SD-WAN オーバーレイルーティング
Citrix SD-WANは、リモートサイト、データセンター、クラウドネットワーク間の耐障害性と堅牢な接続を提供します。SD-WAN ソリューションは、ネットワーク内の SD-WAN アプライアンス間にトンネルを確立することでこの接続を実現できます。トンネルを確立すると、既存のアンダーレイネットワークをオーバーレイするルートテーブルを適用することで、サイト間の接続が可能になります。SD-WAN ルートテーブルは、既存のルーティングインフラストラクチャと完全に置き換えたり、共存したりできます。
Citrix SD-WANアプライアンスは、可用性、損失、遅延、ジッター、および輻輳特性の観点から、利用可能なパスを一方向に測定します。次に、アプライアンスはパケットごとに最適なパスを選択します。つまり、サイト A からサイト B へのパスは、必ずしもサイト B からサイト A までのパスである必要はありません。特定の時点での最適なパスは、各方向で個別に選択されます。Citrix SD-WANでは、パケットベースのパス選択により、ネットワークの変更に迅速に対応できます。SD-WAN アプライアンスは、2 つまたは 3 つのパケットが欠落した後でパスの停止を検出できるため、アプリケーショントラフィックを次善の WAN パスにシームレスにフェールオーバーできます。SD-WAN アプライアンスは、すべての WAN リンクステータスを約 50 ミリ秒で再計算します。次の記事では、Citrix SD-WANネットワーク内の詳細なルーティング構成について説明します。
Citrix SD-WANルートテーブル
SD-WAN 設定では、特定のサイトのスタティックルートエントリと、サポートされているルーティングプロトコル(OSPF、eBGP、iBGP など)を介してアンダーレイネットワークから学習されたルートエントリが許可されます。ルートはネクストホップとサービスタイプによって定義されます。ルートの転送方法を決定します。使用中の主なサービスタイプは次のとおりです。
- ローカルサービス: SD-WAN アプライアンスにローカルなルートまたはサブネットを示します。これには、仮想インターフェイスサブネット(ローカルルートを自動的に作成)と、ルートテーブルで定義されているローカルルート(ローカルネクストホップを使用)が含まれます。ルートは、このローカルサイトへの仮想パスを持つ他の SD-WAN アプライアンスにアドバタイズされます。このルートは、パートナーとして信頼されている場合に構成されます。
注
デフォルトルートやサマリールートをローカルルートとして追加すると、他のサイトで仮想パスルートになる可能性があるので注意してください。常にルートテーブルをチェックして、正しいルーティングが有効であることを確認してください。
-
[ Virtual Path] :リモートの SD-WAN サイトから学習した、仮想パスを通って到達可能なローカルルートを示します。これらのルートは通常自動ですが、仮想パスルートはサイトで手動で追加できます。このルートのトラフィックはすべて、この宛先ルート(サブネット)に対して定義された仮想パスに転送されます。
-
イントラネット :プライベート WAN リンク(MPLS、P2P、VPN など)を介して到達可能なルートを示します。たとえば、MPLS ネットワーク上にあり、SD-WAN アプライアンスを持たないリモートブランチなどです。これらのルートは、特定の WAN ルータに転送する必要があることを前提としています。イントラネットサービスは既定では有効になっていません。このルート (サブネット) に一致するトラフィックはすべてイントラネットトラフィックとして分類されます。
注
イントラネットルートを追加する場合、ネクストホップはなく、イントラネットサービスへの転送があります。サービスは、指定された WAN リンクに関連付けられています。
- インターネット :イントラネットに似ていますが、プライベートWANリンクではなくパブリックインターネットWANリンクに流れるトラフィックを定義するために使用されます。1 つのユニークな違いは、インターネットサービスを複数の WAN リンクに関連付けて、負荷分散(フローごと)に設定するか、アクティブ/バックアップに設定できることです。インターネットサービスが有効の場合(デフォルトではオフになっています)、デフォルトのインターネットルートが作成されます。このルート(サブネット)に一致するトラフィックは、パブリックインターネットリソースに配信するために、このアプライアンスのインターネットとして分類されます。
注
インターネットサービスルートは、仮想パスを介してインターネットアクセスをバックホールしているかどうかに応じて、他の SD-WAN アプライアンスにアドバタイズしたり、エクスポートできないようにしたりできます。
- パススルー — アプライアンスがインラインモードの場合、最後の手段またはオーバーライドサービスとして機能します。宛先 IP アドレスが他のルートと一致しない場合、SD-WAN アプライアンスはそのアドレスを WAN リンクネクストホップに転送するだけです。デフォルトルート:0.0.0.0/0 コスト 16 パススルールートが自動的に作成されます。SD-WAN アプライアンスがパス外またはEdge/Gatewayモードで展開されている場合、パススルーは機能しません。このルート(サブネット)に一致するトラフィックはすべて、このアプライアンスのパススルーとして分類されます。パススルートラフィックは可能な限り制限されることを推奨します。
注
パススルーは、POC を実行するときに多数のルーティングを設定しなくても済むようにすると便利です。SD-WAN はパススルーに送信されるトラフィックの WAN リンク使用率を考慮しないため、本番環境では注意が必要です。また、問題をトラブルシューティングする場合や、仮想パスを介して特定の IP フローを配信できないようにする場合にも役立ちます。
-
破棄 -サービスではなく、一致した場合にパケットをドロップするラストリゾートルート。通常、SD-WAN アプライアンスがパスの外に展開されている場合は発生しません。キャッチオールルートとしてイントラネットサービスまたはローカルルートが必要です。そうしないと、(パススルーのデフォルトルートがあっても)パススルーサービスが存在しないため、トラフィックは廃棄されます。
<!—SD-WAN 構成エディタにより、使用可能なサイトごとにルートテーブルをカスタマイズできます。
ルートテーブルエントリは、さまざまな入力から設定されます。
-
設定された仮想 IP アドレス(VIP)は、サービスタイプローカルルートとして自動入力されます。構成エディタは、異なるサイトノードへの同じ VIP 割り当てを防止します。
-
ローカルサイトで有効になっているインターネットサービスは、直接インターネットブレイクアウトのためにデフォルトルート (0.0.0.0/0) をローカルに自動入力します。
-
管理者がサイトごとにスタティックルートを定義し、サービスタイプのローカルルートとして定義します。
-
デフォルト(0.0.0.0/0)では、コスト 16 がパススルーとして定義されたすべてのルートがキャッチされます。
管理者は前述のルートのいずれかを設定できます。ルートコストに加えて、サービスタイプに応じて、サービスタイプ、ネクストホップ、またはゲートウェイを含めてください。デフォルトのルートコストは、各ルートタイプに自動的に追加されます(デフォルトのルートコストについては、次の表を参照してください)。また、信頼されたルートだけが他の SD-WAN アプライアンスにアドバタイズされます。信頼できないルートは、ローカルアプライアンスでのみ使用されます。
グローバル設定で WAN-to-WAN 転送(ルートエクスポートテンプレート)が有効になっている場合、MCN サイトは SD-WAN オーバーレイに参加しているすべてのクライアントにアドバタイズされたルートを共有します。この機能により、異なるクライアントノードサイトのホスト間の IP 接続が可能になり、通信は MCN を経由します。 <!—ローカルクライアントノードのルートテーブルは、[ 監視]> [ 統計] ページで** [ **表示] ドロップダウンリストで [ルート] を選択して監視できます。—>
リモートブランチオフィスのサブネットの各ルートは、MCN 経由で接続する仮想パスを介してサービスとしてアドバタイズされます。 サイト列には 、宛先がローカルサブネットとして存在するクライアントノードが表示されます。
次の例では、WAN から WAN への転送 (ルートのエクスポート) が有効になっています。支社 A には、ネクストホップとして MCN を経由する支社 B サブネット(10.2.2.0/24)のルートテーブルエントリがあります。
定義されたルートでCitrix SD-WANトラフィックが一致する方法
Citrix SD-WANで定義されたルートの照合プロセスは、宛先サブネットの最長のプレフィックス一致に基づきます(ルーターの操作に似ています)。ルートの具体性が高いほど、マッチングされるルートの変化が高くなります。ソートは次の順序で行われます。
- 最長プレフィクス一致
- コスト
- Service
したがって、/32 ルートは、常に /31 ルートの前にあります。2 つの /32 ルートの場合、コスト 4 ルートは常にコスト 5 ルートの前にあります。2 つの /32 コスト 5 ルートの場合、ルートは順序付けされた IP ホストに基づいて選択されます。サービスの順序は次のとおりです。ローカル、仮想パス、イントラネット、インターネット、パススルー、破棄。
例として、次の2つのルートを次のように考える。
-
192.168.1.0/24 コスト 5
-
192.168.1.64/26 コスト10
192.168.1.65 ホスト宛てのパケットは、コストが高い場合でも、後者のルートを使用します。パススルーサービスへのデフォルトルートなど、他のトラフィックがキャッチオールルートに分類されるように、Virtual Path オーバーレイを介して配信されるルートの設定が適切に行われるのが一般的です。
ルートは、同じプレフィックスを持つサイトノードルートテーブルで構成できます。タイブレークは、ルートコスト、サービスタイプ(仮想パス、イントラネット、インターネットなど)、およびネクストホップ IP に移動します。
Citrix SD-WANルーティングパケットフロー
-
LAN から WAN(仮想パス)のトラフィックルート照合:
-
LAN インターフェイスは、着信トラフィックを受信して処理します。
-
受信したフレームは、最長プレフィクス一致のルートテーブルと比較されます。
-
一致するものが見つかると、ルールエンジンはフレームを処理し、フローデータベースにフローを作成します。
-
-
WAN から LAN(仮想パス)のトラフィックルート照合:
-
SD-WAN はトンネルから仮想パストラフィックを受信して処理します。
-
アプライアンスは、ソース IP アドレスを比較して、ソースがローカルであるかどうかを確認します。
-
「はい」の場合:WANは適格で、IP宛先をルーティングテーブル/仮想パスに一致させます。
-
「いいえ」の場合、WANからWANへの転送が有効になります。
-
-
(WAN から WAN への転送は無効)ローカルルートに基づいて LAN に転送します。
-
(WAN から WAN への転送が有効)ルートテーブルに基づいて仮想パスに転送します。
-
-
非仮想パストラフィック:
-
着信トラフィックは LAN インターフェイスで受信され、処理されます。
-
受信したフレームは、最長プレフィクス一致のルートテーブルと比較されます。
-
一致するものが見つかると、ルールエンジンはフレームを処理し、フローデータベースにフローを作成します。
-
Citrix SD-WANルーティングプロトコルのサポート
Citrix SD-WAN リリース 9.1 では、OSPF および BGP ルーティングプロトコルを構成に導入しました。SD-WAN にルーティングプロトコルを導入すると、ルーティングプロトコルがアクティブに使用されている、より複雑なアンダーレイネットワークに SD-WAN を簡単に統合できます。SD-WAN で同じルーティングプロトコルが有効になっているため、SD-WAN オーバーレイを使用するように指定されたサブネットの構成が容易になりました。さらに、ルーティングプロトコルにより、SD-WAN サイトと非 SD-WAN サイト間の通信が可能になり、共通のルーティングプロトコルを使用して既存のカスタマーEdgeルータに直接通信できます。ルーティングプロトコルに参加し、アンダーレイネットワークで動作するCitrix SD-WANは、SD-WANの展開モード(インラインモード、仮想インラインモード、またはEdge/ゲートウェイモード)に関係なく実行できます。また、SD-WAN は「学習専用」モードで展開できます。この場合、SD-WAN はルートを受信できますが、ルートをアンダーレイにアドバタイズすることはできません。ルーティングインフラストラクチャが複雑または不確実なネットワークにSD-WANソリューションを導入する場合に役立ちます。
重要
気をつけなければ、不要なルートを漏らすのは簡単です。
SD-WAN 仮想パスルートテーブルは、BGP(サイト間と考える)と同様に、外部Gatewayプロトコル(EGP)として機能します。たとえば、SD-WAN が SD-WAN アプライアンスから OSPF へのルートをアドバタイズする場合、通常はサイトおよびプロトコルの外部と見なされます。
注
インフラストラクチャ全体 (WAN 全体) に IGP が存在する環境に注意してください。SD-WAN でアドバタイズされたルートの使用方法が複雑になります。EIGRP は市場で広く使用されており、SD-WAN はそのプロトコルと相互運用できません。
SD-WAN 展開にルーティングプロトコルを導入する場合、SD-WAN サービスが有効になり、ネットワークで動作するまで、ルートテーブルは利用できません。したがって、SD-WAN アプライアンスからのルートのアドバタイズを最初に有効にすることは推奨されません。SD-WAN でルーティングプロトコルを段階的に導入するには、インポートフィルタとエクスポートフィルタを使用します。
私たちは、次の例を見直すことによって詳しく見てみましょう:
この例では、ルーティングプロトコルの使用例を調べます。前述のネットワークには、ニューヨーク、ダラス、ロンドン、サンフランシスコの 4 つの拠点があります。SD-WAN アプライアンスは、これらのうちの 3 か所に導入されています。また、SD-WANを使用してハイブリッドWANネットワークを作成し、MPLSとインターネットWANリンクを使用して仮想化されたWANを提供します。ダラスにはSD-WANデバイスがないため、そのサイトへの既存のルートプロトコルとの最適な統合方法を検討する必要があります。アンダーレイネットワークとSD-WANオーバーレイネットワーク間の完全な接続を保証します。
ネットワーク例では、MPLS ネットワーク上の 4 つのロケーションすべて間で eBGP が使用されます。各ロケーションには、独自の自律システム番号(ASN)があります。
New York データセンターでは、コアデータセンターサブネットをリモートサイトにアドバタイズし、New York Firewall(E; ニューヨークファイアウォール)からのデフォルトルートをアナウンスするために OSPF が実行されています。この例では、ロンドン支店とサンフランシスコ支店にインターネットへのパスがあるにもかかわらず、すべてのインターネットトラフィックがデータセンターにバックホールされます。
また、サンフランシスコのサイトには、ルータがないことにも注意する必要があります。SD-WAN はEdge/ゲートウェイモードで展開されます。アプライアンスはサンフランシスコサブネットのデフォルトゲートウェイであり、MPLSへのeBGPにも参加します。
- New York データセンターでは、SD-WAN が仮想インラインモードで展開されていることに注意してください。この目的は、既存の OSPF ルーティングプロトコルに参加して、トラフィックを優先Gateway としてアプライアンスに転送することです。
- London サイトは、従来のインラインモードで展開されます。アップストリーム WAN ルーター (C) は、ロンドンのサブネットのデフォルトゲートウェイのままです。
- サンフランシスコのサイトは、このネットワークに新しく導入されたサイトです。アイデアは、SD-WAN をEdge/ゲートウェイモードで展開し、アプライアンスを新しいサンフランシスコサブネットのデフォルトゲートウェイとして機能させることです。
SD-WAN を実装する前に、既存のアンダーレイルートテーブルの一部を確認してください。
ニューヨークコアルータ B:
ニューヨークのローカルサブネット(172.x.x.x)は、直接接続されているルータ B で使用できます。ルートテーブルから、デフォルトルートは172.10.10.3(ファイアウォール E)であることがわかります。また、ダラス(10.90.1.0/24)とロンドン(10.100.1.0/24)のサブネットが 172.10.10.1(MPLS ルータ A)経由で利用できることもわかります。ルートコストは、eBGP から学習されたことを示します。
注
この例では、サンフランシスコはルートとしてリストされていません。これは、そのネットワークのEdge/ゲートウェイモードのSD-WANを使用するサイトをまだ展開していないためです。
New York WAN ルータ(A)では、OSPF によって学習されたルートと、eBGP を介して MPLS 経由で学習されたルートがリストされます。工順コストに注意してください。BGP は、OSPF 110/10 と比較して、デフォルトで 20/1 の低い管理ドメインとコストです。
ダラスルーター D:
ダラス WAN ルータ(D)では、すべてのルートが MPLS 経由で学習されます。
注
この例では、192.168.65.0/24 サブネットを無視できます。これは管理ネットワークであり、この例には関連していません。すべてのルータは管理サブネットに接続されますが、どのルーティングプロトコルでもアドバタイズされません。
Citrix SD-WANアプライアンスを展開した後、ダラスサイトにあるBGPルータのルートテーブルをリフレッシュできます。10.80.1.0/24 および 10.81.1.0/24 サブネットが、サンフランシスコ SD-WAN からの eBGP を介して正しく認識されていることがわかります。
ダラスルーター D:
Citrix SD-WANは、仮想パスオーバーレイを介して利用可能なルートを含め、学習されたすべてのルートを表示します。
ニューヨークのデータセンターにある 172.10.10.0/24 について考えてみましょう。このルートは、次の 2 つの方法で学習されています。
-
仮想パスルート(番号 3)として、サービス = コストが 5 の NYC-SFO で、static と入力します。これは、ニューヨークのSD-WANアプライアンスによってアドバタイズされているローカルサブネットです。アプライアンスに直接接続されているか、または設定に入力された手動スタティックルートであるという点ではスタティックです。サイト間の仮想パスが稼働状態/稼働状態にあるため、到達可能です。
-
BGP(番号 6)を介してアドバタイズされたルートとして、コストは 6 です。これは現在、フォールバックルートと見なされます。
プレフィックスは同じで、コストは異なります。SD-WAN は、使用できなくなった場合を除き、仮想パスルートを使用します。使用できなくなった場合、フォールバックルートは BGP を介して学習されます。
さて、ルート172.20.20.0/24を考えてみましょう。
-
これは仮想パスルート(番号 9)として学習されますが、ダイナミックタイプでコストは 6 です。これは、リモート SD-WAN アプライアンスがルーティングプロトコル(この場合は OSPF)を介してこのルートを学習したことを意味します。デフォルトでは、ルートコストは高くなります。
-
SD-WAN も同じコストで BGP を介してこのルートを学習するため、仮想パスルートよりもこのルートの方が優先される可能性があります。
また、コスト 16 のパススルーおよび廃棄ルートも表示されます。これらのルートは自動で削除できません。デバイスがインラインの場合、パススルールートが最後の手段として使用されます。そのため、パケットをより特定のルートに一致させることができない場合、SD-WAN はそのパケットをインターフェイスグループのネクストホップに渡します。SD-WAN がパス外またはEdge/ゲートウェイモードの場合、パススルーサービスは存在しません。この場合、SD-WAN はデフォルトの廃棄ルートを使用してパケットをドロップします。Hit Count は、各ルートにヒットしているパケットの数を示します。このパケットは、トラブルシューティングの際に役立ちます。
ニューヨークのサイトでは、Virtual Path がアクティブなときに、リモートサイト (ロンドンとサンフランシスコ) を宛先とするトラフィックを SD-WAN アプライアンスに送信したいと考えています。
New York のサイトには、複数のサブネットがあります。
-
172.10.10.0/24(直接接続)
-
172.20.20.0/24(コアルータ B から OSPF 経由でアドバタイズされる)
-
172.30.30.0/24(コアルータ B から OSPF 経由でアドバタイズされる)
また、MPLS を介してダラス(10.100.1.0/24)へのトラフィックフローを提供する必要があります。
動的仮想パス
動的仮想パスは、2 つのクライアントノード間で許可され、2 つのサイト間で直接通信するためのオンデマンド仮想パスを構築できます。動的仮想パスの利点は、MCN または 2 つの仮想パスを通過することなく、トラフィックが 1 つのクライアントノードから 2 番目のクライアントノードに直接フローできることです。これにより、トラフィックフローにレイテンシーが増える可能性があります。動的仮想パスは、ユーザー定義のトラフィックしきい値に基づいて動的に構築および削除されます。これらのしきい値は、パケット/秒(pps)または帯域幅(kbps)のいずれかとして定義されます。この機能により、ダイナミックフルメッシュ SD-WAN オーバーレイトポロジが可能になります。
動的仮想パスのしきい値が満たされると、クライアントノードは、サイト間で利用可能なすべてのWANパスを使用して相互の仮想パスを動的に作成し、次のようにそのパスをフル活用します。
-
バルクデータが存在する場合は送信し、損失がないことを確認し、
-
対話型データを送信し、損失がないことを確認してから
-
バルクデータおよびインタラクティブデータが安定していると見なされた後にリアルタイムデータを送信する(損失なし、許容レベルなし)
-
一括データまたは対話型データがない場合、動的仮想パスが一定期間安定した後、リアルタイムデータを送信する
-
ユーザーデータがユーザー定義の期間に設定されたしきい値を下回ると、動的仮想パスは破棄されます。
動的仮想パスには、中間サイトの概念があります。中間サイトは MCN サイトでもネットワーク内の他のサイトでもかまいません。サイトには Static Virtual Path が設定され、2 つ以上の他のクライアントノードに接続されている必要があります。設計上の考慮事項のもう1つの要件は、WAN-to-WAN転送を有効にすることです。これにより、すべてのサイトからのすべてのルートを、動的仮想パスが必要なクライアントノードにアドバタイズできるようになります。 <!— この中間サイトでクライアントノードの通信を監視し、動的パスを確立して破棄する必要があるタイミングを決定するには、WAN-to-WAN転送に加えて [サイトを中間ノードとして有効にする]を有効にする必要があります。—>
SD-WAN 構成では、複数の WAN-to-WAN 転送グループを使用できます。これにより、特定のクライアントノード間のパス確立を完全に制御でき、他のクライアントノード間のパス確立は制御できません。
各 SD-WAN デバイスには、それぞれ固有のルートテーブルがあり、各ルートに次の詳細が定義されています。
-
Num — マッチングプロセスに基づくアプライアンスのルートの順序(最も小さい番号が最初に処理されます)
-
ネットワークアドレス — サブネットまたはホストアドレス
-
必要に応じてGateway
-
サービス — ルートに適用されるサービス
-
ファイアウォールゾーン — ルートのファイアウォールゾーン分類
-
Reachable — サイトの仮想パス状態がアクティブかどうかを識別します
-
サイト — ルートが存在することが予想されるサイトの名前
-
Type:ルートタイプの識別(スタティックまたはダイナミック)
-
ネイバーダイレクト
-
費用-特定のルートの費用
-
Hit Count — ルートがパケットごとに使用された回数。この情報は、ルートが正しくヒットしていることを確認するために使用されます。
-
対象外
-
適格性タイプ
-
適格性値
イントラネットとインターネットルート
イントラネットサービスタイプおよびインターネットサービスタイプでは、これらのタイプのサービスをサポートするために SD-WANリンクを定義しておく必要があります。これは、これらのサービスのいずれかに定義されたルートのための前提条件です。WAN リンクがイントラネットサービスをサポートするように定義されていない場合、WAN リンクはローカルルートと見なされます。イントラネット、インターネット、パススルールートは、構成されているサイト/アプライアンスにのみ関連します。
イントラネット、インターネット、またはパススルールートを定義する場合、設計上の考慮事項は次のとおりです。
-
WAN リンクにサービスが定義されている必要があります (イントラネット/インターネット — 必須)
-
イントラネット/インターネットには、WAN リンク用にGateway が定義されている必要があります。
-
ローカル SD-WAN デバイスに関連します
-
イントラネット・ルートは仮想パスを介して学習できますが、それは高コストで学習できます
-
インターネットサービスでは、自動的にデフォルトルートが作成され(0.0.0.0/0)、最大コストですべてのルートをキャッチします
-
パススルーが動作すると仮定しないでください。テスト/検証する必要があります。また、仮想パスをダウン/無効にしてテストして目的の動作を確認します
-
ルートテーブルは、ルート学習機能が有効でない限り、スタティックです
複数のルーティングパラメータでサポートされる最大制限は次のとおりです。
-
最大ルーティングドメイン:255
-
WAN リンクあたりの最大アクセスインターフェイス:64
-
サイトあたりの BGP ネイバーの最大数:255
-
サイトあたりの最大 OSPF エリア:255
-
OSPF エリアあたりの仮想インターフェイスの最大数:255
-
サイトあたりのルートラーニングインポートフィルタの最大数:512
-
サイトあたりのルートラーニングエクスポートフィルタの最大数:512
-
BGP ルーティングポリシーの最大数:255
-
BGP コミュニティストリングオブジェクトの最大数:255