Citrix SD-WAN

SD-WAN-Überlagerungsrouting

Citrix SD-WAN bietet robuste und robuste Konnektivität zwischen Remote-Standorten, Rechenzentren und Cloud-Netzwerken. Die SD-WAN-Lösung kann dies erreichen, indem Tunnel zwischen SD-WAN-Appliances im Netzwerk eingerichtet werden, um die Konnektivität zwischen Standorten zu ermöglichen, indem Routentabellen angewendet werden, die das vorhandene Unterlagennetz überlagern. SD-WAN-Routingtabellen können die vorhandene Routinginfrastruktur vollständig ersetzen oder mit ihr koexistieren. Der folgende Artikel enthält eine detaillierte Routingkonfiguration innerhalb des Citrix SD-WAN Netzwerks.

Citrix SD-WAN outentabelle

Die SD-WAN-Konfiguration ermöglicht statische Routeneinträge für bestimmte Standorte und Routeneinträge, die aus dem Unterlagennetzwerk über unterstützte Routingprotokolle wie OSPF, EBGP und IBGP gelernt wurden. Routen werden nicht nur durch ihren nächsten Hop, sondern durch ihren Service-Typ definiert. Dies bestimmt, wie die Route weitergeleitet wird. Im Folgenden sind die wichtigsten Arten der verwendeten Dienste aufgeführt:

  • Lokaler Dienst: Gibt jede Route oder Subnetz an, die zur SD-WAN-Appliance lokal sind. Dazu gehören die Subnetze der virtuellen Schnittstelle (erstellt automatisch lokale Routen) und alle in der Routentabelle definierten lokalen Routen (mit einem lokalen nächsten Hop). Die Route wird an andere SD-WAN-Appliances angekündigt, die über einen virtuellen Pfad zu diesem lokalen Standort verfügen, an dem diese Route konfiguriert wird, wenn sie als Partner vertrauenswürdig ist.

Hinweis

Seien Sie vorsichtig, wenn Sie Standardrouten und Sammelrouten als lokale Routen hinzufügen, da diese zu virtuellen Pfadrouten an anderen Standorten führen können. Überprüfen Sie immer die Routingtabellen, um sicherzustellen, dass das korrekte Routing wirksam ist.

  • Virtueller Pfad — Gibt jede lokale Route an, die von einer Remote-SD-WAN-Site gelernt wurde. Das ist, was über die virtuellen Pfade erreichbar ist. Diese Routen sind normalerweise automatisch, aber eine virtuelle Pfadroute kann manuell an einem Standort hinzugefügt werden. Jeder Datenverkehr für diese Route wird an den definierten virtuellen Pfad für diese Zielroute (Subnetz) weitergeleitet.

  • Intranet — Gibt Routen an, die über eine private WAN-Verbindung (MPLS, P2P, VPN usw.) erreichbar sind. Ein Remote-Zweig, der sich im MPLS-Netzwerk befindet, aber keine SD-WAN-Appliance hat. Es wird davon ausgegangen, dass diese Routen an einen bestimmten WAN-Router weitergeleitet werden müssen. Der Intranetdienst ist standardmäßig nicht aktiviert. Jeder Datenverkehr, der dieser Route (Subnetz) entspricht, wird als Intranet für diese Appliance klassifiziert, um an einen Standort zuzustellen, der über keine SD-WAN-Lösung verfügt.

Hinweis

Beachten Sie, dass beim Hinzufügen einer Intranetroute kein nächster Hop vorhanden ist, sondern ein Weiterleiten an einen Intranetdienst. Der Dienst ist einem bestimmten WAN-Link zugeordnet.

  • Internet — Dies ähnelt dem Intranet, wird jedoch verwendet, um Datenverkehr zu öffentlichen Internet-WAN-Verbindungen und nicht zu privaten WAN-Verbindungen zu definieren. Ein eindeutiger Unterschied besteht darin, dass der Internetdienst mehreren WAN-Verbindungen zugeordnet und auf Lastausgleich (pro Flow) oder aktiv/Backup eingestellt werden kann. Eine Standard-Internetroute wird erstellt, wenn der Internetdienst aktiviert ist (standardmäßig deaktiviert). Jeder Datenverkehr, der dieser Route (Subnetz) entspricht, wird für diese Appliance als Internet klassifiziert, um sie an öffentliche Internetressourcen zu liefern.

Hinweis

Internet-Service-Routen können an die anderen SD-WAN-Appliances angekündigt oder daran gehindert werden, je nachdem, ob Sie den Internetzugang über die virtuellen Pfade backhauling.

  • Passthrough — Dieser Dienst fungiert als letzter Ausweg oder Override-Dienst, wenn sich eine Appliance im In-Line-Modus befindet. Wenn eine Ziel-IP-Adresse nicht mit einer anderen Route übereinstimmt, leitet die SD-WAN-Appliance sie einfach an den nächsten Hop WAN-Link weiter. Eine Standardroute: 0.0.0.0/0 Kosten von 16 Pass-Through-Route werden automatisch erstellt. Passthrough funktioniert nicht, wenn die SD-WAN-Appliance außerhalb des Pfades oder im Edge/Gateway-Modus bereitgestellt wird. Jeder Datenverkehr, der dieser Route (Subnetz) entspricht, wird als Passthrough für diese Appliance klassifiziert. Es wird empfohlen, den Durchgangsverkehr so weit wie möglich zu beschränken.

Hinweis

Passthrough kann nützlich sein, wenn POCs durchgeführt werden, um zu vermeiden, dass zahlreiche Routing konfiguriert werden müssen. Seien Sie jedoch in der Produktion sehr vorsichtig, da SD-WAN die WAN-Link-Auslastung für Datenverkehr, der an Passthrough gesendet wird, nicht berücksichtigt. Es ist auch hilfreich, wenn Sie Probleme beheben und einen bestimmten IP-Fluss über den virtuellen Pfad aus der Zustellung herausnehmen möchten.

  • Verwerfen - Dies ist kein Dienst, sondern eine letzte Ausweg, die die Pakete fallen lassen, wenn sie übereinstimmen. Normalerweise tritt dies nicht auf, wenn die SD-WAN-Appliance außerhalb des Pfades bereitgestellt wird. Sie müssen einen Intranetdienst oder eine lokale Route als Catch all Route haben, andernfalls wird der Datenverkehr verworfen, da kein Passthrough-Dienst vorhanden ist (obwohl eine Passthrough-Standardroute vorhanden ist).

    Der SD-WAN-Konfigurations-Editor ermöglicht die Anpassung der Routentabellen für jeden verfügbaren Standort:

lokalisierte Grafik

Routentabelleneinträge werden aus verschiedenen Eingaben aufgefüllt:

  • Konfigurierte virtuelle IP-Adresse (VIP) wird automatisch als Service Type Local route aufgefüllt. Der Konfigurations-Editor verhindert die gleiche VIP-Zuweisung zu verschiedenen Standortknoten.

  • Internetdienste, die an einem lokalen Standort aktiviert sind, füllen automatisch eine Standardroute (0.0.0.0/0) lokal für direkte Internetausbrüche aus.

  • Admin definierte statische Routen pro Standort, die auch als Service Type Local Route definiert werden.

  • Ein Standardwert (0.0.0.0/0) fängt alle Routen ab, wobei Kosten 16 als Passthrough definiert sind.

Administratoren können eine der oben genannten Routen konfigurieren, aber zusätzlich zu den Routenkosten auch einen Diensttyp, einen nächsten Hop oder ein Gateway hinzufügen. Für jeden Routentyp werden automatisch Standardkosten hinzugefügt (siehe Tabelle unten für Standard-Routenkosten). Darüber hinaus werden nur vertrauenswürdige Routen an andere SD-WAN-Appliances angekündigt. Nicht vertrauenswürdige Routen werden nur von der lokalen Appliance verwendet.

Client-Knotenrouten werden nur an den MCN-Knoten angekündigt und keine anderen Client-Knoten standardmäßig. Damit Client-Knotenrouten für andere Client-Knoten sichtbar sind, sollte WAN to WAN Forwarding am MCN-Knoten aktiviert werden.

lokalisierte Grafik

Wenn WAN-zu-WAN-Weiterleitung (Routenexport Template) unter den globalen Einstellungen aktiviert ist, teilt die MCN-Website die angekündigten Routen für alle Clients, die am SD-WAN-Overlay teilnehmen. Durch Aktivieren dieser Funktion wird die IP-Konnektivität zwischen Hosts an verschiedenen Clientknotenstandorten aktiviert, wobei die Kommunikation über den MCN erfolgt. Die Routingtabelle für den lokalen Clientknoten kann auf der Seite Überwachung > Statistiken überwacht werden, wobei Routen für das Dropdownmenü Anzeigen ausgewählt sind.

lokalisierte Grafik

Jede Route für Remote-Zweigstellen-Subnetze wird als Dienst über den virtuellen Pfad angekündigt, der über den MCN verbunden ist, wobei die Spalte Standort mit dem Clientknoten gefüllt wird, auf dem sich das Ziel befindet, als lokales Subnetz.

Im folgenden Beispiel hat Branch A mit aktivierter WAN-zu-WAN-Weiterleitung (Route-Export) einen Routingtabelleneintrag für das Branch B-Subnetz (10.2.2.0/24) durch den MCN als nächsten Hop.

lokalisierte Grafik

Übereinstimmung mit dem Citrix SD-WAN Datenverkehr auf definierten Routen

Der Übereinstimmungsprozess für definierte Routen in Citrix SD-WAN basiert auf der längsten Präfixübereinstimmung für Zielsubnetz (ähnlich wie bei einem Routervorgang). Je spezifischer die Route ist, desto höher ist die Änderung. Die Sortierung erfolgt in der folgenden Reihenfolge:

  1. Längste Präfix-Übereinstimmungen
  2. Kosten
  3. Service

Daher geht eine /32 Route immer vor einer /31 Route. Bei zwei /32 Routen geht eine Cost-4-Route immer vor einer Cost-5-Route. Für zwei /32 Kosten 5 Routen werden Routen basierend auf dem bestellten IP-Host ausgewählt. Serviceauftrag ist wie folgt: Lokal, Virtueller Pfad, Intranet, Internet, Passthrough, Verwerfen.

Betrachten Sie als Beispiel die folgenden zwei Routen:

  • 192.168.1.0/24 Kosten 5

  • 192.168.1.64/26 Kosten 10

Ein Paket, das für den Host 192.168.1.65 bestimmt ist, würde die letztere Route verwenden, obwohl die Kosten höher sind. Auf dieser Grundlage ist es üblich, dass die Konfiguration nur für die Routen vorhanden ist, die über das Virtual Path Overlay bereitgestellt werden sollen, wobei anderer Datenverkehr alle Routen abfangen, z. B. eine Standardroute zum Passthrough-Service.

Routen können in einer Standortknoten-Tabelle konfiguriert werden, die das gleiche Präfix haben. Der Tie Break geht dann auf die Routenkosten, den Diensttyp (Virtual Path, Intranet, Internet usw.) und die nächste Hop-IP.

Citrix SD-WAN Routingpaketfluss

  • LAN-zu-WAN (Virtual Path) Traffic-Routenübereinstimmung:

    1. Der eingehende Datenverkehr wird von der LAN-Schnittstelle empfangen und verarbeitet.

    2. Der empfangene Frame wird mit der Routentabelle für die längste Präfixübereinstimmung verglichen.

    3. Wenn eine Übereinstimmung gefunden wird, wird der Frame von der Regelengine verarbeitet und ein Flow in der Flow-Datenbank erstellt.

  • WAN zu LAN (Virtual Path) Traffic Routenübereinstimmung:

    1. Der virtuelle Pfadverkehr wird vom SD-WAN aus dem Tunnel empfangen und verarbeitet.

    2. Die Appliance vergleicht die Quell-IP-Adresse, um festzustellen, ob die Quelle lokal ist.

      • Wenn ja — dann WAN-qualifiziert und IP-Ziel mit Routingtabellle/Virtual Path übereinstimmen.

      • Wenn nein — dann Überprüfung der WAN-zu-WAN-Weiterleitung aktiviert.

    3. (WAN-zu-WAN-Weiterleitung deaktiviert) Weiterleiten an LAN basierend auf lokalen Routen.

    4. (WAN-zu-WAN-Weiterleitung aktiviert) Weiterleiten an virtuellen Pfad basierend auf der Routingtabelle.

  • Nicht virtueller Pfadverkehr:

    1. Der eingehende Datenverkehr wird über die LAN-Schnittstelle empfangen und verarbeitet.

    2. Der empfangene Frame wird mit der Routentabelle für die längste Präfixübereinstimmung verglichen.

    3. Wenn eine Übereinstimmung gefunden wird, wird der Frame von der Regelengine verarbeitet und ein Flow in der Flow-Datenbank erstellt.


Unterstützung des Citrix SD-WAN Routingprotokolls

Citrix SD-WAN Version 9.1 führte OSPF- und BGP-Routingprotokolle in die Konfiguration ein. Die Einführung von Routingprotokollen in SD-WAN ermöglichte eine einfachere Integration von SD-WAN in komplexere Unterlagennetzwerke, in denen Routingprotokolle aktiv eingesetzt werden. Mit den gleichen Routing-Protokollen, die auf SD-WAN aktiviert sind, wurde die Konfiguration von Subnetzen vereinfacht, die für die Verwendung des SD-WAN-Overlays bezeichnet werden. Darüber hinaus ermöglichen die Routingprotokolle die Kommunikation zwischen SD-WAN- und Nicht-SD-WAN-Standorten mit direkter Kommunikation zu bestehenden Kunden-Edge-Routern über das gemeinsame Routing-Protokoll. Citrix SD-WAN, die an Routingprotokollen im Unterlagennetzwerk teilnehmen, kann unabhängig vom Bereitstellungsmodus von SD-WAN (Inline-Modus, Virtual Inline-Modus oder Edge/Gateway-Modus) durchgeführt werden. Darüber hinaus kann SD-WAN im “Nur lernen” -Modus bereitgestellt werden, in dem SD-WAN Routen empfangen kann, aber keine Routen zurück zur Unterlage ankündigen kann. Dies ist nützlich, wenn die SD-WAN-Lösung in ein Netzwerk eingeführt wird, in dem die Routinginfrastruktur komplex oder unsicher ist.

Wichtig

Es ist sehr einfach, unerwünschte Route auslaufen, wenn Sie nicht vorsichtig sind.

Die Routingtabelle SD-WAN Virtual Path funktioniert als External Gateway Protocol (EGP), das BGP (think site-to-Site) sehr ähnlich ist. Wenn SD-WAN beispielsweise Routen von der SD-WAN-Appliance zu OSPF anmeldet, werden sie normalerweise als extern für Standort und Protokoll betrachtet.

Hinweis

Beachten Sie Umgebungen mit IGPs über die gesamte Infrastruktur (über das WAN), da dies die Verwendung von SD-WAN-angekündigten Routen erschwert. EIGRP wird umfassend auf dem Markt eingesetzt, und SD-WAN arbeitet nicht mit diesem Protokoll zusammen.

Eine Herausforderung bei der Einführung von Routingprotokollen in eine SD-WAN-Bereitstellung besteht darin, dass die Routingtabelle erst verfügbar ist, wenn der SD-WAN-Dienst aktiviert und im Netzwerk ausgeführt wird. Daher wird es nicht empfohlen, zuerst Ankündigungsrouten von der SD-WAN-Appliance zu aktivieren. Verwenden Sie die Import- und Exportfilter für eine schrittweise Einführung von Routingprotokollen auf SD-WAN.

Lassen Sie uns einen genaueren Blick, indem Sie das folgende Beispiel überprüfen:

lokalisierte Grafik

In diesem Beispiel untersuchen wir einen Anwendungsfall des Routingprotokolls. Das obige Netzwerk hat vier Standorte: New York, Dallas, London und San Francisco. Wir stellen SD-WAN-Appliances an drei dieser Standorte bereit und verwenden SD-WAN, um ein hybrides WAN-Netzwerk zu erstellen, in dem MPLS- und Internet-WAN-Links verwendet werden, um ein virtualisiertes WAN bereitzustellen. Da Dallas kein SD-WAN-Gerät haben wird, müssen wir überlegen, wie Sie am besten mit vorhandenen Routenprotokollen zu diesem Standort integrieren können, um eine vollständige Konnektivität zwischen Unterlagen- und SD-WAN-Overlay-Netzwerken zu gewährleisten.

Im Beispielnetzwerk wird eBGP zwischen allen vier Standorten im MPLS-Netzwerk verwendet. Jeder Standort hat seine eigene Autonomous System Number (ASN).

Im New Yorker Rechenzentrum wird OSPF ausgeführt, um die Kernsubnetze des Rechenzentrums an die Remote-Standorte anzukündigen und außerdem eine Standardroute von der New York Firewall (E) anzukündigen. In diesem Beispiel wird der gesamte Internetverkehr in das Rechenzentrum zurückgeführt, obwohl die Niederlassungen in London und San Francisco einen Pfad zum Internet haben.

Die San Francisco-Website sollte auch darauf hingewiesen werden, keinen Router zu haben. SD-WAN wird im Edge/Gateway-Modus bereitgestellt, wobei diese Appliance das Standard-Gateway für das San Francisco-Subnetz ist und auch an eBGP zum MPLS beteiligt ist.

  • Beachten Sie beim New York Data Center, dass das SD-WAN im Virtual Inline-Modus bereitgestellt wird. Die Absicht besteht darin, am vorhandenen OSPF-Routingprotokoll teilzunehmen, um Datenverkehr als bevorzugtes Gateway an die Appliance weiterzuleiten.
  • Die Londoner Site wird im traditionellen Inline-Modus bereitgestellt. Der Upstream-WAN-Router (C) ist weiterhin das Standard-Gateway für das London-Subnetz.
  • Der San Francisco-Standort ist ein neu eingeführter Standort in diesem Netzwerk, und das SD-WAN soll im Edge/Gateway-Modus bereitgestellt werden und als Standard-Gateway für das neue San Francisco-Subnetz fungieren.

Überprüfen Sie einige der vorhandenen Unterlagen-Routentabellen, bevor Sie SD-WAN implementieren.

New York Core Router B:

lokalisierte Grafik

Die lokalen New Yorker Subnetze (172.x.x.x) sind auf Router B als direkt verbunden verfügbar, und aus der Routingtabelle erkennen wir, dass die Standardroute 172.10.10.3 (Firewall E) ist. Außerdem können wir sehen, dass Dallas (10.90.1.0/24) und London (10.100.1.0/24) Subnetze über 172.10.10.1 (MPLS Router A) verfügbar sind. Die Routenkosten deuten darauf hin, dass sie von eBGP gelernt wurden.

Hinweis

Im angegebenen Beispiel wird San Francisco nicht als Route aufgeführt, da wir die Site noch nicht mit SD-WAN im Edge/Gateway-Modus für dieses Netzwerk bereitgestellt haben.

lokalisierte Grafik

Für den New York WAN Router (A) sind OSPF erlernte Routen und Routen aufgelistet, die über das MPLS durch eBGP gelernt wurden. Beachten Sie die Routenkosten. BGP ist niedriger administrative Domäne und Kosten standardmäßig 20/1 im Vergleich zu OSPF 110/10.

Dallas Router D:

Für den Dallas WAN Router (D) werden alle Routen über das MPLS erlernt.

lokalisierte Grafik

Hinweis

In diesem Beispiel können Sie das Subnetz 192.168.65.0/24 ignorieren. Dies ist ein Management-Netzwerk und nicht relevant für das Beispiel. Alle Router sind mit dem Management-Subnetz verbunden, aber der wird in keinem Routingprotokoll angekündigt.

In Citrix SD-WAN können Sie das SD-WAN-Overlay hinzufügen, indem Sie OSPF auf dem SD-WAN auf der New Yorker Website unter Verbindungen > Site anzeigen > OSPF > Grundeinstellungen aktivieren :

lokalisierte Grafik

Hinweis

Der OSPF-Routentyp exportieren ist standardmäßig Typ 5 Extern. Dies liegt daran, dass die SD-WAN-Routingtabelle als außerhalb des OSPF-Protokolls betrachtet wird und daher OSPF eine Route gelernt intern (intern) bevorzugt, daher haben Routen, die von SD-WAN angekündigt werden, keine Vorrang.

Wenn OSPF über das WAN (also MPLS-Netzwerke) verwendet wird, kann dies in Typ 1 innerhalb des Bereichs geändert werden. OSPF-Bereiche können wie unten dargestellt konfiguriert werden.

lokalisierte Grafik

Bereich 0 hinzugefügt mit dem lokalen Netzwerk abgeleitet von der virtuellen Schnittstelle (172.10.10.0), alle anderen Einstellungen wurden standardmäßig belassen.

Für die neue San Francisco-Website müssen wir ebGP aktivieren, da es direkt mit dem MPLS-Netzwerk verbunden wird und als Kunden-Edge-Route für den Standort fungiert. BGP kann unter Verbindungen > Site anzeigen > BGP > Grundeinstellungen aktiviert werden.

Beachten Sie die Nummer des autonomen Systems 13.

lokalisierte Grafik

lokalisierte Grafik

Der eBGP-Peers untereinander. Jede ASN ist anders.

Es ist wichtig zu verstehen, wie Routen zwischen der Routingtabelle des virtuellen Pfads und den verwendeten dynamischen Routenprotokollen übergeben werden. Es ist einfach, Routingschleifen zu erstellen oder Routen in einer ungünstigen Weise zu werben. Der Filtermechanismus gibt uns die Möglichkeit zu steuern, was in und aus der Routingtabelle gelangt. Wir betrachten jeden Standort der Reihe nach.

  • Der Standort San Francisco verfügt über zwei lokale Subnetze 10.80.1.0/24 und 10.81.1.0/24 . Wir wollen sie über eBGP bewerben, so dass Websites wie Dallas immer noch über das Unterlagennetz die San Francisco-Site erreichen können und auch Standorte wie London und San Francisco über das Virtual Path Overlay-Netzwerk noch San Francisco erreichen können. Wir wollen auch von eBGP-Erreichbarkeit für alle Standorte lernen, falls das SD-WAN Virtual Path Overlay ausfällt und die Umgebung auf die Verwendung von MPLS zurückgreifen muss. Wir wollen auch nichts lesen, was SD-WAN von eBGP bis zu den SD-WAN-Routern lernt. Dazu müssen die Filter wie folgt konfiguriert werden:

  • Importieren Sie alle Routen aus eBGP. Routen nicht in SD-WAN-Appliances lesen/exportieren.

lokalisierte Grafik

  • Lokale Routen nach eBGP exportieren

Die Standardregel für den Export besteht darin, alles zu exportieren. Regel 200 wird verwendet, um die Fehlerregel außer Kraft zu setzen, um die Routen nicht zu lesen. Jede Route, die mit einem Präfix SD-WAN übereinstimmt, hat über die virtuellen Pfade gelernt.

lokalisierte Grafik

Nachdem die Citrix SD-WAN Appliances bereitgestellt wurden, können wir einen aktualisierten Blick auf die Routentabellen für den BGP-Router am Standort Dallas werfen. Wir sehen, dass 10.80.1.0/24 und 10.81.1.0/24 Subnetze korrekt über eBGP aus dem San Francisco SD-WAN gesehen werden.

Dallas Router D:

lokalisierte Grafik

Darüber hinaus kann die Citrix SD-WAN Routentabelle auf der Seite Überwachung > Statistiken > Routen anzeigen angezeigt werden.

San Francisco Citrix SD-WAN:

lokalisierte Grafik

Citrix SD-WAN zeigt alle erlernten Routen an, einschließlich Routen, die über das virtuelle Pfad-Overlay verfügbar sind.

Betrachten wir 172.10.10.0/24, die sich im New York Data Center befindet. Diese Route wird auf zwei Arten erlernt:

  • Als Virtual Path Route (Nummer 3), Service = NYC-SFO mit einem Preis von 5 und geben Sie statisch ein. Dies ist ein lokales Subnetz, das von der SD-WAN-Appliance in New York angekündigt wird. Es ist statisch, da es entweder direkt mit der Appliance verbunden ist oder es sich um eine manuelle statische Route handelt, die in die Konfiguration eingegeben wurde. Es ist erreichbar, da sich der virtuelle Pfad zwischen den Sites in einem funktionieren/aufbereitenden Zustand befindet.

  • Als beworbene Route durch BGP (Nr. 6), mit einem Preis von 6. Dies gilt jetzt als Fallback-Route.

Da das Präfix gleich ist und die Kosten unterschiedlich sind, verwendet SD-WAN die Virtual Path Route, es sei denn, es wird nicht mehr verfügbar. In diesem Fall wird die Fallback-Route über BGP gelernt.

Betrachten wir nun die Route 172.20.20.0/24.

  • Dies wird als Virtual Path Route (Num 9) gelernt, hat aber eine Art von Dynamik und Kosten von 6. Dies bedeutet, dass die Remote-SD-WAN-Appliance diese Route über ein Routingprotokoll, in diesem Fall OSPF, gelernt hat. Standardmäßig sind die Routenkosten höher.

  • SD-WAN lernt diese Route auch mit den gleichen Kosten durch BGP. In diesem Fall kann diese Route vor der Virtual Path Route bevorzugt werden.

Um ein korrektes Routing zu gewährleisten, müssen wir die BGP-Routenkosten erhöhen, um sicherzustellen, ob wir eine Virtual Path Route haben und es ist die bevorzugte Route. Dies kann getan werden, indem Sie das Gewicht der Import-Filter-Route so anpassen, dass es höher ist als der Standardwert 6 ist.

lokalisierte Grafik

Nach der Anpassung können wir die SD-WAN-Routentabelle auf der San Francisco-Appliance aktualisieren, um die angepassten Routenkosten anzuzeigen. Verwenden Sie die Filteroption, um die angezeigte Liste zu fokussieren.

lokalisierte Grafik

Lassen Sie uns schließlich die erlernte Standardroute auf dem San Francisco SD-WAN betrachten. Wir wollen den gesamten Internetverkehr nach New York zurückholen. Wir können sehen, dass wir es mit dem virtuellen Pfad senden, wenn es oben ist, oder durch das MPLS-Netzwerk als Fallback.

lokalisierte Grafik

Wir sehen auch eine Passthrough und verwerfen Route mit Kosten 16. Dies sind automatische Routen, die nicht entfernt werden können. Wenn das Gerät inline ist, wird die Passthrough-Route als letztes Mittel verwendet. Wenn ein Paket nicht mit einer spezifischeren Route abgeglichen werden kann, wird SD-WAN diese an den nächsten Hop der Schnittstellengruppe weiterleiten. Wenn sich das SD-WAN außerhalb des Pfades befindet oder im Kante/Gateway-Modus, gibt es keinen Passthrough-Dienst. In diesem Fall wird das Paket mit der Standardverwerfungsroute entfernt. Die Trefferanzahl gibt die Anzahl der Pakete an, die jede Route treffen, was bei der Fehlerbehebung hilfreich sein kann.

Wenn wir uns jetzt auf die New Yorker Website konzentrieren, möchten wir den Datenverkehr für entfernte Standorte (London und San Francisco) an die SD-WAN-Appliance weiterleiten, wenn der virtuelle Pfad aktiv ist.

Auf der New Yorker Website sind mehrere Subnetze verfügbar:

  • 172.10.10.0/24 (direkt verbunden)

  • 172.20.20.0/24 (über OSPF vom Core-Router B beworben)

  • 172.30.30.0/24 (über OSPF vom Core-Router B beworben)

Wir sind auch verpflichtet, den Verkehrsfluss nach Dallas (10.100.1.0/24) über MPLS bereitzustellen.

Schließlich wollen wir alle Internet-gebundenen Verkehrswege zur Firewall E über 172.10.10.3 als nächsten Hop. SD-WAN lernt diese Standardroute über OSPF und über den virtuellen Pfad hinweg zu werben. Die Filter für die New Yorker Website sind:

lokalisierte Grafik

Der New York SD-WAN-Standort importiert alle Routen für das Management-Netzwerk. Dies kann ignoriert werden. Wir können uns auf Filter 200 konzentrieren.

lokalisierte Grafik

Filter 200 wird verwendet, um 192.168.10.0/24 (unser MPLS-Kern) für Erreichbarkeit zu importieren, aber es wird nicht über das Virtual Path Overlay angekündigt. Alle anderen Routen sind dann eingeschlossen.

Für die Exportfilter können wir Route für 192.168.10.0/24 ausschließen. Dies liegt daran, dass wir diese Route als direkt verbundenes Subnetz am Standort San Francisco nicht an der Quelle herausfiltern können, so dass sie an diesem Ende unterdrückt wird.

lokalisierte Grafik

Lassen Sie uns nun die aktualisierte Routentabelle überprüfen, beginnend an der Kernroute in New York Standort.

New York Router B:

lokalisierte Grafik

Die Subnetze für San Francisco (10.80.1.0 & 10.81.1.0) und London (10.90.1.0) werden nun über die New York SD-WAN Appliance (172.10.10.10) beworben. Die Route 10.100.1.0/24 wird noch durch die Unterlage MPLS Router A beworben. Lassen Sie uns die New Yorker Site SD-WAN Routentabelle überprüfen.

New Yorker Standort SD-WAN Routentabelle:

lokalisierte Grafik

Wir können die richtigen Routen sowohl für die lokalen Subnetze, die über OSPF gelernt wurden, als auch eine Route zum Standort Dallas, die vom MPLS Router A gelernt wurde, als auch für die entfernten Subnetze für San Francisco und Londoner Standorte. Schauen wir uns den MPLS Router A an. Dieser Router beteiligt sich an OSPF und BGP.

lokalisierte Grafik

Aus der Routentabelle lernt dieser Router A die entfernten Subnetze über BGP und OSPF mit der administrativen Entfernung und Kosten der BGP-Route (20/5) niedriger als OSPF (110/10) und daher bevorzugt. In diesem Beispiel Netzwerk, in dem nur eine Kernroute vorhanden ist, kann dies keine Bedenken verursachen. Der hier ankommende Datenverkehr würde jedoch über das MPLS-Netzwerk zugestellt und nicht an die SD-WAN-Appliance gesendet werden (172.10.10.10). Wenn wir eine vollständige Routing-Symmetrie beibehalten möchten, benötigen wir eine Routenkarte, um die AD/Metrik-Kosten so anzupassen, dass es Routenpräferenz von der Route kommt aus 172.10.10.10 statt der Route, die über eBGP gelernt wurde.

Alternativ kann eine Backdoor -Route so konfiguriert werden, dass der Router die OSPF-Route gegenüber der BGP-Route bevorzugt. Beachten Sie die statische Route für die virtuelle SD-WAN-IP-Adresse zur SD-WAN-Appliance des Londoner Standorts.

lokalisierte Grafik

Dies ist erforderlich, um sicherzustellen, dass der virtuelle Pfad wieder an die SD-WAN-Appliance des New Yorker Standortes weitergeleitet wird, wenn der MPLS-Pfad ausfällt. Da gibt es eine Route für den 10.90.1.0/24 wird über 172.10.10.10 (New York SD-WAN) beworben. Es wird auch empfohlen, eine Überschreibungs-Service-Regel zu erstellen, um alle UDP 4.980 Pakete an der SD-WAN-Appliance zu löschen, um zu verhindern, dass der virtuelle Pfad zu sich selbst zurückkehrt.

Dynamische virtuelle Pfade

Dynamische virtuelle Pfade können zwischen zwei Clientknoten erlaubt werden, um virtuelle Pfade auf Anforderung für die direkte Kommunikation zwischen zwei Standorten zu erstellen. Der Vorteil eines dynamischen virtuellen Pfads besteht darin, dass der Datenverkehr direkt von einem Clientknoten zum zweiten fließen kann, ohne den MCN oder zwei virtuelle Pfade durchqueren zu müssen, was dem Datenfluss Latenz hinzufügen könnte. Dynamische virtuelle Pfade werden basierend auf benutzerdefinierten Datenverkehrsschwellenwerten dynamisch erstellt und entfernt. Diese Schwellenwerte sind entweder Pakete pro Sekunde (pps) oder Bandbreite (kbps) definiert. Diese Funktionalität ermöglicht eine dynamische SD-WAN-Overlay-Topologie mit vollem Netz.

Sobald die Schwellenwerte für dynamische virtuelle Pfade erfüllt sind, erstellen die Clientknoten dynamisch ihren virtualisierten Pfad zueinander unter Verwendung aller verfügbaren WAN-Pfade zwischen den Standorten und nutzen ihn folgendermaßen vollständig:

  • Senden Sie Massendaten, falls vorhanden, und überprüfen Sie keinen Verlust, dann

  • Senden Sie interaktive Daten und überprüfen Sie keinen Verlust, dann

  • Senden von Echtzeitdaten, nachdem die Massen- und Interaktive Daten als stabil angesehen werden (kein Verlust oder akzeptable Werte)

  • Wenn keine Massen- oder interaktive Daten vorhanden sind, senden Sie Echtzeitdaten, nachdem der dynamische virtuelle Pfad für einen Zeitraum stabil war

  • Wenn die Benutzerdaten für einen benutzerdefinierten Zeitraum unter die konfigurierten Schwellenwerte fallen, wird der dynamische virtuelle Pfad abgerissen

    Dynamische virtuelle Pfade haben das Konzept einer Zwischen-Site. Bei dem Zwischenstandort kann es sich um einen MCN-Standort oder einen anderen Standort im Netzwerk handeln, an dem der statische virtuelle Pfad konfiguriert und mit zwei oder mehr Clientknoten verbunden ist. Eine weitere Anforderung zur Entwurfsüberlegung besteht darin, dass die WAN-zu-WAN-Weiterleitung aktiviert ist, sodass alle Routen von allen Standorten an die Clientknoten angekündigt werden können, auf denen der dynamische virtuelle Pfad gewünscht wird. Site als Zwischenknoten aktivieren muss zusätzlich zur WAN-zu-WAN-Weiterleitung aktiviert sein, damit dieser Zwischenstandort die Client-Knotenkommunikation überwacht und diktiert, wann der dynamische Pfad eingerichtet und abgerissen werden muss.

lokalisierte Grafik

In der SD-WAN-Konfiguration können mehrere WAN-zu-WAN-Weiterleitungsgruppen zulässig sein, wodurch die vollständige Kontrolle über die Pfadeinrichtung zwischen bestimmten Clientknoten und nicht anderen ermöglicht wird.

lokalisierte Grafik

Damit Clientknoten als Zwischenstandorte arbeiten können, muss zwischen ihm und den Clients, die dieser WAN-zu-WAN-Weiterleitungsgruppezugeordnet sind, ein statischer virtueller Pfad konfiguriert werden. Darüber hinaus müssen Clientknoten die Option Dynamischen virtuellen Pfad aktivieren für jeden Clientknoten aktiviert.

lokalisierte Grafik

Jedes SD-WAN-Gerät verfügt über eine eigene eindeutige Routentabelle mit den folgenden Details für jede Route:

  • Zahl — Reihenfolge der Route dieser Appliance basierend auf dem Vergleichsprozess (niedrigste Zahl, die zuerst verarbeitet wurde)

  • Netzwerkadresse — Subnetz oder Hostadresse

  • Gateway bei Bedarf

  • Service — welcher Dienst für diese Route angewendet wird

  • Firewall-Zone — die Firewall-Zonenklassifizierung der Route

  • Erreichbar — Gibt an, ob der Status Virtueller Pfad für diese Site aktiv ist

  • Standort — Der Name des Standorts, an dem die Route erwartet wird

  • Typ — Identifizierung des Streckentyps (statisch oder dynamisch)

  • Neighbor Direct

  • Kosten - Kosten der jeweiligen Strecke

  • Trefferanzahl — wie oft die Route pro Paket verwendet wurde. Dies würde verwendet, um zu überprüfen, ob eine Route richtig getroffen wird.

  • Berechtigte

  • Berechtigungsart

  • Berechtigungswert

Im Folgenden finden Sie eine Beispiel-Tabelle für die SD-WAN-Site:

lokalisierte Grafik

Beachten Sie aus der obigen SD-WAN-Routertabelle, dass in herkömmlichen Routern normalerweise mehr Elemente nicht verfügbar sind. Am bemerkenswertesten ist die Spalte Erreichbar, die die Route je nach WAN-Pfadstatus entweder aktiv oder inaktiv (ja/nein) macht. Die hier aufgelisteten Routen werden basierend auf verschiedenen Zuständen des Dienstes unterdrückt (der virtuelle Pfad ist als Beispiel heruntergefahren). Andere Ereignisse, die erzwingen können, dass eine Route nicht berechtigt ist, sind Pfad-Down-Status, nächster Hop nicht erreichbar oder WAN-Link down.

Aus der obigen Tabelle können wir 14 definierte Routen sehen. Eine Beschreibung der Routen oder Streckengruppen wird nachfolgend beschrieben:

  • Route 0 — Auf dem MCN handelt es sich um eine Host-Subnetzroute, die sich am DC-Standort befindet. 172.16.10.0/24 befindet sich im DC-LAN und 192.168.15.1 ist das Gateway im LAN, das der nächste Hop ist, der zu diesem Subnetz gelangen wird.

  • Route 1 - Dies ist eine lokale Route zu diesem SD-WAN-Gerät, das die Routentabelle anzeigt.

  • Route 2—4 — Dies sind die Subnetze, die Teil der virtuellen Schnittstellen sind, die für den DC-Standort SD-WAN konfiguriert sind. Diese Subnetze werden von den definierten vertrauenswürdigen virtuellen Schnittstellen abgeleitet.

  • Route 5 — Dies ist eine freigegebene Route zu einem anderen Clientknoten, der vom MCN gemeinsam genutzt wird, mit dem Erreichbarkeitsstatus Nein aufgrund des virtuellen Pfads zwischen diesem Standort und dem MCN.

  • Route 6—9 — Diese Routen existieren an einem anderen Clientstandort. Für diese Route wird eine virtuelle Pfadroute für den passenden WAN-Datenverkehr erstellt, der für die Remote-Site auf dem virtuellen Pfad bestimmt ist.

  • Route 10 — Wenn der Internetdienst definiert ist, fügt das System eine Catch All Route für direkte Internetausbrüche für diese lokale Site hinzu.

  • Route 11 — Passthrough ist eine Standardroute, die das System immer hinzufügt, damit Pakete durchlaufen können, falls es keine Übereinstimmung auf vorhandenen Routen gibt. Der Passthrough wird nicht gepflegt, normalerweise werden lokale Broadcasts und ARP-Datenverkehr diesem Dienst zugeordnet.

  • Route 12 — Verwerfen ist die Standardroute, die das System immer hinzufügt, um alles undefinierte zu löschen.

Standardwerte für die Arbeitsplankosten:

  • WAN-zu-WAN-Weiterleitung — 10

  • Standardkosten für direkte Route — 5

  • Automatisch generierte Routen — 5

  • Virtueller Pfad — 5

  • Lokal — 5

  • Intranet — 5

  • Internet — 5

  • Durchgang — 5

  • Optional — Route ist 0.0.0.0/0 definiert als Service-Level

Nach der Definition dieser Routen ist es wichtig zu verstehen, wie der Verkehr über die definierten Routen fließt. Diese Verkehrsflüsse sind in folgende Flüsse unterteilt:

  • LAN zu WAN (Virtual Path) — Datenverkehr in den SD-WAN-Overlay-Tunnel

  • WAN zu LAN (Virtual Path) — Datenverkehr im SD-WAN-Overlay-Tunnel

  • Nicht-Virtual Path Traffic — Datenverkehr an das Unterlagennetz weitergeleitet

Die standardmäßigen Routenkosten können pro Standort geändert werden. Die Konfiguration finden Sie unter View Site > Basic Settings :

lokalisierte Grafik

Statische Routen können pro Standort unter dem Knoten Verbindungen > Standort > Route s definiert werden:

lokalisierte Grafik

Sie stellen fest, dass Routen an den virtuellen Pfad oder die Gateway-IP-Verfügbarkeit gebunden werden können. Internetrouten können in das virtuelle Pfad-Overlay exportiert werden oder nicht je nach gewünschtem Verhalten. Sie können auch statische Virtual Path Routen erstellen, um den Datenverkehr zu einem virtuellen Pfad zu erzwingen, obwohl wir nicht das Präfix für SD-WAN angekündigt bekommen (dh eine kostengünstigere Route der letzten Instanz). SD-WAN kann auch lokale Subnetze unterdrücken, indem die Virtual IP Address (VIP) privat gemacht wird.

lokalisierte Grafik

Hinweis

Die Konfiguration erfordert mindestens einen nicht-privaten VIP in jeder Routendomäne.

Intranet- und Internetrouten

Für Intranet- und Internetdiensttypen muss der Benutzer eine SD-WAN-Verbindung definiert haben, um diese Arten von Diensten zu unterstützen. Es ist eine Voraussetzung für alle definierten Routen für einen dieser Dienste. Wenn die WAN-Link nicht zur Unterstützung des Intranetdienstes definiert ist, wird sie als lokale Route betrachtet. Die Intranet-, Internet- und Passthrough-Routen sind nur für die Standort/Appliance relevant, für die sie konfiguriert sind.

Bei der Definition von Intranet-, Internet- oder Passthrough-Routen gelten folgende Entwurfsüberlegungen:

  • Dienst muss auf der WAN-Verbindung definiert sein (Intranet/Internet — erforderlich)

  • Intranet/Internet muss Gateway für die WAN-Verbindung definiert haben

  • Relevant für lokales SD-WAN-Gerät

  • Intranet-Routen können über den virtuellen Pfad erlernt werden, werden jedoch zu höheren Kosten durchgeführt.

  • Mit Internet Service wird automatisch eine Standard-Route erstellt (0.0.0.0/0) fangen alle Route mit einem maximalen Preis

  • Gehen Sie nicht davon aus, dass Passthrough funktioniert, es sollte testet/verifiziert werden, auch mit Virtual Path down/deaktiviert testen, um das gewünschte Verhalten zu überprüfen

  • Routentabellen sind statisch, es sei denn, die Routenlernfunktion ist aktiviert

    Im Folgenden finden Sie die maximal unterstützte Grenze für mehrere Routingparameter:

  • Maximale Routingdomänen: 255

  • Maximale Zugriffsschnittstellen pro WAN-Link: 64

  • Maximale BGP-Nachbarn pro Standort: 255

  • Maximale OSPF-Fläche pro Standort: 255

  • Maximale virtuelle Schnittstellen pro OSPF-Bereich: 255

  • Maximale Route Learning Importfilter pro Site: 512

  • Maximale Routenlern-Exportfilter pro Site: 512

  • Maximale BGP-Routing-Richtlinien: 255

  • Maximale BGP-Community-String-Objekte: 255

SD-WAN-Überlagerungsrouting