SD-WAN オーバーレイルーティング
Citrix SD-WANは、リモートサイト、データセンター、クラウドネットワーク間の耐障害性と堅牢な接続を提供します。SD-WAN ソリューションでは、ネットワーク内の SD-WAN アプライアンス間にトンネルを確立することで、既存のアンダーレイネットワークにオーバーレイするルートテーブルを適用することで、サイト間の接続が可能になります。SD-WAN ルートテーブルは、既存のルーティングインフラストラクチャと完全に置き換えたり、共存したりできます。
Citrix SD-WANアプライアンスは、可用性、損失、遅延、ジッタ、輻輳特性の観点から単方向で利用可能なパスを測定し、パケットごとに最適なパスを選択します。つまり、サイト A からサイト B まで選択したパスは、必ずしもサイト B からサイト A まで選択したパスである必要はありません。特定の時間における最適なパスは、各方向で個別に選択されます。Citrix SD-WANでは、パケットベースのパス選択により、ネットワークの変更に迅速に対応できます。SD-WAN アプライアンスは、2 つまたは 3 つのパケットが欠落した後でパスの停止を検出できるため、アプリケーショントラフィックを次善の WAN パスにシームレスにフェールオーバーできます。SD-WAN アプライアンスは、すべての WAN リンクステータスを約 50 ミリ秒で再計算します。次の記事では、Citrix SD-WANネットワーク内の詳細なルーティング構成について説明します。
Citrix SD-WANルートテーブル
SD-WAN 設定では、特定のサイトのスタティックルートエントリと、サポートされているルーティングプロトコル(OSPF、eBGP、iBGP など)を介してアンダーレイネットワークから学習されたルートエントリが許可されます。ルートは、ネクストホップだけでなく、サービスタイプによって定義されます。これにより、ルートの転送方法が決まります。使用中の主なサービスタイプは次のとおりです。
- ローカルサービス: SD-WAN アプライアンスにローカルなルートまたはサブネットを示します。これには、仮想インターフェイスサブネット(ローカルルートを自動的に作成)、およびルートテーブルに定義されたローカルルート(ローカルネクストホップを使用)が含まれます。ルートは、このローカルサイトへの仮想パスを持つ他の SD-WAN アプライアンスにアドバタイズされます。このルートは、パートナーとして信頼されている場合に構成されます。
注
デフォルトルートとサマリールートをローカルルートとして追加する場合は、注意が必要です。これらのルートは、他のサイトで仮想パスルートになることがあります。常にルートテーブルをチェックして、正しいルーティングが有効であることを確認します。
-
[ Virtual Path] :リモートの SD-WAN サイトから学習した、仮想パスを通って到達可能なローカルルートを示します。これらのルートは通常自動ですが、仮想パスルートはサイトで手動で追加できます。このルートのトラフィックはすべて、この宛先ルート(サブネット)に対して定義された仮想パスに転送されます。
-
イントラネット :プライベート WAN リンク(MPLS、P2P、VPN など)を介して到達可能なルートを示します。たとえば、MPLS ネットワーク上にあり、SD-WAN アプライアンスを持たないリモートブランチなどです。これらのルートは、特定の WAN ルータに転送する必要があることを前提としています。イントラネットサービスは既定では有効になっていません。このルート(サブネット)に一致するトラフィックは、SD-WAN ソリューションを持たないサイトに配信するために、このアプライアンスのイントラネットとして分類されます。
注
イントラネットルートを追加する場合、ネクストホップはなく、イントラネットサービスへの転送があります。サービスは、指定された WAN リンクに関連付けられています。
- インターネット — イントラネットに似ていますが、プライベート WAN リンクではなくパブリックインターネット WAN リンクに流れるトラフィックを定義するために使用されます。1 つのユニークな違いは、インターネットサービスを複数の WAN リンクに関連付けて、負荷分散(フローごと)に設定するか、アクティブ/バックアップに設定できることです。インターネットサービスが有効の場合(デフォルトではオフになっています)、デフォルトのインターネットルートが作成されます。このルート(サブネット)に一致するトラフィックは、パブリックインターネットリソースに配信するために、このアプライアンスのインターネットとして分類されます。
注
インターネットサービスルートは、仮想パスを介してインターネットアクセスをバックホールしているかどうかに応じて、他の SD-WAN アプライアンスにアドバタイズしたり、エクスポートできないようにしたりできます。
- パススルー — アプライアンスがインラインモードの場合、このサービスは最後の手段または上書きサービスとして機能します。宛先 IP アドレスが他のルートと一致しない場合、SD-WAN アプライアンスはそのアドレスを WAN リンクネクストホップに転送するだけです。デフォルトルート:0.0.0.0/0 コスト 16 パススルールートが自動的に作成されます。SD-WAN アプライアンスがパス外またはエッジ/ゲートウェイモードで展開されている場合、パススルーは機能しません。このルート(サブネット)に一致するトラフィックはすべて、このアプライアンスのパススルーとして分類されます。パススルートラフィックは可能な限り制限されることを推奨します。
注
パススルーは、POC の実行時に多数のルーティングを設定する必要がない場合に役立ちます。ただし、SD-WAN はパススルーに送信されるトラフィックの WAN リンク利用率を考慮しないため、本番環境では注意が必要です。また、問題をトラブルシューティングする場合や、仮想パスを介して特定の IP フローを配信できないようにする場合にも役立ちます。
-
Discard :これはサービスではなく、一致した場合にパケットをドロップする最後の手段ルートです。通常、SD-WAN アプライアンスがパスの外に展開されている場合、この動作は期待されません。すべてのキャッチルートとして、イントラネットサービスまたはローカルルートが必要です。それ以外の場合、パススルーサービスが存在しないため、トラフィックは破棄されます (パススルーデフォルトルートが存在する場合でも)。
SD-WAN 構成エディタでは、使用可能なサイトごとにルートテーブルをカスタマイズできます。
ルートテーブルエントリは、さまざまな入力から設定されます。
-
設定された仮想 IP アドレス(VIP)は、サービスタイプローカルルートとして自動入力されます。構成エディタは、異なるサイトノードへの同じ VIP 割り当てを防止します。
-
ローカルサイトで有効になっているインターネットサービスは、直接インターネットブレイクアウトのためにデフォルトルート (0.0.0.0/0) をローカルに自動入力します。
-
管理者は、サイトごとにスタティックルートを定義しました。スタティックルートは、サービスタイプローカルルートとしても定義されます。
-
デフォルト(0.0.0.0/0)では、コスト 16 がパススルーとして定義されたすべてのルートがキャッチされます。
管理者は、上記のルートの 1 つを設定できますが、ルートコストに加えて、サービスタイプに応じてサービスタイプ、ネクストホップ、またはGateway を含めることもできます。デフォルトのルートコストは、各ルートタイプに自動的に追加されます (デフォルトのルートコストについては、次の表を参照してください)。また、信頼されたルートだけが他の SD-WAN アプライアンスにアドバタイズされます。信頼できないルートは、ローカルアプライアンスでのみ使用されます。
クライアントノードルートは、デフォルトでは MCN ノードにのみアドバタイズされ、他のクライアントノードはアドバタイズされません。クライアントノードルートを別のクライアントノードに表示するには、MCN ノードで WAN から WAN への転送を有効にする必要があります。
グローバル設定で WAN-to-WAN 転送(ルートエクスポートテンプレート)が有効になっている場合、MCN サイトは SD-WAN オーバーレイに参加しているすべてのクライアントにアドバタイズされたルートを共有します。この機能をオンにすると、MCN を通過する通信で、異なるクライアントノードサイトにあるホスト間の IP 接続が可能になります。ローカルクライアントノードのルートテーブルは、[ Monitoring] > [ **Statistics ] ページで、[ Show ] ドロップダウンリストで [ルート] を選択して監視できます** 。
リモートブランチオフィスのサブネットの各ルートは、MCN 経由で接続する仮想パスを介してサービスとしてアドバタイズされます。[ サイト ] 列には、宛先がローカルサブネットとして存在するクライアントノードが表示されます。
次の例では、 WAN ツーWAN 転送 (ルートエクスポート)が有効の場合、支店 A は MCN を経由する支店 B サブネット(10.2.2.0/24)のルートテーブルエントリをネクストホップとして持っています。
定義されたルートでCitrix SD-WANトラフィックが一致する方法
Citrix SD-WANで定義されたルートの照合プロセスは、宛先サブネットの最長のプレフィックス一致に基づきます(ルーターの操作に似ています)。ルートの具体性が高いほど、マッチングされるルートの変化が高くなります。ソートは次の順序で行われます。
- 最長プレフィクス一致
- コスト
- サービス
したがって、/32 ルートは、常に /31 ルートの前にあります。2 つの /32 ルートの場合、コスト 4 ルートは常にコスト 5 ルートの前にあります。2 つの /32 コスト 5 ルートの場合、ルートは順序付けされた IP ホストに基づいて選択されます。サービスの順序は次のとおりです。ローカル、仮想パス、イントラネット、インターネット、パススルー、破棄。
例として、次の2つのルートを次のように考える。
-
192.168.1.0/24 コスト 5
-
192.168.1.64/26 コスト10
192.168.1.65 ホスト宛てのパケットは、コストが高い場合でも、後者のルートを使用します。これに基づいて、パススルーサービスへのデフォルトルートなど、すべてのルートをキャッチする他のトラフィックと、Virtual Path オーバーレイを介して配信されるルートのみの設定を行うことが一般的です。
ルートは、同じプレフィックスを持つサイトノードルートテーブルで構成できます。タイブレークは、ルートコスト、サービスタイプ(仮想パス、イントラネット、インターネットなど)、およびネクストホップ IP に移動します。
Citrix SD-WANルーティングパケットフロー
-
LAN から WAN(仮想パス)のトラフィックルート照合:
-
着信トラフィックは LAN インターフェイスによって受信され、処理されます。
-
受信したフレームは、最長プレフィクス一致のルートテーブルと比較されます。
-
一致が見つかった場合、フレームはルールエンジンによって処理され、フローデータベースにフローが作成されます。
-
-
WAN から LAN(仮想パス)のトラフィックルート照合:
-
仮想パストラフィックはトンネルから SD-WAN によって受信され、処理されます。
-
アプライアンスは、ソース IP アドレスを比較して、ソースがローカルであるかどうかを確認します。
-
「はい」の場合:WANは適格で、IP宛先をルーティングテーブル/仮想パスに一致させます。
-
「いいえ」の場合、WANからWANへの転送が有効になります。
-
-
(WAN から WAN への転送は無効)ローカルルートに基づいて LAN に転送します。
-
(WAN から WAN への転送が有効)ルートテーブルに基づいて仮想パスに転送します。
-
-
非仮想パストラフィック:
-
着信トラフィックは LAN インターフェイスで受信され、処理されます。
-
受信したフレームは、最長プレフィクス一致のルートテーブルと比較されます。
-
一致が見つかった場合、フレームはルールエンジンによって処理され、フローデータベースにフローが作成されます。
-
Citrix SD-WANルーティングプロトコルのサポート
Citrix SD-WAN リリース 9.1 では、OSPF および BGP ルーティングプロトコルを構成に導入しました。SD-WAN にルーティングプロトコルを導入すると、ルーティングプロトコルがアクティブに使用されている、より複雑なアンダーレイネットワークに SD-WAN を簡単に統合できます。同じルーティングプロトコルを SD-WAN で有効にすると、SD-WAN オーバーレイを利用するように示すサブネットの設定が容易になりました。さらに、ルーティングプロトコルにより、SD-WAN サイトと非 SD-WAN サイト間の通信が可能になり、共通のルーティングプロトコルを使用して既存のカスタマーエッジルータに直接通信できます。アンダーレイネットワークで動作するルーティングプロトコルに参加するCitrix SD-WANは、SD-WANの展開モード(インラインモード、仮想インラインモード、エッジ/ゲートウェイモード)に関係なく実行できます。また、SD-WAN は「学習専用」モードで展開できます。この場合、SD-WAN はルートを受信できますが、ルートをアンダーレイにアドバタイズすることはできません。これは、ルーティングインフラストラクチャが複雑または不確実であるネットワークに SD-WAN ソリューションを導入する場合に便利です。
重要
気をつけなければ、不要なルートを漏らすのは簡単です。
SD-WAN 仮想パスルートテーブルは、BGP(サイト間と考える)と同様に、外部ゲートウェイプロトコル(EGP)として機能します。たとえば、SD-WAN が SD-WAN アプライアンスから OSPF へのルートをアドバタイズする場合、通常はサイトおよびプロトコルの外部と見なされます。
注
インフラストラクチャ全体にわたって(WAN 経由で)IGP が存在する環境は、SD-WAN アドバタイズされたルートの使用方法が複雑になるため、注意してください。EIGRP は市場で広く使用されており、SD-WAN はそのプロトコルと相互運用できません。
SD-WAN 配置にルーティングプロトコルを導入する際の課題の 1 つは、SD-WAN サービスが有効になり、ネットワーク内で動作するまでルートテーブルを使用できないことです。そのため、最初に SD-WAN アプライアンスからのルートのアドバタイズを有効にすることは推奨されません。SD-WAN でルーティングプロトコルを段階的に導入するには、インポートフィルタとエクスポートフィルタを使用します。
私たちは、次の例を見直すことによって詳しく見てみましょう:
この例では、ルーティングプロトコルの使用例を調べます。前述のネットワークには、ニューヨーク、ダラス、ロンドン、サンフランシスコの 4 つの拠点があります。SD-WAN アプライアンスをこれらの 3 つの場所に導入し、SD-WAN を使用してハイブリッド WAN ネットワークを作成します。このネットワークでは、MPLS とインターネット WAN リンクを使用して仮想化 WAN を提供します。ダラスには SD-WAN デバイスがないため、アンダーレイと SD-WAN オーバーレイネットワーク間の完全な接続を確保するために、そのサイトへの既存のルートプロトコルとの統合方法を検討する必要があります。
ネットワーク例では、MPLS ネットワーク上の 4 つのロケーションすべて間で eBGP が使用されます。各ロケーションには、独自の自律システム番号(ASN)があります。
New York データセンターでは、コアデータセンターサブネットをリモートサイトにアドバタイズし、New York Firewall(E; ニューヨークファイアウォール)からのデフォルトルートをアナウンスするために OSPF が実行されています。この例では、ロンドン支店とサンフランシスコ支店にインターネットへのパスがあるにもかかわらず、すべてのインターネットトラフィックがデータセンターにバックホールされます。
また、サンフランシスコのサイトには、ルータがないことにも注意する必要があります。SD-WAN はエッジ/Gateway モードで展開され、そのアプライアンスはサンフランシスコサブネットのデフォルトゲートウェイであり、MPLS への eBGP にも参加します。
- New York データセンターでは、SD-WAN が仮想インラインモードで展開されていることに注意してください。この目的は、既存の OSPF ルーティングプロトコルに参加して、トラフィックを優先Gateway としてアプライアンスに転送することです。
- London サイトは、従来のインラインモードで展開されます。アップストリーム WAN ルータ(C)は、引き続き London サブネットのデフォルト Gateway になります。
- サンフランシスコサイトはこのネットワークに新しく導入されたサイトであり、SD-WAN は Edge/Gateway モードで展開され、新しい San Francisco サブネットのデフォルトゲートウェイとして機能する予定です。
SD-WAN を実装する前に、既存のアンダーレイルートテーブルの一部を確認してください。
ニューヨークコアルータ B:
ローカル New York サブネット(172.x.x.x)は、直接接続されたルータ B で使用でき、ルートテーブルから、デフォルトルートが 172.10.10.3(ファイアウォール E)であることが特定されます。また、ダラス(10.90.1.0/24)とロンドン(10.100.1.0/24)のサブネットが 172.10.10.1(MPLS ルータ A)を介して利用可能であることがわかります。ルートコストは、eBGP から学習されたことを示します。
注
この例では、サンフランシスコはルートとしてリストされていません。これは、SD-WAN のサイトをエッジ/ゲートウェイモードで展開していないためです。
New York WAN ルータ(A)では、OSPF によって学習されたルートと、eBGP を介して MPLS 経由で学習されたルートがリストされます。工順コストに注意してください。BGP は、OSPF 110/10 と比較して、デフォルトで 20/1 の低い管理ドメインとコストです。
ダラス・ルータ D:
ダラス WAN ルータ(D)では、すべてのルートが MPLS 経由で学習されます。
注
この例では、192.168.65.0/24 サブネットを無視できます。これは管理ネットワークであり、この例には関連していません。すべてのルータは管理サブネットに接続されますが、どのルーティングプロトコルでもアドバタイズされません。
Citrix SD-WAN では、我々は、 接続 > サイトの 表示 > OSPF > 基本設定 の下で、ニューヨークのサイトにあるSD-WAN上で OSPFを有効にすることにより、SD-WANオーバーレイを追加することができます:
注
エクスポート OSPF ルートタイプは 、デフォルトでタイプ 5 外部です。これは、SD-WAN ルーティングテーブルが OSPF プロトコルの外部と見なされるため、OSPF は内部(エリア内)で学習されたルートを優先するため、SD-WAN によってアドバタイズされるルートが優先されない可能性があるためです。
OSPF が WAN 全体(つまり MPLS ネットワーク)で使用されている場合、これをタイプ 1 のエリア内に変更できます。OSPF エリアは、次に示すように設定できます。
仮想インターフェイス(172.10.10.0)から派生したローカルネットワークで追加されたエリア 0 は、その他の設定はすべてデフォルトのままです。
新しい San Francisco サイトでは、eBGP は MPLS ネットワークに直接接続され、サイトのカスタマーエッジルートとして動作するため、有効にする必要があります。BGP は、[ 接続 ] > [ サイトの表示 ] > [ BGP ] > [ 基本設定] で有効にできます。
自律システム番号 13 に注意してください。
eBGP は、他のロケーションとピアリングします。各 ASN は異なります。
仮想パスルーティングテーブルと、使用中のダイナミックルートプロトコルの間でルートがどのように渡されるかを理解することが重要です。ルーティングループを作成したり、ルートをアドバタイズしたりするのは簡単です。フィルタメカニズムは、ルーティングテーブルに出入りする内容を制御する機能を提供します。各場所を順番に検討します。
-
サンフランシスコロケーションには、2 つのローカルサブネット 10.80.1.0/24 と 10.81.1.0/24があります。ダラスなどのサイトがアンダーレイネットワーク経由でサンフランシスコのサイトに到達し、ロンドンやニューヨークなどのサイトが Virtual Path オーバーレイネットワーク経由でサンフランシスコに到達できるように、eBGP を通じてこれらのサイトを宣伝したいと考えています。また、SD-WAN 仮想パスオーバーレイがダウンし、環境が MPLS だけの使用にフォールバックする必要がある場合に備えて、すべてのサイトへの eBGP 到達可能性について学習します。また、SD-WAN が eBGP から SD-WAN ルータに学習する内容を再評価する必要もありません。このためには、フィルタを次のように構成する必要があります。
-
eBGP からすべてのルートをインポートします。SD-WAN アプライアンスにルートを再読み込み/エクスポートしないでください。
- ローカルルートを eBGP にエクスポートする
エクスポートのデフォルトのルールは、すべてをエクスポートすることです。ルール 200 は、ルートを再検証しないようにフォールトルールを上書きするために使用されます。任意のプレフィクス SD-WAN に一致するすべてのルートが、仮想パスを通って学習しました。
Citrix SD-WANアプライアンスを展開した後、ダラスサイトにあるBGPルータのルートテーブルをリフレッシュできます。10.80.1.0/24 および 10.81.1.0/24 サブネットが、サンフランシスコ SD-WAN からの eBGP を介して正しく認識されていることがわかります。
ダラスルータ D:
さらに、Citrix SD-WAN ルートテーブルは、[ モニタリング ]>[ 統計 ]>[ ルートの表示 ]ページで確認できます。
サンフランシスコのCitrix SD-WAN:
Citrix SD-WANは、仮想パスオーバーレイを介して利用可能なルートを含め、学習されたすべてのルートを表示します。
私たちは、ニューヨークのデータセンターにある172.10.10.0/24を考えてみましょう。このルートは、次の 2 つの方法で学習されています。
-
仮想パスルート(番号 3)として、サービス = コストが 5 の NYC-SFO で、static と入力します。これは、ニューヨークの SD-WAN アプライアンスによってアドバタイズされるローカルサブネットです。アプライアンスに直接接続されているか、または設定に入力された手動スタティックルートであるという点ではスタティックです。サイト間の仮想パスが稼働状態/稼働状態にあるため、到達可能です。
-
BGP(番号 6)を介してアドバタイズされたルートとして、コストは 6 です。これは現在、フォールバックルートと見なされます。
プレフィクスが等しく、コストが異なるため、SD-WAN は仮想パスルートを使用できない限り、仮想パスルートを使用します。この場合、フォールバックルートは BGP を介して学習されます。
さて、ルート172.20.20.0/24を考えてみましょう。
-
これは仮想パスルート(番号 9)として学習されますが、ダイナミックタイプでコストは 6 です。これは、リモート SD-WAN アプライアンスがルーティングプロトコル(この場合は OSPF)を介してこのルートを学習したことを意味します。デフォルトでは、ルートコストは高くなります。
-
SD-WAN は、同じコストで BGP を介してこのルートを学習します。したがって、この場合、このルートは仮想パスルートよりも優先されます。
正しいルーティングを確保するには、BGP ルートコストを増やして、仮想パスルートがあり、それが優先ルートであるかどうかを確認する必要があります。これは、インポートフィルタのルートウェイトをデフォルトの 6 よりも大きく調整することで実行できます。
調整を行った後、San Francisco アプライアンスの SD-WAN ルートテーブルを更新して、調整されたルートコストを確認できます。フィルタオプションを使用して、表示されているリストにフォーカスします。
最後に、サンフランシスコ SD-WAN で学習されたデフォルトルートを見てみましょう。私たちは、すべてのインターネットトラフィックをニューヨークにバックホールしたいと考えています。仮想パスを使用して送信するか、またはフォールバックとして MPLS ネットワークを介して送信することがわかります。
また、コスト 16 のパススルーおよび廃棄ルートも表示されます。これらは、削除できない自動ルートです。デバイスがインラインの場合、パススルールートは最後の手段として使用されるため、パケットをより特定のルートと照合できない場合、SD-WAN はそのパケットをインターフェイスグループのネクストホップに渡します。SD-WAN がパス外またはエッジ/ゲートウェイモードの場合、パススルーサービスは存在しません。この場合、SD-WAN はデフォルトの廃棄ルートを使用してパケットをドロップします。Hit Count は、各ルートにヒットしているパケットの数を示します。このパケットは、トラブルシューティングの際に役立ちます。
ここでは、ニューヨークのサイトに焦点を当て、仮想パスがアクティブなときに、リモートサイト(ロンドンとサンフランシスコ)宛てのトラフィックを SD-WAN アプライアンスに転送します。
New York のサイトには、複数のサブネットがあります。
-
172.10.10.0/24(直接接続)
-
172.20.20.0/24(コアルータ B から OSPF 経由でアドバタイズされる)
-
172.30.30.0/24(コアルータ B から OSPF 経由でアドバタイズされる)
また、MPLS を介してダラス(10.100.1.0/24)へのトラフィックフローを提供する必要があります。
最後に、すべてのインターネット接続トラフィックが 172.10.10.3 を経由して、ネクストホップとしてファイアウォール E にルーティングされるようにします。SD-WAN は、OSPF を介してこのデフォルトルートを学習し、仮想パスを介してアドバタイズします。ニューヨークのサイトのフィルタは次のとおりです。
New York SD-WAN サイトは、管理ネットワークのすべてのルートをインポートします。これは無視してもかまいません。フィルタ200に集中できます。
フィルタ 200 は、到達可能性のために 192.168.10.0/24(MPLS コア)をインポートするために使用されますが、仮想パスにはエクスポートされません。[ 含める ]チェックボックスをオンにし、 [Citrixアプライアンスへのルートをエクスポート ]チェックボックスがオフになっていることを確認します。その後、他のすべてのルートが含まれます。
エクスポートフィルタでは、192.168.10.0/24 のルートを除外できます。これは、サンフランシスコサイト内で直接接続されたサブネットとして、このルートをソースでフィルタリングできないため、この終端では抑制されるためです。
次に、New York サイトのコアルートから更新されたルートテーブルを確認してみましょう。
ニューヨークルータ B:
サンフランシスコ(10.80.1.0 および 10.81.1.0)およびロンドン(10.90.1.0)のサブネットが、New York SD-WAN アプライアンス(172.10.10.10)を介してアドバタイズされていることがわかります。ルート 10.100.1.0/24 は、まだアンダーレイ MPLS ルータ A を介してアドバタイズされています。ここでは、New York サイトの SD-WAN ルートテーブルを確認します。
ニューヨークのサイトSD-WANルートテーブル:
OSPF を介して学習されたローカルサブネット、MPLS ルータ A から学習されたダラスサイトへのルート、およびサンフランシスコサイトとロンドンサイトのリモートサブネットの両方の正しいルートを確認できます。MPLS ルータ A を見てみましょう。このルータは OSPF および BGP に参加しています。
ルートテーブルから、このルータ A は BGP および OSPF を介してリモートサブネットを学習しています。BGP ルートのアドミニストレーティブディスタンスとコスト(20/5)が OSPF(110/10)よりも低いため、優先されます。この例では、コアルートが 1 つしかないネットワークでは、これは問題にならない可能性があります。ただし、ここに着信するトラフィックは、SD-WAN アプライアンス(172.10.10.10)に送信されるのではなく、MPLS ネットワーク経由で配信されます。ルーティングの対称性を完全に維持する場合は、eBGP 経由で学習したルートではなく、172.10.10.10 からのルートからのルート優先が得られるように、AD/メトリックコストを調整するルートマップが必要です。
また、「バックドア」ルートを設定して、ルータが BGP ルート経由で OSPF ルートを優先するようにすることもできます。SD-WAN 仮想 IP アドレスがロンドンサイトの SD-WAN アプライアンスへのスタティックルートに注目してください。
これは、MPLS パスがダウンした場合に、仮想パスが New York サイトの SD-WAN アプライアンスに再ルーティングされるようにするために必要です。10.90.1.0/24 のルートが 172.10.10.10(ニューヨーク SD-WAN)経由でアドバタイズされるためです。また、仮想パスがそれ自体に戻らないように、SD-WAN アプライアンスで UDP 4,980 パケットをドロップするオーバーライドサービスルールを作成することをお勧めします。
動的仮想パス
動的仮想パスは、2 つのクライアントノード間で許可され、2 つのサイト間で直接通信するためのオンデマンド仮想パスを構築できます。動的仮想パスの利点は、MCN または 2 つの仮想パスを通過することなく、トラフィックが 1 つのクライアントノードから 2 番目のクライアントノードに直接フローできることです。これにより、トラフィックフローにレイテンシーが増える可能性があります。動的仮想パスは、ユーザー定義のトラフィックしきい値に基づいて動的に構築および削除されます。これらのしきい値は、パケット/秒(pps)または帯域幅(kbps)のいずれかとして定義されます。この機能により、ダイナミックフルメッシュ SD-WAN オーバーレイトポロジが可能になります。
動的仮想パスのしきい値が満たされると、クライアントノードは、サイト間で利用可能なすべてのWANパスを使用して相互の仮想パスを動的に作成し、次のようにそのパスをフル活用します。
-
バルクデータが存在する場合は送信し、損失がないことを確認し、
-
対話型データを送信し、損失がないことを確認してから
-
バルクデータおよびインタラクティブデータが安定していると見なされた後にリアルタイムデータを送信する(損失なし、許容レベルなし)
-
一括データまたは対話型データがない場合、動的仮想パスが一定期間安定した後、リアルタイムデータを送信する
-
ユーザーデータがユーザー定義の期間に設定されたしきい値を下回ると、動的仮想パスは破棄されます。
動的仮想パスには、中間サイトの概念があります。中間サイトは、MCN サイト、または静的仮想パスが構成され、2 つ以上の他のクライアントノードに接続されているネットワーク内の他のサイトです。もう 1 つの設計上の考慮事項の要件は、WAN-to-WAN 転送を有効にして、すべてのサイトからのすべてのルートを動的仮想パスが必要なクライアントノードにアドバタイズできるようにすることです。クライアントノード通信を監視し、動的パスを確立して切断する必要がある時期を指示するには、この中間サイトに対してWANツーWAN 転送に加えて、[サイトを中間ノードとして有効にする] を有効にする必要があります 。
SD-WAN 構成では複数の WAN-to-WAN フォワーディンググループを使用できるため、特定のクライアントノード間のパス確立に対するフルコントロールが可能になります。
クライアントノードを中間サイトとして動作させるには、その WAN-to-WAN フォワーディンググループに関連付けられているクライアントとの間で、静的な仮想パスを構成する必要があります。さらに、クライアントノードでは、クライアントノードごとに [ 動的仮想パスの有効化 ] オプションをオンにする必要があります。
各 SD-WAN デバイスには、それぞれ固有のルートテーブルがあり、各ルートに次の詳細が定義されています。
-
Num:一致プロセスに基づくこのアプライアンスのルートの順序(最下位の Num が最初に処理される)
-
ネットワーク・アドレス:サブネットまたはホスト・アドレス
-
必要に応じてゲートウェイ
-
サービス:このルートに適用されるサービス
-
ファイアウォールゾーン — ルートのファイアウォールゾーン分類
-
到達可能:このサイトの仮想パスの状態がアクティブ
-
サイト — ルートが存在することが予想されるサイトの名前
-
Type:ルートタイプの識別(スタティックまたはダイナミック)
-
ネイバーダイレクト
-
コスト-特定のルートのコスト
-
[Hit Count]:パケットごとにルートが使用された回数。これは、ルートが正しくヒットしていることを確認するために使用されます。
-
対象外
-
適格性タイプ
-
適格性値
次に、SD-WAN サイトルートテーブルの例を示します。
前述の SD-WAN ルートテーブルから、従来のルータでは通常使用できない要素が増えています。最も注目すべきは「到達可能」列です。この列は、WAN パスの状態に応じて、ルートをアクティブまたは非アクティブ(yes/no)にします。ここにリストされているルートは、サービスのさまざまな状態(例として仮想パスがダウンしている)に基づいて抑制されます。ルートを強制的に不適格にする可能性があるその他のイベントには、パスダウン状態、ネクストホップ到達不能、または WAN リンクダウンがあります。
前の表から、14の定義されたルートを見ることができます。ルートまたはルートのグループの説明は、次のように記述されます。
-
Route 0:MCN では、これは DC サイトに存在するホストサブネットルートです。172.16.10.0/24 は DC LAN にあり、192.168.15.1 は LAN 上のGateway で、そのサブネットに到達するネクストホップです。
-
Route 1:ルートテーブルを表示するこの SD-WAN デバイスへのローカルルートです。
-
Route 2—4:DC サイト SD-WAN 用に設定された仮想インターフェイスの一部であるサブネットです。これらのサブネットは、定義された信頼された仮想インターフェイスから派生します。
-
Route 5:これは、MCN によって共有される別のクライアントノードへの共有ルートで、そのサイトと MCN 間の仮想パスがダウンしているため、到達可能性ステータスが No です。
-
Route 6—9:これらのルートは、別のクライアントサイトに存在します。このルートでは、仮想パス上のリモートサイト宛ての WAN 入力トラフィックを照合するために、仮想パスルートが作成されます。
-
Route 10 — インターネットサービスが定義されている場合、システムは、このローカルサイトの直接インターネットブレイクアウトのキャッチオールルートを追加します。
-
Route 11:パススルーは、既存のルートに一致しない場合にパケットが通過できるようにシステムによって常に追加されるデフォルトのルートです。パススルーはクリーンアップされません。通常、ローカルブロードキャストと ARP トラフィックはこのサービスにマッピングされます。
-
Route 12:Discard は、未定義のものをドロップするためにシステムによって常に追加されるデフォルトのルートです。
デフォルトのルートコスト値:
-
WAN から WAN への転送 — 10
-
デフォルトの直接ルートコスト — 5
-
自動生成されたルート — 5
-
仮想パス — 5
-
ローカル — 5
-
イントラネット — 5
-
インターネット — 5
-
パススルー — 5
-
オプション:ルートはサービスレベルとして定義される 0.0.0.0/0 です。
これらのルートを定義したら、定義されたルートを使用してトラフィックがどのように流れるかを理解することが重要です。これらのトラフィックフローは、次のフローに分割されます。
-
LAN から WAN(仮想パス):SD-WAN オーバーレイトンネルに入るトラフィック
-
WAN から LAN(仮想パス):SD-WAN オーバーレイトンネルに存在するトラフィック
-
非仮想パストラフィック:アンダーレイネットワークにルーティングされるトラフィック
デフォルトのルートコストは、サイトごとに変更できます。構成は、[ サイトの表示 ] > [ 基本設定] で確認できます。
スタティックルートは、[ 接続 ] > [サイト] > [ ルート ] ノードで サイトごとに定義できます。
ルートは、仮想パスまたはゲートウェイ IP 可用性に結び付けることができます。インターネットルートは、目的の動作に応じて仮想パスオーバーレイにエクスポートすることも、エクスポートしないこともできます。また、SD-WAN にアドバタイズされるプレフィクス(つまり、最終手段のコストの高いルート)を取得していない場合でも、スタティック仮想パスルートを作成して、トラフィックを仮想パスに強制することもできます。SD-WAN は、仮想 IP アドレス (VIP) をプライベートにすることで、ローカルサブネットのアドバタイズを抑制することもできます。
注
設定では、各ルートドメインに少なくとも 1 つの非プライベート VIP が必要です。
イントラネットとインターネットルート
イントラネットサービスタイプおよびインターネットサービスタイプでは、これらのタイプのサービスをサポートするために SD-WANリンクを定義しておく必要があります。これは、これらのサービスのいずれかに定義されたルートのための前提条件です。WAN リンクがイントラネットサービスをサポートするように定義されていない場合、WAN リンクはローカルルートと見なされます。イントラネット、インターネット、パススルールートは、構成されているサイト/アプライアンスにのみ関連します。
イントラネット、インターネット、またはパススルールートを定義する場合、設計上の考慮事項は次のとおりです。
-
WAN リンクにサービスが定義されている必要があります (イントラネット/インターネット — 必須)
-
イントラネット/インターネットには、WAN リンク用にGateway が定義されている必要があります。
-
ローカル SD-WAN デバイスに関連します
-
イントラネット・ルートは仮想パスを介して学習できますが、それは高コストで学習できます
-
インターネットサービスでは、自動的にデフォルトルートが作成され(0.0.0.0/0)、最大コストですべてのルートをキャッチします
-
パススルーが動作すると仮定しないでください。テスト/検証する必要があります。また、仮想パスをダウン/無効にしてテストして目的の動作を確認します
-
ルートテーブルは、ルート学習機能が有効でない限り、スタティックです
複数のルーティングパラメータでサポートされる最大制限は次のとおりです。
-
最大ルーティングドメイン:255
-
WAN リンクあたりの最大アクセスインターフェイス:64
-
サイトあたりの BGP ネイバーの最大数:255
-
サイトあたりの最大 OSPF エリア:255
-
OSPF エリアあたりの仮想インターフェイスの最大数:255
-
サイトあたりのルートラーニングインポートフィルタの最大数:512
-
サイトあたりのルートラーニングエクスポートフィルタの最大数:512
-
BGP ルーティングポリシーの最大数:255
-
BGP コミュニティストリングオブジェクトの最大数:255