1. En savoir plus sur les solutions de passerelle de routage dynamique
  2. En savoir plus sur les solutions de passerelle de routage dynamique

En savoir plus sur les solutions de passerelle de routage dynamique

Utilisez ce document de référence pour en savoir plus sur le routage de réseau virtuel Oracle Cloud Infrastructure (OCI). Il déchiffre le routage IPv4 dans les réseaux en nuage OCI et introduit les fonctions de routage OCI de base. Il fournit également des cas d'utilisation courants dans différents scénarios de déploiement, ce qui est utile si vous devez concevoir, exécuter ou dépanner des réseaux virtuels OCI.

OCI offre une solution de réseau virtuel définie par logiciel. Un réseau OCI se compose de réseaux en nuage virtuels, de sous-réseaux, de passerelles de réseau, de dispositifs virtuels de service réseau OCI natif ou 3e partie L4-7, etc. L'acheminement est la fonction principale permettant d'établir une connectivité réseau entre les éléments d'un réseau OCI, ou entre un réseau OCI et des réseaux sur place ou d'autres réseaux en nuage.

L'accessibilité complète du réseau nécessite une connectivité réseau assurée par un acheminement et des politiques de sécurité de réseau appropriés qui sont gérées au moyen de listes de sécurité ou de groupes de sécurité de réseau, ou de politiques sur des dispositifs de pare-feu de réseau. Ce document se concentre uniquement sur les fonctions de routage et les conceptions, il ne traite pas de la gestion des politiques de sécurité du réseau.

OCI utilise les mêmes mécanismes de routage pour IPv4 et IPv6. Toutefois, vous devez ajouter des considérations uniques à une conception de réseau IPv6. Par exemple, les différentes étendues des adresses IPv6 et le fait que le routage Internet IPv6 ne passe pas par NATing. Bien que les mêmes théories s'appliquent au routage IPv4 et IPv6, les discussions et les exemples ici se concentrent sur le routage IPv4.

À propos du routage DRG

Une passerelle de routage dynamique (DRG) est un routeur virtuel régional qui interconnecte les réseaux en nuage virtuels d'une région et connecte les réseaux en nuage virtuels aux réseaux sur place au moyen des circuits virtuels Oracle Cloud Infrastructure FastConnect ou des tunnels RPV IPSec. Elle assure également la connectivité réseau entre les régions au moyen d'une connexion d'appairage distant (RPC).

Une passerelle DRG agit comme un concentrateur central pour connecter les ressources de réseau qui lui sont attachées. Les ressources de réseau peuvent être des réseaux en nuage virtuels, des tunnels RPV site-à-site IPSec, des circuits virtuels OCI FastConnect ou une connexion d'appairage distant. Lorsqu'une ressource de réseau est attachée à une passerelle DRG, un attachement du type correspondant est créé :
  • Attachement de réseau en nuage virtuel (attachement de VCN) : Lorsqu'un VCN est attaché à la passerelle DRG
  • Attachement de circuit virtuel (attachement de circuit virtuel) : Lorsqu'un circuit virtuel OCI FastConnect est attaché à la passerelle de routage dynamique
  • Attachement de tunnel IPSec : Lorsqu'un tunnel IPSec est attaché à la passerelle de routage dynamique
  • Attachement de connexion d'appairage distant (attachement de connexion d'appairage distant) : Lorsqu'une connexion d'appairage distant est attachée à la passerelle de routage dynamique
La passerelle DRG achemine le trafic entre les attachements à l'aide des tables de routage DRG. Chaque attachement est associé à une table de routage DRG. Le trafic entre dans la passerelle DRG à partir d'un attachement et est acheminé vers un autre attachement par la passerelle DRG en fonction de la table de routage DRG associée à l'attachement entrant du trafic.

Tables de routage sur DRG

Une passerelle de routage dynamique (DRG) utilise des tables de routage DRG pour acheminer le trafic entre ses attachements. OCI génère automatiquement deux tables de routage pour chaque passerelle DRG, l'une pour les attachements de VCN et l'autre pour les attachements de circuit virtuel IPSec, OCI FastConnect et de connexion d'appairage distant. Vous pouvez créer d'autres tables de routage DRG.
Les règles de routage d'une table de routage DRG contiennent les champs suivants :
  • Type : Le type de route peut être dynamique ou statique. Les routes dynamiques sont importées à partir des attachements de passerelle de routage dynamique. Vous pouvez utiliser la console ou l'API OCI pour créer des routes statiques.
  • CIDR de destination : CIDR de destination.
  • Type d'attachement de saut suivant : Le saut suivant d'une règle de routage dans une table de routage DRG est l'attachement de passerelle DRG du réseau où réside la destination ou en route vers la destination. L'attachement peut être un attachement de VCN, un attachement de connexion d'appairage distant inter-régions ou un attachement de connexion d'appairage distant inter-location. Il ne peut pas s'agir d'un attachement de RPV ou d'un attachement de circuit virtuel OCI FastConnect.
  • Next Hop Attachment Name : Nom de l'attachement.
  • Statut de la route : Statut.
Voici un exemple du contenu d'une table de routage DRG.
Type CIDR de destination Type d'attachement du saut suivant Nom de l'attachement du saut suivant Statut de la route
Dynamique 0.0.0.0/0 Réseau en nuage virtuel (VCN) Att-DRG-1-VCN-0 Active
Dynamique 10.0.0.0/8 Tunnel IPSec Attachement de passerelle de routage dynamique pour le tunnel IPSec : IPSec Tunnel vers le réseau sur place 2 Active
Dynamique 10.0.0.0/16 Réseau en nuage virtuel Attacher la passerelle DRG 1 au VCN 0 Active
Dynamique 21.0.1.0/24 Connexion d'appairage distant Attachement de passerelle de routage dynamique pour RPC : RPC à SJC-DRG-1 (us-west-1 San Jose-DRG-1) Active

Chaque attachement de passerelle DRG est associé à une table de routage DRG. Par défaut, il s'agit de la table de routage DRG générée automatiquement pour le type d'attachement. Vous pouvez la remplacer par une table de routage DRG créée par l'utilisateur.

Lorsque le trafic passe sur une passerelle de routage dynamique, celle-ci effectue une consultation de routage entrant en fonction de la table de routage DRG associée à l'attachement entrant du trafic. La consultation de routage résout le fichier joint suivant (le fichier joint sortant). La passerelle DRG envoie le trafic à l'attachement sortant par lequel le trafic passera au réseau de saut suivant. Il n'y a pas de consultation de gamme d'opérations pour l'attachement sortant sur la passerelle de routage dynamique.

Préférence de routage dans la table de routage DRG

Il est possible que plusieurs routes pour le même préfixe et le même masque apparaissent dans une table de routage DRG. La passerelle de routage dynamique dispose d'un mécanisme intégré pour résoudre ces conflits de routage. La décision est basée sur la préférence d'acheminement suivante et est évaluée dans l'ordre suivant :
  1. Dans une table de routage DRG, les routes statiques ont priorité sur les routes dynamiques.
  2. Parmi les routes dynamiques d'une table de routage DRG, les routes avec un chemin AS plus court sont préférées aux routes avec un chemin AS plus long.

    Note :

    Le chemin AS des routes dont la source est VCN ou STATIC est toujours vide. Les chemins AS sont affichés dans le tableau suivant pour les routes avec une source de routage de tunnel RPV IPSec ou de circuit virtuel OCI FastConnect.
    Source de route Comment Oracle préfère le chemin Chemin AS résultant pour la route
    FastConnect pour OCI OCI n'ajoute aucun préavis d'expédition aux routes. La longueur totale du chemin AS est de 1. Préavis d'expédition du client
    RPV site à site avec routage BGP (Border Gateway Protocol) OCI commence par un seul numéro ASN privé sur toutes les routes annoncées par l'appareil de périphérie de réseau du client sur le RPV site à site avec BGP. La longueur totale du chemin AS est de 2.

    ASN privé,

    Préavis d'expédition du client
    RPV site-site avec routage statique OCI annonce ces routes statiques à DRG en tant que routes dynamiques BGP. OCI ajoute 3 préavis d'expédition privés au début de ces routes. La longueur totale du chemin AS est de 3.

    ASN privé,

    ASN privé,

    ASN privé
  3. Le type d'attachement qui a importé la route est évalué selon l'ordre de priorité suivant :
    1. VCN
    2. VIRTUAL_CIRCUIT : Si le routage multichemin à coût égal (ECMP) est désactivé pour la table de routage DRG, la passerelle DRG effectue une sélection arbitraire, mais stable. Si ECMP est activé, toutes les routes sont ajoutées à la table de routage et la passerelle DRG effectue des choix de routage à l'aide d'ECMP. La largeur ECMP maximale prise en charge dans une passerelle DRG est de 8.
    3. IPSEC_TUNNEL : Si ECMP est désactivé pour la table de routage DRG, cette dernière effectue une sélection arbitraire, mais stable. Si ECMP est activé, toutes les routes sont ajoutées à la table de routage et la passerelle DRG fait des choix de routage à l'aide d'ECMP. La largeur ECMP maximale prise en charge dans une passerelle DRG est de 8.
    4. REMOTE_PEERING_CONNECTION (RPC) : La passerelle DRG sélectionne la route ayant la distance de réseau la plus courte.

    Si deux routes ont des distances de réseau identiques, la passerelle DRG sélectionne la route avec la source de routage la plus prioritaire (STATIC > VCN > VIRTUAL_CIRCUIT > IPSEC_TUNNEL).

    Si deux routes ont la même source de routage, la passerelle DRG effectue une sélection arbitraire, mais stable.

  4. Si des routes conflictuelles sont importées à partir d'attachements de même type, le conflit est résolu différemment selon ce type :
    • Attachements de VCN : Si des blocs CIDR identiques sont importés à partir de deux attachements de VCN, un seul est sélectionné à l'aide d'une procédure de décision arbitraire, mais stable.
    • Attachements VIRTUAL_CIRCUIT et IPSEC_TUNNEL : Si plusieurs routes ayant le même CIDR et des longueurs AS_PATH différentes sont importées dans une table de routage DRG, la route ayant la longueur AS_PATH la plus courte est sélectionnée. Sinon, une route est choisie à l'aide d'une procédure de décision arbitraire, mais stable.
    • Attachements de RPC : Si des blocs CIDR identiques sont importés à partir de deux attachements de RPC, un d'entre eux est choisi à l'aide d'une procédure de décision arbitraire et stable.

Propagation de routes et contrôle de répartition de routes d'importation pour la passerelle de routage dynamique

Vous pouvez attacher des ressources de réseau, telles que des réseaux en nuage virtuels, des circuits virtuels OCI FastConnect ou des tunnels RPV IPSec à une passerelle de routage dynamique (DRG). Les routes associées à ces ressources de réseau sont propagées vers la passerelle DRG. Utilisez une politique de répartition de routes d'importation pour les importer dans une table de routage DRG en tant que routes dynamiques.

Propagation de routes sur DRG

Voici les routes associées à la ressource de réseau de chaque type d'attachement de passerelle de routage dynamique et propagées à la passerelle de routage dynamique :

  • Attachement de VCN

    Routes de la table de routage du VCN associées à l'attachement de passerelle DRG dans le VCN, aux blocs CIDR du VCN et à ses blocs CIDR de sous-réseau. Une fois qu'un VCN est attaché à une passerelle DRG, celle-ci est représentée en tant qu'attachement de passerelle DRG dans le VCN. Une table de routage du VCN peut être associée à l'attachement de DRG pour le routage entrant du VCN au moyen de la DRG. Ce sont les routes de cette table de routage de VCN qui sont propagées à la passerelle DRG. Si une table de routage de VCN n'est pas associée à l'attachement de passerelle DRG, seuls les blocs CIDR de VCN et ses blocs CIDR de sous-réseau sont propagés à la passerelle DRG.

    Lorsque ces routes sont importées dans une table de routage DRG, cet attachement de VCN sera l'attachement de saut suivant dans les routes.

  • Attachement de tunnel IPSec

    Routes annoncées par l'équipement local d'abonné (CPE) IPSec lorsque le routage dynamique BGP (Border Gateway Protocol) est utilisé sur la connexion IPSec ou les routes statiques configurées si le routage statique est utilisé sur la connexion IPSec.

    Lorsque ces routes sont importées dans une table de routage DRG en tant que routes dynamiques, l'attachement de tunnel IPSec sera l'attachement de saut suivant pour les routes.

  • Attachement VC

    Routes annoncées par l'équipement local d'abonné OCI FastConnect au moyen de BGP.

    Lorsque ces routes sont importées dans une table de routage DRG, l'attachement VC est l'attachement de saut suivant dans les routes.

  • Attachement de RPC

    Toutes les routes de la table de routage DRG associées à l'attachement RPC de la passerelle DRG distante seront propagées à la passerelle DRG locale.

    Lorsque ces routes sont importées dans une table de routage DRG locale, l'attachement RPC est le saut suivant pour les routes.

Importer le contrôle de répartition de routes dans la passerelle de routage dynamique

Pour une table de routage DRG indiquée, vous pouvez créer et appliquer une politique de répartition de routes d'importation pour contrôler les routes importées dans la table de routage. Vous pouvez effectuer une mise en correspondance par type d'attachement (par exemple, mettre en correspondance tous les attachements de VCN), un attachement spécifique ou tout mettre en correspondance.

La table de routage DRG générée automatiquement pour les attachements de VCN comporte une répartition de routes d'importation par défaut qui comporte un énoncé correspondant à tous pour importer les routes de tous les attachements DRG

La table de routage DRG générée automatiquement pour les attachements de VC IPSec, OCI FastConnect et RPC comporte une répartition de routes d'importation par défaut qui comporte un énoncé VCN de type correspondance pour importer uniquement les routes de tous les attachements de VCN.

Note :

Cette politique de répartition d'importation par défaut n'importe pas les routes propagées par d'autres types d'attachement dans cette table de routage DRG.

Si vous utilisez la table de routage DRG générée automatiquement pour tous vos attachements de réseau VCN, vous obtiendrez une connectivité de routage entièrement maillée entre vos réseaux en nuage virtuels, et tous vos réseaux en nuage virtuels auront des routes pour atteindre tous vos réseaux et réseaux en nuage virtuels sur place dans la région distante.

Si vous voulez établir une connectivité d'acheminement plus restreinte ou créer une segmentation d'acheminement dans votre réseau, vous pouvez utiliser des tables de routage DRG distinctes avec des politiques de répartition de routes d'importation différentes pour différents attachements DRG. Par exemple, nous avons créé 3 segments de routage sur la même passerelle de routage dynamique en utilisant différentes tables de routage DRG et différentes répartitions de routes d'importation pour les réseaux en nuage virtuels :

  • Connectivité entièrement maillée entre VCN-1, VCN-2 et VCN-3
  • Connectivité entre VCN-4 et VCN-5
  • Connectivité entre VCN-6 et les réseaux sur place

L'image suivante est un exemple de contrôle de répartition de routes d'importation DRG.Une description de drg-import-route-distribution-control.png suit
Description de l'illustration DRG-import-route-distribution-control.png

drg-import-route-distribution-control-oracle.zip

Bien que par défaut, tous les attachements utilisent la table de routage DRG générée automatiquement pour son type, les conceptions de réseau réelles requièrent souvent que certains attachements du même type aient des règles de routage et des politiques de répartition d'importation de routes différentes. Il est recommandé de créer des tables de routage DRG distinctes pour ces attachements.

Opération de routage DRG

Une passerelle de routage dynamique achemine le trafic entre ses attachements. Pour un flux de trafic donné, il existe un attachement entrant et un attachement sortant sur la passerelle de routage dynamique.

La passerelle de routage dynamique utilise un modèle de routage entrant lorsque le trafic entre dans la passerelle de routage dynamique au moyen de l'attachement entrant, la passerelle de routage dynamique utilise la table de routage DRG associée à l'attachement entrant pour décider où le trafic va. Si une route pour la destination existe dans la table de routage DRG de l'attachement entrant, le saut suivant de la route doit être un autre attachement sur la passerelle DRG. Il peut s'agir d'un attachement de VCN (si la destination se trouve dans un VCN), d'un attachement IPSec ou de circuit virtuel (si la destination se trouve dans un réseau sur place connecté à la passerelle DRG au moyen de tunnels IPSec ou OCI FastConnect) ou d'un attachement RPC (si la destination se trouve dans une région distante). S'il n'y a pas de route correspondante pour la destination, le trafic est abandonné.

L'image suivante est un exemple d'opération de routage DRG.

Une description de drg-routing-operation.png suit
Description de l'illustration drg-routing-operation.png

opération de routage drg-oracle.zip

Cet exemple montre la consultation de routage DRG pour le trafic provenant de l'attachement 1 et qui va vers un réseau de destination situé sur l'attachement 2. La consultation de routage a lieu dans la table de routage DRG de l'attachement entrant (Attachment-1). La table de routage comporte une règle de routage pour la destination avec l'attachement sortant (Attachment-2) comme attachement de saut suivant.

Comme l'attachement de passerelle de routage dynamique est une connexion point à point logique entre la passerelle de routage dynamique et la ressource de réseau derrière l'attachement, la passerelle de routage dynamique n'a pas besoin d'effectuer une autre consultation de routage sur l'attachement sortant, elle transmet simplement le trafic à la ressource de réseau suivante au moyen de l'attachement. La ressource de réseau suivante peut être un VCN, ou l'appareil de routage de l'autre côté d'un tunnel IPSec ou d'un circuit virtuel OCI FastConnect, ou d'une passerelle DRG dans une région distante. Il appartient à la ressource suivante d'effectuer sa propre consultation de routage pour décider où transférer le trafic. Par exemple, si l'attachement de saut suivant est un attachement de VC, la passerelle DRG achemine le trafic au moyen du circuit virtuel OCI FastConnect. Le dispositif de routage à l'autre extrémité du circuit virtuel effectue son propre routage lors de la réception du trafic. Si le saut suivant est un attachement de VCN, le routage entrant du VCN au moyen de la passerelle DRG est effectué.

L'illustration suivante présente le processus de consultation de routage le long d'un chemin réseau à sauts multiples.

Une description de routing-lookup-multi-hop-network-path.png suit
Description de l'illustration routing-lookup-multi-hop-network-path.png

routage-lookup-multi-hop-network-path-oracle.zip

Dans cet exemple, l'image présente le chemin d'acheminement entre un réseau sur place 10.254.0.0/16 et un sous-réseau VCN 10.1.1.0/24. Le routage local par défaut dans le VCN est utilisé pour simplifier. Pour obtenir la connectivité de routage de bout en bout, il existe plusieurs tables de routage DRG et tables de routage de VCN utilisées à différents points pour la consultation de routage pour chaque direction :

  • Table de routage DRG pour ATT-VC

    Table de routage DRG pour l'attachement de VC OCI FastConnect : Achemine le trafic du réseau sur place vers VCN-1.

  • Table de routage DRG pour ATT-VCN-1

    La table de routage DRG pour l'attachement VCN-1 : Achemine le trafic de VCN-1 vers le réseau sur place.

  • Table de routage de VCN pour l'attachement de DRG

    Table de routage de VCN pour l'attachement de DRG dans le VCN : Routage entrant de VCN au moyen de la DRG dans VCN-1.

    Si aucune table de routage spécifiée par l'utilisateur n'est associée à l'attachement de passerelle de routage dynamique dans le VCN, la route locale par défaut pour les blocs CIDR du VCN est utilisée. Autrement dit, la passerelle DRG acheminera le trafic directement vers les destinations du VCN. Il s'agit de la route locale implicite du VCN et elle est invisible pour les utilisateurs.

  • Table de routage de sous-réseau

    Table de routage de VCN pour le sous-réseau 10.1.1.0/24 : Achemine le trafic du sous-réseau VCN-1 vers la passerelle DRG.

L'image suivante présente le routage du trafic de VCN-1 vers le réseau sur place.

Une description de traffic-route-vcn-prem.png suit
Description de l'illustration traffic-route-vcn-prem.png

trafic-route-vcn-prem-oracle.zip

Dans cet exemple, la table de routage du sous-réseau VCN et la table de routage DRG pour l'attachement VCN-1 acheminent le trafic d'une ressource du sous-réseau VCN-1 vers une ressource du réseau sur place.

L'image suivante présente la table de routage DRG pour l'attachement de VC OCI FastConnect :

Une description de traffic-route-prem-vcn.png suit
Description de l'illustration traffic-route-prem-vcn.png

trafic-route-prem-vcn-oracle.zip

Dans cet exemple, la table de routage de VCN associée à l'attachement de passerelle DRG dans le VCN pour le routage entrant de passerelle DRG achemine le trafic de la ressource sur place vers une ressource du sous-réseau VCN-1.