Citrix SD-WAN

Redirección de superposición SD-WAN

Citrix SD-WAN proporciona una conectividad sólida y resistente entre sitios remotos, centros de datos y redes en la nube. La solución SD-WAN puede lograrlo mediante el establecimiento de túneles entre los dispositivos SD-WAN de la red, lo que permite la conectividad entre sitios mediante la aplicación de tablas de rutas que se superponen a la red subyacente existente. Las tablas de redirección SD-WAN pueden reemplazar completamente o coexistir con la infraestructura de redirección existente.

Los dispositivos Citrix SD-WAN miden los paths disponibles unidireccionalmente en términos de disponibilidad, pérdida, latencia, fluctuación y funciones de congestión, y seleccionan la mejor ruta por paquete. Esto significa que la ruta elegida del Sitio A al Sitio B no tiene por qué ser necesariamente la ruta elegida del Sitio B al Sitio A. La mejor ruta en un momento dado se selecciona independientemente en cada dirección. Citrix SD-WAN ofrece una selección de rutas basada en paquetes para una rápida adaptación a cualquier cambio de red. Los dispositivos SD-WAN pueden detectar interrupciones de paths después de solo dos o tres paquetes que faltan, lo que permite una conmutación por error de subsegundos sin problemas del tráfico de aplicaciones al siguiente mejor path de WAN. Los dispositivos SD-WAN vuelven a calcular cada estado de enlace WAN en unos 50 ms. En el siguiente artículo se proporciona una configuración de redirección detallada dentro de la red Citrix SD-WAN.

Tabla de rutas de Citrix SD-WAN

La configuración de SD-WAN permite entradas de ruta estáticas para sitios específicos y entradas de ruta aprendidas de la red de calco subyacente a través de protocolos de redirección compatibles, como OSPF, eBGP e iBGP. Las rutas no solo se definen por su siguiente salto sino por su tipo de servicio. Esto determina cómo se reenvía la ruta. Los siguientes son los principales tipos de servicio en uso:

  • Servicio local: Indica cualquier ruta o subred local para el dispositivo SD-WAN. Esto incluye las subredes de la interfaz virtual (crea rutas locales automáticamente) y cualquier ruta local definida en la tabla de rutas (con un salto siguiente local). La ruta se anuncia a otros dispositivos SD-WAN que tienen una ruta virtual a este sitio local donde esta ruta está configurada cuando se confía en un socio.

Nota

Tenga cuidado al agregar rutas predeterminadas y rutas de resumen como rutas locales, ya que pueden dar lugar a rutas de ruta virtuales en otros sitios. Compruebe siempre las tablas de redirección para asegurarse de que la redirección correcta esté en vigor.

  • Ruta virtual: Indica cualquier ruta local aprendida de un sitio SD-WAN remoto al que se puede acceder por las rutas virtuales. Estas rutas son normalmente automáticas, sin embargo, una ruta de ruta virtual se puede agregar manualmente en un sitio. Cualquier tráfico de esta ruta se reenvía a la ruta virtual definida para esta ruta de destino (subred).

  • Intranet: Indica rutas a las que se puede acceder a través de un enlace WAN privado (MPLS, P2P, VPN, etc.). Por ejemplo, una sucursal remota que se encuentra en la red MPLS pero que no tiene un dispositivo SD-WAN. Se supone que estas rutas deben ser reenviadas a un enrutador WAN determinado. El servicio de intranet no está habilitado de forma predeterminada. Cualquier tráfico que coincida con esta ruta (subred) se clasifica como intranet de este dispositivo para su entrega a un sitio que no tiene una solución SD-WAN.

Nota

Observe que al agregar una ruta de intranet no hay siguiente salto, sino un reenvío a un servicio de intranet. El servicio está asociado a un enlace WAN determinado.

  • Internet: Es similar a la Intranet, pero se utiliza para definir el tráfico que fluye hacia enlaces WAN públicos de Internet en lugar de enlaces WAN privados. Una diferencia única es que el servicio de Internet puede asociarse con varios enlaces WAN y establecerse en equilibrio de carga (por flujo) o estar activo/copia de seguridad. Se crea una ruta de Internet predeterminada cuando el servicio de Internet está habilitado (está desactivado de forma predeterminada). Cualquier tráfico que coincida con esta ruta (subred) se clasifica como Internet para este dispositivo para su entrega a recursos públicos de Internet.

Nota

Las rutas de Internet Service se pueden anunciar a los demás dispositivos SD-WAN o no se pueden exportar en función de si está realizando backhauling de acceso a Internet a través de las rutas virtuales.

  • Passthrough: Este servicio actúa como último recurso o anula el servicio cuando un dispositivo está en modo en línea. Si una dirección IP de destino no coincide con ninguna otra ruta, el dispositivo SD-WAN simplemente la reenvía al siguiente salto del enlace WAN. Una ruta predeterminada: el coste 0.0.0.0/0 de 16 rutas de paso se crea automáticamente. El acceso directo no funciona cuando el dispositivo SD-WAN se implementa fuera de ruta o en modo Edge/Gateway. Cualquier tráfico que coincida con esta ruta (subred) se clasifica como paso a través para este dispositivo. Se recomienda que el tráfico de paso a través sea lo más limitado posible.

Nota

El paso a través puede ser útil cuando se realiza un POC para evitar tener que configurar numerosas rutas; sin embargo, tenga cuidado en la producción, ya que SD-WAN no tiene en cuenta la utilización del enlace WAN para el tráfico enviado a passthrough. También resulta útil a la hora de solucionar problemas y quiere eliminar cierto flujo de IP de la entrega a través de la ruta virtual.

  • Descartar - Esto no es un servicio, sino una ruta de último recurso que deja caer los paquetes si coincide. Normalmente, esto no ocurre cuando el dispositivo SD-WAN se implementa fuera del path. Debe tener un servicio de intranet o una ruta local como una ruta de captura de todas las rutas; de lo contrario, el tráfico se descarta porque no hay servicio de paso a través (aunque haya una ruta predeterminada de paso a través).

    El Editor de configuración de SD-WAN permite la personalización de la tabla de rutas para cada sitio disponible:

Rutas MCN de conexión

Las entradas de la tabla de rutas se rellenan a partir de diferentes entradas:

  • La dirección IP virtual (VIP) configurada se rellena automáticamente como ruta local de tipo de servicio. El Editor de configuración evita la misma asignación VIP a diferentes nodos del sitio.

  • Los servicios de Internet habilitados en un sitio local rellenan automáticamente una ruta predeterminada (0.0.0.0/0) localmente para la ruptura directa de Internet.

  • Rutas estáticas definidas por el administrador por sitio, que también se definirán como una ruta local de tipo de servicio.

  • Un valor predeterminado (0.0.0.0/0) captura todas las rutas con el coste 16 definido como Passthrough

Los administradores pueden configurar una de las rutas anteriores, pero también incluir un tipo de servicio, salto siguiente o Gateway dependiendo del tipo de servicio, además del coste de la ruta. Se agregará automáticamente un coste de ruta predeterminado a cada tipo de ruta (consulte la siguiente tabla para ver los costes de ruta predeterminados). Además, solo las rutas de confianza se anuncian a otros dispositivos SD-WAN. Las rutas que no son de confianza las utiliza el dispositivo local.

Las rutas de nodo de cliente se anuncian al nodo MCN y no a otros nodos de cliente de forma predeterminada. Para que las rutas de nodo cliente sean visibles para otros nodos cliente WAN to WAN Forwarding debe estar habilitado en el nodo MCN.

Habilitar sitio MCN de reenvío WAN a WAN

Con el reenvío WAN a WAN (plantilla de exportación de rutas) habilitado en Configuración global, el sitio de MCN comparte las rutas anunciadas a todos los clientes que participan en la superposición SD-WAN. Al activar esta función, se habilita la conectividad IP entre hosts en diferentes sitios de nodos de cliente con la comunicación que viaja a través del MCN. La tabla de rutas para el nodo cliente local se puede supervisar en la página Supervisión > Estadísticas con Rutas seleccionadas en la lista desplegable Mostrar.

Rutas estadísticas

Cada ruta para subredes de sucursales remotas se anuncia como un Servicio a través de la Ruta Virtual que se conecta a través del MCN, con la columna Sitio rellena con el nodo cliente donde reside el destino como subred local.

En el siguiente ejemplo, con el reenvío WAN a WAN (Exportación de rutas) habilitado, la rama A tiene una entrada de tabla de rutas para la subred Branch B (10.2.2.0/24) a través del MCN como salto siguiente.

Diagrama de flujo de ruta superpuesta

Cómo coincide el tráfico de Citrix SD-WAN en rutas definidas

El proceso de coincidencia para las rutas definidas en Citrix SD-WAN se basa en la coincidencia de prefijo más larga para la subred de destino (similar a una operación de enrutador). Cuanto más específica sea la ruta, mayor será el cambio en la misma. La clasificación se realiza en el siguiente orden:

  1. Coincidencias de prefijo más largas
  2. Coste
  3. Servicio

Por lo tanto, una ruta /32 siempre precede a una ruta /31. Para dos rutas /32, una ruta de coste 4 siempre precede a una ruta de coste 5. Para dos rutas /32 cuestan 5, las rutas se eligen según el host IP ordenado. El orden de servicio es el siguiente: Local, Ruta virtual, Intranet, Internet, Passthrough, Descartar.

Como ejemplo, considere las dos rutas siguientes de la siguiente manera:

  • 192.168.1.0/24 Coste 5

  • 192.168.1.64/26 Coste 10

Un paquete destinado al host 192.168.1.65 usaría esta última ruta aunque el coste sea mayor. En base a esto, es común que la configuración esté en su lugar solo para las rutas destinadas a ser entregadas a través de la superposición de ruta virtual con otro tráfico que cae en captura todas las rutas, como una ruta predeterminada al servicio de paso a través.

Las rutas se pueden configurar en una tabla de rutas de nodos de sitio que tengan el mismo prefijo. A continuación, el corte de empate va al coste de la ruta, el tipo de servicio (Ruta virtual, Intranet, Internet, etc.) y el siguiente salto IP.

Flujo de paquetes de redirección Citrix SD-WAN

  • Coincidencia de rutas de tráfico de LAN a WAN (ruta virtual):

    1. El tráfico entrante lo recibe la interfaz LAN y se procesa.

    2. El marco recibido se compara con la tabla de redirección para la coincidencia de prefijo más larga.

    3. Si se encuentra una coincidencia, el motor de reglas procesa el marco y se crea un flujo en la base de datos de flujo.

  • Coincidencia de rutas de tráfico de WAN a LAN (ruta virtual):

    1. SD-WAN recibe el tráfico de ruta virtual desde el túnel y se procesa.

    2. El dispositivo compara la dirección IP de origen para ver si el origen es local.

      • En caso afirmativo, WAN elegible y coincida con el destino IP con la tabla de redirección o ruta virtual.

      • Si no, entonces la comprobación habilitada de reenvío WAN a WAN.

    3. (Reenvío de WAN a WAN desactivado) Reenvío a LAN basado en rutas locales.

    4. (Reenvío de WAN a WAN habilitado) Reenviar a ruta virtual basada en la tabla de rutas.

  • Tráfico de ruta no virtual:

    1. El tráfico entrante se recibe en la interfaz LAN y se procesa.

    2. El marco recibido se compara con la tabla de redirección para la coincidencia de prefijo más larga.

    3. Si se encuentra una coincidencia, el motor de reglas procesa el marco y se crea un flujo en la base de datos de flujo.

Compatibilidad con el protocolo de redirección Citrix SD-WAN

Citrix SD-WAN versión 9.1 introdujo los protocolos de redirección OSPF y BGP en la configuración. La introducción de protocolos de redirección en SD-WAN permitió una integración más sencilla de SD-WAN en redes subyacentes más complejas en las que los protocolos de redirección se utilizan activamente. Con los mismos protocolos de redirección habilitados en SD-WAN, se facilitó la configuración de las subredes indicadas para hacer uso de la superposición SD-WAN. Además, los protocolos de redirección permiten la comunicación entre sitios SD-WAN y sitios que no son SD-WAN con comunicación directa con enrutadores perimetrales del cliente existentes mediante el protocolo de redirección común. Citrix SD-WAN que participa en protocolos de redirección que operan en la red de calco subyacente se puede realizar independientemente del modo de implementación de SD-WAN (modo Inline, modo Inline virtual o modo Edge/Gateway). Además, SD-WAN se puede implementar en modo “solo aprendizaje”, donde SD-WAN puede recibir rutas pero no anunciar rutas de vuelta al calco subyacente. Esto resulta útil cuando se introduce la solución SD-WAN en una red donde la infraestructura de redirección es compleja o incierta.

Importante

Es fácil filtrar la ruta no deseada, si no tienes cuidado.

La tabla de ruta de ruta de ruta virtual de SD-WAN funciona como un protocolo de puerta de enlace externa (EGP), similar a BGP (pensar sitio a sitio). Por ejemplo, cuando SD-WAN anuncia rutas desde el dispositivo SD-WAN a OSPF, normalmente se consideran externas al sitio y al protocolo.

Nota

Tenga en cuenta los entornos que tienen IGP en toda la infraestructura (a través de la WAN), ya que complican el uso de las rutas anunciadas por SD-WAN. EIGRP se utiliza ampliamente en el mercado y SD-WAN no interopera con ese protocolo.

Un desafío al introducir protocolos de redirección en una implementación SD-WAN es que la tabla de redirección no está disponible hasta que el servicio SD-WAN esté habilitado y funcione en la red; por lo tanto, no se recomienda habilitar inicialmente las rutas de publicidad desde el dispositivo SD-WAN. Utilice los filtros de importación y exportación para una introducción gradual de protocolos de redirección en SD-WAN.

Echemos un vistazo más de cerca revisando el siguiente ejemplo:

Ruta superpuesta 4

En este ejemplo, examinamos un caso de uso del protocolo de redirección. La red anterior tiene cuatro ubicaciones: Nueva York, Dallas, Londres y San Francisco. Implementamos dispositivos SD-WAN en tres de estas ubicaciones y utilizamos SD-WAN para crear una red WAN híbrida donde se utilizarán MPLS y enlaces WAN de Internet para proporcionar una WAN virtualizada. Dado que Dallas no tendrá un dispositivo SD-WAN, debemos considerar la mejor manera de integrarse con los protocolos de ruta existentes a ese sitio para garantizar la conectividad total entre las redes subyacentes y de superposición SD-WAN.

En la red de ejemplo, eBGP se utiliza entre las cuatro ubicaciones de la red MPLS. Cada ubicación tiene su propio número de sistema autónomo (ASN).

En el Centro de datos de Nueva York, OSPF se ejecuta para anunciar las subredes centrales del centro de datos a los sitios remotos y también anunciar una ruta predeterminada desde el Firewall de Nueva York (E). En este ejemplo, todo el tráfico de Internet se redirige al centro de datos, aunque las sucursales de Londres y San Francisco tienen una ruta a Internet.

El sitio de San Francisco también debe tenerse en cuenta que no tiene un enrutador. SD-WAN se implementa en modo Edge/Gateway, siendo ese dispositivo la Gateway predeterminada para la subred de San Francisco y también participa en eBGP a MPLS.

  • Con el centro de datos de Nueva York, tenga en cuenta que la SD-WAN se implementa en modo virtual en línea. El objetivo es participar en el protocolo de redirección OSPF existente para que el tráfico se reenvíe al dispositivo como Gateway preferida.
  • El sitio de Londres se implementa en el modo tradicional en línea. El enrutador WAN ascendente (C) seguirá siendo la puerta de enlace predeterminada para la subred de Londres.
  • El sitio de San Francisco es un sitio recientemente introducido en esta red y está previsto que la SD-WAN se implemente en modo Edge/Gateway y actúe como puerta de enlace predeterminada para la nueva subred de San Francisco.

Revise algunas de las tablas de redirección de calco subyacente existentes antes de implementar SD-WAN.

Enrutador básico B de Nueva York:

Enrutador básico de Nueva York b

Las subredes locales de Nueva York (172.x.x.x) están disponibles en el router B como conectadas directamente, y desde la tabla de rutas identificamos que la ruta predeterminada es 172.10.10.3 (Firewall E). Además, podemos ver que las subredes de Dallas (10.90.1.0/24) y Londres (10.100.1.0/24) están disponibles a través de 172.10.10.1 (enrutador MPLS A). Los costes de la ruta indican que se aprendieron de eBGP.

Nota

En el ejemplo proporcionado, San Francisco no aparece como una ruta, porque aún no hemos implementado el sitio con SD-WAN en modo Edge/Gateway para esa red.

Enrutador principal de Nueva York

Para el router WAN de Nueva York (A), las rutas aprendidas OSPF y las rutas aprendidas a través de MPLS a través de eBGP son rutas enumeradas. Tenga en cuenta los costes de la ruta. BGP es un dominio administrativo y un coste más bajos por defecto 2.0/1 en comparación con OSPF 110/10.

Router D de Dallas:

Para Dallas WAN Router (D), todas las rutas se aprenden a través de MPLS.

Router de Dallas d

Nota

En este ejemplo, puede ignorar la subred 192.168.65.0/24. Esta es una red de gestión y no es pertinente al ejemplo. Todos los enrutadores están conectados a la subred de administración, pero no se anuncian en ningún protocolo de redirección.

En Citrix SD-WAN, podemos agregar la superposición SD-WAN habilitando OSPF en la SD-WAN ubicada en el sitio de Nueva York, en Conexiones > Ver sitio > OSPF > Configuración básica :

Configuración básica de OSPF de conexiones

Nota

El tipo de ruta OSPF de exportación es de tipo 5 externo de forma predeterminada. Esto se debe a que la tabla de redirección SD-WAN se considera externa al protocolo OSPF y, por lo tanto, OSPF preferirá una ruta aprendida interna (intra-area), por lo que las rutas anunciadas por SD-WAN podrían no tener prioridad.

Cuando se utiliza OSPF a través de la WAN (es decir, redes MPLS), esto se puede cambiar a Tipo uno dentro del área. Las áreas OSPF se pueden configurar como se muestra a continuación.

Zonas OSPF de conexiones

Área 0 agregada con la red local derivada de la interfaz virtual (172.10.10.0), todas las demás configuraciones se dejaron por defecto.

Para el nuevo sitio de San Francisco, debemos habilitar eBGP, ya que estará conectado directamente a la red MPLS y funcionará como la ruta perimetral del cliente para el sitio. BGP se puede habilitar en Conexiones > Ver sitio > BGP > Configuración básica.

Tenga en cuenta el número del sistema autónomo 13.

Propiedades básicas de BGP de conexiones

Conexiones vecinos BGP

El eBGP se empareja con cada ubicación. Cada ASN es diferente.

Es importante comprender cómo se pasan las rutas entre la tabla de redirección de ruta virtual y los protocolos de ruta dinámica en uso. Es fácil crear bucles de redirección o anunciar rutas de una manera adversa. El mecanismo de filtro nos da la capacidad de controlar lo que entra y sale de la tabla de redirección. Consideramos cada ubicación a su vez.

  • La ubicación de San Francisco tiene dos subredes locales 10.80.1.0/24 y 10.81.1.0/24. Queremos anunciarlos a través de eBGP para que sitios como Dallas todavía puedan llegar al sitio de San Francisco a través de la red subyacente y también sitios como Londres y Nueva York puedan llegar a San Francisco a través de la red de superposición de Ruta Virtual. También queremos aprender de la accesibilidad de eBGP a todos los sitios en caso de que la superposición de SD-WAN Virtual Path se deshaga y el entorno deba volver a utilizar solo el MPLS. Tampoco queremos volver a anunciar nada que SD-WAN aprenda de eBGP a los routers SD-WAN. Para lograr esto, los filtros deben configurarse de la siguiente manera:

  • Importe todas las rutas desde eBGP. No leer/exportar rutas a dispositivos SD-WAN.

Filtros de importación de conexiones BGP

  • Exportar rutas locales a eBGP

La regla por defecto para exportar es exportar todo. La regla 200 se utiliza para anular la regla de errores para no volver a anunciar las rutas. Cualquier ruta que coincida con cualquier prefijo SD-WAN ha aprendido a través de las rutas virtuales.

Exportar filtros conexiones BGP

Después de implementar los dispositivos Citrix SD-WAN, podemos revisar las tablas de ruta para el router BGP en el sitio de Dallas. Vemos que las subredes 10.80.1.0/24 y 10.81.1.0/24 se ven correctamente a través de eBGP desde la SD-WAN de San Francisco.

Enrutador Dallas D:

Ejemplo de router d de Dallas

Además, la tabla de rutas Citrix SD-WAN se puede ver en la página Supervisión > Estadísticas > Mostrar rutas.

Citrix SD-WAN de San Francisco:

Estadísticas de ruta SD-WAN relé SFO

Citrix SD-WAN muestra todas las rutas aprendidas, incluidas las rutas disponibles a través de la superposición de ruta virtual.

Consideremos 172.10.10.0/24, que se encuentra en el Centro de Datos de Nueva York. Esta ruta se aprende de dos maneras:

  • Como ruta de ruta virtual (número 3), servicio = NYC-SFO con un coste de 5 y escriba estático. Se trata de una subred local anunciada por el dispositivo SD-WAN en Nueva York. Es estático porque está conectado directamente al dispositivo o es una ruta estática manual introducida en la configuración. Es accesible porque la ruta virtual entre los sitios está en estado de trabajo/funcionamiento.

  • Como ruta anunciada a través de BGP (Número 6), con un coste de 6. Ahora se considera una ruta alternativa.

Dado que el prefijo es igual y el coste es diferente, SD-WAN utiliza la ruta de ruta virtual a menos que no esté disponible, en cuyo caso la ruta de reserva se aprende a través de BGP.

Ahora, consideremos la ruta 172.20.20.0/24.

  • Esto se aprende como una ruta de ruta virtual (número 9) pero tiene un tipo de dinámica y un coste de 6. Esto significa que el dispositivo SD-WAN remoto aprendió esta ruta a través de un protocolo de redirección, en este caso OSPF. De forma predeterminada, el coste de la ruta es mayor.

  • SD-WAN también aprende esta ruta a través de BGP con el mismo coste, por lo que en este caso esta ruta podría ser preferida sobre la ruta Ruta Virtual.

Para garantizar la redirección correcta, debemos aumentar el coste de la ruta BGP para asegurarnos de que tenemos una ruta de ruta virtual y es la ruta preferida. Esto se puede hacer ajustando el peso de la ruta del filtro de importación para que sea mayor que el valor predeterminado de 6.

Coste de conexión BGP NSSDWAN

Después de realizar el ajuste, podemos actualizar la tabla de rutas SD-WAN en el dispositivo de San Francisco para ver los costes de ruta ajustados. Utilice la opción de filtro para enfocar la lista mostrada.

Estadísticas de ruta SD-WAN relé NYC SFO 1

Finalmente, echemos un vistazo a la ruta predeterminada aprendida en la SD-WAN de San Francisco. Queremos hacer backhaul todo el tráfico de internet a Nueva York. Podemos ver que lo enviamos mediante la Ruta Virtual, si está activa, o a través de la red MPLS como alternativa.

Estadísticas de ruta SD-WAN relé NYC SFO

También vemos una ruta de paso y descarte con coste 16. Se trata de rutas automáticas que no se pueden quitar. Si el dispositivo está en línea, la ruta de paso se utiliza como último recurso, por lo que si un paquete no puede coincidir con una ruta más específica, SD-WAN lo pasará al siguiente salto del grupo de interfaces. Si la SD-WAN está fuera de ruta o en modo edge/gateway, no hay servicio de paso, en cuyo caso SD-WAN descarta el paquete utilizando la ruta de descarte predeterminada. El recuento de aciertos indica el número de paquetes que llegan a cada ruta, lo que puede ser valioso para solucionar problemas.

Ahora, centrándonos en el sitio de Nueva York, queremos que el tráfico destinado a sitios remotos (Londres y San Francisco) se dirija al dispositivo SD-WAN cuando la ruta virtual está activa.

Hay varias subredes disponibles en el sitio de Nueva York:

  • 172.10.10.0/24 (conectado directamente)

  • 172.20.20.0/24 (anunciado a través de OSPF desde el router principal B)

  • 172.30.30.0/24 (anunciado a través de OSPF desde el router principal B)

También tenemos la obligación de proporcionar flujo de tráfico a Dallas (10.100.1.0/24) a través de MPLS.

Por último, queremos que todo el tráfico enlazado a Internet se dirija al Firewall E a través de 172.10.10.3 como próximo salto. SD-WAN aprende esta ruta predeterminada a través de OSPF y para anunciarse en la ruta virtual. Los filtros para el sitio de Nueva York son:

Rutas de exportación de conexión BGP

El sitio SD-WAN de Nueva York importa todas las rutas para la red de administración. Esto se puede ignorar. Podemos centrarnos en el filtro 200.

Filtro de sitio de Nueva York 200

El filtro 200 se utiliza para importar 192.168.10.0/24 (nuestro núcleo MPLS) para la accesibilidad, pero no para exportarlo a la ruta virtual. Marque la casilla Incluir y asegúrese de que la casilla Exportar ruta a Citrix Appliances está desactivada. Todas las demás rutas se incluyen a continuación.

Para los filtros de exportación, podemos excluir la ruta para 192.168.10.0/24. Esto se debe a que, como subred conectada directamente en el sitio de San Francisco, no podemos filtrar esta ruta en el origen, por lo que se suprime en este extremo.

Filtros de rutas de exportación BGP

Ahora vamos a revisar la tabla de rutas actualizadas comenzando en la ruta principal en el sitio de Nueva York.

Router B de Nueva York:

Router de Nueva York b 2

Podemos ver las subredes para San Francisco (10.80.1.0 y 10.81.1.0) y Londres (10.90.1.0) que ahora se anuncian a través del dispositivo SD-WAN de Nueva York (172.10.10.10). La ruta 10.100.1.0/24 se sigue anunciando a través del enrutador MPLS A subyacente. Revisemos la tabla de rutas SD-WAN del sitio de Nueva York.

Tabla de rutas SD-WAN del sitio de Nueva York:

Estadísticas de ruta SD-WAN Relay MPLS

Podemos ver las rutas correctas tanto para las subredes locales aprendidas a través de OSPF, una ruta al sitio de Dallas aprendida del Router A MPLS y las subredes remotas para los sitios de San Francisco y Londres. Veamos el enrutador MPLS A. Este enrutador está participando en OSPF y BGP.

OSPF y BGP

Desde la tabla de rutas, este Router A está aprendiendo las subredes remotas a través de BGP y OSPF, con la distancia administrativa y el coste de la ruta BGP (20/5) siendo inferiores a OSPF (110/10) y, por lo tanto, preferidos. En este ejemplo, red donde solo hay una ruta principal, esto podría no causar preocupación. Sin embargo, el tráfico que llega aquí se entregaría a través de la red MPLS en lugar de enviarse al dispositivo SD-WAN (172.10.10.10). Si queremos mantener la simetría de redirección completa, necesitaríamos un mapa de ruta para ajustar el coste AD/métrico de modo que haya preferencia de ruta desde la ruta 172.10.10.10 en lugar de la ruta aprendida a través de eBGP.

Alternativamente, se puede configurar una ruta “backdoor” para obligar al router a preferir la ruta OSPF sobre la ruta BGP. Observe la ruta estática de la dirección IP virtual SD-WAN al dispositivo SD-WAN del sitio de Londres.

Ruta estática de Londres

Esto es necesario para garantizar que la ruta de acceso virtual se vuelva a redirigir al dispositivo SD-WAN del sitio de Nueva York si la ruta de acceso MPLS falla. Dado que hay una ruta para 10.90.1.0/24 que se anuncia a través de 172.10.10.10 (SD-WAN de Nueva York). También se recomienda crear una regla de servicio de anulación para descartar cualquier paquete UDP de 4.980 en el dispositivo SD-WAN para evitar que la ruta virtual vuelva a sí misma.

Rutas virtuales dinámicas

Se pueden permitir rutas virtuales dinámicas entre dos nodos de cliente para crear rutas virtuales a demanda para la comunicación directa entre los dos sitios. La ventaja de una ruta virtual dinámica es que el tráfico puede fluir directamente de un nodo cliente al segundo sin tener que atravesar el MCN o dos rutas virtuales, lo que puede agregar latencia al flujo de tráfico. Las rutas virtuales dinámicas se crean y eliminan dinámicamente en función de los umbrales de tráfico definidos por el usuario. Estos umbrales se definen como paquetes por segundo (pps) o ancho de banda (kbps). Esta funcionalidad permite una topología de superposición SD-WAN dinámica de malla completa.

Una vez que se alcanzan los umbrales de las rutas virtuales dinámicas, los nodos cliente crean dinámicamente su ruta virtualizada entre sí mediante todas las rutas de acceso WAN disponibles entre los sitios y la utilizan al máximo de la siguiente manera:

  • Envíe datos masivos si existe alguno y verifique que no haya pérdida,

  • Envíe datos interactivos y verifique que no haya pérdidas,

  • Enviar datos en tiempo real después de que los datos masivos e interactivos se consideren estables (sin pérdida ni niveles aceptables)

  • Si no hay datos masivos o interactivos, envíe datos en tiempo real después de que la ruta virtual dinámica haya estado estable durante un período

  • Si los datos del usuario caen por debajo de los umbrales configurados para un período definido por el usuario, la ruta virtual dinámica se derrumba

    Las rutas virtuales dinámicas tienen el concepto de un sitio intermedio. El sitio intermedio puede ser un sitio MCN o cualquier otro sitio de la red que tenga Ruta virtual estática configurada y conectada a dos o más nodos cliente. Otro requisito de consideración de diseño es tener habilitado el reenvío WAN a WAN, permitiendo que todas las rutas de todos los sitios se publiquen a los nodos cliente donde se quiera la ruta virtual dinámica. Habilitar sitio como nodo intermedio debe estar habilitado además del reenvío WAN a WAN para que este sitio intermedio supervise la comunicación del nodo cliente y dicte cuándo debe establecerse y desactivarse la ruta dinámica.

La conexión habilita el nodo intermedio

Se pueden permitir varios grupos de reenvío de WAN a WAN en la configuración de SD-WAN, lo que permite el control total del establecimiento de rutas entre determinados nodos de cliente y no entre otros.

WAN múltiple

Para que los nodos de cliente funcionen como sitios intermedios, se requiere que se configure una ruta virtual estática entre ella y los clientes asociados a ese grupo de reenvío de WAN a WAN. Además, los nodos de cliente necesitan la opción Habilitar ruta virtual dinámica activada para cada nodo de cliente.

Habilitar rama de rutas virtuales dinámicas

Cada dispositivo SD-WAN tiene su propia tabla de rutas única con los siguientes detalles definidos para cada ruta:

  • Número: orden de ruta de este dispositivo según el proceso de coincidencia (el número más bajo se procesa primero)

  • Dirección de red: dirección de subred o host

  • Gateway si es necesario

  • Servicio: qué servicio se aplica para esta ruta

  • Zona de firewall: la clasificación de la zona de firewall de la ruta

  • Se puede acceder: identifica si el estado de ruta virtual está activo para este sitio

  • Sitio: nombre del sitio donde se espera que exista la ruta

  • Tipo — Identificación del tipo de ruta (estática o dinámica)

  • Vecino directo

  • Coste - coste de la ruta específica

  • Recuento de visitas: cuántas veces se ha utilizado la ruta por paquete. Esto se usaría para verificar que una ruta se está usando correctamente.

  • Elegible

  • Tipo de elegibilidad

  • Valor de elegibilidad

A continuación se muestra un ejemplo de tabla de ruta del sitio SD-WAN:

Estadísticas de ruta de casos de uso de redirección de relés de SD-WAN

Observe en la tabla de rutas SD-WAN anterior que hay más elementos que normalmente no están disponibles en los routers tradicionales. Lo más notable es la columna Accesible, que hace que la ruta sea activa o inactiva (sí/no) dependiendo del estado de la ruta WAN. Las rutas enumeradas aquí se suprimen en función de varios estados del servicio (la ruta virtual está inactiva como ejemplo). Otros eventos que pueden forzar que una ruta no sea elegible son el estado de la ruta hacia abajo, el salto siguiente inalcanzable o el enlace WAN hacia abajo.

De la tabla anterior, podemos ver 14 rutas definidas. A continuación se describe una descripción de las rutas o grupos de rutas:

  • Ruta 0: En el MCN se trata de una ruta de subred de host que reside en el sitio de DC. 172.16.10.0/24 reside en la LAN de DC y 192.168.15.1 es la Gateway de la LAN que es el siguiente salto que llegará a esa subred.

  • Ruta 1: se trata de una ruta local a este dispositivo SD-WAN que muestra la tabla de rutas.

  • Ruta 2—4: son las subredes que forman parte de las interfaces virtuales configuradas para la SD-WAN del sitio de DC. Estas subredes se derivan de las interfaces virtuales de confianza definidas.

  • Ruta 5: se trata de una ruta compartida a otro nodo de cliente que comparte el MCN con un estado de accesibilidad de No debido a la ruta virtual inactiva entre ese sitio y el MCN.

  • Ruta 6—9: estas rutas existen en otro sitio cliente. Para esta ruta, se crea una ruta de ruta virtual para que coincida con el tráfico de entrada de WAN destinado al sitio remoto en la ruta virtual.

  • Ruta 10: Con el servicio de Internet definido, el sistema agrega una ruta de captura de todas las rutas para la ruptura directa de Internet para este sitio local.

  • Ruta 11 — Passthrough es la ruta predeterminada que el sistema siempre agrega para permitir que los paquetes fluyan a través en caso de que no haya coincidencia en ninguna ruta existente. El paso a través no está arreglado, normalmente las difusiones locales y el tráfico ARP se asignan a este servicio.

  • Ruta 12 — Descartar es la ruta predeterminada que el sistema siempre agrega para soltar cualquier cosa indefinida.

Los valores de coste de ruta por defecto:

  • Reenvío de WAN a WAN: 10

  • Coste de ruta directa predeterminado — 5

  • Rutas generadas automáticamente — 5

  • Ruta virtual — 5

  • Local — 5

  • Intranet — 5

  • Internet — 5

  • Paso a través — 5

  • Opcional: la ruta es 0.0.0.0/0 definida como nivel de servicio

Después de definir estas rutas, es importante comprender cómo fluye el tráfico utilizando las rutas definidas. Estos flujos de tráfico se dividen en los siguientes flujos:

  • LAN a WAN (ruta virtual): tráfico que entra en el túnel de superposición SD-WAN

  • WAN a LAN (ruta virtual): tráfico existente en el túnel de superposición SD-WAN

  • Tráfico de ruta no virtual: tráfico enrutado a la red subyacente

El coste de ruta predeterminado se puede modificar por sitio. La configuración se puede encontrar en Ver sitio > Configuración básica :

Configuración básica del sitio de sucursal coste de ruta

Las rutas estáticas se pueden definir por sitio en el nodo Conexiones > Sitio > Ruta s:

Agregar rutas de sitio de sucursales de redirección de relés de SD-WAN

Observe que las rutas se pueden vincular a la disponibilidad de IP de la ruta virtual o de la puerta de enlace. Las rutas de Internet se pueden exportar a la superposición Ruta virtual o no dependiendo del comportamiento deseado. También puede crear rutas de ruta virtual estáticas para forzar el tráfico a una ruta virtual aunque no se anuncie el prefijo en SD-WAN (es decir, una ruta de último recurso de mayor coste). SD-WAN también puede suprimir la publicidad de subredes locales haciendo privada la dirección IP virtual (VIP).

Direcciones IP virtuales de redirección de relés de SD-WAN

Nota

La configuración requiere al menos un VIP no privado en cada dominio de ruta.

Rutas de intranet e Internet

Para los tipos de servicio de Intranet e Internet, el usuario debe haber definido un enlace WAN SD-WAN para admitir esos tipos de servicios. Es un requisito previo para cualquier ruta definida para cualquiera de estos servicios. Si el enlace WAN no está definido para admitir el servicio de intranet, se considera una ruta local. Las rutas de Intranet, Internet y PassThrough solo son relevantes para el sitio/dispositivo para el que están configurados.

Al definir rutas de Intranet, Internet o PassThrough, se incluyen las siguientes consideraciones de diseño:

  • Debe tener un servicio definido en el enlace WAN (Intranet/Internet; requerido)

  • La intranet/Internet debe tener una puerta de enlace definida para el enlace WAN

  • Relevante para el dispositivo SD-WAN local

  • Las rutas de Intranet se pueden aprender a través de la Ruta Virtual, pero se hacen a un coste más alto

  • Con el servicio de Internet, hay automáticamente una ruta predeterminada creada (0.0.0.0/0) captura todas las rutas con un coste máximo

  • No asuma que Passthrough funciona, debe probarse o verificarse, también probar con Virtual Path inactivado/inhabilitado para verificar el comportamiento deseado

  • Las tablas de redirección son estáticas a menos que la función de aprendizaje de rutas esté habilitada

    El límite máximo admitido para varios parámetros de redirección es el siguiente:

  • Dominios de redirección máximos: 255

  • Interfaces de acceso máximas por enlace WAN: 64

  • Número máximo de vecinos BGP por sitio: 255

  • Área OSPF máxima por sitio: 255

  • Interfaces virtuales máximas por área OSPF: 255

  • Filtros de importación máximos de aprendizaje de ruta por sitio: 512

  • Filtros de exportación máximos de aprendizaje de ruta por sitio: 512

  • Máximo de directivas de redirección BGP: 255

  • Máximo de objetos de cadena de comunidad BGP: 255

Redirección de superposición SD-WAN