Citrix SD-WAN

SD-WAN 叠加路由

Citrix SD-WAN 可在远程站点、数据中心和云网络之间提供弹性强大的连接。SD-WAN 解决方案可以通过在网络中的 SD-WAN 设备之间建立隧道来实现这一目标,通过应用覆盖现有底层网络的路由表来实现站点之间的连接。SD-WAN 路由表可以完全替换或与现有路由基础结构共存。下面的文章提供了 Citrix SD-WAN 网络中的详细路由配置。

Citrix SD-WAN 路由表

SD-WAN 配置允许特定站点的静态路由条目,并允许通过支持的路由协议(如 OSPF、eBGP 和 iBGP)从底层网络学习路由条目。路由不仅由其下一个跃点定义,而且由其服务类型定义。这决定了路径的转发方式。以下是正在使用的主要服务类型:

  • 本地服务: 表示 SD-WAN 设备本地的任何路由或子网。这包括虚拟接口子网(自动创建本地路由)以及路由表中定义的任何本地路由(具有本地下一个跃点)。路由将播发到具有到此本地站点的虚拟路径的其他 SD-WAN 设备,当作为合作伙伴信任时,该路由将配置为此路由。

注意

添加默认路径和汇总路径作为本地路径时要谨慎,因为这些路径可能会导致其他站点的虚拟路径路径。始终检查路由表以确保正确的路由生效。

  • 虚拟路径 — 表示从远程 SD-WAN 站点学到的任何本地路径;这是通过虚拟路径可以访问的路径。这些路由通常是自动的,但是可以在站点手动添加虚拟路径路由。此路由的任何流量都会转发到此目标路由(子网)的定义虚拟路径。

  • 内联网 — 表示可通过专用广域网链接(MPLS、P2P、VPN 等)访问的路由。例如,位于 MPLS 网络上但没有 SD-WAN 设备的远程分支。假定这些路由需要转发到某个 WAN 路由器。默认情况下不启用 Intranet 服务。匹配此路由(子网)的任何流量都被分类为此设备的 Intranet,以便传送到没有 SD-WAN 解决方案的站点。

注意

请注意,添加 Intranet 路由时不存在下一个跃点,而是转发到 Intranet 服务。该服务与给定的 WAN 链接相关联。

  • Internet — 这与 Intranet 类似,但用于定义流向公共 Internet WAN 链接而不是专用 WAN 链接的流量。一个独特的区别是,Internet 服务可以与多个 WAN 链接关联,并设置为负载平衡(每个流)或处于活动/备份。启用 Internet 服务时创建默认 Internet 路由(默认情况下处于关闭状态)。与此路由(子网)匹配的任何流量都被归类为 Internet,以便传输到公共 Internet 资源。

注意

Internet 服务路由可以播发到其他 SD-WAN 设备或阻止导出,具体取决于您是否通过虚拟路径进行互联网访问。

  • 直通 — 当设备处于内联模式时,此服务充当最后手段或覆盖服务。如果目标 IP 地址与任何其他路由无法匹配,则 SD-WAN 设备只需将其转发到下一个跃点 WAN 链接。默认路由:16 条直通路由的 0.0.0.0/0 成本是自动创建的。当 SD-WAN 设备部署在路径外或在边缘/网关模式下时,直通不起作用。匹配此路由(子网)的任何流量都被归类为此设备的直通。建议尽可能限制直通流量。

注意

在执行 POC 时,直通可以很有用,以避免必须配置多个路由,但在生产过程中要非常小心,因为 SD-WAN 不考虑发送到直通的流量的 WAN 链路利用率。当故障排除问题,并且您希望通过虚拟路径将某个 IP 流从交付中取出时,这也很有帮助。

  • 丢弃 -这不是服务,而是最后的手段路由,如果匹配,则会丢弃数据包。通常情况下,当 SD-WAN 设备部署不在路径之外时,不会发生这种情况。您必须有 Intranet 服务或本地路由作为捕获所有路由,否则流量将被丢弃,因为没有直通服务(即使存在直通默认路由)。

    SD-WAN 配置编辑器为每个可用站点启用路由表自定义:

本地化后的图片

路由表条目从不同的输入填充:

  • 配置的虚拟 IP 地址 (VIP) 自动填充为服务类型本地路由。配置编辑器将阻止向不同的站点节点分配相同的 VIP。

  • 在本地站点启用的 Internet 服务在本地自动填充默认路由 (0.0.0.0/0) 以便实现直接 Internet 突破。

  • 管理员在每个站点的基础上定义静态路由,这也将被定义为服务类型本地路由。

  • 默认值 (0.0.0.0/0) 捕获定义为直通的成本为 16 的所有路由

管理员可以配置上述路由之一,但除了路由成本之外,还可以根据服务类型配置服务类型、下一跃点或 Gateway。默认路线成本将自动添加到每个路线类型中(默认路线成本请参考下表)。此外,只有受信任的路由才会公布到其他 SD-WAN 设备。不受信任的路由仅由本地设备使用。

默认情况下,客户端节点路由仅播发到 MCN 节点,而不会播发其他客户端节点。要使客户端节点路由可见到另一个客户端节点 WAN 到 WAN 转发,应在 MCN 节点上启用。

本地化后的图片

在 全局 设置下启用 WAN 到 WAN 转发(路由导出模板)后,MCN 站点将播发的路由共享给参与 SD-WAN 叠加的所有客户端。启用此功能可在不同客户端节点站点上的主机之间实现 IP 连接,并且通过 MCN 进行通信。可以在 监视 > 统计 页面上 控本地客户端节点的路由表,并为 显示 下拉列表选择了路由。

本地化后的图片

远程分支机构子网的每个路由都通过虚拟路径通过 MCN 进行通过虚拟路径播发为服务,站点列填充了目标作为本地子网所在的客户端节点。

在以下示例中,如果启用 WAN 到 WAN 转发 (路由导出),分支 A 将通过 MCN 为分支 B 子网 (10.2.2.0/24) 提供一个路由表条目,作为下一个跃点。

本地化后的图片

Citrix SD-WAN 流量在已定义路由上如何匹配

Citrix SD-WAN 上已定义路由的匹配过程基于目标子网的最长前缀匹配(类似于路由器操作)。路由越具体,匹配的更改就越高。排序按以下顺序完成:

  1. 最长前缀匹配
  2. 成本
  3. 服务

因此,/32 路由始终位于 /31 路由之前。对于两条 /32 路径,成本 4 路径始终位于成本 5 路径之前。对于两个 /32 成本 5 路由, 路由是根据有序的 IP 主机选择. 服务顺序如下:本地、虚拟路径、内联网、互联网、直通、丢弃。

例如,请考虑以下两条路由:

  • 192.168.1.0/24 成本 5

  • 192.168.1.64/26 成本 10

发往 192.168.1.65 主机的数据包将使用后一个路由,即使成本更高。基于此,通常情况下,配置只适用于打算通过虚拟路径叠加传递的路由,而其他流量则捕获所有路由,例如直通服务的默认路由。

路由可以在具有相同前缀的站点节点路由表中进行配置。然后连接中断转到路由成本、服务类型(虚拟路径、Intranet、Internet 等)和下一跃点 IP。

Citrix SD-WAN 路由数据包流

  • LAN 到 WAN(虚拟路径)流量路由匹配:

    1. 传入流量由 LAN 接口接收并进行处理。

    2. 将接收的帧与路由表进行比较,以获得最长前缀匹配。

    3. 如果找到匹配项,则该帧将由规则引擎处理,并在流数据库中创建流。

  • WAN 到 LAN(虚拟路径)流量路由匹配:

    1. 虚拟路径流量由 SD-WAN 从隧道接收并进行处理。

    2. 设备比较源 IP 地址以查看源是否为本地。

      • 如果是-则符合 WAN 条件并将 IP 目标与路由表/虚拟路径匹配。

      • 如果没有-那么 WAN 到 WAN 转发启用检查。

    3. (禁用 WAN 到 WAN 转发)基于本地路由转发到 LAN。

    4. (启用 WAN 到 WAN 转发)基于路由表转发到虚拟路径。

  • 非虚拟路径流量:

    1. 通过 LAN 接口接收传入流量并进行处理。

    2. 将接收的帧与路由表进行比较,以获得最长前缀匹配。

    3. 如果找到匹配项,则该帧将由规则引擎处理,并在流数据库中创建流。


Citrix SD-WAN 路由协议支持

Citrix SD-WAN 版本 9.1 在配置中引入了 OSPF 和 BGP 路由协议。将路由协议引入 SD-WAN 使 SD-WAN 能够更轻松地集成到更复杂的底层网络中,其中路由协议正在积极使用。在 SD-WAN 上启用了相同的路由协议,使用 SD-WAN 覆盖的子网的配置变得更加简单。此外,路由协议使 SD-WAN 和非 SD-WAN 站点之间的通信能够使用通用路由协议直接与现有客户边缘路由器进行通信。无论 SD-WAN 的部署模式(内联模式、虚拟内联模式或边缘/网关模式)如何,都可以完成参与底层网络中运行的路由协议的 Citrix SD-WAN。此外,SD-WAN 可以在 “仅学习” 模式下部署 SD-WAN,其中 SD-WAN 可以接收路由,但不会将路由公告回底层。当将 SD-WAN 解决方案引入路由基础结构复杂或不确定的网络时,这很有用。

重要

这是很容易泄漏不需要的路线,如果你不小心。

SD-WAN 虚拟路径路由表用作外部网关协议 (EGP),与 BGP 非常相似(认为站点到站点)。例如,当 SD-WAN 通告从 SD-WAN 设备到 OSPF 的路由时,它们通常被视为站点和协议的外部。

注意

请注意在整个基础结构(跨 WAN)中具有 IGP 的环境,因为它确实使 SD-WAN 播发路由的使用方式复杂化。EIGRP 在市场上广泛使用,SD-WAN 不与该协议互操作。

在 SD-WAN 部署中引入路由协议的一个挑战是,在启用 SD-WAN 服务并在网络中运行之前,路由表才可用,因此不建议最初启用 SD-WAN 设备的通告路由。使用导入和导出筛选器逐步引入 SD-WAN 上的路由协议。

让我们仔细看看下面的例子:

本地化后的图片

在此示例中,我们检查路由协议使用案例。上述网络有四个地点:纽约、达拉斯、伦敦和旧金山。我们在其中三个地点部署 SD-WAN 设备,并利用 SD-WAN 创建混合 WAN 网络,其中 MPLS 和 Internet WAN 链接将用于提供虚拟化 WAN。由于达拉斯没有 SD-WAN 设备,我们需要考虑如何最好地将现有的路由协议集成到该站点,以确保底层网络和 SD-WAN 覆盖网络之间的完全连接。

在示例网络中,eBGP 在 MPLS 网络的所有四个位置之间使用。每个位置都有自己的自治系统号码 (ASN)。

在纽约数据中心中,OSPF 正在运行,以便将核心数据中心子网公告到远程站点,并宣布纽约防火墙 (E) 的默认路由。在此示例中,即使伦敦和旧金山分支机构具有通往互联网的路径,所有互联网流量都会回溯到数据中心。

旧金山的网站也应该注意没有路由器。SD-WAN 部署在边缘/网关模式下,该设备是旧金山子网的默认网 Gateway,并且还参与 MPLS 的 eBGP。

  • 使用纽约数据中心,请注意 SD-WAN 部署在虚拟内联模式下。目的是参与现有的 OSPF 路由协议,以便将流量作为首选 Gateway 转发到设备。
  • 伦敦站点以传统的内联模式部署。上游 WAN 路由器 (C) 仍然是伦敦子网的默认网 Gateway。
  • 旧金山站点是该网络中新引入的站点,SD-WAN 计划以边缘/网关模式部署,并充当新旧金山子网的默认网 Gateway。

在实施 SD-WAN 之前,请查看一些现有的底层路由表。

纽约核心路由器 B:

本地化后的图片

本地纽约子网 (172.x.x.x) 可在路由器 B 上直接连接,并从路由表中确定默认路由为 172.10.10.3(防火墙 E)。此外,我们可以看到达拉斯(10.90.1.0/24)和伦敦(10.100.1.0/24)的子网可以通过 172.10.10.1(MPLS 路由器 A)获得。路线成本表明它们是从 eBGP 学习的。

注意

在提供的示例中,旧金山未作为路由列出,因为我们尚未在边缘/网关模式下为该网络部署带 SD-WAN 的站点。

本地化后的图片

对于纽约广域网路由器 (A),OSPF 通过 eBGP 了解到跨 MPLS 学习的路由和路由列出。请注意路线成本。与 OSPF 110/10 相比,BGP 默认情况下是低于 20/1 的管理域和成本。

达拉斯路由器 D

对于达拉斯 WAN 路由器 (D),所有路由都通过 MPLS 了解。

本地化后的图片

注意

在此示例中,您可以忽略 192.168.65.0/24 子网。这是一个管理网络,与示例无关。所有路由器都连接到管理子网,但不会在任何路由协议中公布。

在 Citrix SD-WAN 中,我们可以通过在位于纽约站点的 连接 > 查看站 点 > OSPF > 基本设置 下的 SD-WAN 上启用 OSPF 来添加 SD-WAN 覆盖:

本地化后的图片

注意

默认情况下, 导出 OSPF 路由类型 为外部类型 5。这是因为 SD-WAN 路由表被视为 OSPF 协议的外部,因此 OSPF 更喜欢了解内部路由(区域内),因此 SD-WAN 公布的路由可能不优先。

当 OSPF 在 WAN(即 MPLS 网络)中使用时,可以将其更改为类型一个区域内。OSPF 区域可以配置如下所示。

本地化后的图片

从虚拟接口 (172.10.10.0) 派生的本地网络添加了区域 0,所有其他设置都保持默认状态。

对于新旧金山站点,我们需要启用 eBGP,因为它将直接连接到 MPLS 网络,并作为该站点的客户边缘路线运行。可以在 “ 连接 ” > “ 查看站点 ” > “ BGP” > “基本设置” 下启用 BGP。

注意自治系统编号为 13。

本地化后的图片

本地化后的图片

eBGP 彼此之间的对等位置。每个 ASN 是不同的。

了解如何在虚拟路径路由表和正在使用的动态路由协议之间传递路由,这一点非常重要。以不利的方式创建路由循环或公告路由很容易。过滤器机制使我们能够控制进出路由表的内容。我们依次考虑每个位置。

  • 旧金山位置有两个本地子网 10.80.1.0/2410.81.1.0/24。我们希望通过 eBGP 进行公告宣传,以便达拉斯等网站仍然可以通过底层网络到达旧金山网站,而伦敦和旧金山等网站仍然可以通过虚拟路径覆盖网络到达旧金山。我们还希望了解 eBGP 对所有站点的可达性,以防 SD-WAN 虚拟路径叠加出现故障,并且环境需要回退到仅使用 MPLS。我们也不想重新读取 SD-WAN 从 eBGP 学习到 SD-WAN 路由器的任何内容。为此,需要按如下方式配置筛选器:

  • 从 eBGP 导入所有路线。不要读取/导出到 SD-WAN 设备的路由。

本地化后的图片

  • 出口本地航线至 eBGP

导出的默认规则是导出所有内容。规则 200 用于覆盖故障规则,而不是重新读取路由。所有与任何前缀 SD-WAN 匹配的路由已经通过虚拟路径了解到。

本地化后的图片

部署 Citrix SD-WAN 设备后,我们可以刷新查看达拉斯站点的 BGP 路由器的路由表。我们看到 10.80.1.0/24 和 10.81.1.0/24 的子网正在通过旧金山 SD-WAN 的 eBGP 正确看到。

达拉斯路由器 D:

本地化后的图片

此外,可以在 视 > 统计信息 > 显示路由 页面上查看 Citrix SD-WAN 路由表。

旧金山 Citrix SD-WAN:

本地化后的图片

Citrix SD-WAN 显示了学习的所有路由,包括通过虚拟路径叠加可用的路由。

让我们假设位于纽约数据中心的 172.10.10.0/24。通过两种方式学习这条路线:

  • 作为虚拟路径路由(Num 3),服务 = NYC-SFO,成本为 5 并输入静态。这是由 SD-WAN 设备在纽约宣传的本地子网。它是静态的,因为它直接连接到设备,或者它是在配置中输入的手动静态路由。它可以访问,因为站点之间的虚拟路径处于工作/启动状态。

  • 作为通过 BGP 的公告路线(数值 6),成本为 6。这现在被认为是一个后备路由。

由于前缀相等且成本不同,因此 SD-WAN 将使用虚拟路径路由,除非它变得不可用,在这种情况下,通过 BGP 了解回退路由。

现在,让我们假设路由线路 172.20.20.0/24。

  • 这被学习为虚拟路径路由 (Num 9),但具有动态类型和成本 6。这意味着远程 SD-WAN 设备通过路由协议(在本例中为 OSPF)了解此路由。默认情况下,路径成本较高。

  • SD-WAN 还以相同的成本通过 BGP 学习此路由,因此在这种情况下,此路由可能会优先于虚拟路径路由。

为了确保正确的路由,我们必须增加 BGP 路由成本,以确保我们是否有虚拟路径路由,它是首选路由。这可以通过将导入筛选器路径权重调整为高于默认值 6 来完成。

本地化后的图片

进行调整后,我们可以刷新旧金山设备上的 SD-WAN 路由表以查看调整的路由成本。使用筛选器选项聚焦显示的列表。

本地化后的图片

最后,让我们来看看旧金山 SD-WAN 上学习的默认路由。我们想要回传所有的互联网流量到纽约。我们可以看到,我们使用虚拟路径发送它,如果它已启动,或通过 MPLS 网络作为后备。

本地化后的图片

我们还看到一个直通和丢弃路线与成本 16. 这些是无法删除的自动路由。如果设备是内联的,则将使用直通路由作为最后的手段,因此如果数据包无法匹配到更具体的路由,SD-WAN 会将其传递到接口组的下一个跃点。如果 SD-WAN 超出路径或处于边缘/网关模式,则没有直通服务,在这种情况下,SD-WAN 使用默认丢弃路由丢弃数据包。命中计数指示每条路由中的数据包数,这在故障排除时非常有用。

现在关注纽约站点,我们希望在虚拟路径处于活动状态时将发往远程站点(伦敦和旧金山)的流量定向到 SD-WAN 设备。

纽约站点中有多个子网可用:

  • 172.10.10.0/24(直接连接)

  • 172.20.20.0/24(从核心路由器 B 通过 OSPF 公告)

  • 172.30.30.0/24(从核心路由器 B 通过 OSPF 公告)

我们还需要通过 MPLS 提供前往达拉斯(10.100.1.0/24)的流量。

最后,我们希望通过 172.10.10.3 到防火墙 E 的所有互联网绑定流量路由作为下一个跃点。SD-WAN 通过 OSPF 学习此默认路由,并通过虚拟路径进行通告。纽约站点的筛选器是:

本地化后的图片

纽约 SD-WAN 站点导入管理网络的所有路由。这是可以忽略的。我们可以专注于滤波器 200。

本地化后的图片

过滤器 200 用于导入 192.168.10.0/24(我们的 MPLS 核心)以实现可访问性,但不会跨虚拟路径叠加公告。然后包括所有其他路线。

对于导出过滤器,我们可以排除 192.168.10.0/24 的路由路线。这是因为,作为旧金山站点中的直接连接子网,我们无法在源处过滤此路由,因此在此端将禁止使用该路由。

本地化后的图片

现在,让我们查看从纽约站点的核心路由开始的刷新路由表。

纽约路由器 B:

本地化后的图片

我们可以看到旧金山(10.80.1.0 和 10.81.1.0)和伦敦 (10.90.1.0) 的子网正在通过纽约 SD-WAN 设备 (172.10.10.10) 进行公告。10.100.1.0/24 路由仍在通过底层 MPLS 路由器 A. 公告中,让我们来看看纽约站点 SD-WAN 路由表。

纽约站点 SD-WAN 路线表:

本地化后的图片

我们可以看到通过 OSPF 学习的本地子网的正确路由,通过 MPLS 路由器 A 学习到达拉斯站点的路由,以及旧金山和伦敦站点的远程子网。让我们来看看 MPLS 路由器 A. 这个路由器正在参与 OSPF 和 BGP。

本地化后的图片

从路由表中,此路由器 A 通过 BGP 和 OSPF 学习远程子网,BGP 路由的管理距离和成本 (20/5) 低于 OSPF (110/10),因此首选。在此示例中,只有一个核心路由的网络,这可能不会引起关注。然而,到达此处的流量将通过 MPLS 网络传输,而非发送到 SD-WAN 设备 (172.10.10.10)。如果我们想要保持完整的路由对称性,我们需要一个路由图来调整 AD/衡量成本,以便从 172.10.10.10 的路由(而非通过 eBGP 学习的路由)中获得的路由偏好。

或者,可以配置 后门 路由,以强制路由器偏好 OSPF 路由,而不是 BGP 路由。请注意 SD-WAN 虚拟 IP 地址到伦敦站点 SD-WAN 设备的静态路由。

本地化后的图片

如果 MPLS 路径出现故障,则必须确保虚拟路径重新路由回纽约站点 SD-WAN 设备。由于 10.90.1.0/24 的一个路由线路正在通过 172.10.10.10 (纽约 SD-WAN)公告。还建议创建覆盖服务规则来删除 SD-WAN 设备上的任何 UDP 4,980 数据包,以防止虚拟路径返回自己。

动态虚拟路径

可以允许两个客户端节点之间的动态虚拟路径来构建按需虚拟路径,以便在两个站点之间进行直接通信。动态虚拟路径的优势在于,流量可以直接从一个客户端节点流向第二个客户端节点,而无需遍历 MCN 或两个虚拟路径,这可能会增加流量的延迟。动态虚拟路径是根据用户定义的流量阈值动态构建和移除的。这些阈值被定义为每秒数据包 (pps) 或带宽 (kbps)。此功能可实现动态全网格 SD-WAN 叠加拓扑。

满足动态虚拟路径的阈值后,客户端节点会使用站点之间的所有可用 WAN 路径,动态地创建彼此的虚拟化路径,并按以下方式充分利用它:

  • 发送批量数据(如果存在)并验证没有丢失,然后

  • 发送交互式数据并验证没有丢失,然后

  • 批量和交互式数据被认为稳定后发送实时数据(无丢失或可接受的水平)

  • 如果没有批量或交互式数据在动态虚拟路径稳定一段时间后发送实时数据

  • 如果用户数据在用户定义的时间段内低于配置的阈值,则动态虚拟路径将被拆除

    动态虚拟路径具有中间站点的概念。中间站点可以是 MCN 站点或网络中配置静态虚拟路径并连接到两个或多个其他客户端节点的任何其他站点。另一个设计考虑要求是启用 WAN 到 WAN 转发,允许将所有站点的所有路由播发到需要动态虚拟路径的客户端节点。除了 WAN 到 WAN 转发 之外,还必须启用 站点作为中间节点,以便此中间站点能 够监视客户端节点通信,并决定何时需要建立和拆除动态路径。

本地化后的图片

SD-WAN 配置中可以允许多个 WAN 到 WAN 转发组,从而实现对某些客户端节点之间路径建立的完全控制,而不是其他节点之间的路径建立。

本地化后的图片

要使客户端节点作为中间站点运行,需要在静态虚拟路径与与 WAN 到 WAN 转发组关联的客户端之间配置静态虚拟路径。此外,客户端节点需要为每个客户端节点 启用 启用动态虚拟路径 选项。

本地化后的图片

每个 SD-WAN 设备都有自己的唯一路由表,并为每个路由定义了以下详细信息:

  • Num — 此设备基于匹配过程的路线顺序(最低处理的 Num)

  • 网络地址 — 子网或主机地址

  • 网关(如有必要)

  • 服务 — 应用于此路线的服务

  • 防火墙区域 — 路径的防火墙区域分类

  • 可访问 — 标识此站点的虚拟路径状态是否处于活动状态

  • 站点 — 预计路径存在的站点的名称

  • 类型 — 路由类型的识别(静态或动态)

  • 直接邻居

  • 成本-特定路线的成本

  • 单击计数 — 每个数据包使用路由的次数。这将用于验证路由是否正确命中。

  • 符合条件

  • 资格类型

  • 资格值

以下是 SD-WAN 站点路由表示例:

本地化后的图片

从上面的 SD-WAN 路由表中注意,传统路由器中通常不可用的元素更多。最值得注意的是 可访问 列,它根据 WAN 路径状态呈现路由活动或非活动(是/否)。此处列出的路由根据服务的不同状态(例如虚拟路径被关闭)被禁止。其他可以强制路由不符合条件的事件包括路径停止状态、下一跃点无法访问或 WAN 链接。

从上表中,我们可以看到 14 个定义的路线。路线或路线组的描述如下:

  • 路由 0 — 在 MCN 上,这是驻留在 DC 站点的主机子网路由。172.16.10.0/24 驻留在 DC LAN 中,192.168.15.1 是 LAN 上的网 Gateway,即将到达该子网的下一个跃点。

  • 路由 1 — 这是指向显示路由表的 SD-WAN 设备的本地路由。

  • 路由 2—4 — 这些是为 DC 站点 SD-WAN 配置的虚拟接口的一部分的子网。这些子网来自定义的受信任虚拟接口。

  • 路由 5 — 由于该站点和 MCN 之间的虚拟路径下降,这是由 MCN 共享的另一个客户端节点的共享路由,其可达状态为否。

  • 路由 6—9 — 这些路由存在于另一个客户端站点。对于此路由,将创建虚拟路径路由,用于匹配发往虚拟路径上远程站点的 WAN 入口流量。

  • 路线 10 — 与 Internet 服务定义, 该系统添加了一个捕获所有路由直接互联网突破为本地站点.

  • Route 11 — 直通是系统总是添加的默认路由,以便在任何现有路由上没有匹配的情况下允许数据包流经。直通不会修饰,通常会将本地广播和 ARP 流量映射到此服务。

  • Route 12-丢弃是系统总是添加的默认路由来删除未定义的任何内容。

默认路径成本值:

  • 广域网到广域网转发 — 10

  • 默认直接路线成本 — 5

  • 自动生成的路线 — 5

  • 虚拟路径 — 5

  • 当地 — — 5

  • 内联网 — — 5

  • 互联网 — 5

  • 直通-5

  • 可选 — 路由为定义为服务级别的 0.0.0.0/0

定义这些路径后,了解流量如何使用定义的路径流动非常重要。这些流量流分为以下流量:

  • 局域网到 WAN(虚拟路径)— 进入 SD-WAN 覆盖隧道的流量

  • WAN 到局域网(虚拟路径)— 存在 SD-WAN 覆盖隧道的流量

  • 非虚拟路径流量 — 路由到底层网络的流量

默认路径成本可以根据每个站点进行更改。配置可以在 查看站点 > 基本设置 下找到:

本地化后的图片

静态路由可以在 连接 > 站点 > 由 节点下为每个 点定义:

本地化后的图片

您注意到路由可以绑定到虚拟路径或网关 IP 可用性。Internet 路由可以导出到虚拟路径叠加或不取决于所需的行为。您也可以创建静态虚拟路径路由来强制流量到虚拟路径,即使我们没有获得通告到 SD-WAN 的前缀(即最后采用的成本较高的路由)。SD-WAN 还可以通过将虚拟 IP 地址 (VIP) 设置为私有,禁止本地子网进行播发。

本地化后的图片

注意

配置确实需要每个路由域中至少有一个非私有 VIP。

内联网和互联网路由

对于 Intranet 和 Internet 服务类型,用户必须定义 SD-WAN WAN 链接以支持这些类型的服务。这是这些服务中任何一种定义路由的先决条件。如果 WAN 链接未定义为支持 Intranet 服务,则将其视为本地路由。Intranet、Internet 和直通路由仅与其配置的站点/设备相关。

在定义 Intranet、Internet 或直通路由时,以下是设计考虑因素:

  • 必须在 WAN 链接上定义服务(内联网/互联网-必需)

  • 内网/互联网必须为WAN 链接定义网 Gateway

  • 与本地 SD-WAN 设备相关

  • 内联网路由可以通过虚拟路径学习,但成本更高

  • 使用 Internet 服务,会自动创建一个默认路由 (0.0.0.0/0) 以最大成本捕获所有路由

  • 不要假设直通工作,它应该进行测试/验证,还要测试与虚拟路径下/禁用以验证所需的行为

  • 路由表是静态的,除非启用了路由学习功能

    以下是多个路由参数支持的最大限制:

  • 最大路由域名:255

  • 每个 WAN 链路的最大访问接口:64

  • 每个站点的最大 BGP 邻居值:255

  • 每个站点最大 OSPF 面积:255

  • 每个 OSPF 区域的最大虚拟接口:255

  • 每个站点的最大路线学习导入过滤器:512

  • 每个站点的最大路线学习导出过滤器:512

  • 最大 BGP 路由策略:255

  • 最大 BGP 社区字符串对象:255

SD-WAN 叠加路由