本節概述 VMware SASE 路由功能,包括路由類型、已連線的路由和靜態路由、存在突破僵局 (tie-breaking) 案例的動態路由,以及具有分散式成本計算 (DCC) 的覆疊流量控制 (OFC) 中的喜好設定值。
概觀
VMware SASE 路由建置在名為 VCRP 的專屬通訊協定上,該路由支援多重路徑,並透過 VCMP 傳輸受到保護。會使用類似 iBGP 完整網格的 VCRP 來連接 SD-WAN 端點。SD-WAN 閘道會充當 BGP 路由反射程式,可根據設定檔的設定,將路由從客戶企業內的一個 SD-WAN Edge 反映到另一個 SD-WAN Edge。
下圖說明一個具有多雲端非 SD-WAN 目的地的典型 SD-WAN 部署,其中 Orchestrator 會執行路由計算,相對之下,使用動態成本計算 (DCC) 是較新的慣用方法。
用於路由的 SD-WAN 元件
- SD-WAN Edge 是一個企業層級裝置或虛擬化雲端執行個體,可針對私人、公用和混合應用程式以及虛擬化服務,提供安全且最佳化的連線。在 SD-WAN 路由中,Edge 是一個邊界閘道。Edge 可以作為一般 Edge (沒有設定中樞)、作為中樞本身或作為叢集的一部分,或是作為一個支點 (若有設定中樞)。
- SD-WAN 閘道是自發、無狀態、可水平擴充並由雲端提供的閘道,且多個承租人中的 Edge 可連線至這個閘道。對於任何 SD-WAN 部署,可將數個 SD-WAN 閘道部署成一個地理分佈 (用於降低延遲) 且可水平擴充 (用於容量) 的網路,其中的每個閘道將充當其所連線之 Edge 的路由反射程式。
在 Edge 上本機學習的所有路由會根據組態傳送到閘道。之後,閘道會將這些路由反映到企業中的其他 Edge,從而可以在不建置完整通道網格的情況下,實現有效率的完整網格 VPN 連線。
- SASE Orchestrator 是一個雲端型多承租人組態和監控入口網站。在 SD-WAN 路由中,Orchestrator 會管理所有企業的路由,並且可以覆寫預設路由行為。
如需用於路由的 VMware SD-WAN 元件的圖例,請參閱下圖。
路由類型
- 本機路由 (Local Routes):在 SD-WAN Edge 上本機學習的任何路由。這可以是已連線的子網路、靜態設定的路由,也可以是透過 BGP 或 OSPF 學習的任何路由。
- 遠端路由 (Remote Routes):從 VCRP 學習的任何路由,換言之,不存在於 Edge 本機上的路由就是遠端路由。此路由源自不同的 Edge,閘道會根據組態,將該路由反映到客戶企業中的其他 Edge。
SD-WAN 使用嚴格的順序,來為無法更改的非動態路由 (BGP 和 OSPF) 路由流量。但是,在某些情況下,您可以使用最長首碼相符技術,來操作路由流量的方式。
- 最長的首碼。
- 本機已連線。
- 本機靜態 (如果啟用了慣用選項) (LAN 靜態 < WAN 靜態)。
- 如果未啟用慣用選項,將優先採用覆疊路由。
- NSD 本機靜態路由。
- NSD IPSec 勝過 NSD GRE。
- 遠端 NSD 靜態。
- 遠端 Edge 已連線。
- 遠端 Edge LAN/WAN 靜態。
- PG 靜態。
- PG 安全靜態 > PG 非安全靜態。
- 動態路由 (覆疊流量控制 (OFC) 或分散式成本計算驅動的路由順序)。
- 站台本機 (OSPF 之間/ OSPF 內部、BGP 非上行) 是慣用路由,而不是過度動態路由。
- 本機 OSPF 區域間/區域內路由將勝過本機 BGP。
- 本機 BGP 勝過本機 OSPF 外部 (OE1/OE2)。
- 具有慣用成本的遠端路由勝過非慣用本機路由 (OE1、OE2、上行 BGP)。
- 在遠端動態路由內,會考慮優先順序 (較低的優先順序勝出)。
- 如果優先順序相同,則會比較 BGP 屬性和 OSPF 度量。
- OSPF 之間 > OSPF 內部 > OE1 > OE2
- BGP
- 較高的本機優先順序
- 較低的 AS_PATH 長度
- 較小的 BGP 度量
- 有關優先順序計算的更多詳細資料,請參閱 DCC 一節。
連線的路由和靜態路由
本節提供有關連線的路由和靜態路由的重要資訊。連線的路由為一個設定給網路的路由,且該網路直接連結至介面。在現有網路連結裝置 (例如印表機) 需要使用靜態路由的特殊情況下,靜態路由非常有用。如需靜態路由的詳細資訊,請參閱設定靜態路由設定。
連線的路由
- 若要讓連線的路由在 SD-WAN 中看得見,請在 Orchestrator 上進行以下設定:
- 必須啟用雲端 VPN (Cloud VPN)。
- 必須為連線的路由設定有效的 IP 位址。
- 此路由的 Edge 介面必須已在第 1 層上啟動,且在第 2 層和第 3 層上正常運作。
- 與此 Edge 介面相關聯的 VLAN 也必須已啟動。
- 必須在介面 IP 設定 (Interface IP settings) 下,為設定了連線的路由的 Edge 介面,設定通告 (Advertise) 旗標。
- 若要讓靜態路由在 SD-WAN 中看得見,請在 Orchestrator 上進行以下設定:
- 必須啟用雲端 VPN (Cloud VPN)。
- 靜態路由組態必須勾選已通告 (Advertised)。
- 靜態路由可以將流量轉送到 WAN 底層或 LAN。
- 新增靜態路由後,可略過 Edge 介面上的 NAT。
- 不支援具有靜態路由的 ECMP (等價多重路徑路由),並且只會使用第一個靜態路由。
- 使用 ICMP 探查,可避免在下一個躍點發生故障時出現黑洞流量。
- 已勾選慣用 (Preferred) 旗標的靜態路由,優先於經由覆疊學習的任何 VPN 路由。
勾選慣用 (Preferred) 核取方塊後,靜態路由一律優先符合,即使 VPN 路由成本較低也是如此。
如果未選取該選項,則表示任何可用的 VPN 路由優先符合 (而非靜態路由),即使 VPN 路由的成本高於靜態路由也是如此。僅當對應的 VPN 路由無法使用時,靜態路由才符合。
選取通告 (Advertise) 核取方塊時,會經由 VPN 通告靜態路由,且網路中的其他 SD-WAN Edge 將有權存取資源。這還支援將靜態路由重新分配到路由通訊協定 (例如本機 BGP/OSPF)。
如果將私人資源 (例如,遠端工作者的個人印表機) 設定為靜態路由,且應禁止其他使用者存取該資源時,請不要選取此選項。
OFC 全域通告旗標 (Global Advertise Flags) 可控制要將哪些路由新增至覆疊。依預設,不會將下列路由類型通告至覆疊中:外部 OSPF 和非 SD-WAN 目的地 iBGP。此外,如果 Edge 同時作為中樞和分支,則會使用為分支 (而不是中樞) 所設定的全域通告旗標 (Global Advertise Flags)。
自我路由 (Self Routes) 是指使用 IP 最長首碼相符 (LPM) (例如:172.16.1.10/32) 並以介面為基礎的首碼,該首碼安裝在 Edge 本機上,且不會通告至遠端 Edge。自我路由的另一個術語是「介面路由」。在 Edge 記錄中,自我路由會顯示為路由旗標「s」。
自我路由有別於連線的路由,因為連線的路由可以通告至覆疊,以便遠端 Edge 用戶端可以連線回來源 Edge 端上屬於已連線路由的用戶端。嚴格來說,自我路由是 Edge 本身的本機路由。
雲端路由 (Cloud Route) 以「v」旗標表示,是指安裝在 Edge 上且指向主要 VMware SD-WAN 閘道的路由,用來處理傳送到網際網路的多重路徑流量 (換言之,就是使用動態多重路徑最佳化 (DMPO) 的網際網路流量,它會在連線到網際網路之前利用閘道)。Edge 還會使用透過對應閘道的雲端路由,來管理傳送到公有雲上託管的 VMware Orchestrator 的流量。
具有分散式成本計算 (DCC) 的覆疊流量控制 (OFC)
分散式成本計算概觀
分散式成本計算 (DCC) 是一項功能,它利用 SD-WAN Edge 和閘道來進行路由喜好設定計算,而非依賴 SASE Orchestrator。Edge 和閘道一旦學習路由後,就會立即插入路由,然後將這些喜好設定傳送到 Orchestrator。
DCC 解決了在僅依賴 Orchestrator 的大規模部署中所出現的問題,因為在此類大規模部署中,Edge 或閘道可能無法連線至 Orchestrator 來接收已更新的路由喜好設定,或者 Orchestrator 可能無法在一次計算大量路由更新時快速提供路由更新,從而可能無法及時更新路由喜好設定。將路由喜好設定計算的職責分配給 Edge 和閘道,可確保快速可靠地更新路由。
如何完成分散式成本計算喜好設定
| Edge | 合作夥伴閘道/託管的閘道 |
|---|---|
| NSD E BGP | NSD E/I BGP |
| NSD I BGP | E/I BGP |
| NSD 上行 BGP | |
| OSPF O | |
| OSPF IA | |
| E BGP | |
| I BGP | |
| OSPF OE1 | |
| OSPF OE2 | |
| 上行 BGP |
| O = OSPF 區域內 |
| IA = OSPF 區域間 |
| OE1 = OSPF 外部類型 1 |
| OE2 = OSPF 外部類型 2 |
| E BGP = 外部 BGP |
| I BGP = 內部 BGP |
| NSD = 非 SD-WAN 目的地 |
每個路由類型都有一個喜好設定值 (將喜好設定視為本文件中的成本),且會根據路由類型,各指派一個喜好設定值給每個學習的路由。喜好設定值越低,優先順序越高。表 1-3 列出每一種路由類型的預設喜好設定值。
| 裝置 | 路由類型 | 預設喜好設定 |
| Edge/中樞 | NSD E BGP | 997 |
| Edge/中樞 | NSD I BGP | 998 |
| 閘道 | NSD E/I BGP | 999 |
| Edge/中樞 | NSD 上行 BGP | 1000 |
| Edge/中樞 | OSPF O | 1001 |
| Edge/中樞 | OSPF IA | 1002 |
| Edge/中樞 | E BGP | 1003 |
| Edge/中樞 | I BGP | 1004 |
| 合作夥伴閘道 | E/I BGP | 1005 |
| Edge/中樞 | OSFP OE1 | 1001006 |
| Edge/中樞 | OSPF OE2 | 1001007 |
| 中樞/Edge | BGP 上行 | 1001008 |
上表中顯示的喜好設定值,是以「覆疊流量控制」組態中的預設優先順序為基礎。如果變更預設順序,將相應地調整這些值。
動態路由工作流程
- Edge 或閘道會學習動態路由。
- SD-WAN 會在內部識別它的路由類型,以及其預設喜好設定值。
- SD-WAN 會指派正確的喜好設定值,並在路由資訊庫 (RIB) 和轉送資訊庫 (FIB) 中安裝路由。
- SD-WAN 會考慮執行設定給此路由的預設通告動作。根據通告動作,SD-WAN 會在客戶企業之間通告路由 (已通告),或者只將路由新增到 RIB 和 FIB 本機 (未通告),而不採取任何動作。
- 然後,SD-WAN 會將該路由同步至 Orchestrator,後者會在 Orchestrator 上顯示該路由。
慣用 VPN 結束點
本節介紹慣用 VPN 結束點:它們是什麼,哪些路由可以屬於哪些類別,以及如何使用路由釘選來覆寫預設值。
在企業入口網站的 SD-WAN 服務中,導覽至 時,您會看到一個標題為慣用 VPN 結束 (Preferred VPN Exits) 的區段。此區段會顯示預設優先順序,並標記優於其他類別的一些路由類別。
![此螢幕擷取畫面顯示 [覆疊流量控制 (Overlay Flow Control)] 畫面,其中顯示 [慣用 VPN 結束 (Preferred VPN Exits)]。](images/GUID-88F40274-06D4-4E33-A862-23DE899A0BDA-low.jpg)
- Edge:可以在中樞或支點 Edge 上學習的任何內部路由都屬於此類別,且會標記為最高優先順序。內部路由不能是 OSPF OE 1/OE 2 或 BGP 上行類型的路由。
- 中樞:在 Edge/中樞上學習的任何外部路由都屬於中樞類別,通常優先順序較低。中樞路由包括 OSPF OE1/2 和 BGP 上行。
- 合作夥伴閘道:在合作夥伴閘道上學習的任何路由。
- 路由器:路由器代表啟用了 BGP 或 OSPF 的 Edge 所學習的任何路由首碼,用來決定指派給動態路由的優先順序。通常,在 [VPN 結束 (VPN Exit)] 中,會指派較低的喜好設定值 (慣用成本) 給路由器 (Router) 上方的所有結束點,因此其優先順序較高,會指派較高的喜好設定值給路由器 (Router) 下方所有結束點,因此其優先順序較低。
- 例如:啟用 DCC 後,屬於 VPN 結束點 (VPN Exit Points) (Edge、合作夥伴閘道或 中樞) 且位於路由器 (Router) 上方的所有路由,會取得一個小於 1,000,000 的喜好設定值,而路由器 (Router) 下方的路由會取得一個大於 1,000,000 的喜好設定值。
- 在下列範例中,路由器 (Router) 上方的 VPN 結束點 (VPN Exit Points) (即 NSD、Edge 和合作夥伴閘道) 將取得一個小於 1,000,000 喜好設定值,中樞將取得一個大於 1,000,000 的喜好設定值。
![另一個螢幕擷取畫面,顯示 [覆疊流量控制 (Overlay Flow Control)],其中反白顯示 [路由器 (Router)],以指出高於或低於路由器類型的喜好設定值。](images/GUID-8F10AAAF-45BE-47F0-9A3D-A66598B78194-low.jpg)
釘選路由以覆寫預設喜好設定值
- 使用者可以透過下列任一方式,在覆疊流量控制 (Overlay Flow Control) 頁面上釘選路由:
- 在路由清單 (Routes List) 中,選取一或多個路由,然後按一下釘選學習的路由喜好設定 (Pin Learned Route Preference) 選項。
- 按一下資料表下方的編輯 (Edit),以修改慣用 VPN 結束 (Preferred VPN Exits) 的順序。
- Orchestrator 會將該路由事件傳送至客戶企業中的相關 Edge。
- Edge 會覆寫先前的喜好設定值,以符合釘選順序。
- 指派給釘選路由的喜好設定值從 1、2、3 開始,以此類推 (最低的值表示優先順序最高),這與覆疊流量控制 (Overlay Flow Control) 頁面上的路由順序相符。
備註: 如需釘選路由的詳細資訊,請參閱 設定子網路。
所有類型路由的突破僵局案例
當 Edge 收到兩個或多個來源/芳鄰的相同首碼時,會發生什麼情況?
在 SD-WAN 部署中,有一種潛在的案例是,從兩個不同的 Edge 或合作夥伴閘道通告了相同的首碼。使用 VMware SD-WAN 時,如果子網路位於相同的類別 ( Edge、中樞或合作夥伴閘道),且具有相同的喜好設定值,則在排序路由時,會先考慮 BGP 屬性或 OSPF 度量。
如果仍存在僵局,SD-WAN 會使用下一個躍點裝置的邏輯識別碼 (衍生自 Edge 或閘道的通用唯一識別碼 (UUID)),來突破這種僵局。下一個躍點裝置可以是閘道或中樞 Edge,具體取決於所使用的分支到分支 VPN 的類型。如果客戶企業正在透過閘道使用分支到分支,則下一個躍點為閘道,而如果客戶使用分支到中樞,則下一個躍點為中樞 Edge。
若有多個閘道所通告的路由類型和優先順序完全相同,則會產生最終的決定因素。此最終的決定因素傾向於最早學習的路由。若要確保得到您想要的路由結果,您可以釘選某些路由,或者設定 BGP 屬性和成本,使某些路由優先於其他路由。
有關動態路由的喜好設定計算和路由排序圖的說明,請參閱下圖。
- Spoke1 和 Spoke2 會將路由學習為 BGP 路由 (非上行)。
- Hub1 和 Hub2 會將路由學習為上行 BGP 路由。
- PG1 也會學習相同的路由。
- 透過 Hub1 和 Hub2 的分支到分支已在支點設定檔中啟用。
- 由於 spoke1 和 spoke2 會將路由學習為 BGP,因此根據 DCC 喜好設定對應表,它們會挑選慣用成本值 (在本節中稱為成本) 為 1003。
- 路由 9.9.9.9/32 將安裝在 Spoke1 和 Spoke2 的 FIB 中,參考成本為 1000000。與往常一樣,底層路由將安裝在僅具有參考成本的 FIB 中。DCC 喜好設定表中的衍生成本/喜好設定適用於要用於路由排序的遠端 SD-WAN 實體 (Edge/閘道)。
- Spoke1 和 Spoke2 會透過 VCRP (衍生成本為 1003) 將路由重新分配至閘道和遠端 Edge/中樞。以下輸出影像顯示支點中的衍生成本/喜好設定。
- 同樣地,Hub1 和 Hub2 會學習路由並衍生非慣用成本 (1001008),因為它們會將路由做為上行路由來學習。中樞會以此成本將路由重新分配至閘道和其他 Edge。以下輸出顯示中樞中的衍生成本/喜好設定。
- PG1 會從 BGP 中學習相同的路由,使用成本 1005 並將其重新分配至 Edge。以下輸出顯示 PG 中的衍生成本/喜好設定。
- Spoke1 會從非慣用成本為 1001008 的 Hub1 和 Hub2 接收路由。Spoke1 的偏好成本為 003。因此,將優先使用 Spoke1 自己的底層路由,且中樞路由將安裝在底層路由 (SB) 下方。在中樞路由內,如果喜好設定 (成本) 相同,則會比較 BGP 屬性,以進行路由排序。如果 BGP 屬性也相同,則會使用中樞順序來安裝路由。
- Spoke1 接收來自 Spoke2 和 PG1 的路由,費用分別為 1003 和 1005。由於 Spoke1 的慣用成本為 1003,且會從 Spoke2 和 PG1 接收慣用成本 (<100000) 的路由,因此 Spoke1 會將參考成本 1000000 新增至傳入慣用成本,並在 FIB 中安裝路由。在這種情況下,將使用成本 1001003 來安裝 Spoke2 的路由,使用成本 1001005 來安裝 PG1 的路由。
- 如果 Spoke2 或甚至中樞將路由學習為非上行路由,則會在中樞中套用相同的路由排序邏輯。
- 如果未在任何實體中學習任何底層路由,則不會對收到的路由喜好設定/成本進行任何更正。將根據收到的喜好設定/成本安裝路由。
- 中樞會以 FIB 中的參考成本 (1000000) 安裝其自己的底層路由 (SB)。
- 中樞會接收偏好成本為 1003 的支點路由。由於支點之間的成本相同,因此將據此對 BGP 屬性進行比較和排序。如果 BGP 屬性也相同,則將使用支點邏輯識別碼進行排序 (較低的目的地邏輯識別碼將勝過決定因素)。支點的路由將會以接收的成本進行安裝。
- 中樞會以偏好的成本接收 PG1 的路由。因此,它將按收到的慣用成本進行安裝。
- PG1 會安裝其自己的底層路由 (PB),且喜好設定為 100000。
- PG1 會接收具有對應喜好設定的支點路由和中樞路由。路由會根據喜好設定值放置在 FIB 中。如果喜好設定相同,則會考慮 BGP 屬性。如果這些屬性也相同,則將使用邏輯識別碼進行排序。
- 在 PG 中,沒有喜好設定/成本更正。
- 如果未啟用 DCC,則 Orchestrator 會執行通告判定和喜好設定計算。每個實體 (Edge 或閘道) 會將學習的路由傳送至 Orchestrator,並預期會收到來自 Orchestrator 的回覆。收到來自 Orchestrator 的回覆後,如果通告旗標在回覆中為「true」,則 Edge 或閘道會開始將路由重新分配給其他 SDWAN 實體。
- 路由順序與啟用 DCC 的情況一樣,但在此 DCC 停用的情況下,喜好設定值不會固定。
- 以 Orchestrator 為基礎的喜好設定計算,參考喜好設定/成本為 512。小於 512 的喜好設定/成本為慣用成本,而大於 512 的喜好設定/成本則賦予其非慣用路由 (上行路由、OSPF 外部路由)。其他路由排序邏輯仍與啟用 DCC 時相同。
- 如果 spoke2 先學習路由,並將其傳送至 Orchestrator,則 Orchestrator 會根據實體和路由類型開始指派喜好設定。由於 spoke2 學習為非上行,因此 Orchestrator 會指派喜好設定值 (例如,64)。稍後,當 spoke1 將相同的路由傳送至 Orchestrator 時,Orchestrator 會比較實體、路由類型和路由屬性。如果該路由更好,則會指派小於 64 的將喜好設定。如果該路由較差,則會指派大於 64 的喜好設定。
- 中樞會將路由學習為上行路由,並將其傳送至 Orchestrator。Orchestrator 會指派非慣用成本 (大於 512);在本範例中為 4096。如果喜好設定相同,則會使用中樞順序對支點中的路由進行排序。
- 停用 DCC 後,spoke1 (具有非上行路由) 中的路由順序將如下圖所示。
- 具有上行路由的中樞中的路由器順序將如下圖所示。
- PG 中的路由順序將如下圖所示。
- 最長的首碼。
- NSD 本機靜態路由。
- 遠端 NSD 靜態。
- PG 安全靜態。
- 企業層級 PG 靜態路由勝過全域層級 PG 靜態路由。
- 遠端連線/靜態。
- Edge logical_id 將成為決定因素 (較高的邏輯識別碼勝出)。
- 動態路由 (覆疊流量控制 (OFC) 或分散式成本計算驅動的路由順序)。
- 動態路由排序將以喜好設定值為基礎。較低的喜好設定勝出。
- 與 Edge 不同,閘道的自動更正中沒有喜好設定。對於動態路由,閘道會使用收到的喜好設定來安裝路由。將一律安裝本機路由,並使用參考喜好設定 1000000。
備註: 如需喜好設定計算的詳細資訊,請參閱〈具有分散式成本計算 (DCC) 的覆疊流量控制 (OFC)〉一節。 - PG 非安全靜態。
