Más información sobre las soluciones de gateway de enrutamiento dinámico

Utilice este documento de referencia para obtener más información sobre el enrutamiento de red virtual de Oracle Cloud Infrastructure (OCI). Descifra el enrutamiento IPv4 en redes en la nube de OCI e introduce funciones básicas de enrutamiento de OCI. También proporciona casos de uso típicos en diferentes escenarios de despliegue, lo que resulta útil si necesita diseñar, operar o solucionar problemas de redes virtuales de OCI.

OCI ofrece una solución de red virtual definida por software. Una red de OCI consta de redes virtuales en la nube (VCNs), subredes, gateways de red, dispositivos virtuales de servicio de red L4-7 nativos de OCI o de 3a parte, etc. El enrutamiento es la función principal para establecer la conectividad de red entre los elementos de una red OCI, o entre una red OCI y redes locales u otras redes en la nube.

La accesibilidad completa de la red requiere conectividad de red que se logra mediante políticas de seguridad de red y enrutamiento adecuadas que se gestionan mediante listas de seguridad o grupos de seguridad de red, o políticas en dispositivos de firewall de red. Este documento se centra únicamente en las funciones y diseños de enrutamiento, no discute la gestión de las políticas de seguridad de red.

OCI utiliza los mismos mecanismos de enrutamiento para IPv4 y IPv6. Sin embargo, hay consideraciones únicas que debe agregar a un diseño de red IPv6. Por ejemplo, los diferentes ámbitos de las direcciones IPv6 y el hecho de que el enrutamiento de Internet IPv6 no pasa por NATing. Si bien las mismas teorías se aplican al enrutamiento IPv4 y IPv6, las discusiones y los ejemplos aquí se centran en el enrutamiento IPv4.

Acerca del enrutamiento de DRG

Un gateway de enrutamiento dinámico (DRG) es un enrutador virtual regional que interconecta las VCN de una región y conecta las VCN con redes locales a través de circuitos virtuales de Oracle Cloud Infrastructure FastConnect o túneles VPN IPSec. También proporciona conectividad de red entre regiones mediante una conexión de intercambio de tráfico remoto (RPC).

Un DRG actúa como un hub central para conectar los recursos de red que están conectados a él. Los recursos de red pueden ser redes virtuales en la nube, túneles VPN IPSec de sitio a sitio, circuitos virtuales de OCI FastConnect o RPC. Cuando se conecta un recurso de red a un DRG, se crea una asociación del tipo correspondiente:

Asociación de red virtual en la nube (asociación de VCN): cuando una VCN está asociada al DRG
Asociación de circuito virtual (asociación de VC): cuando se asocia un circuito virtual de OCI FastConnect al DRG
Asociación de túnel IPSec: cuando se conecta un túnel IPSec al DRG
Conexión de conexión de intercambio de tráfico remoto (conexión RPC): cuando se conecta una RPC al DRG

El DRG enruta el tráfico entre las asociaciones mediante tablas de rutas de DRG. Cada asociación está asociada a una tabla de rutas de DRG. El tráfico introduce el DRG desde una asociación y el DRG lo enruta a otra asociación en función de la tabla de rutas del DRG asociada a la asociación de entrada del tráfico.

Tablas de enrutamiento en DRG

Un gateway de enrutamiento dinámico (DRG) utiliza tablas de rutas de DRG para enrutar el tráfico entre sus asociaciones. OCI genera automáticamente dos tablas de rutas para cada DRG, una para las asociaciones de VCN y la segunda para IPSec, la asociación de circuito virtual de OCI FastConnect y las asociaciones de conexión de intercambio de tráfico remoto (RPC). Puede crear más tablas de rutas de DRG.

Las reglas de ruta de una tabla de rutas de DRG contienen los siguientes campos:

Tipo: El tipo de ruta puede ser dinámico o estático. Las rutas dinámicas se importan desde las asociaciones de DRG. Puede utilizar la consola o la API de OCI para crear rutas estáticas.
CIDR de destino: CIDR de destino.
Tipo de asociación de siguiente salto: el siguiente salto de una regla de ruta en una tabla de rutas de DRG es la asociación de DRG de la red en la que reside el destino o en ruta al destino. La asociación puede ser una asociación de VCN, una asociación de RPC entre regiones o una asociación de RPC entre arrendamientos. No puede ser una asociación de VPN ni una asociación de circuito virtual de OCI FastConnect.
Next Hop Attachment Name: es el nombre de la asociación.
Estado de ruta: estado.

A continuación, se muestra un ejemplo del contenido de una tabla de rutas de DRG.

Tipo	CIDR de destino	Tipo de asociación de siguiente salto	Nombre de asociación de siguiente salto	Estado de ruta
Dinámico	0.0.0.0/0	Red virtual en la nube (VCN)	Att-DRG-1-VCN-0	Activar
Dinámico	10.0.0.0/8	Túnel de IPSec	Asociación de DRG para el túnel IPSec: IPSec de túnel a local 2	Activar
Dinámico	10.0.0.0/16	Red virtual en la nube	Asociación de DRG 1 a VCN 0	Activar
Dinámico	21.0.1.0/24	Conexión con intercambio de tráfico remoto	Asociación de DRG para RPC: RPC a SJC-DRG-1 (nosotros-oeste-1 San Jose-DRG-1)	Activar

Cada asociación de DRG tiene una tabla de rutas de DRG asociada. Por defecto, es la tabla de rutas de DRG generada automáticamente para el tipo de asociación. Puede cambiarlo a una tabla de rutas de DRG creada por el usuario.

Cuando el tráfico llega a un DRG, el DRG realiza una consulta de enrutamiento de entrada basada en la tabla de rutas de DRG asociada a la asociación de entrada del tráfico. La consulta de enrutamiento resuelve el anexo de siguiente salto (el anexo de salida). El DRG envía el tráfico a la asociación de salida a través de la cual el tráfico llegará a la red del siguiente salto. No hay ninguna consulta de enrutamiento en la asociación de salida en el DRG.

Preferencia de ruta en la tabla de rutas de DRG

Es posible que se muestren varias rutas para el prefijo y la máscara idénticos en una tabla de rutas de DRG. La puerta de enlace de enrutamiento dinámico tiene un mecanismo incorporado para resolver dichos conflictos de ruta. La decisión se toma en función de la siguiente preferencia de vía y se evalúa en el siguiente orden:

En una tabla de rutas de DRG, las rutas estáticas tienen una mayor preferencia que las rutas dinámicas.

Entre las rutas dinámicas en una tabla de rutas de DRG, se prefieren las rutas con una ruta AS más corta en lugar de las rutas con una ruta AS más larga.

Note:

Las rutas con un origen de ruta VCN o STATIC siempre tienen una ruta de AS vacía. Las rutas con un origen de ruta de túnel de VPN IPSec o circuito virtual OCI FastConnect tendrán las rutas de AS que se muestran en la siguiente tabla.

Origen de ruta	Detalles sobre cómo prefiere Oracle la ruta	Ruta AS resultante para la ruta
OCI FastConnect	OCI no antepone ningún ASN a las rutas. Esto resulta en una longitud total de ruta de acceso de AS de 1.	NAE de cliente
VPN de sitio a sitio con enrutamiento con protocolo de gateway de borde (BGP)	OCI antepone un único ASN privado en todas las rutas que el dispositivo perimetral del cliente anuncia a través de la VPN de sitio a sitio con BGP, para una longitud total de ruta de acceso de AS de 2.	ASN privado, NAE de cliente
VPN de sitio a sitio con enrutamiento estático	OCI anuncia esas rutas estáticas a DRG como rutas dinámicas de BGP. OCI antepone 3 ASN privados en estas rutas. Esto resulta en una longitud total de ruta de acceso de AS de 3.	ASN privado, ASN privado, NAE privado

Origen de ruta

Detalles sobre cómo prefiere Oracle la ruta

Ruta AS resultante para la ruta

OCI FastConnect

OCI no antepone ningún ASN a las rutas. Esto resulta en una longitud total de ruta de acceso de AS de 1.

NAE de cliente

VPN de sitio a sitio con enrutamiento con protocolo de gateway de borde (BGP)

OCI antepone un único ASN privado en todas las rutas que el dispositivo perimetral del cliente anuncia a través de la VPN de sitio a sitio con BGP, para una longitud total de ruta de acceso de AS de 2.

ASN privado,

NAE de cliente

VPN de sitio a sitio con enrutamiento estático

OCI anuncia esas rutas estáticas a DRG como rutas dinámicas de BGP. OCI antepone 3 ASN privados en estas rutas. Esto resulta en una longitud total de ruta de acceso de AS de 3.

ASN privado,

NAE privado

El tipo de asociación que importó la ruta se evalúa en función de la siguiente prioridad según el tipo de asociación:
1. VCN
2. VIRTUAL_CIRCUIT: si el enrutamiento de rutas múltiples de igual costo (ECMP) está desactivado para la tabla de rutas de DRG, el DRG realiza una selección arbitraria pero estable. Si ECMP está activado, todas las rutas se agregan a la tabla de rutas y el DRG realiza opciones de enrutamiento mediante ECMP. El ancho ECMP máximo soportado en un DRG es 8.
3. IPSEC_TUNNEL: si ECMP está desactivado para la tabla de rutas de DRG, el DRG realiza una selección arbitraria pero estable. Si ECMP está activado, todas las rutas se agregarán a la tabla de rutas y el DRG realiza opciones de enrutamiento mediante ECMP. El ancho ECMP máximo soportado en un DRG es 8.
4. REMOTE_PEERING_CONNECTION (RPC): el DRG seleccionará la ruta con la menor distancia de red.
Si dos rutas tienen distancias de red idénticas, el DRG selecciona la ruta con el origen de ruta de prioridad más alta (STATIC > VCN > VIRTUAL_CIRCUIT> IPSEC_TUNNEL).

Si dos rutas tienen el mismo origen de ruta, el DRG realiza una selección arbitraria pero estable.
Si se importan rutas en conflicto de asociaciones del mismo tipo, el conflicto se resuelve de forma diferente según el tipo de asociación:
- Asociaciones de VCN: si se importan CIDR idénticos de dos asociaciones de VCN, solo se selecciona uno mediante un procedimiento de decisión arbitrario pero estable.
- Asociaciones VIRTUAL_CIRCUIT y IPSEC_TUNNEL: si se importan varias rutas con el mismo CIDR y diferentes longitudes de AS_PATH en una tabla de rutas de DRG, se selecciona la ruta con la menor longitud de AS_PATH. De lo contrario, se elige una ruta utilizando un procedimiento de decisión arbitrario pero estable.
- Asociaciones de RPC: si se importan CIDR idénticos de dos asociaciones de RPC, se selecciona uno de ellos mediante un procedimiento de decisión estable y arbitrario.

Propagación de rutas e importación de control de distribución de rutas en DRG

Puede asociar recursos de red, como redes virtuales en la nube, circuitos virtuales de OCI FastConnect o túneles VPN IPSec a un gateway de enrutamiento dinámico (DRG). Las rutas asociadas a estos recursos de red se propagan al DRG. Utilice una política de distribución de rutas de importación para importarlas en una tabla de rutas de DRG como rutas dinámicas.

Propagación de rutas en DRG

A continuación, se muestra qué rutas están asociadas al recurso de red de cada tipo de asociación de DRG y se propaga al DRG:

Asociación de VCN
Rutas de la tabla de rutas de la VCN asociadas a la asociación de DRG en la VCN, los CIDR de la VCN y los CIDR de su subred. Una vez que se ha asociado una VCN a un DRG, el DRG se representa como una asociación de DRG en la VCN. Una tabla de rutas de la VCN se puede asociar a la asociación de DRG para el enrutamiento de entrada de VCN a través del DRG. Son las rutas de esta tabla de rutas de VCN las que se propagan al DRG. Si una tabla de rutas de VCN no está asociada a la asociación de DRG, solo los CIDR de la VCN y sus CIDR de subred se propagan al DRG.

Cuando estas rutas se importan en una tabla de rutas de DRG, esta asociación de VCN será la asociación de siguiente salto en las rutas.
Asociación de túnel IPSec
Rutas anunciadas por el equipo local del cliente (CPE) IPSec cuando se utiliza el enrutamiento dinámico del protocolo de gateway de borde (BGP) en la conexión IPSec o las rutas estáticas configuradas si se utiliza el enrutamiento estático en la conexión IPSec.

Cuando estas rutas se importan a una tabla de rutas de DRG como rutas dinámicas, la asociación de túnel IPSec será la asociación de siguiente salto para las rutas.
Adjunto de VC
Rutas anunciadas por el CPE OCI FastConnect a través de BGP.

Cuando estas rutas se importan a una tabla de rutas de DRG, la asociación de VC es la asociación de siguiente salto en las rutas.
Asociación de RPC
Todas las rutas de la tabla de rutas de DRG asociadas a la asociación de RPC del DRG remoto se propagarán al DRG local.

Cuando estas rutas se importan a una tabla de rutas de DRG local, la asociación de RPC será el siguiente salto para las rutas.

Importar control de distribución de rutas en DRG

Para una tabla de rutas de DRG determinada, puede crear y aplicar una política de distribución de rutas de importación para controlar qué rutas se importan a la tabla de rutas. Puede hacer coincidir por tipo de asociación (por ejemplo, hacer coincidir todas las asociaciones de VCN), una asociación específica o hacer coincidir todos.

La tabla de rutas de DRG generada automáticamente para las asociaciones de VCN tiene una distribución de rutas de importación por defecto que tiene una sentencia coincidente para importar rutas de todas las asociaciones de DRG

La tabla de rutas de DRG generada automáticamente para las asociaciones IPSec, OCI FastConnect VC y RPC tiene una distribución de rutas de importación por defecto que tiene una sentencia de VCN de tipo coincidencia para importar solo rutas de todas las asociaciones de VCN.

Note:

Esta política de distribución de importación por defecto no importa rutas propagadas por otros tipos de asociaciones a esta tabla de rutas de DRG.

Si utiliza la tabla de rutas de DRG generada automáticamente para todas las asociaciones de VCN, logrará una conectividad de enrutamiento totalmente mallada entre sus redes virtuales en la nube y todas sus redes tendrán rutas para acceder a todas sus redes locales y redes virtuales en la región remota.

Si desea establecer una conectividad de enrutamiento más restringida o crear segmentación de enrutamiento en la red, puede utilizar tablas de rutas de DRG independientes con diferentes políticas de distribución de rutas de importación para distintas asociaciones de DRG. Por ejemplo, hemos creado 3 segmentos de enrutamiento en el mismo DRG mediante diferentes tablas de rutas de DRG y diferentes distribuciones de rutas de importación para las redes virtuales en la nube:

Una conectividad totalmente en malla entre VCN-1, VCN-2 y VCN-3
Conectividad entre la VCN-4 y la VCN-5
Conectividad entre la VCN-6 y las redes locales

La siguiente imagen es un ejemplo del control de distribución de rutas de importación de DRG. Descripción de drg-import-route-distribution-control.png
Descripción de la ilustración drg-import-route-distribution-control.png

drg-import-route-distribution-control-oracle.zip

Aunque, por defecto, todas las asociaciones utilizan la tabla de rutas de DRG generada automáticamente para su tipo, los diseños de red reales suelen requerir que algunas asociaciones del mismo tipo tengan reglas de rutas diferentes y políticas de distribución de importación de rutas diferentes. Se recomienda crear tablas de rutas de DRG independientes para estas asociaciones.

Operación de enrutamiento de DRG

Un gateway de enrutamiento dinámico (DRG) enruta el tráfico entre sus asociaciones. Para un flujo de tráfico determinado, hay una asociación de entrada y una asociación de salida en el DRG.

El DRG utiliza un modelo de enrutamiento de entrada cuando el tráfico entra en el DRG a través de la asociación de entrada. El DRG utiliza la tabla de rutas de DRG asociada a la asociación de entrada para decidir a dónde va el tráfico. Si existe una ruta para el destino en la tabla de rutas de DRG de la asociación de entrada, el siguiente salto de la ruta debe ser otra asociación en el DRG. Puede ser una asociación de VCN (si el destino está en una VCN), una asociación de IPSec o circuito virtual (si el destino está en una red local conectada al DRG a través de túneles IPSec o OCI FastConnect) o una asociación de RPC (si el destino está en una región remota). Si no hay ninguna ruta coincidente para el destino, el tráfico se borra.

La siguiente imagen es un ejemplo de una operación de ruta de DRG.

Descripción de drg-routing-operation.png

Descripción de la ilustración drg-routing-operation.png

drg-routing-operation-oracle.zip

En este ejemplo, se muestra la consulta de enrutamiento de DRG para el tráfico que proviene de Attachment-1 y va a una red de destino que está en Attachment-2. La consulta de enrutamiento se lleva a cabo en la tabla de rutas de DRG de la asociación de entrada (Asociación-1). La tabla de rutas tiene una regla de ruta para el destino con el anexo de salida (Attachment-2) como anexo de siguiente salto.

Dado que la asociación de DRG es una conexión lógica de punto a punto entre el DRG y el recurso de red detrás de la asociación, el DRG no necesita realizar otra consulta de enrutamiento en la asociación de salida, solo reenviará el tráfico al siguiente recurso de red a través de la asociación. El siguiente recurso de red podría ser una VCN, o el dispositivo de enrutamiento en el otro lado de un túnel IPSec o un circuito virtual OCI FastConnect, o un DRG en una región remota. Depende del siguiente recurso realizar su propia consulta de enrutamiento para decidir dónde reenviar el tráfico. Por ejemplo, si la asociación del siguiente salto es una asociación de VC, el DRG enrutará el tráfico a través del circuito virtual OCI FastConnect. El dispositivo de enrutamiento en el otro extremo del circuito virtual realiza su propio enrutamiento al recibir el tráfico. Si el siguiente salto es una asociación de VCN, se realiza el enrutamiento de entrada de VCN a través del DRG.

La siguiente imagen muestra el proceso de búsqueda de enrutamiento a lo largo de una ruta de red de varios saltos.

A continuación se muestra la descripción de routing-lookup-multi-hop-network-path.png

Descripción de la ilustración routing-lookup-multi-hop-network-path.png

routing-lookup-multi-hop-network-path-oracle.zip

En este ejemplo, la imagen muestra la ruta de enrutamiento entre una red local 10.254.0.0/16 y una subred de VCN 10.1.1.0/24. El enrutamiento local por defecto en la VCN se utiliza con simplicidad. Para lograr la conectividad de enrutamiento de extremo a extremo, hay varias tablas de rutas de DRG y tablas de rutas de VCN utilizadas en diferentes puntos para la consulta de enrutamiento para cada dirección:

Tabla de rutas de DRG para ATT-VC
Tabla de rutas de DRG para la asociación de VC de OCI FastConnect: enruta el tráfico de la red local a la VCN-1.
Tabla de rutas de DRG para ATT-VCN-1
Tabla de rutas de DRG para la asociación de VCN-1: enruta el tráfico de la VCN-1 a la red local.
Tabla de rutas de VCN para la asociación de DRG
Tabla de rutas de VCN para la asociación de DRG en la VCN: enrutamiento de entrada de VCN a través del DRG en la VCN-1.

Si no hay ninguna tabla de rutas especificada por el usuario asociada a la asociación de DRG en la VCN, se utiliza la ruta local por defecto para los CIDR de la VCN. Es decir, el DRG enrutará el tráfico directamente a los destinos de la VCN. Esta es la ruta local de la VCN implícita y no es visible para los usuarios.
Tabla de rutas de subred
Tabla de rutas de VCN para la subred 10.1.1.0/24: enruta el tráfico de la subred de VCN-1 al DRG.

En la siguiente imagen se muestra el enrutamiento de tráfico desde la VCN-1 a la red local.

A continuación se muestra la descripción de traffic-route-vcn-prem.png

Descripción de la ilustración traffic-route-vcn-prem.png

traffic-route-vcn-prem-oracle.zip

En este ejemplo, la tabla de rutas de subred de VCN y la tabla de rutas de DRG para la asociación de VCN-1 enrutan el tráfico de un recurso de la subred de VCN-1 a un recurso de la red local.

En la siguiente imagen se muestra la tabla de rutas de DRG para la asociación de VC de OCI FastConnect:

A continuación se muestra la descripción de traffic-route-prem-vcn.png

Descripción de la ilustración traffic-route-prem-vcn.png

traffic-route-prem-vcn-oracle.zip

En este ejemplo, la tabla de rutas de VCN asociada a la asociación de DRG en la VCN para el enrutamiento de entrada de DRG enruta el tráfico del recurso local a un recurso de la subred de VCN-1.