本節概述 VMware SASE 路由功能,包括路由類型、已連線的路由和靜態路由、存在突破僵局 (tie-breaking) 案例的動態路由,以及具有分散式成本計算 (DCC) 的覆疊流量控制 (OFC) 中的喜好設定值。

概觀

VMware SASE 路由建置在名為 VCRP 的專屬通訊協定上,該路由支援多重路徑,並透過 VCMP 傳輸受到保護。使用 VCRP,以類似 iBGP 完整網格的方式來連接 SD-WAN 端點。SD-WAN 閘道會充當 BGP 路由反射程式,可根據設定檔的設定,將路由從客戶企業內的一個 SD-WAN Edge 反映到另一個 SD-WAN Edge。

下圖說明一個具有多雲端非 SD-WAN 目的地的典型 SD-WAN 部署,其中 Orchestrator 會執行路由計算,相對之下,使用動態成本計算 (DCC) 是較新的慣用方法。

SD-WAN 元件

VMware SD-WAN 路由使用三個元件:Edge、閘道和 Orchestrator。
  • SD-WAN Edge 是一個企業層級裝置或虛擬化雲端執行個體,可針對私人、公用和混合應用程式以及虛擬化服務,提供安全且最佳化的連線。在 SD-WAN 路由中,Edge 是一個邊界閘道。Edge 可以作為一般 Edge (沒有設定中樞)、作為中樞本身或作為叢集的一部分,或是作為一個支點 (若有設定中樞)。
  • SD-WAN 閘道是自發、無狀態、可水平擴充並由雲端提供的閘道,且多個承租人中的 Edge 可連線至這個閘道。對於任何 SD-WAN 部署,可將數個 SD-WAN 閘道部署成一個地理分佈 (用於降低延遲) 且可水平擴充 (用於容量) 的網路,其中的每個閘道將充當其所連線之 Edge 的路由反射程式

    在 Edge 上本機學習的所有路由會根據組態傳送到閘道。之後,閘道會將這些路由反映到企業中的其他 Edge,從而可以在不建置完整通道網格的情況下,實現有效率的完整網格 VPN 連線。

  • SASE Orchestrator 是一個雲端型多承租人組態和監控入口網站。在 SD-WAN 路由中,Orchestrator 會管理所有企業的路由,並且可以覆寫預設路由行為。

路由類型

SD-WAN 有兩種一般類型的路由:
  • 本機路由 (Local Routes):在 SD-WAN Edge 上本機學習的任何路由。這可以是已連線的子網路、靜態設定的路由,也可以是透過 BGP 或 OSPF 學習的任何路由。
  • 遠端路由 (Remote Routes):從 VCRP 學習的任何路由,換言之,不存在於 Edge 本機上的路由就是遠端路由。此路由源自不同的 Edge,閘道會根據組態,將該路由反映到客戶企業中的其他 Edge。

SD-WAN 會使用嚴格的順序,為無法更改的非動態路由 (BGP 和 OSPF) 路由流量。但是,在某些情況下,您可以使用最長首碼相符技術,來操作路由流量的方式。

表 1. 路由類型的順序
1. 最長首碼相符
2. 連線的本機路由
3. 靜態 LAN/WAN 本機路由
4. 連線的遠端路由
5. 靜態 LAN/WAN 遠端路由
6. 靜態非 SD-WAN 目的地路由
7. 靜態合作夥伴閘道
8. 覆疊流量控制 (OFC) 驅動的路由順序
備註: 在相同類型的本機路由和遠端路由之間,VMware SD-WAN 將優先使用本機路由,而不是遠端路由。例如,本機連線的路由優先於遠端連線的路由。同樣,對於本機靜態路由與遠端靜態路由,將優先使用本機靜態路由。

連線的路由和靜態路由

本節提供有關連線的路由和靜態路由的重要資訊。連線的路由為一個指向直接連結至介面之網路的路由。如需靜態路由的相關資訊,請參閱設定靜態路由設定

連線的路由

  • 若要讓連線的路由在 SD-WAN 中看得見,請在 Orchestrator 上進行以下設定:
    • 必須啟用雲端 VPN (Cloud VPN)
    • 必須為連線的路由設定有效的 IP 位址。
    • 此路由的 Edge 介面必須已在第 1 層上啟動,且在第 2 層和第 3 層上正常運作。
    • 與此 Edge 介面相關聯的 VLAN 也必須已啟動。
    • 必須在介面 IP 設定 (Interface IP settings) 下,為設定了連線的路由的 Edge 介面,設定通告 (Advertise) 旗標。
靜態路由
  • 若要讓靜態路由在 SD-WAN 中看得見,請在 Orchestrator 上進行以下設定:
    • 必須啟用雲端 VPN (Cloud VPN)
    • 必須在設定了靜態路由的 Edge 介面上設定通告 (Advertise) 旗標。
    • 靜態路由組態必須已勾選慣用 (Preferred)已通告 (Advertised)
  • 對於全域區段,靜態路由可以將流量轉送到 WAN 底層;對於非全域區段,則可將流量轉送到 LAN 或 WAN 底層。
  • 新增靜態路由後,可略過 Edge 介面上的 NAT。
  • 不支援具有靜態路由的 ECMP (等價多重路徑路由),並且只會使用第一個靜態路由。
  • 使用 ICMP 探查,以避免出現流量黑洞。
  • 已勾選慣用 (Preferred) 旗標的靜態路由,優先於經由覆疊學習的任何 VPN 路由。
備註: 慣用 (Preferred) 旗標與 通告 (Advertise) 旗標之間的差異:

勾選慣用 (Preferred) 核取方塊後,靜態路由一律優先符合,即使 VPN 路由成本較低也是如此。

如果未選取該選項,則表示任何可用的 VPN 路由優先符合 (而非靜態路由),即使 VPN 路由的成本高於靜態路由也是如此。僅當對應的 VPN 路由無法使用時,靜態路由才符合。

[慣用 (Preferred)] 選項不適用於 IPv6 位址類型。

選取通告 (Advertise) 核取方塊時,會經由 VPN 路由通告靜態路由,且網路中的其他 SD-WAN Edge 將有權存取資源。

如果將私人資源 (例如,遠端工作者的個人印表機) 設定為靜態路由,且應禁止其他使用者存取該資源時,請不要選取此選項。

[通告 (Advertise)] 選項不適用於 IPv6 位址類型。

OFC 全域通告旗標 (Global Advertise Flags) 可控制要將哪些路由新增至覆疊。依預設,不會將下列路由類型通告至覆疊中:外部 OSPF 和非 SD-WAN 目的地 iBGP。此外,如果 Edge 同時作為中樞和分支,則會使用為分支 (而不是中樞) 所設定的全域通告旗標 (Global Advertise Flags)

備註: 另有兩種路由類型: 自我路由 (Self Routes)雲端路由 (Cloud Routes),會根據 Edge 的組態,將它們安裝在 Edge 上。如以下所述,每個路由的套用範圍很窄,除這裡所述外,無需額外的處理:

自我路由 (Self Routes) 是指使用 IP 最長首碼相符 (LPM) (例如:172.16.1.10/32) 並以介面為基礎的首碼,該首碼安裝在 Edge 本機上,且不會通告至遠端 Edge。自我路由的另一個術語是「介面路由」。當查看 Edge 的記錄時,使用者會發現這些自我路由帶有路由旗標「s」。

自我路由與連線的路由不同,因為連線的路由可以通告至覆疊,以便遠端 Edge 用戶端可以連線回來源 Edge 端上屬於已連線路由的用戶端。嚴格來說,自我路由是 Edge 本身的本機路由。

雲端路由 (Cloud Route) 以「v」旗標表示,是指安裝在 Edge 上且指向 VMware SD-WAN 閘道的路由,用來處理傳送到網際網路的多重路徑流量 (換言之,就是使用動態多重路徑最佳化 (DMPO) 的網際網路流量,它會在連線到網際網路之前利用閘道)。

Edge 還會將透過對應閘道的雲端路由,用於傳送到託管於公有雲上的 VMware Orchestrator 的管理流量。

具有分散式成本計算 (DCC) 的覆疊流量控制 (OFC)

本節說明當 OFC 與 DCC 搭配使用時,路由順序的運作方式。
重要: 此資料僅適用於已啟用 分散式成本控制 (DCC) 的客戶。DCC 最先是在 SD-WAN 版本 3.4.0 中提供,現在預計將針對所有客戶啟用。在即將發行的版本中,將為新客戶自動啟用此功能。如需 DCC 的詳細資訊 (包括最佳做法),請參閱 設定分散式成本計算

分散式成本計算概觀

分散式成本計算 (DCC) 是一項功能,它利用 SD-WAN Edge 和閘道來進行路由喜好設定計算,而非依賴 SASE Orchestrator。Edge 和閘道一旦學習路由後,就會立即插入路由,然後將這些喜好設定傳送到 Orchestrator。

DCC 解決了在僅依賴 Orchestrator 的大規模部署中所出現的問題,因為在此類大規模部署中,Edge 或閘道可能無法連線至 Orchestrator 來接收已更新的路由喜好設定,或者 Orchestrator 可能無法在一次計算大量路由更新時快速提供路由更新,從而可能無法及時更新路由喜好設定。將路由喜好設定計算的職責分配給 Edge 和閘道,可確保快速可靠地更新路由。

如何完成分散式成本計算喜好設定

表 1-2 包含 SD-WAN 中支援的動態路由類型,而表 1-3 是路由類型的詞彙。動態路由首先會根據它是在 Edge 上還是在閘道上學習的,來進行分類。
表 2. 動態路由類型
Edge 合作夥伴閘道/託管的閘道
NSD E BGP NSD E/I BGP
NSD I BGP E/I BGP
NSD 上行 BGP
OSPF O
OSPF IA
E BGP
I BGP
OSPF OE1
OSPF OE2
上行 BGP
表 3. 路由類型的含義
O = OSPF 區域內
IA = OSPF 區域間
OE1 = OSPF 外部類型 1
OE2 = OSPF 外部類型 2
E BGP = 外部 BGP
I BGP = 內部 BGP
NSD = 非 SD-WAN 目的地
備註: 從 4.3.0 版開始,提供 OFC 支援非 SD-WAN 目的地 (NSD)。如需 NSD 的詳細資訊,請參閱
每個路由類型都有一個喜好設定值,且會根據路由類型,各指派一個喜好設定值給每個學習的路由。喜好設定值越低,優先順序越高。表 1-4 列出每一種路由類型的預設喜好設定值。
表 4. 喜好設定值
裝置 路由類型 預設喜好設定
Edge NSD E BGP 997
Edge NSD I BGP 998
閘道 NSD E/I BGP 999
Edge NSD 上行 BGP 1000
Edge OSPF O 1001
Edge OSPF IA 1002
Edge E BGP 1003
Edge I BGP 1004
合作夥伴閘道 E/I BGP 1005
中樞 OSFP OE1 1001006
中樞 OSPF OE2 1001007
中樞 BGP 上行 1001008

動態路由工作流程

  1. Edge 或閘道會學習動態路由。
  2. SD-WAN 會在內部識別它的路由類型,以及其預設喜好設定值。
  3. SD-WAN 會指派正確的喜好設定值,並在路由資訊庫 (RIB) 和轉送資訊庫 (FIB) 中安裝路由。
  4. SD-WAN 會考慮執行設定給此路由的預設通告動作。根據通告動作,SD-WAN 會在客戶企業之間通告路由 (已通告),或者只將路由新增到 RIB 和 FIB 本機 (未通告),而不採取任何動作。
  5. 然後,SD-WAN 會將該路由同步至 Orchestrator,後者會在 Orchestrator 上顯示該路由。

慣用 VPN 結束點

本節介紹慣用 VPN 結束點:它們是什麼,哪些路由可以屬於哪些類別,以及如何使用路由釘選來覆寫預設值。

在企業入口網站的 SD-WAN 服務中,導覽至設定 (Configure) > 覆疊流量控制 (Overlay Flow Control) 時,您會看到一個標題為慣用 VPN 結束 (Preferred VPN Exits) 的區段。此區段會顯示預設優先順序,並標記優於其他類別的一些路由類別。

此螢幕擷取畫面顯示 [覆疊流量控制 (Overlay Flow Control)] 畫面,其中顯示 [慣用 VPN 結束 (Preferred VPN Exits)]。

慣用 VPN 結束類別:
  • Edge:可以在中樞或支點 Edge 上學習的任何內部路由都屬於此類別,且會標記為最高優先順序。內部路由不能是 OSPF OE 1/2 或 BGP 上行類型的路由。
  • 中樞 (Hub):Edge 上學習的任何外部網站都屬於中樞類別,通常優先順序較低。中樞路由包括 OSPF OE1/2 和 BGP 上行。
  • 合作夥伴閘道 (Partner Gateway):在合作夥伴閘道上學習的任何路由。
  • 路由器 (Router):路由器代表啟用了 BGP 或 OSPF 的 Edge 所學習的任何路由首碼,用來決定指派給動態路由的優先順序。通常,在 [VPN 結束 (VPN Exit)] 中,會指派較低的喜好設定值給路由器 (Router) 上方的所有結束點,因此其優先順序較高,會指派較高的喜好設定值給路由器 (Router) 下方所有結束點,因此其優先順序較低。
    • 例如:啟用 DCC 後,屬於 VPN 結束點 (VPN Exit Points) (Edge、合作夥伴閘道或 中樞) 且位於路由器 (Router) 上方的所有路由,會取得一個小於 1,000,000 的喜好設定值,而路由器 (Router) 下方的路由會取得一個大於 1,000,000 的喜好設定值。
    • 在下列範例中,路由器 (Router) 上方的 VPN 結束點 (VPN Exit Points) (即 NSD、Edge 和合作夥伴閘道) 將取得一個小於 1,000,000 喜好設定值,中樞將取得一個大於 1,000,000 的喜好設定值。另一個螢幕擷取畫面,顯示 [覆疊流量控制 (Overlay Flow Control)],其中反白顯示 [路由器 (Router)],以指出高於或低於路由器類型的喜好設定值。

釘選路由以覆寫預設喜好設定值

SD-WAN 具有一項路由釘選功能,可讓使用者覆寫指派給任何動態路由的預設喜好設定值。學習動態路由並與 Orchestrator 同步後,使用者可以導覽至 覆疊流量控制 (Overlay Flow Control) 頁面,並覆寫預設順序。此案例的工作流程如下:
  1. 使用者可以透過下列任一方式,在覆疊流量控制 (Overlay Flow Control) 頁面上釘選路由:
    1. 路由清單 (Routes List) 中,選取一或多個路由,然後按一下釘選學習的路由喜好設定 (Pin Learned Route Preference) 選項。
    2. 按一下資料表下方的編輯 (Edit),以修改慣用 VPN 結束 (Preferred VPN Exits) 的順序。
  2. Orchestrator 會將該路由事件傳送至客戶企業中的相關 Edge。
  3. Edge 會覆寫先前的喜好設定值,以符合釘選順序。
  4. 指派給釘選路由的喜好設定值從 1、2、3 開始,以此類推 (最低的值表示優先順序最高),這與覆疊流量控制 (Overlay Flow Control) 頁面上的路由順序相符。
    備註: 如需釘選路由的詳細資訊,請參閱 設定子網路

動態路由的突破僵局案例

當 Edge 收到兩個或多個來源/芳鄰的相同首碼時,會發生什麼情況?

在 SD-WAN 部署中,有一種潛在的案例是,從兩個不同的 Edge 或合作夥伴閘道通告了相同的首碼。使用 VMware SD-WAN 時,如果子網路位於相同的類別 ( Edge、中樞或合作夥伴閘道),且具有相同的喜好設定值,則在排序路由時,會先考慮 BGP 屬性或 OSPF 度量。

如果仍存在僵局,SD-WAN 會使用下一個躍點裝置的邏輯識別碼 (衍生自 Edge 或閘道的通用唯一識別碼 (UUID)),來突破這種僵局。下一個躍點裝置可以是閘道或中樞 Edge,具體取決於所使用的分支到分支 VPN 的類型。如果客戶企業正在透過閘道使用分支到分支,則下一個躍點為閘道,而如果客戶使用分支到中樞,則下一個躍點為中樞 Edge。

若有多個閘道所通告的路由類型和優先順序完全相同,則會產生最終的決定因素。此最終的決定因素傾向於最早學習的路由。若要確保得到您想要的路由結果,您可以釘選某些路由,或者設定 BGP 屬性和成本,使某些路由優先於其他路由。

備註: 客戶無法控制 邏輯識別碼 (LID) 的產生方式,您也無法變更其值。LID 值無法直接進行比較。相反地,在比較 LID 值時,會使用內部軟體演算法,此演算法會將其分解成四個區塊,並逐一比較。例如,lid1-data1 大於 lid1-data2,lid1-data2 大於 lid2-data2。