Citrix SD-WAN

Redirección de superposición SD-WAN

Citrix SD-WAN proporciona conectividad sólida y resistente entre sitios remotos, centros de datos y redes en la nube. La solución SD-WAN puede lograr esto estableciendo túneles entre dispositivos SD-WAN en la red, lo que permite la conectividad entre sitios mediante la aplicación de tablas de ruta que superponen la red subyacente existente. Las tablas de redirección SD-WAN pueden reemplazar completamente o coexistir con la infraestructura de redirección existente.

Los dispositivos Citrix SD-WAN miden los paths disponibles unidireccionalmente en términos de disponibilidad, pérdida, latencia, fluctuación y funciones de congestión, y seleccionan la mejor ruta por paquete. Esto significa que la ruta elegida del Sitio A al Sitio B no tiene por qué ser necesariamente la ruta elegida del Sitio B al Sitio A. La mejor ruta en un momento dado se selecciona independientemente en cada dirección. Citrix SD-WAN ofrece una selección de rutas basada en paquetes para una rápida adaptación a cualquier cambio de red. Los dispositivos SD-WAN pueden detectar interrupciones de paths después de solo dos o tres paquetes que faltan, lo que permite una conmutación por error de subsegundos sin problemas del tráfico de aplicaciones al siguiente mejor path de WAN. Los dispositivos SD-WAN vuelven a calcular cada estado de enlace WAN en unos 50 ms. En el siguiente artículo se proporciona una configuración de redirección detallada dentro de la red Citrix SD-WAN.

Tabla de rutas de Citrix SD-WAN

La configuración de SD-WAN permite entradas de ruta estáticas para sitios específicos y entradas de ruta aprendidas de la red de calco subyacente a través de protocolos de redirección compatibles, como OSPF, eBGP e iBGP. Las rutas no solo se definen por su siguiente salto, sino por su tipo de servicio. Esto determina cómo se reenvía la ruta. A continuación se presentan los principales tipos de servicios en uso:

  • Servicio local: Indica cualquier ruta o subred local para el dispositivo SD-WAN. Esto incluye las subredes de Interfaz Virtual (crea automáticamente rutas locales) y cualquier ruta local definida en la tabla de rutas (con un salto siguiente local). La ruta se anuncia a otros dispositivos SD-WAN que tienen una ruta virtual a este sitio local donde se configura esta ruta cuando se confía como asociado.

Nota

Tenga cuidado al agregar rutas predeterminadas y rutas de resumen como rutas locales, ya que pueden dar lugar a rutas de ruta virtual en otros sitios. Compruebe siempre las tablas de redirección para asegurarse de que el enrutamiento correcto esté en vigor.

  • Ruta virtual : indica cualquier ruta local aprendida desde un sitio SD-WAN remoto. Eso es lo que se puede alcanzar por las rutas virtuales. Estas rutas son normalmente automáticas, sin embargo, una ruta de ruta virtual se puede agregar manualmente en un sitio. Cualquier tráfico de esta ruta se reenvía a la ruta virtual definida para esta ruta de destino (subred).

  • Intranet : indica rutas a las que se puede acceder a través de un enlace WAN privado (MPLS, P2P, VPN, etc.). Por ejemplo, una sucursal remota que se encuentra en la red MPLS pero que no tiene un dispositivo SD-WAN. Se supone que estas rutas deben ser reenviadas a un enrutador WAN determinado. El servicio de intranet no está habilitado de forma predeterminada. Cualquier tráfico que coincida con esta ruta (subred) se clasifica como intranet para este dispositivo para su entrega a un sitio que no tiene una solución SD-WAN.

Nota

Observe que al agregar una ruta de Intranet no hay salto siguiente, sino un reenvío a un servicio de Intranet. El servicio está asociado a un enlace WAN determinado.

  • Internet: Es similar a la Intranet, pero se utiliza para definir el tráfico que fluye a enlaces WAN de Internet públicos en lugar de enlaces WAN privados. Una diferencia única es que el servicio de Internet puede asociarse con varios enlaces WAN y establecerse en equilibrio de carga (por flujo) o estar activo/copia de seguridad. Una ruta predeterminada de Internet se crea cuando el servicio de Internet está habilitado (está desactivado de forma predeterminada). Cualquier tráfico que coincida con esta ruta (subred) se clasifica como Internet para este dispositivo para su entrega a recursos públicos de Internet.

Nota

Las rutas del servicio de Internet se pueden anunciar a los demás dispositivos SD-WAN o impedir que se exporten dependiendo de si se está realizando una copia de seguridad del acceso a Internet a través de las rutas virtuales.

  • Passthrough: Este servicio actúa como último recurso o reemplaza el servicio cuando un dispositivo está en modo en línea. Si una dirección IP de destino no coincide con cualquier otra ruta, el dispositivo SD-WAN simplemente la reenvía al siguiente salto del enlace WAN. Una ruta predeterminada: El coste 0.0.0.0/0 de 16 rutas de paso se crea automáticamente. El paso a través no funciona cuando el dispositivo SD-WAN se implementa fuera de ruta o en modo Edge/Gateway. Cualquier tráfico que coincida con esta ruta (subred) se clasifica como paso a través para este dispositivo. Se recomienda que el tráfico de paso a través sea lo más limitado posible.

Nota

El paso a través puede ser útil cuando se realiza un POC para evitar tener que configurar numerosas rutas; sin embargo, tenga cuidado en la producción, ya que SD-WAN no tiene en cuenta la utilización del enlace WAN para el tráfico enviado a passthrough. También resulta útil a la hora de solucionar problemas y quiere eliminar cierto flujo de IP de la entrega a través de la ruta virtual.

  • Descartar - Esto no es un servicio, sino una ruta de último recurso que deja caer los paquetes si coincide. Normalmente, esto no ocurre cuando el dispositivo SD-WAN se implementa fuera del path. Debe tener un servicio de intranet o una ruta local como una ruta de captura de todas las rutas; de lo contrario, el tráfico se descarta porque no hay servicio de paso a través (aunque haya una ruta predeterminada de paso a través).

    El Editor de configuración de SD-WAN permite la personalización de la tabla de rutas para cada sitio disponible:

Rutas MCN de conexiones

Las entradas de la tabla de rutas se rellenan a partir de diferentes entradas:

  • La dirección IP virtual (VIP) configurada se rellena automáticamente como ruta local de tipo de servicio. El Editor de configuración evita la misma asignación VIP a diferentes nodos del sitio.

  • Los servicios de Internet habilitados en un sitio local rellenan automáticamente una ruta predeterminada (0.0.0.0/0) localmente para la ruptura directa de Internet.

  • El administrador definió rutas estáticas por sitio, que también se definirán como una ruta local de tipo de servicio.

  • Un valor predeterminado (0.0.0.0/0) captura todas las rutas con el coste 16 definido como Passthrough

Los administradores pueden configurar una de las rutas anteriores, pero también incluir un tipo de servicio, salto siguiente o Gateway dependiendo del tipo de servicio, además del coste de la ruta. Se agregará automáticamente un coste de ruta predeterminado a cada tipo de ruta (consulte la siguiente tabla para ver los costes de ruta predeterminados). Además, solo las rutas de confianza se anuncian a otros dispositivos SD-WAN. Las rutas que no son de confianza las utiliza el dispositivo local.

Las rutas de nodo de cliente se anuncian al nodo MCN y no a otros nodos de cliente de forma predeterminada. Para que las rutas de nodo cliente sean visibles para otros nodos cliente WAN to WAN Forwarding debe estar habilitado en el nodo MCN.

Habilitar sitio MCN de reenvío WAN a WAN

Con el reenvío WAN a WAN (plantilla de exportación de rutas) habilitado en Configuración global, el sitio de MCN comparte las rutas anunciadas a todos los clientes que participan en la superposición SD-WAN. Al activar esta función, se habilita la conectividad IP entre hosts en diferentes sitios de nodos de cliente con la comunicación que viaja a través del MCN. La tabla de rutas para el nodo cliente local se puede supervisar en la página Supervisión > Estadísticas con Rutas seleccionadas en la lista desplegable Mostrar.

Rutas estadísticas

Cada ruta para subredes de sucursales remotas se anuncia como un Servicio a través de la Ruta Virtual que se conecta a través del MCN, con la columna Sitio rellena con el nodo cliente donde reside el destino como subred local.

En el siguiente ejemplo, con el reenvío WAN a WAN (Exportación de rutas) habilitado, la rama A tiene una entrada de tabla de rutas para la subred Branch B (10.2.2.0/24) a través del MCN como salto siguiente.

Diagrama de flujo de ruta superpuesta

Cómo coincide el tráfico de Citrix SD-WAN en rutas definidas

El proceso de coincidencia para las rutas definidas en Citrix SD-WAN se basa en la coincidencia de prefijo más larga para la subred de destino (similar a una operación de enrutador). Cuanto más específica sea la ruta, mayor será el cambio en la misma. La clasificación se realiza en el siguiente orden:

  1. Coincidencias de prefijo más largas
  2. Coste
  3. Servicio

Por lo tanto, una ruta /32 siempre precede a una ruta /31. Para dos rutas /32, una ruta de coste 4 siempre precede a una ruta de coste 5. Para dos rutas /32 cuestan 5, las rutas se eligen en función del host IP ordenado. El orden de servicio es el siguiente: Local, Ruta virtual, Intranet, Internet, Passthrough, Descartar.

Como ejemplo, considere las dos rutas siguientes:

  • 192.168.1.0/24 Coste 5

  • 192.168.1.64/26 Coste 10

Un paquete destinado al host 192.168.1.65 usaría esta última ruta aunque el coste sea mayor. En base a esto, es común que la configuración esté en su lugar solo para las rutas destinadas a ser entregadas a través de la superposición de ruta virtual con otro tráfico que cae en captura todas las rutas, como una ruta predeterminada al servicio de paso a través.

Las rutas se pueden configurar en una tabla de rutas de nodos de sitio que tengan el mismo prefijo. A continuación, el corte de empate va al coste de la ruta, el tipo de servicio (Ruta virtual, Intranet, Internet, etc.) y el siguiente salto IP.

Flujo de paquetes de redirección Citrix SD-WAN

  • Coincidencia de ruta de tráfico LAN a WAN (ruta virtual):

    1. El tráfico entrante es recibido por la interfaz LAN y se procesa.

    2. El marco recibido se compara con la tabla de enrutamiento para la coincidencia de prefijo más larga.

    3. Si se encuentra una coincidencia, el motor de reglas procesa el marco y se crea un flujo en la base de datos de flujo.

  • Coincidencia de ruta de tráfico de WAN a LAN (ruta virtual):

    1. El tráfico de ruta virtual es recibido por SD-WAN desde el túnel y se procesa.

    2. El dispositivo compara la dirección IP de origen para ver si el origen es local.

      • En caso afirmativo, WAN elegible y coincida con el destino IP con la tabla de redirección o ruta virtual.

      • Si no, entonces la comprobación habilitada de reenvío WAN a WAN.

    3. (Reenvío de WAN a WAN desactivado) Reenvío a LAN basado en rutas locales.

    4. (Reenvío de WAN a WAN habilitado) Reenviar a ruta virtual basada en la tabla de rutas.

  • Tráfico de ruta no virtual:

    1. El tráfico entrante se recibe en la interfaz LAN y se procesa.

    2. El marco recibido se compara con la tabla de enrutamiento para la coincidencia de prefijo más larga.

    3. Si se encuentra una coincidencia, el motor de reglas procesa el marco y se crea un flujo en la base de datos de flujo.


Compatibilidad con el protocolo de redirección Citrix SD-WAN

Citrix SD-WAN versión 9.1 introdujo los protocolos de redirección OSPF y BGP en la configuración. La introducción de protocolos de redirección en SD-WAN permitió una integración más sencilla de SD-WAN en redes subyacentes más complejas en las que los protocolos de redirección se utilizan activamente. Con los mismos protocolos de redirección habilitados en SD-WAN, se facilitó la configuración de las subredes indicadas para hacer uso de la superposición SD-WAN. Además, los protocolos de redirección permiten la comunicación entre sitios SD-WAN y sitios que no son SD-WAN con comunicación directa con enrutadores perimetrales del cliente existentes mediante el protocolo de redirección común. Citrix SD-WAN que participa en protocolos de redirección que operan en la red de calco subyacente se puede realizar independientemente del modo de implementación de SD-WAN (modo Inline, modo Inline virtual o modo Edge/Gateway). Además, SD-WAN se puede implementar en modo «solo aprendizaje», donde SD-WAN puede recibir rutas pero no anunciar rutas de vuelta al calco subyacente. Esto resulta útil cuando se introduce la solución SD-WAN en una red donde la infraestructura de redirección es compleja o incierta.

Importante

Es fácil filtrar la ruta no quiereda, si no tienes cuidado.

La tabla de ruta de ruta de ruta virtual de SD-WAN funciona como un protocolo de puerta de enlace externa (EGP), similar a BGP (pensar sitio a sitio). Por ejemplo, cuando SD-WAN anuncia rutas desde el dispositivo SD-WAN a OSPF, normalmente se consideran externas al sitio y al protocolo.

Nota

Tenga en cuenta los entornos que tienen IGP en toda la infraestructura (a través de la WAN), ya que complican el uso de las rutas anunciadas por SD-WAN. EIGRP se utiliza ampliamente en el mercado y SD-WAN no interopera con ese protocolo.

Un desafío al introducir protocolos de redirección en una implementación SD-WAN es que la tabla de redirección no está disponible hasta que el servicio SD-WAN esté habilitado y funcione en la red; por lo tanto, no se recomienda habilitar inicialmente las rutas de publicidad desde el dispositivo SD-WAN. Utilice los filtros de importación y exportación para una introducción gradual de protocolos de redirección en SD-WAN.

Echemos un vistazo más de cerca revisando el siguiente ejemplo:

Ruta superpuesta 4

En este ejemplo, examinamos un caso de uso del protocolo de redirección. La red anterior tiene cuatro ubicaciones: Nueva York, Dallas, Londres y San Francisco. Implementamos dispositivos SD-WAN en tres de estas ubicaciones y utilizamos SD-WAN para crear una red WAN híbrida donde se utilizarán MPLS y enlaces WAN de Internet para proporcionar una WAN virtualizada. Dado que Dallas no tendrá un dispositivo SD-WAN, tenemos que considerar la mejor manera de integrarlo con los protocolos de ruta existentes a ese sitio para garantizar una conectividad completa entre las redes de superposición de capas subyacentes y SD-WAN.

En la red de ejemplo, eBGP se utiliza entre las cuatro ubicaciones de la red MPLS. Cada ubicación tiene su propio número de sistema autónomo (ASN).

En el Centro de datos de Nueva York, OSPF se ejecuta para anunciar las subredes centrales del centro de datos a los sitios remotos y también anunciar una ruta predeterminada desde el Firewall de Nueva York (E). En este ejemplo, todo el tráfico de Internet se redirige al centro de datos, aunque las sucursales de Londres y San Francisco tienen una ruta a Internet.

El sitio de San Francisco también debe tenerse en cuenta que no tiene un enrutador. SD-WAN se implementa en modo Edge/Gateway, siendo ese dispositivo la Gateway predeterminada para la subred de San Francisco y también participa en eBGP a MPLS.

  • Con el centro de datos de Nueva York, tenga en cuenta que el SD-WAN se implementa en modo Virtual Inline. El objetivo es participar en el protocolo de redirección OSPF existente para que el tráfico se reenvíe al dispositivo como Gateway preferida.
  • El sitio de Londres se despliega en modo tradicional en línea. El router WAN ascendente (C) seguirá siendo la Gateway predeterminada para la subred de Londres.
  • El sitio de San Francisco es un sitio recientemente introducido en esta red y se planea implementar SD-WAN en modo Edge/Gateway y actuar como la Gateway predeterminada para la nueva subred de San Francisco.

Revise algunas de las tablas de redirección de calco subyacente existentes antes de implementar SD-WAN.

Enrutador básico B de Nueva York:

Enrutador básico de Nueva York b

Las subredes locales de Nueva York (172.x.x.x) están disponibles en el router B como conectadas directamente, y desde la tabla de rutas identificamos que la ruta predeterminada es 172.10.10.3 (Firewall E). Además, podemos ver que las subredes Dallas (10.90.1.0/24) y London (10.100.1.0/24) están disponibles a través de 172.10.10.1 (MPLS Router A). Los costes de ruta indican que se aprendieron de eBGP.

Nota

En el ejemplo proporcionado, San Francisco no aparece como una ruta, porque aún no hemos implementado el sitio con SD-WAN en modo Edge/Gateway para esa red.

Enrutador principal de Nueva York

Para el router WAN de Nueva York (A), las rutas aprendidas OSPF y las rutas aprendidas a través de MPLS a través de eBGP son rutas enumeradas. Tenga en cuenta los costes de la ruta. BGP es un dominio administrativo más bajo y coste por defecto 20/1 en comparación con OSPF 110/10.

Router D de Dallas:

Para Dallas WAN Router (D), todas las rutas se aprenden a través de MPLS.

Router de Dallas d

Nota

En este ejemplo, puede ignorar la subred 192.168.65.0/24. Esta es una red de gestión y no es pertinente al ejemplo. Todos los enrutadores están conectados a la subred de administración, pero no se anuncian en ningún protocolo de redirección.

En Citrix SD-WAN, podemos agregar la superposición SD-WAN habilitando OSPF en la SD-WAN ubicada en el sitio de Nueva York, en Conexiones > Ver sitio > OSPF > Configuración básica :

Configuración básica de OSPF de conexiones

Nota

El tipo de ruta OSPF de exportación es de tipo 5 externo de forma predeterminada. Esto se debe a que la tabla de redirección SD-WAN se considera externa al protocolo OSPF y, por lo tanto, OSPF preferirá una ruta aprendida interna (intra-area), por lo que las rutas anunciadas por SD-WAN podrían no tener prioridad.

Cuando se utiliza OSPF a través de la WAN (es decir, redes MPLS), esto se puede cambiar a Tipo uno dentro del área. Las áreas OSPF se pueden configurar de la siguiente manera.

Zonas OSPF de conexiones

Área 0 agregada con la red local derivada de la interfaz virtual (172.10.10.0), todas las demás configuraciones se dejaron por defecto.

Para el nuevo sitio de San Francisco, necesitamos habilitar eBGP ya que se conectará directamente a la red MPLS y funcionará como la ruta de borde del cliente para el sitio. BGP se puede habilitar en Conexiones > Ver sitio > BGP > Configuración básica.

Tenga en cuenta el número del sistema autónomo 13.

Propiedades básicas de BGP de conexiones

Conexiones vecinos BGP

El eBGP se empareja con cada ubicación. Cada ASN es diferente.

Es importante comprender cómo se pasan las rutas entre la tabla de redirección de ruta virtual y los protocolos de ruta dinámica en uso. Es fácil crear bucles de redirección o anunciar rutas de una manera adversa. El mecanismo de filtro nos da la capacidad de controlar lo que entra y sale de la tabla de redirección. Consideramos cada lugar a su vez.

  • La ubicación de San Francisco tiene dos subredes locales 10.80.1.0/24 y 10.81.1.0/24. Queremos anunciarlos a través de eBGP para que sitios como Dallas todavía puedan llegar al sitio de San Francisco a través de la red subyacente y también sitios como Londres y Nueva York puedan llegar a San Francisco a través de la red de superposición de Ruta Virtual. También queremos aprender de la accesibilidad de eBGP a todos los sitios en caso de que la superposición de SD-WAN Virtual Path se deshaga y el entorno deba volver a utilizar solo el MPLS. Tampoco queremos volver a anunciar nada que SD-WAN aprenda de eBGP a los routers SD-WAN. Para lograr esto, los filtros deben configurarse de la siguiente manera:

  • Importe todas las rutas desde eBGP. No leer/exportar rutas a dispositivos SD-WAN.

Filtros de importación de conexiones

  • Exportar rutas locales a eBGP

La regla predeterminada para exportar es exportar todo. La regla 200 se utiliza para anular la regla de error y no volver a anunciar las rutas. Cualquier ruta que coincida con cualquier prefijo SD-WAN ha aprendido a través de las rutas virtuales.

Exportar filtros conexiones BGP

Después de implementar los dispositivos Citrix SD-WAN, podemos revisar las tablas de ruta para el router BGP en el sitio de Dallas. Vemos que las subredes 10.80.1.0/24 y 10.81.1.0/24 se están viendo correctamente a través de eBGP desde la SD-WAN de San Francisco.

Enrutador D de Dallas:

Ejemplo de router d de Dallas

Además, la tabla de rutas Citrix SD-WAN se puede ver en la página Supervisión > Estadísticas > Mostrar rutas.

Citrix SD-WAN de San Francisco:

Estadísticas de ruta SD-WAN relé SFO

Citrix SD-WAN muestra todas las rutas aprendidas, incluidas las rutas disponibles a través de la superposición de ruta virtual.

Consideremos 172.10.10.0/24, que se encuentra en el Centro de Datos de Nueva York. Esta ruta se aprende de dos maneras:

  • Como ruta de ruta virtual (número 3), servicio = NYC-SFO con un coste de 5 y escriba estático. Se trata de una subred local anunciada por el dispositivo SD-WAN en Nueva York. Es estático ya que está conectado directamente al dispositivo o es una ruta estática manual introducida en la configuración. Es accesible porque la ruta virtual entre los sitios está en estado de trabajo/funcionamiento.

  • Como ruta anunciada a través de BGP (Número 6), con un coste de 6. Ahora se considera una ruta alternativa.

Dado que el prefijo es igual y el coste es diferente, SD-WAN utiliza la ruta de ruta virtual a menos que no esté disponible, en cuyo caso la ruta de reserva se aprende a través de BGP.

Ahora, consideremos la ruta 172.20.20.0/24.

  • Esto se aprende como una ruta de ruta virtual (número 9) pero tiene un tipo de dinámica y un coste de 6. Esto significa que el dispositivo SD-WAN remoto aprendió esta ruta a través de un protocolo de redirección, en este caso OSPF. De forma predeterminada, el coste de la ruta es mayor.

  • SD-WAN también aprende esta ruta a través de BGP con el mismo coste, por lo que en este caso esta ruta puede ser preferida sobre la ruta de ruta virtual.

Para garantizar el enrutamiento correcto, debemos aumentar el coste de la ruta BGP para asegurarnos de que tenemos una ruta de ruta virtual y es la ruta preferida. Esto se puede hacer ajustando el peso de la ruta del filtro de importación para que sea mayor que el valor predeterminado de 6.

coste de conexión BGP NSSDWAN

Después de realizar el ajuste, podemos actualizar la tabla de rutas SD-WAN en el dispositivo de San Francisco para ver los costes de ruta ajustados. Utilice la opción de filtro para enfocar la lista mostrada.

Estadísticas de ruta SD-WAN relé NYC SFO 1

Finalmente, echemos un vistazo a la ruta predeterminada aprendida en la SD-WAN de San Francisco. Queremos traspasar todo el tráfico de internet a Nueva York. Podemos ver que lo enviamos mediante la Ruta Virtual, si está activa, o a través de la red MPLS como alternativa.

Estadísticas de ruta SD-WAN relé NYC SFO

También vemos una ruta de paso y descarte con coste 16. Se trata de rutas automáticas que no se pueden eliminar. Si el dispositivo está en línea, la ruta de paso se utiliza como último recurso, por lo que si un paquete no puede coincidir con una ruta más específica, SD-WAN lo pasará al siguiente salto del grupo de interfaces. Si la SD-WAN está fuera de ruta o en modo de borde/puerta de enlace, no hay servicio de paso, en cuyo caso SD-WAN descarta el paquete mediante la ruta de descarte predeterminada. El número de visitas indica el número de paquetes que están llegando a cada ruta, lo que puede ser valioso a la hora de solucionar problemas.

Ahora centrándonos en el sitio de Nueva York, queremos que el tráfico destinado a sitios remotos (Londres y San Francisco) se dirija al dispositivo SD-WAN cuando la ruta virtual esté activa.

Hay varias subredes disponibles en el sitio de Nueva York:

  • 172.10.10.0/24 (conectado directamente)

  • 172.20.20.0/24 (anunciado a través de OSPF desde el router principal B)

  • 172.30.30.0/24 (anunciado a través de OSPF desde el router principal B)

También estamos obligados a proporcionar flujo de tráfico a Dallas (10.100.1.0/24) a través de MPLS.

Por último, queremos que toda la ruta de tráfico enlazada a Internet al Firewall E a través de 172.10.10.3 como salto siguiente. SD-WAN aprende esta ruta predeterminada a través de OSPF y para anunciar a través de la ruta virtual. Los filtros para el sitio de Nueva York son:

Rutas de exportación de conexión BGP

El sitio SD-WAN de Nueva York importa todas las rutas para la red de administración. Esto puede ser ignorado. Podemos centrarnos en el filtro 200.

Filtro de sitio de Nueva York 200

El filtro 200 se utiliza para importar 192.168.10.0/24 (nuestro núcleo MPLS) para la accesibilidad, pero no para exportarlo a la ruta virtual. Active la casilla de verificación Incluir y asegúrese de que la casilla Exportar ruta a Citrix Appliances está desactivada. Todas las demás rutas se incluyen a continuación.

Para los filtros de exportación, podemos excluir la ruta para 192.168.10.0/24. Esto se debe a que, como subred conectada directamente en el sitio de San Francisco, no podemos filtrar esta ruta en el origen, por lo que se suprime en este extremo.

Filtros de rutas de exportación BGP

Ahora vamos a revisar la tabla de rutas actualizadas comenzando en la ruta principal en el sitio de Nueva York.

Router B de Nueva York:

Router de Nueva York b 2

Podemos ver las subredes para San Francisco (10.80.1.0 y 10.81.1.0) y Londres (10.90.1.0) que ahora se anuncian a través del dispositivo SD-WAN de Nueva York (172.10.10.10). La ruta 10.100.1.0/24 todavía se está anunciando a través del subcalco MPLS Router A. Revisemos la tabla de rutas SD-WAN sitio de Nueva York.

Tabla de rutas SD-WAN del sitio de Nueva York:

Estadísticas de ruta SD-WAN Relay MPLS

Podemos ver las rutas correctas tanto para las subredes locales aprendidas a través de OSPF, una ruta al sitio de Dallas aprendida del Router A MPLS y las subredes remotas para los sitios de San Francisco y Londres. Veamos el enrutador MPLS A. Este enrutador está participando en OSPF y BGP.

OSPF y BGP

Desde la tabla de rutas, este Router A está aprendiendo las subredes remotas a través de BGP y OSPF, con la distancia administrativa y el coste de la ruta BGP (20/5) siendo inferiores a OSPF (110/10) y, por lo tanto, preferidos. En este ejemplo, red donde solo hay una ruta principal, esto podría no causar preocupación. Sin embargo, el tráfico que llega aquí se entregaría a través de la red MPLS en lugar de enviarse al dispositivo SD-WAN (172.10.10.10). Si queremos mantener la simetría de redirección completa, necesitaríamos un mapa de ruta para ajustar el coste AD/métrico de modo que haya preferencia de ruta desde la ruta 172.10.10.10 en lugar de la ruta aprendida a través de eBGP.

Alternativamente, se puede configurar una ruta puerta trasera para forzar al router a preferir la ruta OSPF sobre la ruta BGP. Observe la ruta estática de la dirección IP virtual SD-WAN al dispositivo SD-WAN del sitio de Londres.

Ruta estática de Londres

Esto es necesario para garantizar que la ruta de acceso virtual se vuelva a enrutar al dispositivo SD-WAN del sitio de Nueva York si la ruta de acceso MPLS falla. Dado que hay una ruta para el 10.90.1.0/24 que se anuncia a través de 172.10.10.10 (Nueva York SD-WAN). También se recomienda crear una regla de servicio de anulación para eliminar cualquier paquete UDP 4.980 en el dispositivo SD-WAN para evitar que la ruta virtual vuelva a sí misma.

Rutas virtuales dinámicas

Se pueden permitir rutas virtuales dinámicas entre dos nodos de cliente para crear rutas virtuales bajo demanda para la comunicación directa entre los dos sitios. La ventaja de una ruta virtual dinámica es que el tráfico puede fluir directamente de un nodo cliente al segundo sin tener que atravesar el MCN o dos rutas virtuales, lo que podría agregar latencia al flujo de tráfico. Las rutas virtuales dinámicas se crean y eliminan dinámicamente en función de los umbrales de tráfico definidos por el usuario. Estos umbrales se definen como paquetes por segundo (pps) o ancho de banda (kbps). Esta funcionalidad permite una topología dinámica de superposición SD-WAN de malla completa.

Una vez que se cumplen los umbrales de rutas virtuales dinámicas, los nodos cliente crean dinámicamente su ruta virtualizada entre sí mediante todas las rutas WAN disponibles entre los sitios y lo utilizan al máximo de la siguiente manera:

  • Envíe datos masivos si existe alguno y verifique que no haya pérdida, entonces

  • Envíe datos interactivos y verifique que no haya pérdida, entonces

  • Enviar datos en tiempo real después de que los datos masivos e interactivos se consideren estables (sin pérdidas ni niveles aceptables)

  • Si no hay datos masivos o interactivos, envíe datos en tiempo real después de que la ruta virtual dinámica haya estado estable durante un período

  • Si los datos del usuario caen por debajo de los umbrales configurados para un período definido por el usuario, la ruta virtual dinámica se derrumba

    Las rutas virtuales dinámicas tienen el concepto de un sitio intermedio. El sitio intermedio podría ser un sitio MCN o cualquier otro sitio de la red que tenga una ruta virtual estática configurada y conectada a dos o más nodos de cliente. Otro requisito de consideración de diseño es tener habilitado el reenvío WAN a WAN, permitiendo que todas las rutas de todos los sitios se publiquen a los nodos cliente donde se quiera la ruta virtual dinámica. Habilitar sitio como nodo intermedio debe estar habilitado además del reenvío WAN a WAN para que este sitio intermedio supervise la comunicación del nodo cliente y dicte cuándo debe establecerse y desactivarse la ruta dinámica.

Conexiones habilitan nodo intermedio

Se pueden permitir varios grupos de reenvío de WAN a WAN en la configuración de SD-WAN, lo que permite el control total del establecimiento de rutas entre determinados nodos de cliente y no entre otros.

WAN múltiple

Para que los nodos de cliente funcionen como sitios intermedios, se requiere que se configure una ruta virtual estática entre ella y los clientes asociados a ese grupo de reenvío de WAN a WAN. Además, los nodos de cliente necesitan la opción Habilitar ruta virtual dinámica activada para cada nodo de cliente.

Habilitar rama de rutas virtuales dinámicas

Cada dispositivo SD-WAN tiene su propia tabla de rutas única con los siguientes detalles definidos para cada ruta:

  • Num: Orden de ruta de este dispositivo basado en el proceso de coincidencia (el número más bajo procesado primero)

  • Dirección de red: Dirección de subred o host

  • Puerta de enlace si es necesario

  • Servicio: Qué servicio se aplica para esta ruta

  • Zona del firewall: Clasificación de la zona del firewall de la ruta

  • Accesible: Identifica si el estado de ruta virtual está activo para este sitio

  • Sitio: El nombre del sitio donde se espera que exista la ruta

  • Tipo: Identificación del tipo de ruta (estático o dinámico)

  • Vecino directo

  • Coste - coste de la ruta específica

  • Número de visitas: Cuántas veces se ha utilizado la ruta por paquete. Esto se usaría para verificar que una ruta se está golpeando correctamente.

  • Elegible

  • Tipo de elegibilidad

  • Valor de elegibilidad

A continuación se muestra un ejemplo de tabla de ruta del sitio SD-WAN:

Caso de uso de estadísticas de ruta SD-WAN enrutamiento de

Observe en la tabla de rutas SD-WAN anterior que hay más elementos que normalmente no están disponibles en los routers tradicionales. Lo más notable es la columna Accesible, que hace que la ruta sea activa o inactiva (sí/no) dependiendo del estado de la ruta WAN. Las rutas enumeradas aquí se suprimen en función de varios estados del servicio (la ruta virtual está inactiva como ejemplo). Otros eventos que pueden forzar que una ruta no sea elegible son el estado de la ruta hacia abajo, el salto siguiente inalcanzable o el enlace WAN hacia abajo.

De la tabla anterior, podemos ver 14 rutas definidas. A continuación se describe una descripción de las rutas o grupos de rutas:

  • Ruta 0: En el MCN se trata de una ruta de subred de host que reside en el sitio de DC. 172.16.10.0/24 reside en la LAN de DC y 192.168.15.1 es la Gateway de la LAN que es el siguiente salto que llegará a esa subred.

  • Ruta 1: Se trata de una ruta local a este dispositivo SD-WAN que muestra la tabla de rutas.

  • Ruta 2-4: Estas son las subredes que forman parte de las interfaces virtuales configuradas para la SD-WAN del sitio de DC. Estas subredes se derivan de las interfaces virtuales de confianza definidas.

  • Ruta 5: Se trata de una ruta compartida a otro nodo de cliente que comparte el MCN con un estado de Accesibilidad de No debido a la ruta virtual inexistente entre ese sitio y el MCN.

  • Ruta 6-9: Estas rutas existen en otro sitio cliente. Para esta ruta, se crea una ruta de ruta virtual para hacer coincidir el tráfico de entrada WAN destinado al sitio remoto en la ruta virtual.

  • Ruta 10: Con el servicio de Internet definido, el sistema agrega una ruta de captura de todas las rutas para la ruptura directa de Internet para este sitio local.

  • Ruta 11 — Passthrough es la ruta predeterminada que el sistema siempre agrega para permitir que los paquetes fluyan a través en caso de que no haya coincidencia en ninguna ruta existente. El paso a través no está arreglado, normalmente las difusiones locales y el tráfico ARP se asignan a este servicio.

  • Ruta 12 — Descartar es la ruta predeterminada que el sistema siempre agrega para soltar cualquier cosa indefinida.

Valores de coste de ruta predeterminados:

  • Reenvío de WAN a WAN: 10

  • Coste de ruta directa predeterminado: 5

  • Rutas generadas automáticamente: 5

  • Ruta virtual: 5

  • Local: 5

  • Intranet: 5

  • Internet: 5

  • Paso a través: 5

  • Opcional: La ruta es 0.0.0.0/0 definida como un nivel de servicio

Después de definir estas rutas, es importante entender cómo fluye el tráfico mediante las rutas definidas. Estos flujos de tráfico se dividen en los siguientes flujos:

  • LAN a WAN (Ruta Virtual): Tráfico que entra en el túnel de superposición SD-WAN

  • WAN a LAN (Ruta Virtual): Tráfico existente en el túnel de superposición SD-WAN

  • Tráfico de ruta no virtual: Tráfico enrutado a la red de calco subyacente

El coste de ruta predeterminado se puede modificar en función de cada sitio. La configuración se puede encontrar en Ver sitio > Configuración básica :

Configuración básica del sitio de sucursal coste de ruta

Las rutas estáticas se pueden definir por sitio en el nodo Conexiones > Sitio > Ruta s:

Agregar rutas enrutamiento de retransmisión SD-WAN del sitio de la

Observe que las rutas se pueden vincular a la disponibilidad de IP de la ruta virtual o de la puerta de enlace. Las rutas de Internet se pueden exportar a la superposición Ruta virtual o no dependiendo del comportamiento quieredo. También puede crear rutas de ruta virtual estáticas para forzar el tráfico a una ruta virtual aunque no recibamos el prefijo anunciado a SD-WAN (es decir, una ruta de último recurso de mayor coste). SD-WAN también puede suprimir la publicidad de subredes locales haciendo privada la dirección IP virtual (VIP).

Direcciones IP virtuales enrutamiento de relé SD-WAN

Nota

La configuración requiere al menos un VIP no privado en cada dominio de ruta.

Intranet y rutas de Internet

Para los tipos de servicio Intranet e Internet, el usuario debe haber definido un enlace WAN SD-WAN para admitir esos tipos de servicios. Es un requisito previo para cualquier ruta definida para cualquiera de estos servicios. Si el enlace WAN no está definido para admitir el servicio de intranet, se considera una ruta local. Las rutas de Intranet, Internet y PassThrough solo son relevantes para el sitio/dispositivo para el que están configurados.

Al definir rutas de Intranet, Internet o PassThrough, se incluyen las siguientes consideraciones de diseño:

  • Debe tener un servicio definido en el enlace WAN (Intranet/Internet; requerido)

  • Intranet/Internet debe tener una Gateway definida para el enlace WAN

  • Relevante para el dispositivo SD-WAN local

  • Las rutas de Intranet se pueden aprender a través de la Ruta Virtual, pero se hacen a un coste más alto

  • Con el servicio de Internet, hay automáticamente una ruta predeterminada creada (0.0.0.0/0) captura todas las rutas con un coste máximo

  • No asuma que Passthrough funciona, debe probarse o verificarse, también probar con Virtual Path inactivado/inhabilitado para verificar el comportamiento quieredo

  • Las tablas de redirección son estáticas a menos que la función de aprendizaje de rutas esté habilitada

    El siguiente es el límite máximo admitido para varios parámetros de redirección:

  • Dominios de enrutamiento máximos: 255

  • Máximo de interfaces de acceso por enlace WAN: 64

  • Número máximo de vecinos BGP por sitio: 255

  • Superficie máxima de OSPF por emplazamiento: 255

  • Máximo de interfaces virtuales por área OSPF: 255

  • Máximo de filtros de importación de Route Learning por sitio: 512

  • Máximo de filtros de exportación de Route Learning por sitio: 512

  • Máximo de directivas de redirección BGP: 255

  • Máximo de objetos de cadena de comunidad BGP: 255

Redirección de superposición SD-WAN