Redirección de superposición SD-WAN
Citrix SD-WAN proporciona una conectividad sólida y resistente entre sitios remotos, centros de datos y redes en la nube. La solución SD-WAN puede lograr esta conectividad mediante el establecimiento de túneles entre los dispositivos SD-WAN de la red. El establecimiento de túneles permite la conectividad entre sitios mediante la aplicación de tablas de rutas que se superponen a la red subyacente existente. Las tablas de redirección SD-WAN pueden reemplazar completamente o coexistir con la infraestructura de redirección existente.
Los dispositivos Citrix SD-WAN miden las rutas disponibles de forma unidireccional en términos de disponibilidad, pérdida, latencia, fluctuación y características de congestión. A continuación, los dispositivos seleccionan la mejor ruta por paquete. Esto significa que la ruta elegida del sitio A al sitio B no tiene por qué ser necesariamente la ruta elegida del sitio B al sitio A. La mejor ruta en un momento dado se selecciona de forma independiente en cada dirección. Citrix SD-WAN ofrece una selección de rutas basada en paquetes para una rápida adaptación a cualquier cambio de red. Los dispositivos SD-WAN pueden detectar interrupciones de paths después de solo dos o tres paquetes que faltan, lo que permite una conmutación por error de subsegundos sin problemas del tráfico de aplicaciones al siguiente mejor path de WAN. Los dispositivos SD-WAN vuelven a calcular cada estado de enlace WAN en unos 50 ms. En el siguiente artículo se proporciona una configuración de redirección detallada dentro de la red Citrix SD-WAN.
Tabla de rutas de Citrix SD-WAN
La configuración de SD-WAN permite entradas de ruta estáticas para sitios específicos y entradas de ruta aprendidas de la red de calco subyacente a través de protocolos de redirección compatibles, como OSPF, eBGP e iBGP. Las rutas se definen por su siguiente salto y por su tipo de servicio. Determina cómo se reenvía la ruta. Los siguientes son los principales tipos de servicio en uso:
- Servicio local: Indica cualquier ruta o subred local para el dispositivo SD-WAN. Incluye las subredes de la interfaz virtual (crea rutas locales automáticamente) y cualquier ruta local definida en la tabla de rutas (con un siguiente salto local). La ruta se anuncia a otros dispositivos SD-WAN que tienen una ruta virtual a este sitio local donde esta ruta está configurada cuando se confía en un socio.
Nota
Tenga cuidado al agregar rutas predeterminadas y resumir rutas como rutas locales, ya que puede generar rutas de ruta virtuales en otros sitios. Compruebe siempre las tablas de rutas para asegurarse de que el enrutamiento correcto esté en vigor.
-
Ruta virtual: Indica cualquier ruta local aprendida de un sitio SD-WAN remoto al que se puede acceder por las rutas virtuales. Estas rutas son normalmente automáticas, sin embargo, una ruta de ruta virtual se puede agregar manualmente en un sitio. Cualquier tráfico de esta ruta se reenvía a la ruta virtual definida para esta ruta de destino (subred).
-
Intranet: Indica rutas a las que se puede acceder a través de un enlace WAN privado (MPLS, P2P, VPN, etc.). Por ejemplo, una sucursal remota que se encuentra en la red MPLS pero que no tiene un dispositivo SD-WAN. Se supone que estas rutas deben ser reenviadas a un enrutador WAN determinado. El servicio de intranet no está habilitado de forma predeterminada. Todo el tráfico que coincida con esta ruta (subred) se clasifica como tráfico de intranet.
Nota
Observe que al agregar una ruta de intranet no hay siguiente salto, sino un reenvío a un servicio de intranet. El servicio está asociado a un enlace WAN determinado.
- Internet: Es similar a la Intranet, pero se utiliza para definir el tráfico que fluye a los enlaces WAN de Internet públicos en lugar de a los enlaces WAN privados. Una diferencia única es que el servicio de Internet puede asociarse con varios enlaces WAN y establecerse en equilibrio de carga (por flujo) o estar activo/copia de seguridad. Se crea una ruta de Internet predeterminada cuando el servicio de Internet está habilitado (está desactivado de forma predeterminada). Cualquier tráfico que coincida con esta ruta (subred) se clasifica como Internet para este dispositivo para su entrega a recursos públicos de Internet.
Nota
Las rutas de Internet Service se pueden anunciar a los demás dispositivos SD-WAN o no se pueden exportar en función de si está realizando backhauling de acceso a Internet a través de las rutas virtuales.
- Acceso directo: Actúa como último recurso o servicio de anulación cuando un dispositivo está en modo en línea. Si una dirección IP de destino no coincide con ninguna otra ruta, el dispositivo SD-WAN simplemente la reenvía al siguiente salto del enlace WAN. Una ruta predeterminada: El coste 0.0.0.0/0 de 16 rutas de paso se crea automáticamente. El acceso directo no funciona cuando el dispositivo SD-WAN se implementa fuera de ruta o en modo Edge/Gateway. Cualquier tráfico que coincida con esta ruta (subred) se clasifica como paso a través para este dispositivo. Se recomienda que el tráfico de paso a través sea lo más limitado posible.
Nota
La transferencia puede resultar útil al realizar una POC para evitar tener que configurar numerosas rutas. Tenga cuidado en la producción, ya que la SD-WAN no tiene en cuenta la utilización del enlace WAN para el tráfico enviado de paso. También resulta útil a la hora de solucionar problemas y quiere eliminar cierto flujo de IP de la entrega a través de la ruta virtual.
-
Descartar: No es un servicio, sino una ruta de último recurso que descarta los paquetes si coinciden. Normalmente, esto no ocurre cuando el dispositivo SD-WAN se despliega fuera de la ruta. Debe tener un servicio de intranet o una ruta local como ruta general. De lo contrario, el tráfico se descarta porque no hay ningún servicio de paso (aunque haya una ruta de paso predeterminada).
<! —El editor de configuración de SD-WAN permite la personalización de la tabla de rutas para cada sitio disponible
Las entradas de la tabla de rutas se rellenan a partir de diferentes entradas:
-
La dirección IP virtual (VIP) configurada se rellena automáticamente como ruta local de tipo de servicio. El Editor de configuración evita la misma asignación VIP a diferentes nodos del sitio.
-
Los servicios de Internet habilitados en un sitio local rellenan automáticamente una ruta predeterminada (0.0.0.0/0) localmente para la ruptura directa de Internet.
-
El administrador definió las rutas estáticas por sitio, que se definen como una ruta local de tipo de servicio.
-
Un valor predeterminado (0.0.0.0/0) captura todas las rutas con el coste 16 definido como Passthrough
Los administradores pueden configurar una de las rutas anteriores. Además del coste de la ruta, incluya un tipo de servicio, un siguiente salto o una puerta de enlace según el tipo de servicio. Se agrega automáticamente un coste de ruta predeterminado a cada tipo de ruta (consulte la siguiente tabla para conocer los costes de ruta predeterminados). Además, solo las rutas de confianza se anuncian a otros dispositivos SD-WAN. Las rutas que no son de confianza las utiliza el dispositivo local.
Con el reenvío WAN a WAN (plantilla de exportación de rutas) habilitado en Configuración global, el sitio de MCN comparte las rutas anunciadas a todos los clientes que participan en la superposición SD-WAN. Esta función permite la conectividad IP entre los hosts en diferentes sitios de nodos del cliente, y la comunicación se transmite a través del MCN. <! —La tabla de rutas del nodo cliente local se puede supervisar en lapáginaSupervisión>Estadísticas con las rutas seleccionadas en la listadesplegableMostrar. —>
Cada ruta para las subredes de sucursales remotas se anuncia como un servicio a través de la ruta virtual que se conecta a través del MCN. La columna Sitio se rellena con el nodo cliente en el que reside el destino como subred local.
En el siguiente ejemplo, se habilita el reenvío de WAN a WAN (exportación de rutas). La sucursal A tiene una entrada en la tabla de rutas para la subred de la sucursal B (10.2.2.0/24) a través del MCN como siguiente salto.
Cómo coincide el tráfico de Citrix SD-WAN en rutas definidas
El proceso de coincidencia para las rutas definidas en Citrix SD-WAN se basa en la coincidencia de prefijo más larga para la subred de destino (similar a una operación de enrutador). Cuanto más específica sea la ruta, mayor será el cambio en la misma. La clasificación se realiza en el siguiente orden:
- Coincidencias de prefijo más largas
- Coste
- Servicio
Por lo tanto, una ruta /32 siempre precede a una ruta /31. Para dos rutas /32, una ruta de coste 4 siempre precede a una ruta de coste 5. Para dos rutas /32 cuestan 5, las rutas se eligen según el host IP ordenado. El orden de servicio es el siguiente: Local, Ruta virtual, Intranet, Internet, Passthrough, Descartar.
Como ejemplo, considere las dos rutas siguientes de la siguiente manera:
-
192.168.1.0/24 Coste 5
-
192.168.1.64/26 Coste 10
Un paquete destinado al host 192.168.1.65 usaría esta última ruta aunque el coste sea mayor. Es común que haya una configuración para las rutas destinadas a entregarse a través de la ruta virtual superpuesta y que el resto del tráfico caiga para captar todas las rutas, como una ruta predeterminada al servicio de paso.
Las rutas se pueden configurar en una tabla de rutas de nodos de sitio que tengan el mismo prefijo. A continuación, el corte de empate va al coste de la ruta, el tipo de servicio (Ruta virtual, Intranet, Internet, etc.) y el siguiente salto IP.
Flujo de paquetes de redirección Citrix SD-WAN
-
Coincidencia de rutas de tráfico de LAN a WAN (ruta virtual):
-
La interfaz LAN recibe y procesa el tráfico entrante.
-
El marco recibido se compara con la tabla de redirección para la coincidencia de prefijo más larga.
-
Si se encuentra una coincidencia, el motor de reglas procesa el marco y crea un flujo en la base de datos de flujos.
-
-
Coincidencia de rutas de tráfico de WAN a LAN (ruta virtual):
-
La SD-WAN recibe el tráfico de la ruta virtual del túnel y lo procesa.
-
El dispositivo compara la dirección IP de origen para ver si el origen es local.
-
En caso afirmativo, WAN elegible y coincida con el destino IP con la tabla de redirección o ruta virtual.
-
Si no, entonces la comprobación habilitada de reenvío WAN a WAN.
-
-
(Reenvío de WAN a WAN desactivado) Reenvío a LAN basado en rutas locales.
-
(Reenvío de WAN a WAN habilitado) Reenviar a ruta virtual basada en la tabla de rutas.
-
-
Tráfico de ruta no virtual:
-
El tráfico entrante se recibe en la interfaz LAN y se procesa.
-
El marco recibido se compara con la tabla de redirección para la coincidencia de prefijo más larga.
-
Si se encuentra una coincidencia, el motor de reglas procesa el marco y crea un flujo en la base de datos de flujos.
-
Compatibilidad con el protocolo de redirección Citrix SD-WAN
Citrix SD-WAN versión 9.1 introdujo los protocolos de redirección OSPF y BGP en la configuración. La introducción de protocolos de redirección en SD-WAN permitió una integración más sencilla de SD-WAN en redes subyacentes más complejas en las que los protocolos de redirección se utilizan activamente. Con los mismos protocolos de enrutamiento habilitados en la SD-WAN, se facilitó la configuración de las subredes indicadas para usar la superposición de SD-WAN. Además, los protocolos de redirección permiten la comunicación entre sitios SD-WAN y sitios que no son SD-WAN con comunicación directa con enrutadores perimetrales del cliente existentes mediante el protocolo de redirección común. La participación de Citrix SD-WAN en los protocolos de enrutamiento y el funcionamiento en la red subyacente se pueden realizar independientemente del modo de implementación de SD-WAN (modo en línea, modo virtual en línea o modo Edge/Gateway). Además, SD-WAN se puede implementar en modo “solo aprendizaje”, donde SD-WAN puede recibir rutas pero no anunciar rutas de vuelta al calco subyacente. Resulta útil cuando se introduce la solución SD-WAN en una red en la que la infraestructura de enrutamiento es compleja o incierta.
Importante
Es fácil filtrar la ruta no deseada si no tiene cuidado.
La tabla de ruta de ruta de ruta virtual de SD-WAN funciona como un protocolo de puerta de enlace externa (EGP), similar a BGP (pensar sitio a sitio). Por ejemplo, cuando SD-WAN anuncia rutas desde el dispositivo SD-WAN a OSPF, normalmente se consideran externas al sitio y al protocolo.
Nota
Tenga en cuenta los entornos que tienen IGP en toda la infraestructura (en toda la WAN). Esto complica la forma en que se utilizan las rutas anunciadas por SD-WAN. EIGRP se utiliza ampliamente en el mercado y SD-WAN no interopera con ese protocolo.
Al introducir los protocolos de enrutamiento en una implementación de SD-WAN, la tabla de rutas no está disponible hasta que el servicio SD-WAN esté habilitado y funcione en la red. Por lo tanto, no se recomienda habilitar inicialmente la publicación de rutas desde el dispositivo SD-WAN. Utilice los filtros de importación y exportación para una introducción gradual de protocolos de redirección en SD-WAN.
Echemos un vistazo más de cerca revisando el siguiente ejemplo:
En este ejemplo, examinamos un caso de uso del protocolo de redirección. La red anterior tiene cuatro ubicaciones: Nueva York, Dallas, Londres y San Francisco. Implementamos dispositivos SD-WAN en tres de estas ubicaciones. Además, utilizamos SD-WAN para crear una red WAN híbrida en la que se utilizan enlaces MPLS y WAN de Internet para proporcionar una WAN virtualizada. Dado que Dallas no tiene un dispositivo SD-WAN, debemos considerar la mejor manera de integrarlos con los protocolos de ruta existentes a ese sitio. Garantiza una conectividad total entre las redes subyacentes y las superpuestas de SD-WAN.
En la red de ejemplo, eBGP se utiliza entre las cuatro ubicaciones de la red MPLS. Cada ubicación tiene su propio número de sistema autónomo (ASN).
En el Centro de datos de Nueva York, OSPF se ejecuta para anunciar las subredes centrales del centro de datos a los sitios remotos y también anunciar una ruta predeterminada desde el Firewall de Nueva York (E). En este ejemplo, todo el tráfico de Internet se redirige al centro de datos, aunque las sucursales de Londres y San Francisco tienen una ruta a Internet.
El sitio de San Francisco también debe tenerse en cuenta que no tiene un enrutador. La SD-WAN se implementa en modo Edge/Gateway. El dispositivo es la puerta de enlace predeterminada para la subred de San Francisco y también participa en el eBGP al MPLS.
- Con el centro de datos de Nueva York, tenga en cuenta que la SD-WAN se implementa en modo virtual en línea. El objetivo es participar en el protocolo de redirección OSPF existente para que el tráfico se reenvíe al dispositivo como Gateway preferida.
- El sitio de Londres se implementa en el modo tradicional en línea. El enrutador WAN ascendente (C) sigue siendo la puerta de enlace predeterminada para la subred de Londres.
- El sitio de San Francisco es un sitio recientemente introducido en esta red. La idea es implementar SD-WAN en modo Edge/Gateway y hacer que el dispositivo actúe como puerta de enlace predeterminada para la nueva subred de San Francisco.
Revise algunas de las tablas de redirección de calco subyacente existentes antes de implementar SD-WAN.
Enrutador básico B de Nueva York:
Las subredes locales de Nueva York (172.x.x.x) están disponibles en el router B como conectadas directamente. En la tabla de rutas identificamos que la ruta predeterminada es 172.10.10.3 (Firewall E). Además, podemos ver que las subredes de Dallas (10.90.1.0/24) y Londres (10.100.1.0/24) están disponibles a través de 172.10.10.1 (enrutador MPLS A). Los costes de la ruta indican que se aprendieron de eBGP.
Nota
En el ejemplo proporcionado, San Francisco no aparece como ruta. Esto se debe a que aún no hemos implementado el sitio con SD-WAN en modo Edge/Gateway para esa red.
Para el router WAN de Nueva York (A), las rutas aprendidas OSPF y las rutas aprendidas a través de MPLS a través de eBGP son rutas enumeradas. Tenga en cuenta los costes de la ruta. BGP es un dominio administrativo y un coste más bajos por defecto 2.0/1 en comparación con OSPF 110/10.
Enrutador Dallas D:
Para Dallas WAN Router (D), todas las rutas se aprenden a través de MPLS.
Nota
En este ejemplo, puede ignorar la subred 192.168.65.0/24. Esta es una red de gestión y no es pertinente al ejemplo. Todos los enrutadores están conectados a la subred de administración, pero no se anuncian en ningún protocolo de redirección.
Después de implementar los dispositivos Citrix SD-WAN, podemos revisar las tablas de ruta para el router BGP en el sitio de Dallas. Vemos que las subredes 10.80.1.0/24 y 10.81.1.0/24 se ven correctamente a través de eBGP desde la SD-WAN de San Francisco.
Router D de Dallas:
Citrix SD-WAN muestra todas las rutas aprendidas, incluidas las rutas disponibles a través de la superposición de ruta virtual.
Consideremos 172.10.10.0/24, que se encuentra en el centro de datos de Nueva York. Esta ruta se aprende de dos maneras:
-
Como ruta de ruta virtual (número 3), servicio = NYC-SFO con un coste de 5 y escriba estático. Es una subred local anunciada por el dispositivo SD-WAN en Nueva York. Es estático porque está conectado directamente al dispositivo o es una ruta estática manual introducida en la configuración. Es accesible porque la ruta virtual entre los sitios está en estado de trabajo/funcionamiento.
-
Como ruta anunciada a través de BGP (Número 6), con un coste de 6. Ahora se considera una ruta alternativa.
El prefijo es igual y el coste es diferente. La SD-WAN usa la ruta de ruta virtual a menos que deje de estar disponible, en cuyo caso la ruta alternativa se aprende a través de BGP.
Ahora, consideremos la ruta 172.20.20.0/24.
-
Esto se aprende como una ruta de ruta virtual (número 9) pero tiene un tipo de dinámica y un coste de 6. Esto significa que el dispositivo SD-WAN remoto aprendió esta ruta a través de un protocolo de redirección, en este caso OSPF. De forma predeterminada, el coste de la ruta es mayor.
-
La SD-WAN también aprende esta ruta a través de BGP con el mismo coste, por lo que es posible que se prefiera esta ruta en lugar de la ruta virtual.
También vemos una ruta de paso y descarte con coste 16. Estas rutas son automáticas y no se pueden eliminar. Si el dispositivo está en línea, la ruta de paso se utiliza como último recurso. Por lo tanto, si un paquete no se puede hacer coincidir con una ruta más específica, SD-WAN lo pasa al siguiente salto del grupo de interfaces. Si la SD-WAN está fuera de ruta o en modo edge/gateway, no hay servicio de paso, en cuyo caso SD-WAN descarta el paquete utilizando la ruta de descarte predeterminada. El recuento de aciertos indica el número de paquetes que llegan a cada ruta, lo que puede ser valioso para solucionar problemas.
Para el sitio de Nueva York, queremos que el tráfico destinado a sitios remotos (Londres y San Francisco) se dirija al dispositivo SD-WAN cuando la ruta virtual esté activa.
Hay varias subredes disponibles en el sitio de Nueva York:
-
172.10.10.0/24 (conectado directamente)
-
172.20.20.0/24 (anunciado a través de OSPF desde el router principal B)
-
172.30.30.0/24 (anunciado a través de OSPF desde el router principal B)
También tenemos la obligación de proporcionar flujo de tráfico a Dallas (10.100.1.0/24) a través de MPLS.
Rutas virtuales dinámicas
Se pueden permitir rutas virtuales dinámicas entre dos nodos de cliente para crear rutas virtuales a demanda para la comunicación directa entre los dos sitios. La ventaja de una ruta virtual dinámica es que el tráfico puede fluir directamente de un nodo cliente al segundo sin tener que atravesar el MCN o dos rutas virtuales, lo que puede agregar latencia al flujo de tráfico. Las rutas virtuales dinámicas se crean y eliminan dinámicamente en función de los umbrales de tráfico definidos por el usuario. Estos umbrales se definen como paquetes por segundo (pps) o ancho de banda (kbps). Esta funcionalidad permite una topología de superposición SD-WAN dinámica de malla completa.
Una vez que se alcanzan los umbrales de las rutas virtuales dinámicas, los nodos cliente crean dinámicamente su ruta virtualizada entre sí mediante todas las rutas de acceso WAN disponibles entre los sitios y la utilizan al máximo de la siguiente manera:
-
Envíe datos masivos si existe alguno y verifique que no haya pérdida,
-
Envíe datos interactivos y verifique que no haya pérdidas,
-
Enviar datos en tiempo real después de que los datos masivos e interactivos se consideren estables (sin pérdida ni niveles aceptables)
-
Si no hay datos masivos o interactivos, envíe datos en tiempo real después de que la ruta virtual dinámica haya estado estable durante un período
-
Si los datos del usuario caen por debajo de los umbrales configurados para un período definido por el usuario, la ruta virtual dinámica se derrumba
Las rutas virtuales dinámicas tienen el concepto de un sitio intermedio. El sitio intermedio puede ser un sitio MCN o cualquier otro sitio de la red. El sitio debe tener una ruta virtual estática configurada y conectada a otros dos o más nodos de cliente. Otro requisito a tener en cuenta en el diseño es tener habilitado el reenvío de WAN a WAN. Permitiría anunciar todas las rutas de todos los sitios a los nodos del cliente donde se quiera la ruta virtual dinámica. <! —Habilitar sitio como nodo intermedio debe estar habilitado además del reenvío de WAN a WAN para que este sitio intermedio supervise la comunicación del nodo cliente y dicte cuándo se debe establecer y eliminar la ruta dinámica. —>
Se pueden permitir varios grupos de reenvío de WAN a WAN en la configuración de SD-WAN. Permite un control total del establecimiento de rutas entre ciertos nodos de clientes y no entre otros.
Cada dispositivo SD-WAN tiene su propia tabla de rutas única con los siguientes detalles definidos para cada ruta:
-
Número: orden de ruta del dispositivo según el proceso de coincidencia (el número más bajo se procesa primero)
-
Dirección de red: Dirección de subred o host
-
Gateway si es necesario
-
Servicio: Servicio que se aplica a la ruta
-
Zona de firewall: La clasificación de la ruta por zonas de firewall
-
Accesible: identifica si el estado de la ruta virtual está activo para el sitio
-
Sitio: Nombre del sitio donde se espera que exista la ruta
-
Tipo — Identificación del tipo de ruta (estática o dinámica)
-
Vecino directo
-
Coste - Coste de la ruta específica
-
Recuento de visitas: Número de veces que se ha utilizado la ruta por paquete. Esta información se utilizaría para verificar que una ruta está siendo atacada correctamente.
-
Elegible
-
Tipo de elegibilidad
-
Valor de elegibilidad
Rutas de intranet e Internet
Para los tipos de servicio de Intranet e Internet, el usuario debe haber definido un enlace WAN SD-WAN para admitir esos tipos de servicios. Es un requisito previo para cualquier ruta definida para cualquiera de estos servicios. Si el enlace WAN no está definido para admitir el servicio de intranet, se considera una ruta local. Las rutas de Intranet, Internet y PassThrough solo son relevantes para el sitio/dispositivo para el que están configurados.
Al definir rutas de Intranet, Internet o PassThrough, se incluyen las siguientes consideraciones de diseño:
-
Debe tener un servicio definido en el enlace WAN (Intranet/Internet; requerido)
-
La intranet/Internet debe tener una puerta de enlace definida para el enlace WAN
-
Relevante para el dispositivo SD-WAN local
-
Las rutas de Intranet se pueden aprender a través de la Ruta Virtual, pero se hacen a un coste más alto
-
Con el servicio de Internet, hay automáticamente una ruta predeterminada creada (0.0.0.0/0) captura todas las rutas con un coste máximo
-
No asuma que Passthrough funciona, debe probarse o verificarse, también probar con Virtual Path inactivado/inhabilitado para verificar el comportamiento deseado
-
Las tablas de redirección son estáticas a menos que la función de aprendizaje de rutas esté habilitada
El límite máximo admitido para varios parámetros de redirección es el siguiente:
-
Dominios de redirección máximos: 255
-
Interfaces de acceso máximas por enlace WAN: 64
-
Número máximo de vecinos BGP por sitio: 255
-
Área OSPF máxima por sitio: 255
-
Interfaces virtuales máximas por área OSPF: 255
-
Filtros de importación máximos de aprendizaje de ruta por sitio: 512
-
Filtros de exportación máximos de aprendizaje de ruta por sitio: 512
-
Máximo de directivas de redirección BGP: 255
-
Máximo de objetos de cadena de comunidad BGP: 255