Citrix SD-WAN

SD-WAN オーバーレイルーティング

Citrix SD-WAN は、リモートサイト、データセンター、クラウドネットワーク間の耐障害性と堅牢な接続を提供します。SD-WAN ソリューションでは、ネットワーク内の SD-WAN アプライアンス間にトンネルを確立し、既存のアンダーレイネットワークをオーバーレイするルートテーブルを適用することで、サイト間の接続を可能にします。SD-WAN ルートテーブルは、既存のルーティングインフラストラクチャと完全に置き換えたり、共存することができます。以下の記事では、Citrix SD-WAN ネットワーク内の詳細なルーティング構成について説明します。

Citrix SD-WAN ルートテーブル

SD-WAN 設定では、特定のサイトのスタティックルートエントリと、サポートされているルーティングプロトコル(OSPF、eBGP、iBGP など)を通じてアンダーレイネットワークから学習されたルートエントリを使用できます。ルートは、ネクストホップだけでなく、サービスタイプによっても定義されます。これにより、ルートの転送方法が決まります。以下は、使用中の主なサービスタイプです。

  • ローカルサービス: SD-WAN アプライアンスにローカルなルートまたはサブネットを示します。これには、Virtual Interface サブネット(ローカルルートを自動的に作成)、およびルートテーブルで定義されているローカルルート(ローカルネクストホップを使用)が含まれます。ルートは、このローカルサイトへの仮想パスを持つ他の SD-WAN アプライアンスにアドバタイズされます。このアプライアンスは、パートナーとして信頼されるときにこのルートが設定されています。

デフォルトルートおよびサマリールートをローカルルートとして追加する場合は、他のサイトで仮想パスルートになる可能性があるので、注意が必要です。常にルートテーブルをチェックして、正しいルーティングが有効であることを確認します。

  • Virtual Path :リモート SD-WAN サイトから学習したローカルルートを示します。つまり、仮想パスから到達可能なルートです。これらのルートは通常自動ですが、仮想パスルートはサイトで手動で追加できます。このルートのトラフィックはすべて、この宛先ルート(サブネット)の定義済みの仮想パスに転送されます。

  • イントラネット :プライベート WAN リンク(MPLS、P2P、VPN など)を介して到達可能なルートを示します。たとえば、MPLS ネットワーク上にあり、SD-WAN アプライアンスを持たないリモートブランチ。これらのルートは、特定の WAN ルータに転送する必要があることを前提としています。イントラネットサービスは既定では有効になっていません。このルート(サブネット)に一致するトラフィックは、SD-WAN ソリューションを持たないサイトに配信するために、このアプライアンスのイントラネットとして分類されます。

イントラネットルートを追加する場合、ネクストホップはなく、イントラネットサービスに転送されることに注意してください。サービスは、特定の WAN リンクに関連付けられています。

  • インターネット — イントラネットに似ていますが、プライベート WAN リンクではなくパブリックインターネット WAN リンクに流れるトラフィックを定義するために使用されます。ユニークな違いの 1 つは、インターネットサービスを複数の WAN リンクに関連付けて、ロードバランシング(フローごと)またはアクティブ/バックアップに設定できることです。デフォルトのインターネットルートは、インターネットサービスが有効になっているときに作成されます(デフォルトではオフになっています)。このルート(サブネット)に一致するトラフィックは、パブリックインターネットリソースに配信するために、このアプライアンスのインターネットとして分類されます。

インターネットサービスルートは、他の SD-WAN アプライアンスにアドバタイズしたり、仮想パス経由でインターネットアクセスをバックホールしているかどうかに応じて、エクスポートされないようにすることができます。

  • パススルー — アプライアンスがインラインモードの場合、このサービスは最後の手段または上書きサービスとして機能します。宛先 IP アドレスが他のルートと一致しない場合、SD-WAN アプライアンスは単に WAN リンクのネクストホップに転送します。デフォルトルート:0.0.0.0/0 コスト 16 パススルールートが自動的に作成されます。パススルーは、SD-WAN アプライアンスがパス外またはエッジ/ゲートウェイモードで展開されている場合は機能しません。このルート(サブネット)に一致するトラフィックは、このアプライアンスのパススルーとして分類されます。パススルートラフィックはできるだけ制限することをお勧めします。

パススルーは、多数のルーティングを設定する必要がないように POC を実行する場合に便利です。ただし、SD-WAN はパススルーに送信されるトラフィックの WAN リンク使用率を考慮しないため、本番環境では十分に注意してください。また、問題のトラブルシューティング時に、特定のIPフローを仮想パス経由で配信できないようにする場合にも役立ちます。

  • Discard :これはサービスではなく、一致した場合にパケットをドロップする最後の手段ルートです。通常、これは、SD-WAN アプライアンスがパス外に配置されている場合には発生しません。catch all ルートとしてイントラネットサービスまたはローカルルートが必要です。そうしないと、パススルーサービスが存在しないため(パススルーデフォルトルートが存在しても)トラフィックは破棄されます。

    SD-WAN 構成エディタでは、使用可能なサイトごとにルートテーブルをカスタマイズできます。

ローカライズされた画像

ルートテーブルエントリは、さまざまな入力から移入されます。

  • 設定された仮想 IP アドレス(VIP)は、サービスタイプローカルルートとして自動的に設定されます。構成エディタは、異なるサイトノードへの同じ VIP 割り当てを防止します。

  • ローカルサイトで有効になっているインターネットサービスは、直接インターネットブレイクアウトのためにローカルにデフォルトルート(0.0.0.0/0)を自動的に設定します。

  • 管理者は、サイトごとにスタティックルートを定義しました。このスタティックルートは、サービスタイプローカルルートとしても定義されます。

  • デフォルト(0.0.0.0/0)は、パススルーとして定義されたコスト 16 を持つすべてのルートをキャッチします。

管理者は、上記のルートの 1 つを設定できますが、ルートコストに加えて、サービスタイプに応じてサービスタイプ、ネクストホップ、またはGateway を含めることができます。デフォルトのルートコストは、各ルートタイプに自動的に追加されます (デフォルトのルートコストについては、以下の表を参照してください)。さらに、信頼されたルートだけが他の SD-WAN アプライアンスにアドバタイズされます。信頼できないルートは、ローカルアプライアンスでのみ使用されます。

クライアントノードルートは MCN ノードにのみアドバタイズされ、デフォルトでは他のクライアントノードにはアドバタイズされません。クライアントノードルートが別のクライアントノードから認識されるようにするには、MCN ノードで WAN から WAN への転送を有効にする必要があります。

ローカライズされた画像

グローバル設定で WAN-to-WAN 転送(ルートエクスポートテンプレート)を有効にすると、MCN サイトは SD-WAN オーバーレイに参加しているすべてのクライアントにアドバタイズされたルートを共有します。この機能をオンにすると、MCN を通過する通信で、異なるクライアントノードサイトのホスト間の IP 接続が可能になります。ローカルクライアントノードのルートテーブルは、[ Monitoring] > [ **Statistics ] ページで、[ Show ] ドロップダウンで [Routes] を選択した状態で監視** できます。

ローカライズされた画像

リモートブランチオフィスサブネットの各ルートは、MCN を介して接続する Virtual Path を介してサービスとしてアドバタイズされます。このとき、宛先がローカルサブネットとして存在するクライアントノードが [Site] 列に表示されます。

次の例では、 WAN-to-WAN 転送 (Routes Export)を有効にして、ブランチ A に MCN を経由するブランチ B サブネット(10.2.2.0/24)のルートテーブルエントリがネクストホップとして存在します。

ローカライズされた画像

定義されたルートでCitrix SD-WAN トラフィックが一致する方法

Citrix SD-WAN 上で定義されたルートの照合プロセスは、宛先サブネットの最長のプレフィックス一致に基づきます(ルーターの操作に似ています)。ルートが具体的であるほど、マッチングされる変更は高くなります。並べ替えは、次の順序で行われます。

  1. 最長プレフィクス一致
  2. コスト
  3. サービス

したがって、/32 ルートは常に /31 ルートの前に置かれます。2 つの /32 ルートの場合、コスト 4 ルートは常にコスト 5 ルートの前に配置されます。2 つの /32 コスト 5 ルートの場合、ルートは順序付けされた IP ホストに基づいて選択されます。サービスの順序は次のとおりです。ローカル、仮想パス、イントラネット、インターネット、パススルー、破棄。

例として、以下の2つのルートを考えてみましょう。

  • 192.168.1.0/24 コスト5

  • 192.168.1.64/26 コスト10

192.168.1.65 ホスト宛てのパケットは、コストが高くなっても、後者のルートを使用します。これに基づいて、パススルーサービスへのデフォルトルートなど、すべてのルートをキャッチする他のトラフィックとともに、Virtual Path オーバーレイを介して配信される予定のルートだけの設定を行うことが一般的です。

ルートは、同じプレフィックスを持つサイトノードルートテーブルで構成できます。タイブレークは、ルートコスト、サービスタイプ(仮想パス、イントラネット、インターネットなど)、およびネクストホップ IP に移動します。

Citrix SD-WAN ルーティングパケットフロー

  • LAN から WAN(仮想パス)へのトラフィックルートの照合:

    1. 着信トラフィックは LAN インターフェイスによって受信され、処理されます。

    2. 受信したフレームは、最も長いプレフィクス一致のルートテーブルと比較されます。

    3. 一致が見つかった場合、フレームはルールエンジンによって処理され、フローデータベースにフローが作成されます。

  • WAN から LAN(仮想パス)へのトラフィックルートの照合:

    1. 仮想パストラフィックは SD-WAN によってトンネルから受信され、処理されます。

    2. アプライアンスは送信元 IP アドレスを比較して、送信元がローカルかどうかを確認します。

      • yes の場合:WAN に適格であり、IP 宛先をルーティングテーブル/仮想パスに一致させます。

      • 「いいえ」の場合、WAN から WAN への転送が有効になります。

    3. (WAN から WAN への転送は無効)ローカルルートに基づいて LAN に転送します。

    4. (WAN から WAN への転送が有効)ルートテーブルに基づいて仮想パスに転送します。

  • 非仮想パストラフィック:

    1. 着信トラフィックは LAN インターフェイスで受信され、処理されます。

    2. 受信したフレームは、最も長いプレフィクス一致のルートテーブルと比較されます。

    3. 一致が見つかった場合、フレームはルールエンジンによって処理され、フローデータベースにフローが作成されます。


Citrix SD-WAN ルーティングプロトコルのサポート

Citrix SD-WAN リリース9.1では、OSPFおよびBGPルーティングプロトコルが設定に導入されました。ルーティングプロトコルを SD-WAN に導入することで、ルーティングプロトコルが活発に使用されているより複雑なアンダーレイネットワークに SD-WAN を簡単に統合できるようになりました。同じルーティングプロトコルを SD-WAN で有効にすると、SD-WAN オーバーレイを利用するように示すサブネットの設定が容易になりました。さらに、ルーティングプロトコルを使用すると、SD-WAN サイトと SD-WAN 以外のサイト間の通信が可能になり、共通のルーティングプロトコルを使用して既存のカスタマーエッジルータに直接通信できます。アンダーレイネットワークで動作するルーティングプロトコルに参加しているCitrix SD-WAN は、SD-WANの展開モード(インラインモード、仮想インラインモード、またはエッジ/ゲートウェイモード)に関係なく実行できます。さらに、SD-WAN は「学習専用」モードで展開できます。このモードでは、SD-WAN はルートを受信できますが、ルートをアンダーレイにアドバタイズすることはできません。これは、ルーティングインフラストラクチャが複雑または不確実であるネットワークに SD-WAN ソリューションを導入する場合に便利です。

重要

あなたが注意していない場合、不要なルートを漏らすことは非常に簡単です。

SD-WAN 仮想パスルートテーブルは、外部ゲートウェイプロトコル(EGP)として機能し、BGP と非常によく似ています(サイト間を考える)。たとえば、SD-WAN が SD-WAN アプライアンスから OSPF にルートをアドバタイズする場合、通常はサイトおよびプロトコルの外部と見なされます。

(WAN を介して)インフラストラクチャ全体にわたって IGP を持つ環境は、SD-WAN アドバタイズされたルートの使用方法が複雑になるので注意してください。EIGRP は市場で広く使用されており、SD-WAN はそのプロトコルと相互運用しません。

SD-WAN 配置にルーティングプロトコルを導入する際の課題の 1 つは、SD-WAN サービスが有効になり、ネットワーク内で動作するまでルートテーブルを使用できないことです。そのため、最初に SD-WAN アプライアンスからのルートのアドバタイズを有効にすることは推奨されません。SD-WAN にルーティングプロトコルを段階的に導入するには、インポートフィルタとエクスポートフィルタを使用します。

私たちは、次の例を見直して、詳しく見てみましょう:

ローカライズされた画像

この例では、ルーティングプロトコルのユースケースを調べます。上記のネットワークには、ニューヨーク、ダラス、ロンドン、サンフランシスコの4つの拠点があります。これらの3つの場所にSD-WANアプライアンスを導入し、SD-WANを活用してハイブリッドWANネットワークを構築します。このネットワークでは、MPLSとインターネットWANリンクを使用して仮想WANを提供します。ダラスは SD-WAN デバイスを持たないため、アンダーレイと SD-WAN オーバーレイネットワーク間の完全な接続を確保するために、そのサイトへの既存のルートプロトコルと最適な統合方法を検討する必要があります。

この例では、MPLS ネットワーク上の 4 つのロケーションすべてで eBGP が使用されます。各ロケーションには、独自の自律システム番号(ASN)があります。

ニューヨークデータセンターでは、OSPF が実行され、コアデータセンターサブネットをリモートサイトにアドバタイズし、New York Firewall(E)からのデフォルトルートもアナウンスします。この例では、ロンドン支店とサンフランシスコ支店にインターネットへのパスがある場合でも、すべてのインターネットトラフィックがデータセンターにバックホールされます。

サンフランシスコのサイトにもルータがないことに注意する必要があります。SD-WAN は、エッジ/ゲートウェイモードで展開されます。このアプライアンスは、サンフランシスコサブネットのデフォルト Gateway であり、MPLS への eBGP にも参加します。

  • ニューヨークデータセンターでは、SD-WAN が仮想インラインモードで展開されていることに注意してください。この目的は、既存の OSPF ルーティングプロトコルに参加して、優先Gateway としてアプライアンスにトラフィックを転送することです。
  • ロンドンサイトは、従来のインラインモードで展開されます。アップストリーム WAN ルータ(C)は、引き続きロンドンサブネットのデフォルト Gateway になります。
  • サンフランシスコサイトはこのネットワークに新しく導入されたサイトであり、SD-WAN は Edge/Gateway モードで展開され、新しい San Francisco サブネットのデフォルト Gateway として機能する予定です。

SD-WAN を実装する前に、既存のアンダーレイルートテーブルの一部を確認します。

ニューヨークコアルータ B

ローカライズされた画像

ローカル New York サブネット(172.x.x.x)は、ルータ B 上で直接接続されているものとして利用できます。ルートテーブルから、デフォルトルートが 172.10.10.3(ファイアウォール E)であることがわかります。また、ダラス(10.90.1.0/24)サブネットとロンドン(10.100.1.0/24)サブネットが 172.10.10.1(MPLS ルータ A)を介して利用可能であることがわかります。ルートコストは、eBGP から学習されたことを示します。

この例では、サンフランシスコはルートとしてリストされていません。これは、SD-WAN を使用してそのネットワークに対して Edge/Gateway モードでサイトを展開していないためです。

ローカライズされた画像

ニューヨーク WAN ルータ(A)の場合、OSPF が学習したルートと、eBGP を介して MPLS を介して学習したルートがリストされます。ルートコストをメモします。BGP は、OSPF 110/10 と比較して、デフォルトで 20/1 のアドミニストレーティブドメインとコストが低くなります。

ダラスルータ D:

ダラス WAN ルータ(D)の場合、すべてのルートは MPLS 全体で学習されます。

ローカライズされた画像

この例では、192.168.65.0/24 サブネットを無視できます。これは管理ネットワークであり、この例には関連しません。すべてのルータは管理サブネットに接続されていますが、はどのルーティングプロトコルでもアドバタイズされません。

Citrix SD-WAN では、我々は、 接続 > サイトの 表示 > OSPF > 基本設定 の下で、ニューヨークのサイトにあるSD-WAN上で OSPFを有効にすることにより、SD-WANオーバーレイを追加することができます:

ローカライズされた画像

エクスポート OSPF ルートタイプは 、デフォルトでタイプ 5 外部です。これは、SD-WAN ルーティングテーブルが OSPF プロトコルの外部と見なされるため、OSPF は内部(エリア内)で学習されたルートを優先するため、SD-WAN によってアドバタイズされたルートが優先されない場合があるためです。

OSPF を WAN(MPLS ネットワーク)経由で使用する場合、これをタイプ 1 エリア内に変更できます。OSPF エリアは、次のように設定できます。

ローカライズされた画像

仮想インターフェイス(172.10.10.0)から派生したローカルネットワークが追加されたエリア 0。他のすべての設定はデフォルトのままです。

新しい San Francisco サイトでは、eBGP が MPLS ネットワークに直接接続され、サイトのカスタマーエッジルートとして動作するため、eBGP を有効にする必要があります。BGP は、[ 接続 ] > [ サイトの表示 ] > [ BGP ] > [ 基本設定] で有効にできます。

自律システム番号 13 に注意してください。

ローカライズされた画像

ローカライズされた画像

eBGP は、他のロケーションとピアリングします。ASNはそれぞれ異なります。

Virtual Path ルーティングテーブルと使用中のダイナミックルートプロトコルの間でルートがどのように渡されるかを理解することが重要です。ルーティングループを作成したり、不利な方法でルートをアドバタイズするのは簡単です。フィルタメカニズムにより、ルーティングテーブルに出入りする内容を制御できます。各場所を順番に検討します。

  • サンフランシスコロケーションには、2 つのローカルサブネット 10.80.1.0/2410.81.1.0/24があります。ダラスなどのサイトがアンダーレイネットワークを介してサンフランシスコのサイトに到達できるようにし、ロンドンやニューヨークなどのサイトも Virtual Path オーバーレイネットワークを介してサンフランシスコに到達できるようにするために、eBGP を通じてそれらを宣伝します。また、SD-WAN 仮想パスオーバーレイがダウンし、環境が MPLS だけの使用にフォールバックする必要がある場合に備えて、すべてのサイトへの eBGP 到達可能性について学習します。また、SD-WAN が eBGP から SD-WAN ルータに学習する内容を再接続することも望ましくありません。これを実現するには、フィルタを次のように設定する必要があります。

  • eBGP からすべてのルートをインポートします。ルートを SD-WAN アプライアンスに再接続/エクスポートしないでください。

ローカライズされた画像

  • ローカルルートを eBGP にエクスポートする

エクスポートのデフォルトのルールは、すべてをエクスポートすることです。ルール 200 は、ルートを再アドバタイズしない障害ルールを上書きするために使用されます。任意のプレフィクス SD-WAN に一致するすべてのルートが、仮想パスを通って学習しました。

ローカライズされた画像

Citrix SD-WAN アプライアンスを展開したら、ダラスのサイトにあるBGPルーターのルートテーブルをリフレッシュします。10.80.1.0/24 および 10.81.1.0/24 サブネットは、サンフランシスコ SD-WAN から eBGP を通じて正しく認識されています。

ダラスルータ D:

ローカライズされた画像

さらに、Citrix SD-WAN ルートテーブルは、[ モニタリング ]>[ 統計 ]>[ ルートの表示 ]ページで確認できます。

サンフランシスコのCitrix SD-WAN:

ローカライズされた画像

Citrix SD-WAN は、仮想パスオーバーレイを介して利用可能なルートを含め、学習したすべてのルートを表示します。

私たちは、ニューヨークデータセンターに配置されている172.10.10.0/24を、考えてみましょう。このルートは、次の 2 つの方法で学習されています。

  • 仮想パスルート(Num 3)として、サービス = NYC-SFO、コストが 5 で、タイプが static です。これは、ニューヨークの SD-WAN アプライアンスによってアドバタイズされるローカルサブネットです。アプライアンスに直接接続されているか、構成に入力された手動のスタティックルートであるという点では、静的です。サイト間の仮想パスが動作中/アップ状態であるため、到達可能です。

  • BGP(Num 6)を介してアドバタイズされたルートとして、コストは 6。これは現在、フォールバックルートと見なされます。

プレフィクスは等しく、コストも異なるため、SD-WAN は仮想パスルートを使用できない場合を除き、仮想パスルートを使用します。この場合、フォールバックルートは BGP を介して学習されます。

ここで、ルート 172.20.20.0/24 について考えてみましょう。

  • これは仮想パスルート(Num 9)として学習されますが、ダイナミックタイプとコストは 6 です。これは、リモート SD-WAN アプライアンスがルーティングプロトコル(この場合は OSPF)を通じてこのルートを学習したことを意味します。デフォルトでは、ルートコストが高くなります。

  • SD-WAN は、同じコストで BGP を介してこのルートを学習するため、この場合、このルートが仮想パスルートよりも優先されます。

正しいルーティングを確保するには、BGP ルートコストを増やして、仮想パスルートがあり、それが優先ルートであるかどうかを確認する必要があります。これは、インポートフィルタのルートの重みをデフォルトの 6 よりも大きく調整することで実行できます。

ローカライズされた画像

調整後、San Francisco アプライアンスの SD-WAN ルートテーブルを更新して、調整されたルートコストを確認できます。フィルタオプションを使用して、表示されたリストにフォーカスを合わせます。

ローカライズされた画像

最後に、サンフランシスコ SD-WAN で学習したデフォルトルートを見てみましょう。私たちは、すべてのインターネットトラフィックをニューヨークにバックホールしたいと考えています。仮想パスを使用して送信することがわかります。仮想パスがアップしている場合、またはフォールバックとして MPLS ネットワークを介して送信されます。

ローカライズされた画像

また、コスト 16 のパススルーおよび廃棄ルートも表示されます。これらは、削除できない自動ルートです。デバイスがインラインの場合、パススルールートは最後の手段として使用されるため、パケットをより特定のルートに一致させることができない場合、SD-WAN はそのパケットをインターフェイスグループのネクストホップに渡します。SD-WAN がパス外またはエッジ/ゲートウェイモードの場合、パススルーサービスはありません。この場合、SD-WAN はデフォルトの廃棄ルートを使用してパケットをドロップします。Hit Count は、各ルートにヒットしているパケットの数を示します。これは、トラブルシューティングの際に役立ちます。

ここでは、New York サイトに焦点を当て、Virtual Path がアクティブなときに、リモートサイト(ロンドンとサンフランシスコ)を宛先とするトラフィックを SD-WAN アプライアンスに送信します。

New York サイトで使用できるサブネットは複数あります。

  • 172.10.0/24(直結)

  • 172.20.20.0/24(コアルータ B から OSPF 経由でアドバタイズされる)

  • 172.30.30.0/24(コアルータ B から OSPF 経由でアドバタイズされる)

また、MPLS を介してダラス(10.100.1.0/24)へのトラフィックフローを提供する必要があります。

最後に、172.10.10.3 経由のファイアウォール E へのすべてのインターネットバインドトラフィックルートをネクストホップとして必要とします。SD-WAN は、OSPF を介してこのデフォルトルートを学習し、仮想パス経由でアドバタイズします。ニューヨークサイトのフィルターは次のとおりです。

ローカライズされた画像

ニューヨーク SD-WAN サイトは、管理ネットワークのすべてのルートをインポートします。これは無視できます。フィルタ200に集中できます。

ローカライズされた画像

フィルタ 200 は、到達可能性のために 192.168.10.0/24(MPLS コア)をインポートするために使用されますが、仮想パスオーバーレイではアドバタイズされません。その後、他のすべてのルートが含まれます。

エクスポートフィルタの場合、192.168.10.0/24のルートを除外できます。これは、サンフランシスコのサイトで直接接続されたサブネットとして、このルートをソースでフィルタリングできないため、この時点で抑制されるためです。

ローカライズされた画像

今、私たちはニューヨークのサイトのコアルートから始まるリフレッシュされたルートテーブルを見直してみましょう。

ニューヨークルータ B:

ローカライズされた画像

サンフランシスコ(10.80.1.0 および 10.81.1.0)とロンドン(10.90.1.0)のサブネットが現在、ニューヨーク SD-WAN アプライアンス(172.10.10.10)を介してアドバタイズされていることがわかります。ルート 10.100.1.0/24 はまだアンダーレイ MPLS ルータ A を介してアドバタイズされています。ニューヨークサイト SD-WAN ルートテーブルを見てみましょう。

ニューヨークのサイトSD-WANルートテーブル:

ローカライズされた画像

OSPF を介して学習したローカルサブネット、MPLS ルータ A から学習したダラスサイトへのルート、およびサンフランシスコサイトおよびロンドンサイトのリモートサブネットの両方について、正しいルートを確認できます。MPLS ルータ A を見てみましょう。このルータは OSPF および BGP に参加しています。

ローカライズされた画像

ルートテーブルから、このルータ A は BGP および OSPF を介してリモートサブネットを学習しています。BGP ルートのアドミニストレーティブディスタンスとコストは、OSPF(110/10)よりも低いため、優先します。この例では、コアルートが 1 つしかないネットワークでは、これは問題になることはありません。ただし、ここに着信するトラフィックは、SD-WAN アプライアンス(172.10.10.10)に送信されるのではなく、MPLS ネットワーク経由で配信されます。完全なルーティング対称性を維持するには、eBGP 経由で学習したルートではなく 172.10.10.10 からのルートからのルート優先度があるように、AD/メトリックコストを調整するルートマップが必要です。

または、「バックドア」ルートを設定して、ルータが BGP ルートよりも OSPF ルートを優先するようにすることもできます。ロンドンサイト SD-WAN アプライアンスへの SD-WAN 仮想 IP アドレスのスタティックルートに注目してください。

ローカライズされた画像

これは、MPLS パスがダウンした場合に、仮想パスがニューヨークサイト SD-WAN アプライアンスに再ルーティングされるようにするために必要です。10.90.1.0/24 のルートが 172.10.10.10(ニューヨーク SD-WAN)経由でアドバタイズされているためです。また、仮想パスが自身に戻らないように、SD-WAN アプライアンスで UDP 4,980 パケットをドロップするオーバーライドサービスルールを作成することをお勧めします。

動的仮想パス

動的仮想パスは、2つのクライアントノード間で許可され、2つのサイト間の直接通信のためのオンデマンド仮想パスを構築できます。動的仮想パスの利点は、MCN または 2 つの仮想パスを通過しなくても、トラフィックが 1 つのクライアントノードから 2 番目のクライアントノードに直接流れることができることです。これにより、トラフィックフローに遅延が発生する可能性があります。ダイナミック仮想パスは、ユーザ定義のトラフィックしきい値に基づいて動的に構築および削除されます。これらのしきい値は、パケット/秒(pps)または帯域幅(kbps)として定義されます。この機能により、ダイナミックフルメッシュ SD-WAN オーバーレイトポロジが可能になります。

動的仮想パスのしきい値を満たすと、クライアントノードは、サイト間の使用可能なすべての WAN パスを使用して、相互への仮想パスを動的に作成し、次の方法でそれを最大限に活用します。

  • Bulk データが存在する場合は、送信し、損失がないことを確認します。

  • 対話型データを送信し、損失がないことを確認してから、

  • バルクデータとインタラクティブデータが安定していると見なされた後、リアルタイムデータを送信する(損失や許容レベルなし)

  • バルクまたは対話型データがない場合、動的仮想パスが一定期間安定した後にリアルタイムデータを送信する

  • ユーザーデータが、ユーザー定義の期間内に設定されたしきい値を下回ると、動的仮想パスが切断されます。

    動的仮想パスには、中間サイトの概念があります。中間サイトは、MCN サイトまたは静的仮想パスが構成され、2 つ以上の他のクライアントノードに接続されている、ネットワーク内の他のサイトです。もう 1 つの設計上の考慮事項の要件は、WAN-to-WAN 転送を有効にして、動的仮想パスが必要なクライアントノードにすべてのサイトからのすべてのルートをアドバタイズできるようにすることです。この中間サイトがクライアントノードの通信を監視し、ダイナミックパスを確立および切断する必要があるタイミングを決定するには、 **WAN から WAN への転送 に加えて、[中間ノードとしてサイトを有効にする** ] を有効にする必要があります。

ローカライズされた画像

SD-WAN 構成では複数の WAN-to-WAN フォワーディンググループを許可し、特定のクライアントノード間のパス確立を完全に制御できるようにします。

ローカライズされた画像

クライアントノードを中間サイトとして動作させるには、その WAN-to-WAN フォワーディンググループに関連付けられているクライアントとの間で、静的な仮想パスを構成する必要があります。さらに、クライアントノードでは、クライアントノードごとに [ 動的仮想パスの有効化 ] オプションをオンにする必要があります。

ローカライズされた画像

各 SD-WAN デバイスには、それぞれ固有のルートテーブルがあり、各ルートに次の詳細が定義されています。

  • Num:一致プロセスに基づくこのアプライアンスのルートの順序(最も低いNumが最初に処理されます)

  • ネットワークアドレス — サブネットまたはホストアドレス

  • 必要に応じてゲートウェイ

  • サービス — このルートに適用されるサービス

  • ファイアウォールゾーン — ルートのファイアウォールゾーンの分類

  • [到達可能]:このサイトの仮想パスの状態がアクティブかどうかを識別します。

  • Site — ルートが存在すると予想されるサイトの名前

  • [Type]:ルートタイプ(静的または動的)の識別

  • ネイバーダイレクト

  • コスト-特定のルートのコスト

  • Hit Count:パケットごとにルートが使用された回数。これは、ルートが正しくヒットしていることを確認するために使用されます。

  • 対象です

  • 適格性タイプ

  • 適格性値

次に、SD-WAN サイトルートテーブルの例を示します。

ローカライズされた画像

上記の SD-WAN ルートテーブルから、従来のルータでは通常使用できない要素が増えていることに注目してください。最も注目すべきは、「到達可能」列です。この列は、WAN パスの状態に応じて、ルートをアクティブまたは非アクティブ(yes/no)のいずれかをレンダリングします。ここでリストされているルートは、サービスのさまざまな状態(たとえば、仮想パスがダウンしている)に基づいて抑制されます。ルートが不適格になる可能性があるその他のイベントは、パスダウンステート、ネクストホップ到達不能、または WAN リンクダウンです。

上記の表から、我々は14定義されたルートを見ることができます。ルートまたはルートのグループの説明を以下に示します。

  • Route 0:MCN では、DC サイトに存在するホストサブネットルートです。172.16.10.0/24 は DC LAN にあり、192.168.15.1 は LAN 上のGateway で、そのサブネットに到達するネクストホップです。

  • Route 1:ルートテーブルを表示するこの SD-WAN デバイスへのローカルルートです。

  • Route 2—4:これらは、DC サイト SD-WAN 用に設定された仮想インターフェイスの一部であるサブネットです。これらのサブネットは、定義された信頼された仮想インターフェイスから取得されます。

  • Route 5:これは、MCN によって共有されている別のクライアントノードへの共有ルートで、そのサイトと MCN 間の仮想パスがダウンしているため、到達可能性ステータスは No です。

  • Route 6—9:これらのルートは、別のクライアントサイトに存在します。このルートでは、仮想パス上のリモートサイト宛の WAN 入力トラフィックと一致する仮想パスルートが作成されます。

  • Route 10 — インターネットサービスを定義すると、システムは、このローカルサイトの直接インターネットブレークアウト用の catch all ルートを追加します。

  • Route 11 — Passthrough は、既存のルートで一致がない場合にパケットのフローを許可するためにシステムが常に追加するデフォルトルートです。パススルーはクリーンアップされません。通常、ローカルブロードキャストおよび ARP トラフィックはこのサービスにマッピングされます。

  • Route 12 — Discard は、システムが常に未定義のものをドロップするために追加するデフォルトルートです。

デフォルトのルートコスト値:

  • WAN から WAN への転送 — 10

  • デフォルトの直接ルートコスト — 5

  • 自動生成されたルート — 5

  • 仮想パス:5

  • ローカル — 5

  • イントラネット — 5

  • インターネット — 5

  • パススルー — 5

  • オプション — ルートはサービスレベルとして定義された 0.0.0.0/0 です。

これらのルートを定義した後、定義されたルートを使用してトラフィックがどのように流れるかを理解することが重要です。これらのトラフィックフローは、次のフローに分割されます。

  • LAN to WAN(仮想パス):SD-WAN オーバーレイトンネルに入るトラフィック

  • WAN から LAN(仮想パス)— SD-WAN オーバーレイトンネルに存在するトラフィック

  • 非仮想パストラフィック — アンダーレイネットワークにルーティングされるトラフィック

デフォルトのルートコストは、サイト単位で変更できます。構成は、[ サイトの表示 ] > [ 基本設定] で確認できます。

ローカライズされた画像

スタティックルートは、[ 接続 ] > [サイト] > [ ルート ] ノードで サイトごとに定義できます。

ローカライズされた画像

ルートは、仮想パスまたはゲートウェイ IP アベイラビリティに結びつけることができます。インターネットルートは、目的の動作に応じて仮想パスオーバーレイにエクスポートすることも、エクスポートしないこともできます。また、スタティック Virtual Path ルートを作成して、SD-WAN にアドバタイズされるプレフィクスを取得していない場合でも、トラフィックを強制的に仮想パスに強制することもできます(つまり、ラストリゾートのコストが高いルート)。SD-WAN は、仮想 IP アドレス(VIP)をプライベートにすることで、ローカルサブネットのアドバタイズも抑制できます。

ローカライズされた画像

設定には、各ルートドメインに少なくとも 1 つの非プライベート VIP が必要です。

イントラネットとインターネットルート

イントラネットサービスタイプおよびインターネットサービスタイプでは、これらのタイプのサービスをサポートするために SD-WANリンクを定義しておく必要があります。これは、これらのサービスのいずれかの定義済みルートのための前提条件です。WAN リンクがイントラネットサービスをサポートするように定義されていない場合は、ローカルルートと見なされます。イントラネット、インターネット、パススルーのルートは、そのルートが構成されているサイト/アプライアンスのみに関連します。

イントラネット、インターネット、またはパススルールートを定義する場合、設計上の考慮事項は次のとおりです。

  • WAN リンクでサービスを定義する必要があります (イントラネット/インターネット — 必須)

  • イントラネット/インターネットには、WAN リンク用にGateway が定義されている必要があります。

  • ローカルの SD-WAN デバイスに関連します。

  • イントラネットルートは、仮想パスを介して学習できますが、より高いコストで学習できます。

  • インターネットサービスでは、デフォルトルート(0.0.0.0/0)が自動的に作成され、最大コストですべてのルートをキャッチします

  • パススルーが機能すると仮定しないでください。テスト/検証を行い、仮想パスをダウン/無効にしてテストし、必要な動作を確認します。

  • ルートラーニング機能が有効でない限り、ルートテーブルはスタティックです。

    次に、複数のルーティングパラメータでサポートされる最大制限を示します。

  • 最大ルーティングドメイン:255

  • WAN リンクあたりの最大アクセスインターフェイス:64

  • サイトあたりの最大 BGP ネイバー:255

  • サイトあたりの最大 OSPF エリア:255

  • OSPF エリアあたりの最大仮想インターフェイス:255

  • サイトあたりの最大ルート学習インポートフィルタ:512

  • サイトあたりの最大ルート学習エクスポートフィルタ:512

  • 最大 BGP ルーティングポリシー:255

  • BGP コミュニティストリングオブジェクトの最大数:255