Informationen zu Dynamic Routing Gateway-Lösungen

In diesem Referenzdokument erhalten Sie Informationen zum virtuellen Netzwerk-Routing von Oracle Cloud Infrastructure (OCI). Es entschlüsselt das IPv4-Routing in OCI-Cloud-Netzwerken und führt grundlegende OCI-Routingfunktionen ein. Außerdem werden typische Anwendungsfälle in verschiedenen Deployment-Szenarios bereitgestellt. Dies ist hilfreich, wenn Sie virtuelle OCI-Netzwerke entwerfen, betreiben oder Fehler beheben müssen.

OCI bietet eine softwaredefinierte virtuelle Netzwerklösung. Ein OCI-Netzwerk besteht aus virtuellen Cloud-Netzwerken (VCNs), Subnetzen, Netzwerkgateways, nativen OCI- oder virtuellen Appliances des Netzwerkservice der 3. Partei L4-7 usw. Routing ist die Kernfunktion, um die Netzwerkkonnektivität zwischen den Elementen in einem OCI-Netzwerk oder zwischen einem OCI-Netzwerk und On-Premises-Netzwerken oder anderen Cloud-Netzwerken herzustellen.

Die vollständige Netzwerkerreichbarkeit erfordert Netzwerkkonnektivität, die durch ordnungsgemäße Routing- und Netzwerksicherheitsrichtlinien erreicht wird, die über Sicherheitslisten oder Netzwerksicherheitsgruppen oder Richtlinien für Netzwerkfirewall-Appliances verwaltet werden. Dieses Dokument konzentriert sich ausschließlich auf Routing-Funktionen und -Designs. Es behandelt nicht die Verwaltung von Netzwerksicherheitsrichtlinien.

OCI verwendet dieselben Routing-Mechanismen sowohl für IPv4 als auch für IPv6. Es gibt jedoch eindeutige Überlegungen, die Sie einem IPv6-Netzwerkdesign hinzufügen müssen. Beispiel: Die verschiedenen Geltungsbereiche von IPv6-Adressen und die Tatsache, dass IPv6 Internet Routing nicht durch NATing geht. Während dieselben Theorien für das Routing IPv4 und IPv6 gelten, konzentrieren sich die Diskussionen und Beispiele hier auf das Routing IPv4.

DRG-Routing

Ein dynamisches Routinggateway (DRG) ist ein regionaler virtueller Router, der VCNs in einer Region verbindet und die VCNs über Oracle Cloud Infrastructure FastConnect-Virtual Circuits oder IPSec-VPN-Tunnel mit On-Premise-Netzwerken verbindet. Außerdem bietet es Netzwerkkonnektivität zwischen Regionen über eine Remote-Peering-Verbindung (RPC).

Ein DRG fungiert als zentraler Hub, um die an ihn angehängten Netzwerkressourcen zu verbinden. Die Netzwerkressourcen können VCNs, Site-to-Site-VPN-Tunnel von IPSec, Virtual Circuits von OCI FastConnect oder RPC sein. Wenn eine Netzwerkressource an ein DRG angehängt wird, wird ein Anhang des entsprechenden Typs erstellt:

Anhang des virtuellen Cloud-Netzwerks (VCN-Anhang): Wenn ein VCN an das DRG angehängt ist
Virtual Circuit-Anhang (VC-Anhang): Wenn ein Virtual Circuit von OCI FastConnect an das DRG angehängt ist
IPSec Tunnelanhang: Wenn ein IPSec-Tunnel an das DRG angehängt ist
Remote-Peering-Verbindungsanhang (RPC-Anhang): Wenn eine RPC an das DRG angehängt ist

DRG leitet Traffic zwischen den Anhängen mit DRG-Routentabellen weiter. Jeder Anhang ist mit einer DRG-Routentabelle verknüpft. Traffic tritt aus einem Anhang in das DRG ein und wird vom DRG basierend auf der DRG-Routentabelle, die mit dem Ingress-Anhang des Traffics verknüpft ist, an einen anderen Anhang weitergeleitet.

Routingtabellen in DRG

Ein dynamisches Routinggateway (DRG) verwendet DRG-Routentabellen, um Traffic zwischen seinen Anhängen weiterzuleiten. OCI generiert automatisch zwei Routentabellen für jedes DRG, eine für VCN-Anhänge und die zweite für IPSec-, OCI FastConnect Virtual Circuit-Anhang und Remote-Peering-Verbindungs-(RPC-)Anhänge. Sie können weitere DRG-Routentabellen erstellen.

Die Routingregeln in einer DRG-Routentabelle enthalten die folgenden Felder:

Typ: Der Routentyp kann dynamisch oder statisch sein. Dynamische Routen werden aus den DRG-Anhängen importiert. Mit der OCI-Konsole oder der API können Sie statische Routen erstellen.
Ziel-CIDR: Das Ziel-CIDR.
Anhangstyp für nächsten Hop: Der nächste Hop einer Routingregel in einer DRG-Routentabelle ist der DRG-Anhang des Netzwerks, in dem sich das Ziel befindet oder in der Route zum Ziel. Der Anhang kann ein VCN-Anhang, ein regionsübergreifender RPC-Anhang oder ein mandantenübergreifender RPC-Anhang sein. Es kann sich nicht um einen VPN-Anhang oder einen Virtual Circuit-Anhang von OCI FastConnect handeln.
Anhangsname für den nächsten Hop: Der Name des Anhangs.
Routingstatus: Status.

Im Folgenden finden Sie ein Beispiel für den Inhalt einer DRG-Routentabelle.

Typ	Ziel-CIDR	Anhangstyp des nächsten Hops	Anhangsname des nächsten Hops	Routingstatus
Dynamisch	0.0.0.0/0	Virtuelles Cloud-Netzwerk (VCN)	Att-DRG-1-VCN-0	Aktiv
Dynamisch	10.0.0.0/8	IPsec-Tunnel	DRG-Anhang für IPSec-Tunnel: IPSec-Tunnel zu On-Premise-2	Aktiv
Dynamisch	10.0.0.0/16	Virtuelles Cloud-Netzwerk	Anhang - DRG 1 zu VCN 0	Aktiv
Dynamisch	21.0.1.0/24	Remote-Peering-Verbindung	DRG-Anhang für RPC: RPC zu SJC-DRG-1 (us-west-1 San Jose-DRG-1)	Aktiv

Mit jedem DRG-Anhang ist eine DRG-Routentabelle verknüpft. Standardmäßig handelt es sich um die automatisch generierte DRG-Routentabelle für den Anhangstyp. Sie können ihn in eine vom Benutzer erstellte DRG-Routentabelle ändern.

Wenn Traffic an ein DRG gelangt, führt das DRG Ingress-Routing-Lookup basierend auf der DRG-Routentabelle aus, die mit dem Ingress-Anhang des Traffics verknüpft ist. Der Routing-Lookup löst den Anhang des nächsten Hops (den Egress-Anhang) auf. Das DRG sendet den Traffic an den Egress-Anhang, über den der Traffic zum Next-Hop-Netzwerk geleitet wird. Im Egress-Anhang im DRG ist kein Routing-Lookup vorhanden.

Routenvoreinstellung in DRG-Routentabelle

Es ist möglich, dass mehrere Routen für identisches Präfix und identische Maske in einer DRG-Routentabelle angezeigt werden. Das dynamische Routinggateway verfügt über einen integrierten Mechanismus zur Lösung solcher Routenkonflikte. Die Entscheidung basiert auf der folgenden Routenvoreinstellung und wird in der folgenden Reihenfolge ausgewertet:

In einer DRG-Routentabelle haben statische Routen eine höhere Voreinstellung als dynamische Routen.

Unter dynamischen Routen in einer DRG-Routentabelle werden Routen mit kürzerem AS-Pfad gegenüber Routen mit längerem AS-Pfad bevorzugt.

Hinweis:

Routen mit der Routenquelle VCN oder STATIC weisen immer einen leeren AS-Pfad auf. Für Routen mit der Routenquelle IPSec VPN-Tunnel oder OCI FastConnect Virtual Circuit werden die AS-Pfade in der folgenden Tabelle angezeigt.

Routenquelle	Details zur Vorgabe des Pfades durch Oracle	Resultierender AS-Pfad für die Route
OCI FastConnect	OCI stellt den Routen keine ASNs voran. Dies führt zu einer AS-Pfadgesamtlänge von 1.	Kundenavis
Site-to-Site-VPN mit Border Gateway Protocol-(BGP-)Routing	OCI stellt allen Routen, die das Kunden-Edge-Gerät über Site-to-Site-VPN mit BGP anbietet, eine einzelne private ASN voran, sodass die gesamte AS-Pfadlänge 2 beträgt.	Private ASN, Kundenavis
Site-to-Site-VPN mit statischem Routing	OCI veröffentlicht diese statischen Routen als dynamische BGP-Routen an DRG. OCI stellt diesen Routen 3 private ASNs voran. Dies führt zu einer AS-Pfadgesamtlänge von 3.	Private ASN, Private ASN, Private Lieferavis

Routenquelle

Details zur Vorgabe des Pfades durch Oracle

Resultierender AS-Pfad für die Route

OCI FastConnect

OCI stellt den Routen keine ASNs voran. Dies führt zu einer AS-Pfadgesamtlänge von 1.

Kundenavis

Site-to-Site-VPN mit Border Gateway Protocol-(BGP-)Routing

OCI stellt allen Routen, die das Kunden-Edge-Gerät über Site-to-Site-VPN mit BGP anbietet, eine einzelne private ASN voran, sodass die gesamte AS-Pfadlänge 2 beträgt.

Private ASN,

Kundenavis

Site-to-Site-VPN mit statischem Routing

OCI veröffentlicht diese statischen Routen als dynamische BGP-Routen an DRG. OCI stellt diesen Routen 3 private ASNs voran. Dies führt zu einer AS-Pfadgesamtlänge von 3.

Private ASN,

Private Lieferavis

Der Anhangstyp, der die Route importiert hat, wird anhand der folgenden Priorität basierend auf dem Anhangstyp ausgewertet:
1. VCN
2. VIRTUAL_CIRCUIT: Wenn Equal-cost Multi-Path-Routing (ECMP) für die DRG-Routentabelle deaktiviert ist, trifft das DRG eine beliebige, aber stabile Auswahl. Wenn ECMP aktiviert ist, werden alle Routen zur Routentabelle hinzugefügt, und das DRG wählt das Routing mit ECMP aus. Die maximal unterstützte ECMP- Breite innerhalb eines DRG beträgt 8.
3. IPSEC_TUNNEL: Wenn ECMP für die DRG-Routentabelle deaktiviert ist, trifft das DRG eine beliebige, aber stabile Auswahl. Wenn ECMP aktiviert ist, werden alle Routen zur Routentabelle hinzugefügt, und das DRG wählt das Routing mit ECMP aus. Die maximal unterstützte ECMP- Breite innerhalb eines DRG beträgt 8.
4. REMOTE_PEERING_CONNECTION (RPC): Das DRG wählt die Route mit der geringsten Netzwerkentfernung aus.
Wenn zwei Routen identische Netzwerkentfernungen aufweisen, wählt das DRG die Route mit der Routenquelle mit der höchsten Priorität (STATIC > VCN > VIRTUAL_CIRCUIT > IPSEC_TUNNEL).

Wenn zwei Routen dieselbe Routenquelle aufweisen, trifft das DRG eine beliebige, aber stabile Auswahl.
Wenn widersprüchliche Routen aus Anhängen des gleichen Typs importiert werden, wird der Konflikt je nach Anhangstyp unterschiedlich gelöst:
- VCN-Anhänge: Wenn identische CIDRs aus zwei VCN-Anhängen importiert werden, wird nur eines mit einem beliebigen, aber stabilen Entscheidungsverfahren ausgewählt.
- VIRTUAL_CIRCUIT- und IPSEC_TUNNEL-Anhänge: Wenn mehrere Routen mit demselben CIDR und unterschiedlichen AS_PATH-Längen in eine DRG-Routentabelle importiert werden, wird die Route mit der geringsten AS_PATH-Länge ausgewählt. Andernfalls wird eine Route mit einem willkürlichen, aber stabilen Entscheidungsverfahren gewählt.
- RPC-Anhänge: Wenn identische CIDRs aus zwei RPC-Anhängen importiert werden, wird eines davon mit einem willkürlichen, stabilen Entscheidungsverfahren ausgewählt.

Routenpropagierung und Importroutenverteilungskontrolle in DRG

Sie können Netzwerkressourcen wie VCNs, OCI FastConnect-Virtual Circuits oder IPSec-VPN-Tunnel an ein dynamisches Routinggateway (DRG) anhängen. Die mit diesen Netzwerkressourcen verknüpften Routen werden an das DRG propagiert. Verwenden Sie eine Importroutenverteilungs-Policy, um sie als dynamische Routen in eine DRG-Routentabelle zu importieren.

Routenpropagierung auf DRG

Im Folgenden wird dargestellt, welche Routen mit der Netzwerkressource jedes DRG-Anhangstyps verknüpft und an das DRG propagiert werden:

VCN-Anhang
Die Routen in der VCN-Routentabelle, die mit dem DRG-Anhang im VCN verknüpft ist, sowie die VCN-CIDRs und die zugehörigen Subnetz-CIDRs. Nachdem ein VCN an ein DRG angehängt wurde, wird das DRG als DRG-Anhang im VCN dargestellt. Eine Routentabelle des VCN kann mit dem DRG-Anhang für das VCN-Ingress-Routing über das DRG verknüpft werden. Es sind die Routen in dieser VCN-Routentabelle, die an das DRG propagiert werden. Wenn eine VCN-Routentabelle nicht mit dem DRG-Anhang verknüpft ist, werden nur die VCN-CIDRs und die zugehörigen Subnetz-CIDRs an das DRG propagiert.

Wenn diese Routen in eine DRG-Routentabelle importiert werden, ist dieser VCN-Anhang der nächste Hop-Anhang in den Routen.
Tunnelanhang IPSec
Die Routen, die vom CPE (Customer Premise Equipment) IPSec angeboten werden, wenn dynamisches BGP-Routing (Border Gateway Protocol) in der Verbindung IPSec oder den konfigurierten statischen Routen verwendet wird, wenn statisches Routing in der Verbindung IPSec verwendet wird.

Wenn diese Routen als dynamische Routen in eine DRG-Routentabelle importiert werden, ist der Tunnelanhang IPSec der Anhang für den nächsten Hop für die Routen.
VV-Anhang
Die vom OCI FastConnect-CPE über BGP angebotenen Routen.

Wenn diese Routen in eine DRG-Routentabelle importiert werden, ist der VC-Anhang der nächste Hop-Anhang in den Routen.
RPC-Anschluss
Alle Routen in der DRG-Routentabelle, die mit dem RPC-Anhang des Remote-DRG verknüpft sind, werden an das lokale DRG propagiert.

Wenn diese Routen in eine lokale DRG-Routentabelle importiert werden, ist der RPC-Anhang der nächste Hop für die Routen.

Importroutenverteilungskontrolle in DRG

Für eine bestimmte DRG-Routentabelle können Sie eine Importroutenverteilungs-Policy erstellen und anwenden, um zu steuern, welche Routen in die Routentabelle importiert werden. Sie können einen Abgleich nach Anhangstyp durchführen (z.B. alle VCN-Anhänge abgleichen), einen bestimmten Anhang oder alle abgleichen.

Die automatisch generierte DRG-Routentabelle für VCN-Anhänge weist eine Standardverteilung der Importroute auf, die eine Übereinstimmung mit allen Anweisungen zum Importieren von Routen aus allen DRG-Anhängen aufweist

Die automatisch generierte DRG-Routentabelle für IPSec-, OCI FastConnect-VC- und RPC-Anhänge enthält eine Standard-Importroutenverteilung mit einer Abgleichstyp-VCN-Anweisung, die nur Routen aus allen VCN-Anhängen importiert.

Hinweis:

Diese Standard-Importverteilungs-Policy importiert keine Routen, die von anderen Anhangstypen in diese DRG-Routentabelle propagiert werden.

Wenn Sie die automatisch generierte DRG-Routentabelle für alle VCN-Anhänge verwenden, erreichen Sie eine vollständig synchronisierte Routingkonnektivität zwischen Ihren VCNs. Alle VCNs verfügen über Routen, um alle Ihre On-Premise-Netzwerke und VCNs in der Remoteregion zu erreichen.

Wenn Sie mehr eingeschränkte Routingkonnektivität einrichten oder Routingsegmentierung in Ihrem Netzwerk erstellen möchten, können Sie separate DRG-Routentabellen mit unterschiedlichen Importroutenverteilungs-Policys für verschiedene DRG-Anhänge verwenden. Beispiel: Wir haben 3 Routingsegmente im selben DRG mit verschiedenen DRG-Routentabellen und verschiedenen Importroutenverteilungen für die VCNs erstellt:

Eine vollständig integrierte Konnektivität zwischen VCN-1, VCN-2 und VCN-3
Konnektivität zwischen VCN-4 und VCN-5
Konnektivität zwischen VCN-6 und den On-Premise-Netzwerken

Die folgende Abbildung zeigt ein Beispiel für die DRG-Importroutenverteilungskontrolle. Beschreibung von drg-import-route-distribution-control.png folgt
Beschreibung der Abbildung drg-import-route-distribution-control.png

drg-import-route-distribution-control-oracle.zip

Obwohl standardmäßig alle Anhänge die automatisch generierte DRG-Routentabelle für ihren Typ verwenden, erfordern echte Netzwerkdesigns häufig einige Anhänge desselben Typs, die unterschiedliche Routingregeln und unterschiedliche Verteilungs-Policys für den Routenimport aufweisen. Es empfiehlt sich, separate DRG-Routentabellen für diese Anhänge zu erstellen.

DRG-Routingvorgang

Ein dynamisches Routinggateway (DRG) leitet Traffic zwischen seinen Anhängen weiter. Für einen bestimmten Trafficfluss gibt es einen Ingress-Anhang und einen Egress-Anhang im DRG.

Das DRG verwendet ein Ingress-Routingmodell, wenn Traffic über den Ingress-Anhang in das DRG eingeht. Das DRG verwendet die mit dem Ingress-Anhang verknüpfte DRG-Routentabelle, um zu bestimmen, wohin der Traffic geleitet wird. Wenn eine Route für das Ziel in der DRG-Routentabelle des Ingress-Anhangs vorhanden ist, muss der nächste Hop der Route ein anderer Anhang im DRG sein. Dabei kann es sich um einen VCN-Anhang (wenn sich das Ziel in einem VCN befindet), einen IPSec- oder Virtual Circuit-Anhang (wenn sich das Ziel in einem On-Premise-Netzwerk befindet, das über IPSec-Tunnel oder OCI FastConnect mit dem DRG verbunden ist) oder einen RPC-Anhang (wenn sich das Ziel in einer Remoteregion befindet) handeln. Wenn keine übereinstimmende Route für das Ziel vorhanden ist, wird der Traffic gelöscht.

Die folgende Abbildung zeigt ein Beispiel für einen DRG-Routenvorgang.

Beschreibung von drg-routing-operation.png folgt

Beschreibung der Abbildung drg-routing-operation.png

drg-routing-operation-oracle.zip

Dieses Beispiel zeigt den DRG-Routing-Lookup für Traffic, der von Anhang 1 stammt und zu einem Zielnetzwerk auf Anhang 2 geht. Der Routing-Lookup findet in der DRG-Routentabelle des Ingress-Anhangs (Attachment-1) statt. Die Routentabelle enthält eine Routingregel für das Ziel mit dem Egress-Anhang (Attachment-2) als Anhang für den nächsten Hop.

Da der DRG-Anhang eine logische Punkt-zu-Punkt-Verbindung zwischen dem DRG und der Netzwerkressource hinter dem Anhang ist, muss das DRG keinen weiteren Routing-Lookup im Egress-Anhang ausführen. Der Traffic wird einfach über den Anhang an die nächste Netzwerkressource weitergeleitet. Die nächste Netzwerkressource kann ein VCN oder das Routinggerät auf der anderen Seite eines IPSec-Tunnels oder eines OCI FastConnect-Virtual Circuits oder ein DRG in einer Remoteregion sein. Es liegt an der nächsten Ressource, einen eigenen Routing-Lookup durchzuführen, um zu entscheiden, wo der Traffic weitergeleitet werden soll. Beispiel: Wenn der nächste Hop-Anhang ein VC-Anhang ist, leitet das DRG den Traffic über den Virtual Circuit OCI FastConnect weiter. Das Routing-Gerät am anderen Ende des Virtual Circuits führt beim Empfangen des Datenverkehrs sein eigenes Routing aus. Wenn der nächste Hop ein VCN-Anhang ist, erfolgt das VCN-Ingress-Routing über das DRG.

Die folgende Abbildung zeigt den Routing-Lookup-Prozess entlang eines Multi-Hop-Netzwerkpfads.

Beschreibung von routing-lookup-multi-hop-network-path.png folgt

Beschreibung der Abbildung routing-lookup-multi-hop-network-path.png

Routing-Lookup-Multi-Hop-Netzwerk-Pfad-oracle.zip

In diesem Beispiel zeigt die Abbildung den Routingpfad zwischen einem On-Premise-Netzwerk 10.254.0.0/16 und einem VCN-Subnetz 10.1.1.0/24. Das standardmäßige lokale Routing im VCN wird aus Gründen der Einfachheit verwendet. Um die End-to-End-Routingkonnektivität zu erreichen, gibt es mehrere DRG-Routentabellen und VCN-Routentabellen, die an verschiedenen Punkten für das Routing-Lookup für jede Richtung verwendet werden:

DRG-Routentabelle für ATT-VC
Die DRG-Routentabelle für den VC-Anhang OCI FastConnect: Leitet Traffic vom On-Premise-Netzwerk an VCN-1 weiter.
DRG-Routentabelle für ATT-VCN-1
Die DRG-Routentabelle für den VCN-1-Anhang: Leitet Traffic von VCN-1 an das On-Premise-Netzwerk weiter.
VCN-Routentabelle für DRG-Anhang
Die VCN-Routentabelle für den DRG-Anhang im VCN: VCN-Ingress-Routing über das DRG zu VCN-1.

Wenn keine vom Benutzer angegebene Routentabelle mit dem DRG-Anhang im VCN verknüpft ist, wird die lokale Standardroute für die VCN-CIDRs verwendet. Das heißt, das DRG leitet den Traffic direkt an die Ziele im VCN weiter. Dies ist die implizite lokale VCN-Route und ist für die Benutzer nicht sichtbar.
Routentabelle von Subnetz
Die VCN-Routentabelle für das Subnetz 10.1.1.0/24: Leitet Traffic vom VCN-1-Subnetz an das DRG weiter.

Die folgende Abbildung zeigt das Traffic-Routing von VCN-1 zum On-Premise-Netzwerk.

Beschreibung von traffic-route-vcn-prem.png folgt

Beschreibung der Abbildung traffic-route-vcn-prem.png

traffic-route-vcn-prem-oracle.zip

In diesem Beispiel leiten die Routentabelle des VCN-Subnetzes und die DRG-Routentabelle für den VCN-1-Anhang den Traffic von einer Ressource im VCN-1-Subnetz an eine Ressource im On-Premise-Netzwerk weiter.

Die folgende Abbildung zeigt die DRG-Routentabelle für den VC-Anhang OCI FastConnect:

Beschreibung von traffic-route-prem-vcn.png folgt

Beschreibung der Abbildung traffic-route-prem-vcn.png

traffic-route-prem-vcn-oracle.zip

In diesem Beispiel leitet die mit dem DRG-Anhang im VCN für das DRG-Ingress-Routing verknüpfte VCN-Routentabelle den Traffic von der On-Premise-Ressource an eine Ressource im VCN-1-Subnetz weiter.