Citrix SD-WAN

Redirección de superposición SD-WAN

Citrix SD-WAN proporciona conectividad sólida y resistente entre sitios remotos, centros de datos y redes en la nube. La solución SD-WAN puede lograr esto estableciendo túneles entre dispositivos SD-WAN en la red, lo que permite la conectividad entre sitios mediante la aplicación de tablas de ruta que superponen la red subyacente existente. Las tablas de enrutamiento SD-WAN pueden reemplazar completamente o coexistir con la infraestructura de enrutamiento existente. El siguiente artículo proporciona una configuración detallada de enrutamiento dentro de la red de Citrix SD-WAN.

Tabla de rutas de Citrix SD-WAN

La configuración de SD-WAN permite entradas de ruta estáticas para sitios específicos y entradas de ruta aprendidas de la red de calco subyacente a través de protocolos de enrutamiento compatibles, como OSPF, eBGP e iBGP. Las rutas no solo se definen por su siguiente salto, sino por su tipo de servicio. Esto determina cómo se reenvía la ruta. A continuación se presentan los principales tipos de servicios en uso:

  • Servicio local: Indica cualquier ruta o subred local para el dispositivo SD-WAN. Esto incluye las subredes de Interfaz Virtual (crea automáticamente rutas locales) y cualquier ruta local definida en la tabla de rutas (con un salto siguiente local). La ruta se anuncia a otros dispositivos SD-WAN que tienen una ruta virtual a este sitio local donde se configura esta ruta cuando se confía como asociado.

Nota

Tenga cuidado al agregar rutas predeterminadas y rutas de resumen como rutas locales, ya que pueden dar lugar a rutas de ruta virtual en otros sitios. Compruebe siempre las tablas de enrutamiento para asegurarse de que el enrutamiento correcto esté en vigor.

  • Ruta virtual: Indica cualquier ruta local aprendida de un sitio SD-WAN remoto; eso es lo que se puede acceder a través de las rutas virtuales. Estas rutas son normalmente automáticas, sin embargo, una ruta de ruta virtual se puede agregar manualmente en un sitio. Cualquier tráfico de esta ruta se reenvía a la ruta virtual definida para esta ruta de destino (subred).

  • Intranet: Indica rutas a las que se puede acceder a través de un enlace WAN privado (MPLS, P2P, VPN, etc.). Por ejemplo, una sucursal remota que se encuentra en la red MPLS pero que no tiene un dispositivo SD-WAN. Se supone que estas rutas deben reenviarse a un cierto enrutador WAN. El servicio de intranet no está habilitado de forma predeterminada. Cualquier tráfico que coincida con esta ruta (subred) se clasifica como intranet para este dispositivo para su entrega a un sitio que no tiene una solución SD-WAN.

Nota

Observe que al agregar una ruta de Intranet no hay salto siguiente, sino un reenvío a un servicio de Intranet. El servicio está asociado a un enlace WAN determinado.

  • Internet: Es similar a la Intranet, pero se utiliza para definir el tráfico que fluye a enlaces WAN de Internet públicos en lugar de enlaces WAN privados. Una diferencia única es que el servicio de Internet puede asociarse con varios enlaces WAN y establecerse en equilibrio de carga (por flujo) o estar activo/copia de seguridad. Una ruta predeterminada de Internet se crea cuando el servicio de Internet está habilitado (está desactivado de forma predeterminada). Cualquier tráfico que coincida con esta ruta (subred) se clasifica como Internet para este dispositivo para su entrega a recursos públicos de Internet.

Nota

Las rutas del servicio de Internet se pueden anunciar a los demás dispositivos SD-WAN o impedir que se exporten dependiendo de si se está realizando una copia de seguridad del acceso a Internet a través de las rutas virtuales.

  • Passthrough: Este servicio actúa como último recurso o reemplaza el servicio cuando un dispositivo está en modo en línea. Si una dirección IP de destino no coincide con cualquier otra ruta, el dispositivo SD-WAN simplemente la reenvía al siguiente salto del enlace WAN. Una ruta predeterminada: El coste 0.0.0.0/0 de 16 rutas de paso se crea automáticamente. El paso a través no funciona cuando el dispositivo SD-WAN se implementa fuera de ruta o en modo Edge/Gateway. Cualquier tráfico que coincida con esta ruta (subred) se clasifica como paso a través para este dispositivo. Se recomienda limitar el tráfico de paso en la medida de lo posible.

Nota

El paso a través puede ser útil cuando se realizan POC para evitar tener que configurar numerosos ruteo; sin embargo, tenga mucho cuidado en la producción porque SD-WAN no tiene en cuenta la utilización de enlaces WAN para el tráfico enviado a paso. También resulta útil a la hora de solucionar problemas y quiere eliminar cierto flujo de IP de la entrega a través de la ruta virtual.

  • Descartar - Esto no es un servicio, sino una ruta de último recurso que deja caer los paquetes si coincide. Normalmente, esto no ocurre cuando el dispositivo SD-WAN se implementa fuera de ruta. Debe tener un servicio de intranet o una ruta local como una ruta de captura de todas las rutas; de lo contrario, el tráfico se descarta porque no hay servicio de paso a través (aunque haya una ruta predeterminada de paso a través).

    El Editor de configuración de SD-WAN permite la personalización de la tabla de rutas para cada sitio disponible:

Imagen localizada

Las entradas de la tabla de rutas se rellenan a partir de diferentes entradas:

  • La dirección IP virtual (VIP) configurada se rellena automáticamente como ruta local de tipo de servicio. El Editor de configuración evitará la misma asignación VIP a diferentes nodos de sitio.

  • Los servicios de Internet habilitados en un sitio local rellenan automáticamente una ruta predeterminada (0.0.0.0/0) localmente para la ruptura directa de Internet.

  • El administrador definió rutas estáticas por sitio, que también se definirán como una ruta local de tipo de servicio.

  • Un valor predeterminado (0.0.0.0/0) captura todas las rutas con el coste 16 definido como Passthrough

Los administradores pueden configurar una de las rutas anteriores, pero también incluyen un tipo de servicio, siguiente salto o Gateway según el tipo de servicio, además del coste de ruta. Un coste de ruta predeterminado se agregará automáticamente a cada tipo de ruta (haga referencia a la tabla siguiente para conocer los costes de ruta predeterminados). Además, solo se anuncian rutas de confianza a otros dispositivos SD-WAN. Las rutas que no son de confianza las utiliza el dispositivo local.

Las rutas de nodo de cliente se anuncian al nodo MCN y no a otros nodos de cliente de forma predeterminada. Para que las rutas de nodo de cliente sean visibles para otros nodos de cliente WAN a WAN Reenvío debe estar habilitado en el nodo MCN.

Imagen localizada

Con el reenvío WAN a WAN (plantilla de exportación de rutas) habilitado en Configuración global, el sitio de MCN comparte las rutas anunciadas a todos los clientes que participan en la superposición SD-WAN. Al activar esta función, se habilita la conectividad IP entre hosts en diferentes sitios de nodos de cliente con la comunicación que viaja a través del MCN. La tabla de rutas para el nodo de cliente local se puede supervisar en la página Supervisión > Estadísticas con Rutas seleccionadas para el menú implementable Mostrar.

Imagen localizada

Cada ruta para las subredes de sucursales remotas se anuncia como servicio a través de la ruta de acceso virtual que se conecta a través del MCN, con la columna Sitio rellena con el nodo cliente donde reside el destino como subred local.

En el ejemplo siguiente, con el reenvío WAN a WAN (exportación de rutas) habilitado, la rama A tiene una entrada de tabla de rutas para la subred Branch B (10.2.2.0/24) a través del MCN como salto siguiente.

Imagen localizada

Cómo coincide el tráfico de Citrix SD-WAN en rutas definidas

El proceso de coincidencia de rutas definidas en Citrix SD-WAN se basa en la coincidencia de prefijo más larga para la subred de destino (similar a una operación de enrutador). Cuanto más específica sea la ruta, mayor será el cambio en la misma. La clasificación se realiza en el siguiente orden:

  1. Coincidencias de prefijo más largas
  2. Coste
  3. Servicio

Por lo tanto, una ruta /32 siempre precede a una ruta /31. Para dos rutas /32, una ruta de coste 4 siempre precede a una ruta de coste 5. Para dos rutas /32 cuestan 5, las rutas se eligen en función del host IP ordenado. El orden de servicio es el siguiente: Local, Ruta virtual, Intranet, Internet, Passthrough, Descartar.

Como ejemplo, considere las dos rutas siguientes a continuación:

  • 192.168.1.0/24 Coste 5

  • 192.168.1.64/26 Coste 10

Un paquete destinado al host 192.168.1.65 utilizaría esta última ruta aunque el coste sea mayor. En base a esto, es común que la configuración esté en su lugar solo para las rutas destinadas a ser entregadas a través de la superposición de ruta virtual con otro tráfico que cae en captura todas las rutas, como una ruta predeterminada al servicio de paso a través.

Las rutas se pueden configurar en una tabla de rutas de nodos de sitio que tengan el mismo prefijo. A continuación, el salto de enlace va al coste de la ruta, el tipo de servicio (Ruta virtual, Intranet, Internet, etc.) y el siguiente salto IP.

Flujo de paquetes de enrutamiento Citrix SD-WAN

  • Coincidencia de ruta de tráfico LAN a WAN (ruta virtual):

    1. El tráfico entrante es recibido por la interfaz LAN y se procesa.

    2. El marco recibido se compara con la tabla de enrutamiento para la coincidencia de prefijo más larga.

    3. Si se encuentra una coincidencia, el motor de reglas procesa el marco y se crea un flujo en la base de datos de flujo.

  • Coincidencia de ruta de tráfico de WAN a LAN (ruta virtual):

    1. El tráfico de ruta virtual es recibido por SD-WAN desde el túnel y se procesa.

    2. El dispositivo compara la dirección IP de origen para ver si el origen es local.

      • En caso afirmativo, WAN es elegible y coincide el destino IP con la tabla de ruteo/ruta virtual.

      • Si no, entonces la comprobación de reenvío de WAN a WAN está habilitada.

    3. (Reenvío de WAN a WAN desactivado) Reenvío a LAN basado en rutas locales.

    4. (Reenvío de WAN a WAN habilitado) Reenviar a ruta virtual basada en la tabla de rutas.

  • Tráfico de ruta no virtual:

    1. El tráfico entrante se recibe en la interfaz LAN y se procesa.

    2. El marco recibido se compara con la tabla de enrutamiento para la coincidencia de prefijo más larga.

    3. Si se encuentra una coincidencia, el motor de reglas procesa el marco y se crea un flujo en la base de datos de flujo.


Compatibilidad con el protocolo de enrutamiento Citrix SD-WAN

Citrix SD-WAN versión 9.1 introdujo los protocolos de enrutamiento OSPF y BGP en la configuración. La introducción de protocolos de enrutamiento en SD-WAN permitió una integración más sencilla de SD-WAN en redes subyacentes más complejas en las que los protocolos de enrutamiento se utilizan activamente. Con los mismos protocolos de enrutamiento habilitados en SD-WAN, se facilitó la configuración de las subredes indicadas para hacer uso de la superposición SD-WAN. Además, los protocolos de enrutamiento permiten la comunicación entre sitios SD-WAN y sitios que no son SD-WAN con comunicación directa con enrutadores perimetrales del cliente existentes mediante el protocolo de enrutamiento común. Citrix SD-WAN que participa en protocolos de enrutamiento que operan en la red de calco subyacente se puede realizar independientemente del modo de implementación de SD-WAN (modo Inline, modo Inline virtual o modo Edge/Gateway). Además, SD-WAN se puede implementar en el modo “solo aprendizaje”, donde SD-WAN puede recibir rutas pero no anunciar rutas de vuelta al calco subyacente. Esto resulta útil cuando se introduce la solución SD-WAN en una red donde la infraestructura de enrutamiento es compleja o incierta.

Importante

Es muy fácil de filtrar ruta no deseada, si usted no tiene cuidado.

La tabla de ruta de ruta virtual SD-WAN funciona como un protocolo de puerta de enlace externa (EGP), muy similar a BGP (piense sitio a sitio). Por ejemplo, cuando SD-WAN anuncia rutas desde el dispositivo SD-WAN a OSPF, normalmente se consideran externas al sitio y al protocolo.

Nota

Tenga en cuenta los entornos que tienen IGP en toda la infraestructura (a través de la WAN), ya que complican el uso de las rutas anunciadas por SD-WAN. EIGRP se utiliza ampliamente en el mercado y SD-WAN no interactúa con ese protocolo.

Un desafío al introducir protocolos de enrutamiento en una implementación SD-WAN es que la tabla de enrutamiento no está disponible hasta que el servicio SD-WAN esté habilitado y funcione en la red; por lo tanto, no se recomienda habilitar inicialmente las rutas de publicidad desde el dispositivo SD-WAN. Utilice los filtros de importación y exportación para una introducción gradual de protocolos de enrutamiento en SD-WAN.

Echemos un vistazo más de cerca revisando el siguiente ejemplo:

Imagen localizada

En este ejemplo, examinamos un caso de uso del protocolo de enrutamiento. La red anterior tiene cuatro ubicaciones: Nueva York, Dallas, Londres y San Francisco. Implementamos dispositivos SD-WAN en tres de estas ubicaciones y utilizamos SD-WAN para crear una red WAN híbrida donde se utilizarán MPLS y enlaces WAN de Internet para proporcionar una WAN virtualizada. Dado que Dallas no tendrá un dispositivo SD-WAN, tenemos que considerar la mejor manera de integrarlo con los protocolos de ruta existentes a ese sitio para garantizar una conectividad completa entre las redes de superposición de capas subyacentes y SD-WAN.

En la red de ejemplo, eBGP se utiliza entre las cuatro ubicaciones de la red MPLS. Cada ubicación tiene su propio número de sistema autónomo (ASN).

En el Centro de datos de Nueva York, OSPF se ejecuta para anunciar las subredes centrales del centro de datos a los sitios remotos y también anunciar una ruta predeterminada desde el Firewall de Nueva York (E). En este ejemplo, todo el tráfico de Internet se retrotransporta al centro de datos, aunque las sucursales de Londres y San Francisco tienen una ruta a Internet.

El sitio de San Francisco también debe tenerse en cuenta que no tiene un enrutador. SD-WAN se implementa en modo Edge/Gateway, siendo ese dispositivo la Gateway predeterminada para la subred de San Francisco y también participa en eBGP a MPLS.

  • Con el centro de datos de Nueva York, tenga en cuenta que el SD-WAN se implementa en modo Virtual Inline. El objetivo es participar en el protocolo de enrutamiento OSPF existente para que el tráfico se reenvíe al dispositivo como Gateway preferida.
  • El sitio de Londres se despliega en modo tradicional en línea. El router WAN ascendente (C) seguirá siendo la Gateway predeterminada para la subred de Londres.
  • El sitio de San Francisco es un sitio recientemente introducido en esta red y se planea implementar SD-WAN en modo Edge/Gateway y actuar como la Gateway predeterminada para la nueva subred de San Francisco.

Revise algunas de las tablas de enrutamiento de calco subyacente existentes antes de implementar SD-WAN.

Enrutador básico B de Nueva York:

Imagen localizada

Las subredes locales de Nueva York (172.x.x.x) están disponibles en el router B como conectadas directamente, y desde la tabla de rutas identificamos que la ruta predeterminada es 172.10.10.3 (Firewall E). Además, podemos ver que las subredes Dallas (10.90.1.0/24) y London (10.100.1.0/24) están disponibles a través de 172.10.10.1 (MPLS Router A). Los costes de ruta indican que se aprendieron de eBGP.

Nota

En el ejemplo proporcionado, San Francisco no aparece como una ruta, porque aún no hemos implementado el sitio con SD-WAN en modo Edge/Gateway para esa red.

Imagen localizada

Para el router WAN de Nueva York (A), las rutas aprendidas OSPF y las rutas aprendidas a través de MPLS a través de eBGP son rutas enumeradas. Tenga en cuenta los costes de la ruta. BGP es un dominio administrativo más bajo y coste por defecto 20/1 en comparación con OSPF 110/10.

Enrutador D de Dallas:

Para Dallas WAN Router (D), todas las rutas se aprenden a través de MPLS.

Imagen localizada

Nota

En este ejemplo, puede ignorar la subred 192.168.65.0/24. Esta es una red de gestión y no es pertinente al ejemplo. Todos los Routers están conectados a la subred de administración, pero el no se anuncia en ningún protocolo de enrutamiento.

En Citrix SD-WAN, podemos agregar la superposición SD-WAN habilitando OSPF en la SD-WAN ubicada en el sitio de Nueva York, en Conexiones > Ver sitio > OSPF > Configuración básica :

Imagen localizada

Nota

El tipo de ruta OSPF de exportación es de tipo 5 externo de forma predeterminada. Esto se debe a que la tabla de enrutamiento SD-WAN se considera externa al protocolo OSPF y, por lo tanto, OSPF preferirá una ruta aprendida interna (dentro de área), por lo tanto, las rutas anunciadas por SD-WAN pueden no tener prioridad.

Cuando se utiliza OSPF a través de la WAN (es decir, redes MPLS), esto se puede cambiar a Tipo uno dentro del área. Las áreas OSPF se pueden configurar como se muestra a continuación.

Imagen localizada

Área 0 agregada con la red local derivada de la interfaz virtual (172.10.10.0), todas las demás configuraciones se dejaron por defecto.

Para el nuevo sitio de San Francisco, necesitamos habilitar eBGP ya que se conectará directamente a la red MPLS y funcionará como la ruta de borde del cliente para el sitio. BGP se puede habilitar en Conexiones > Ver sitio > BGP > Configuración básica.

Tenga en cuenta el número del sistema autónomo 13.

Imagen localizada

Imagen localizada

El eBGP se empareja con cada ubicación. Cada ASN es diferente.

Es importante comprender cómo se pasan las rutas entre la tabla de enrutamiento de ruta virtual y los protocolos de ruta dinámica en uso. Es fácil crear bucles de enrutamiento o anunciar rutas de una manera adversa. El mecanismo de filtro nos da la capacidad de controlar lo que entra y sale de la tabla de enrutamiento. Consideramos cada lugar a su vez.

  • La ubicación de San Francisco tiene dos subredes locales 10.80.1.0/24 y 10.81.1.0/24. Queremos anunciarlos a través de eBGP para que sitios como Dallas todavía puedan llegar al sitio de San Francisco a través de la red subyacente y también sitios como Londres y San Francisco todavía puedan llegar a San Francisco a través de la red de superposición de Ruta Virtual. También queremos aprender de la accesibilidad de eBGP a todos los sitios en caso de que la superposición de Ruta Virtual SD-WAN se desplome y el entorno necesite volver a usar solo MPLS. Tampoco queremos volver a anunciar nada que SD-WAN aprenda de eBGP a los routers SD-WAN. Para lograr esto, los filtros deben configurarse de la siguiente manera:

  • Importe todas las rutas desde eBGP. No leer/exportar rutas a dispositivos SD-WAN.

Imagen localizada

  • Exportar rutas locales a eBGP

La regla predeterminada para exportar es exportar todo. La regla 200 se utiliza para anular la regla de error y no volver a anunciar las rutas. Cualquier ruta que coincida con cualquier prefijo SD-WAN ha aprendido a través de las rutas virtuales.

Imagen localizada

Después de implementar los dispositivos Citrix SD-WAN, podemos revisar las tablas de ruta para el router BGP en el sitio de Dallas. Vemos que las subredes 10.80.1.0/24 y 10.81.1.0/24 se están viendo correctamente a través de eBGP desde la SD-WAN de San Francisco.

Enrutador D de Dallas:

Imagen localizada

Además, la tabla de rutas Citrix SD-WAN se puede ver en la página Supervisión > Estadísticas > Mostrar rutas.

Citrix SD-WAN de San Francisco:

Imagen localizada

Citrix SD-WAN muestra todas las rutas aprendidas, incluidas las rutas disponibles a través de la superposición de ruta virtual.

Consideremos 172.10.10.0/24, que se encuentra en el centro de datos de Nueva York. Esta ruta se aprende de dos maneras:

  • Como ruta de ruta virtual (Núm 3), servicio = NYC-SFO con un coste de 5 y tipo estático. Se trata de una subred local anunciada por el dispositivo SD-WAN en Nueva York. Es estático ya que está conectado directamente al dispositivo o es una ruta estática manual introducida en la configuración. Es accesible porque la ruta virtual entre los sitios está en estado de trabajo/funcionamiento.

  • Como una ruta anunciada a través de BGP (Núm 6), con un coste de 6. Ahora se considera una ruta alternativa.

Dado que el prefijo es igual y el coste es diferente, SD-WAN utiliza la ruta de ruta virtual a menos que no esté disponible, en cuyo caso la ruta de reserva se aprende a través de BGP.

Ahora, consideremos la ruta 172.20.20.0/24.

  • Esto se aprende como una ruta de ruta virtual (Núm 9) pero tiene un tipo de dinámica y un coste de 6. Esto significa que el dispositivo SD-WAN remoto aprendió esta ruta a través de un protocolo de enrutamiento, en este caso OSPF. De forma predeterminada, el coste de la ruta es mayor.

  • SD-WAN también aprende esta ruta a través de BGP con el mismo coste, por lo que en este caso esta ruta puede ser preferida sobre la ruta de ruta virtual.

Para garantizar el enrutamiento correcto, debemos aumentar el coste de la ruta BGP para asegurarnos de que tenemos una ruta de ruta virtual y es la ruta preferida. Esto se puede hacer ajustando el peso de la ruta del filtro de importación para que sea mayor que el valor predeterminado de 6.

Imagen localizada

Después de realizar el ajuste, podemos actualizar la tabla de rutas SD-WAN en el dispositivo de San Francisco para ver los costes de ruta ajustados. Utilice la opción de filtro para enfocar la lista mostrada.

Imagen localizada

Finalmente, echemos un vistazo a la ruta predeterminada aprendida en la SD-WAN de San Francisco. Queremos traspasar todo el tráfico de internet a Nueva York. Podemos ver que lo enviamos usando la Ruta Virtual, si está activa, o a través de la red MPLS como alternativa.

Imagen localizada

También vemos una ruta de paso y descarte con coste 16. Se trata de rutas automáticas que no se pueden eliminar. Si el dispositivo está en línea, la ruta de paso se utiliza como último recurso, por lo que si un paquete no puede coincidir con una ruta más específica, SD-WAN lo pasará al siguiente salto del grupo de interfaces. Si la SD-WAN está fuera de ruta o en modo de borde/puerta de enlace, no hay servicio de paso, en cuyo caso SD-WAN descarta el paquete mediante la ruta de descarte predeterminada. El número de visitas indica el número de paquetes que están llegando a cada ruta, lo que puede ser valioso a la hora de solucionar problemas.

Ahora centrándonos en el sitio de Nueva York, queremos que el tráfico destinado a sitios remotos (Londres y San Francisco) se dirija al dispositivo SD-WAN cuando la ruta virtual esté activa.

Hay varias subredes disponibles en el sitio de Nueva York:

  • 172.10.10.0/24 (conectado directamente)

  • 172.20.20.0/24 (anunciado a través de OSPF desde el router principal B)

  • 172.30.30.0/24 (anunciado a través de OSPF desde el router principal B)

También estamos obligados a proporcionar flujo de tráfico a Dallas (10.100.1.0/24) a través de MPLS.

Por último, queremos que toda la ruta de tráfico enlazada a Internet al Firewall E a través de 172.10.10.3 como salto siguiente. SD-WAN aprende esta ruta predeterminada a través de OSPF y para anunciar a través de la ruta virtual. Los filtros para el sitio de Nueva York son:

Imagen localizada

El sitio SD-WAN de Nueva York importa todas las rutas para la red de administración. Esto puede ser ignorado. Podemos centrarnos en el filtro 200.

Imagen localizada

El filtro 200 se utiliza para importar 192.168.10.0/24 (nuestro núcleo MPLS) para su accesibilidad, pero no se anuncia a través de la superposición de ruta virtual. Todas las demás rutas se incluyen a continuación.

Para los filtros de exportación, podemos excluir ruta para 192.168.10.0/24. Esto se debe a que, como subred conectada directamente en el sitio de San Francisco, no podemos filtrar esta ruta en el origen, por lo que se suprime en este extremo.

Imagen localizada

Ahora vamos a revisar la tabla de rutas actualizada a partir de la ruta principal en el sitio de Nueva York.

Router B de Nueva York:

Imagen localizada

Podemos ver las subredes para San Francisco (10.80.1.0 y 10.81.1.0) y Londres (10.90.1.0) que ahora se anuncian a través del dispositivo SD-WAN de Nueva York (172.10.10.10). La ruta 10.100.1.0/24 todavía se está anunciando a través del subcalco MPLS Router A. Revisemos la tabla de rutas SD-WAN sitio de Nueva York.

Tabla de rutas SD-WAN del sitio de Nueva York:

Imagen localizada

Podemos ver las rutas correctas para las subredes locales aprendidas a través de OSPF, una ruta al sitio de Dallas aprendida del Router A MPLS y las subredes remotas para sitios de San Francisco y Londres. Veamos el enrutador MPLS A. Este enrutador está participando en OSPF y BGP.

Imagen localizada

Desde la tabla de rutas, este Router A está aprendiendo las subredes remotas a través de BGP y OSPF, con la distancia administrativa y el coste de la ruta BGP (20/5) siendo inferiores a OSPF (110/10) y, por lo tanto, preferidos. En este ejemplo, red donde hay una ruta principal, esto puede no causar preocupación. Sin embargo, el tráfico que llega aquí se entregaría a través de la red MPLS en lugar de enviarse al dispositivo SD-WAN (172.10.10.10). Si queremos mantener la simetría de enrutamiento completa, necesitaríamos un mapa de ruta para ajustar el coste AD/métrico de modo que haya preferencia de ruta desde la ruta 172.10.10.10 en lugar de la ruta aprendida a través de eBGP.

Alternativamente, se puede configurar una ruta puerta trasera para forzar al router a preferir la ruta OSPF sobre la ruta BGP. Observe la ruta estática de la dirección IP virtual SD-WAN al dispositivo SD-WAN del sitio de Londres.

Imagen localizada

Esto es necesario para garantizar que la ruta de acceso virtual se vuelva a enrutar al dispositivo SD-WAN del sitio de Nueva York si la ruta de acceso MPLS falla. Dado que hay una ruta para el 10.90.1.0/24 que se anuncia a través de 172.10.10.10 (Nueva York SD-WAN). También se recomienda crear una regla de servicio de anulación para eliminar cualquier paquete UDP 4.980 en el dispositivo SD-WAN para evitar que la ruta virtual vuelva a sí misma.

Rutas virtuales dinámicas

Se pueden permitir rutas virtuales dinámicas entre dos nodos de cliente para crear rutas virtuales bajo demanda para la comunicación directa entre dos sitios. La ventaja de una ruta virtual dinámica es que el tráfico puede fluir directamente de un nodo cliente a segundo sin tener que atravesar el MCN o dos rutas virtuales, lo que podría agregar latencia al flujo de tráfico. Las rutas virtuales dinámicas se crean y eliminan dinámicamente en función de los umbrales de tráfico definidos por el usuario. Estos umbrales se definen como paquetes por segundo (pps) o ancho de banda (kbps). Esta funcionalidad permite una topología dinámica de superposición SD-WAN de malla completa.

Una vez que se cumplen los umbrales de rutas virtuales dinámicas, los nodos cliente crean dinámicamente su ruta virtualizada entre sí mediante todas las rutas WAN disponibles entre los sitios y lo utilizan al máximo de la siguiente manera:

  • Envíe datos masivos si existe alguno y verifique que no haya pérdida, entonces

  • Envíe datos interactivos y verifique que no haya pérdida, entonces

  • Enviar datos en tiempo real después de que los datos masivos e interactivos se consideren estables (sin pérdidas ni niveles aceptables)

  • Si no hay datos masivos o interactivos, envíe datos en tiempo real después de que la ruta virtual dinámica haya estado estable durante un período

  • Si los datos de usuario caen por debajo de los umbrales configurados para un período de tiempo definido por el usuario, la ruta virtual dinámica se desbarata

    Las rutas virtuales dinámicas tienen el concepto de un sitio intermedio. El sitio intermedio podría ser un sitio MCN o cualquier otro sitio de la red que tenga una ruta virtual estática configurada y conectada a dos o más nodos de cliente. Otro requisito de consideración de diseño es tener habilitado el reenvío WAN a WAN, permitiendo que todas las rutas de todos los sitios se publiquen a los nodos cliente donde se quiera la ruta virtual dinámica. Habilitar sitio como nodo intermedio debe estar habilitado además del reenvío WAN a WAN para que este sitio intermedio supervise la comunicación del nodo cliente y dicte cuándo es necesario establecer y romper la ruta dinámica.

Imagen localizada

Se pueden permitir varios grupos de reenvío de WAN a WAN en la configuración de SD-WAN, lo que permite el control total del establecimiento de rutas entre determinados nodos de cliente y no entre otros.

Imagen localizada

Para que los nodos de cliente funcionen como sitios intermedios, se requiere que se configure una ruta virtual estática entre ella y los clientes asociados a ese grupo de reenvío de WAN a WAN. Además, los nodos de cliente necesitan la opción Habilitar ruta virtual dinámica activada para cada nodo de cliente.

Imagen localizada

Cada dispositivo SD-WAN tiene su propia tabla de rutas única con los siguientes detalles definidos para cada ruta:

  • Num: Orden de ruta de este dispositivo basado en el proceso de coincidencia (el número más bajo procesado primero)

  • Dirección de red: Dirección de subred o host

  • Puerta de enlace si es necesario

  • Servicio: Qué servicio se aplica para esta ruta

  • Zona del firewall: Clasificación de la zona del firewall de la ruta

  • Accesible: Identifica si el estado de ruta virtual está activo para este sitio

  • Sitio: El nombre del sitio donde se espera que exista la ruta

  • Tipo: Identificación del tipo de ruta (estático o dinámico)

  • Vecino directo

  • Coste - coste de la ruta específica

  • Número de visitas: Cuántas veces se ha utilizado la ruta por paquete. Esto se usaría para verificar que una ruta se está golpeando correctamente.

  • Elegible

  • Tipo de elegibilidad

  • Valor de elegibilidad

A continuación se muestra una tabla de rutas de sitio SD-WAN de ejemplo:

Imagen localizada

Observe en la tabla de rutas SD-WAN anterior que hay más elementos que normalmente no están disponibles en los enrutadores tradicionales. Lo más notable es la columna Accesible, que hace que la ruta sea activa o inactiva (sí/no) dependiendo del estado de la ruta WAN. Las rutas enumeradas aquí se suprimen en función de varios estados del servicio (la ruta virtual está inactiva como ejemplo). Otros eventos que pueden forzar que una ruta no sea elegible son el estado de la ruta hacia abajo, el salto siguiente inalcanzable o el enlace WAN hacia abajo.

A partir de la tabla anterior, podemos ver 14 rutas definidas. A continuación se describe una descripción de las rutas o grupos de rutas:

  • Ruta 0: En el MCN se trata de una ruta de subred de host que reside en el sitio de DC. 172.16.10.0/24 reside en la LAN de DC y 192.168.15.1 es la Gateway de la LAN que es el siguiente salto que llegará a esa subred.

  • Ruta 1: Se trata de una ruta local a este dispositivo SD-WAN que muestra la tabla de rutas.

  • Ruta 2-4: Estas son las subredes que forman parte de las interfaces virtuales configuradas para la SD-WAN del sitio de DC. Estas subredes se derivan de las interfaces virtuales de confianza definidas.

  • Ruta 5: Se trata de una ruta compartida a otro nodo de cliente que comparte el MCN con un estado de Accesibilidad de No debido a la ruta virtual inexistente entre ese sitio y el MCN.

  • Ruta 6-9: Estas rutas existen en otro sitio cliente. Para esta ruta, se crea una ruta de ruta virtual para hacer coincidir el tráfico de entrada WAN destinado al sitio remoto en la ruta virtual.

  • Ruta 10: Con el servicio de Internet definido, el sistema agrega una ruta de captura de todas las rutas para la ruptura directa de Internet para este sitio local.

  • Ruta 11: Passthrough es la ruta predeterminada que el sistema siempre agrega para permitir que los paquetes fluyan en caso de que no haya coincidencias en ninguna ruta existente. El paso a través no está arreglado, normalmente las difusiones locales y el tráfico ARP se asignan a este servicio.

  • Ruta 12: Descartar es la ruta predeterminada que el sistema siempre agrega para eliminar cualquier indefinido.

Valores de coste de ruta predeterminados:

  • Reenvío de WAN a WAN: 10

  • Coste de ruta directa predeterminado: 5

  • Rutas generadas automáticamente: 5

  • Ruta virtual: 5

  • Local: 5

  • Intranet: 5

  • Internet: 5

  • Paso a través: 5

  • Opcional: La ruta es 0.0.0.0/0 definida como un nivel de servicio

Después de definir estas rutas, es importante entender cómo fluye el tráfico mediante las rutas definidas. Estos flujos de tráfico se dividen en los siguientes flujos:

  • LAN a WAN (Ruta Virtual): Tráfico que entra en el túnel de superposición SD-WAN

  • WAN a LAN (Ruta Virtual): Tráfico existente en el túnel de superposición SD-WAN

  • Tráfico de ruta no virtual: Tráfico enrutado a la red de calco subyacente

El coste de ruta predeterminado se puede modificar en función de cada sitio. La configuración se puede encontrar en Ver sitio > Configuración básica :

Imagen localizada

Las rutas estáticas se pueden definir por sitio en el nodo Conexiones > Sitio > Ruta s:

Imagen localizada

Observe que las rutas se pueden vincular a la disponibilidad de IP de la ruta virtual o de la puerta de enlace. Las rutas de Internet se pueden exportar a la superposición Ruta virtual o no dependiendo del comportamiento deseado. También puede crear rutas de ruta virtual estáticas para forzar el tráfico a una ruta virtual aunque no recibamos el prefijo anunciado a SD-WAN (es decir, una ruta de último recurso de mayor coste). SD-WAN también puede suprimir la publicidad de subredes locales haciendo privada la dirección IP virtual (VIP).

Imagen localizada

Nota

La configuración requiere al menos un VIP no privado en cada dominio de ruta.

Intranet y rutas de Internet

Para los tipos de servicio Intranet e Internet, el usuario debe haber definido un enlace WAN SD-WAN para admitir esos tipos de servicios. Es un requisito previo para cualquier ruta definida para cualquiera de estos servicios. Si el enlace WAN no está definido para admitir el servicio de intranet, se considera una ruta local. Las rutas de Intranet, Internet y PassThrough solo son relevantes para el sitio/dispositivo para el que están configurados.

Al definir rutas de Intranet, Internet o PassThrough, se incluyen las siguientes consideraciones de diseño:

  • Debe tener un servicio definido en el enlace WAN (Intranet/Internet; requerido)

  • Intranet/Internet debe tener una Gateway definida para el enlace WAN

  • Relevante para el dispositivo SD-WAN local

  • Las rutas de Intranet se pueden aprender a través de la Ruta Virtual, pero se hacen a un coste más alto

  • Con el servicio de Internet, hay automáticamente una ruta predeterminada creada (0.0.0.0/0) captura todas las rutas con un coste máximo

  • No asuma que Passthrough funciona, debe ser probado/verificado, también probar con Virtual Path desactivado/inhabilitado para verificar el comportamiento deseado

  • Las tablas de ruta son estáticas a menos que la función de aprendizaje de rutas esté habilitada

    A continuación se muestra el límite máximo admitido para varios parámetros de enrutamiento:

  • Dominios de enrutamiento máximos: 255

  • Máximo de interfaces de acceso por enlace WAN: 64

  • Número máximo de vecinos BGP por sitio: 255

  • Superficie máxima de OSPF por emplazamiento: 255

  • Máximo de interfaces virtuales por área OSPF: 255

  • Máximo de filtros de importación de Route Learning por sitio: 512

  • Máximo de filtros de exportación de Route Learning por sitio: 512

  • Máximo de directivas de enrutamiento BGP: 255

  • Máximo de objetos de cadena de comunidad BGP: 255