,000보다 큽니다.또 다른 오버레이 흐름 제어 스크린샷. 여기서는 라우터를 강조 표시하여 기본 설정 값에 대한 지점을 라우터(Router) 유형보다 크거나 작게 만듭니다.

기본 설정 값을 재정의하기 위한 경로 고정(Pinning a Route to Override a Default Preference Value)

SD-WAN에는 사용자가 동적 경로에 할당된 기본 설정 값을 재정의할 수 있는 경로 고정 기능이 있습니다. 동적 경로가 학습되고 Orchestrator와 동기화되면 사용자는 오버레이 흐름 제어(Overlay Flow Control) 페이지로 이동하여 기본 순서를 재정의할 수 있습니다. 이에 대한 워크플로는 다음과 같습니다.
  1. 사용자는 다음을 통해 오버레이 흐름 제어(Overlay Flow Control) 페이지의 경로를 고정합니다.
    1. 경로 목록(Routes List)에서 하나 이상의 경로를 선택한 다음, 학습된 경로 기본 설정 고정(Pin Learned Route Preference) 옵션을 클릭합니다.
    2. 표 아래에서 편집(Edit)을 클릭하여 기본 설정 VPN 종료(Preferred VPN Exit)의 순서를 수정합니다.
  2. Orchestrator는 이 라우팅 이벤트를 고객 엔터프라이즈의 관련 Edge로 전송합니다.
  3. Edge는 고정된 순서와 일치하도록 이전 기본 설정 값을 재정의합니다.
  4. 고정된 경로에 할당되는 기본 설정 값은 1, 2, 3과 같은 숫자 중에서 시작되고(가장 낮은 값, 가장 높은 기본 설정) 오버레이 흐름 제어(Overlay Flow Control) 페이지의 경로 순서와 일치합니다.
    참고: 경로 고정에 대한 자세한 내용은 서브넷 구성 항목을 참조하십시오.

동적 경로에 대한 순서 지정 시나리오

Edge가 두 개 이상의 소스/인접 항목에 대해 동일한 접두사를 수신하면 어떻게 됩니까?

SD-WAN 배포의 잠재적 시나리오는 두 개의 서로 다른 Edge 또는 파트너 게이트웨이에서 동일한 접두사가 애드버타이즈되는 것입니다. VMware SD-WAN의 경우 서브넷이 동일한 범주(Edge, 허브 또는 파트너 게이트웨이) 내에 있고 기본 설정 값이 같으면, BGP 특성 또는 OSPF 메트릭이 먼저 경로 정렬을 위해 고려됩니다.

아직 순서가 같은 경우 SD-WAN은 다음 홉 디바이스의 논리적 ID(logical ID)(Edge 또는 게이트웨이의 범용 고유 식별자(UUID))를 사용하여 순서를 바꿉니다. 다음 홉 디바이스는 사용 중인 분기 간 VPN 유형에 따라 게이트웨이 또는 허브 Edge일 수 있습니다. 고객 엔터프라이즈가 게이트웨이를 통한 분기 간(Branch to Branch via Gateway)을 사용하는 경우 다음 홉은 게이트웨이이고, 분기-허브를 사용하는 고객은 다음 홉이 허브 Edge가 될 수 있습니다.

여러 게이트웨이가 동일한 정확한 경로 유형 및 기본 설정을 애드버타이즈하는 경우 최종 결정 기준이 있습니다. 이 마지막 타이 브레이커는 학습된 가장 오래된 경로를 선호합니다. 원하는 라우팅 결과를 보장하기 위해 특정 경로를 고정하거나 다른 경로보다 특정 경로를 따르도록 BGP 특성 및 비용을 구성할 수 있습니다.

참고: 고객은 LID( 논리적 ID)가 생성되는 방식을 제어할 수 없으며 해당 값을 변경할 수 없습니다. LID 값은 직접적으로 비교할 수 없습니다. 대신 LID를 4개의 블록으로 분해하고 하나씩 비교하는 내부 소프트웨어 알고리즘을 사용하는 방식과는 비교됩니다. 예를 들어 lid1-data1 은 lid1-data2보다 크고 lid1-data2는 lid2-data2보다 큽 있습니다.