1. Découvrir les solutions de passerelle de routage dynamique
  2. Découvrir les solutions de passerelle de routage dynamique

Découvrir les solutions de passerelle de routage dynamique

Utilisez ce document de référence pour en savoir plus sur le routage de réseau virtuel Oracle Cloud Infrastructure (OCI). Il déchiffre le routage IPv4 dans les réseaux cloud OCI et introduit des fonctions de routage OCI de base. Il fournit également des cas d'utilisation standard dans différents scénarios de déploiement, ce qui est utile si vous devez concevoir, utiliser ou dépanner des réseaux virtuels OCI.

OCI propose une solution de réseau virtuel défini par logiciel. Un réseau OCI se compose de réseaux cloud virtuels, de sous-réseaux, de passerelles réseau, d'appliances virtuelles de service réseau L4-7 natives OCI ou 3e partie, etc. Le routage est la fonction principale permettant d'établir la connectivité réseau entre les éléments d'un réseau OCI, ou entre un réseau OCI et des réseaux sur site ou d'autres réseaux cloud.

L'accessibilité totale du réseau nécessite une connectivité réseau obtenue grâce à des stratégies de routage et de sécurité réseau appropriées gérées via des listes de sécurité ou des groupes de sécurité réseau, ou des stratégies sur des appliances de pare-feu réseau. Ce document se concentre uniquement sur les fonctions et les conceptions de routage, il ne traite pas de la gestion des stratégies de sécurité réseau.

OCI utilise les mêmes mécanismes de routage pour IPv4 et IPv6. Toutefois, vous devez ajouter des considérations uniques à une conception de réseau IPv6. Par exemple, les différentes portées des adresses IPv6 et le fait que le routage Internet IPv6 ne passe pas par NATing. Bien que les mêmes théories s'appliquent au routage IPv4 et IPv6, les discussions et les exemples ici se concentrent sur le routage IPv4.

A propos du routage DRG

Une passerelle de routage dynamique (DRG) est un routeur virtuel régional qui interconnecte les réseaux cloud virtuels d'une région et les connecte aux réseaux sur site via des circuits virtuels Oracle Cloud Infrastructure FastConnect ou des tunnels VPN IPSec. Elle fournit également une connectivité réseau entre les régions via une connexion d'appairage à distance.

Un DRG agit comme un hub central pour connecter les ressources réseau qui lui sont attachées. Les ressources réseau peuvent être des réseaux cloud virtuels, des tunnels VPN IPSec site à site, des circuits virtuels OCI FastConnect ou RPC. Lorsqu'une ressource réseau est attachée à un DRG, une attachement du type correspondant est créée :
  • Attachement de réseau cloud virtuel (attachement VCN) : lorsqu'un VCN est attaché au DRG
  • Attachement de circuit virtuel : lorsqu'un circuit virtuel OCI FastConnect est attaché au DRG
  • IPSec Attachement de tunnel : lorsqu'un tunnel IPSec est attaché au DRG
  • Attachement de connexion d'appairage à distance (attachement RPC) : lorsqu'un RPC est attaché au DRG
Le service DRG achemine le trafic entre les attachements à l'aide des tables de routage DRG. Chaque pièce jointe est associée à une table de routage DRG. Le trafic entre dans DRG à partir d'une attachement et est acheminé vers une autre attachement par le DRG en fonction de la table de routage DRG associée à l'attachement entrant du trafic.

Tables de routage sur DRG

Une passerelle de routage dynamique (DRG) utilise des tables de routage DRG pour acheminer le trafic entre ses attachements. OCI génère automatiquement deux tables de routage pour chaque DRG, une pour les attachements VCN et la seconde pour les attachements IPSec, OCI FastConnect de circuit virtuel et de connexion d'appairage à distance. Vous pouvez créer d'autres tables de routage DRG.
Les règles de routage d'une table de routage DRG contiennent les champs suivants :
  • Type : Le type de route peut être dynamique ou statique. Les routages dynamiques sont importés à partir des attachements DRG. Vous pouvez utiliser la console ou l'API OCI pour créer des routages statiques.
  • CIDR de destination : CIDR de destination.
  • Type d'attachement de saut suivant : le saut suivant d'une règle de routage dans une table de routage DRG est l'attachement DRG du réseau sur lequel réside la destination ou en route vers la destination. La pièce jointe peut être une pièce jointe VCN, une pièce jointe RPC inter-régionale ou une pièce jointe RPC inter-location. Il ne peut pas s'agir d'une attachement VPN ou d'une attachement de circuit virtuel OCI FastConnect.
  • Next Hop Attachment Name : nom de l'attachement.
  • Statut du routage : Statut.
Voici un exemple du contenu d'une table de routage DRG.
Type CIDR de destination Type d'attachement de saut suivant Nom de l'attachement de saut suivant Statut du routage
Dynamisme 0.0.0.0/0 Réseau cloud virtuel Att. DRG-1-VCN-0 Actif
Dynamisme 10.0.0.0/8 Tunnel IPsec Attachement DRG pour le tunnel IPSec : tunnel IPSec vers sur site 2 Actif
Dynamisme 10.0.0.0/16 Réseau cloud virtuel Pièce jointe DRG 1 à VCN 0 Actif
Dynamisme 21.0.1.0/24 Connexion d'appairage à distance Pièce jointe DRG pour RPC : RPC vers SJC-DRG-1 (us-west-1 San Jose-DRG-1) Actif

Chaque attachement DRG est associé à une table de routage DRG. Par défaut, il s'agit de la table de routage DRG générée automatiquement pour le type de pièce jointe. Vous pouvez la remplacer par une table de routage DRG créée par l'utilisateur.

Lorsque le trafic passe sur un DRG, le DRG effectue une recherche de routage entrant en fonction de la table de routage DRG associée à l'attachement entrant du trafic. La recherche de routage résout la pièce jointe du saut suivant (la pièce jointe sortante). Le DRG envoie le trafic vers l'attachement de sortie via lequel le trafic atteindra le réseau de saut suivant. Il n'y a pas de recherche de routage à la pièce jointe sortante sur le DRG.

Préférence de routage dans la table de routage DRG

Il est possible que plusieurs routages pour le même préfixe et le même masque apparaissent dans une table de routage DRG. La passerelle de routage dynamique dispose d'un mécanisme intégré pour résoudre ces conflits de routage. La décision est prise en fonction de la préférence de routage suivante et est évaluée dans l'ordre suivant :
  1. Dans une table de routage DRG, les routages statiques ont une préférence plus élevée que les routages dynamiques.
  2. Parmi les routes dynamiques d'une table de routage DRG, les routes avec un chemin AS plus court sont préférées aux routes avec un chemin AS plus long.

    Remarques :

    Les routages dont la source de routage est VCN ou STATIC ont toujours un chemin AS vide. Les routages avec une source de routage de tunnel VPN IPSec ou de circuit virtuel OCI FastConnect auront les chemins AS affichés dans le tableau suivant.
    Source du routage Détails de la façon dont Oracle préfère le chemin Chemin AS résultant pour le routage
    OCI FastConnect OCI n'ajoute aucun numéro ASN aux routages. Il en résulte une longueur totale de chemin AS de 1. Avis d'expédition client
    VPN site à site avec routage BGP (Border Gateway Protocol) OCI ajoute un seul numéro ASN privé au début de tous les routages publiés par l'appareil en périphérie client sur un VPN site à site avec BGP (longueur totale de chemin AS : 2).

    Numéro ASN privé,

    Avis d'expédition client
    VPN site à site avec routage statique OCI utilise ces routages statiques vers DRG en tant que routages dynamiques BGP. OCI ajoute 3 ASN privés au début de ces acheminements. Il en résulte une longueur totale de chemin AS de 3.

    Numéro ASN privé,

    Numéro ASN privé,

    Numéro ASN privé
  3. Le type d'attachement qui a importé la route est évalué en fonction de la priorité suivante en fonction du type d'attachement :
    1. VCN
    2. VIRTUAL_CIRCUIT : si le routage à chemins multiples à coût égal (ECMP) est désactivé pour la table de routage DRG, le DRG effectue une sélection arbitraire mais stable. Si ECMP est activé, toutes les routes sont ajoutées à la table de routage et le DRG effectue des choix de routage à l'aide d'ECMP. La largeur ECMP maximale prise en charge dans un DRG est de 8.
    3. IPSEC_TUNNEL : si ECMP est désactivé pour la table de routage DRG, le DRG effectue une sélection arbitraire mais stable. Si ECMP est activé, toutes les routes sont ajoutées à la table de routage et le DRG effectue des choix de routage à l'aide d'ECMP. La largeur ECMP maximale prise en charge dans un DRG est de 8.
    4. REMOTE_PEERING_CONNECTION (RPC) : le DRG choisit la route avec la distance réseau la plus faible.

    Si deux routes ont des distances réseau identiques, le DRG sélectionne la route avec la source de route la plus prioritaire (STATIC > VCN > VIRTUAL_CIRCUIT > IPSEC_TUNNEL).

    Si deux routes ont la même source de route, le DRG effectue une sélection arbitraire mais stable.

  4. Si des routages en conflit sont importés à partir d'associations du même type, le conflit est résolu différemment selon le type d'association :
    • Pièces jointes VCN : si des CIDR identiques sont importés à partir de deux pièces jointes VCN, une seule est sélectionnée à l'aide d'une procédure de décision arbitraire mais stable.
    • Attachements VIRTUAL_CIRCUIT et IPSEC_TUNNEL : si plusieurs routages ayant le même CIDR et des longueurs AS_PATH différentes sont importés dans une table de routage DRG, le routage ayant la longueur AS_PATH la plus faible est sélectionné. Sinon, un routage est choisi à l'aide d'une procédure de décision arbitraire mais stable.
    • Pièces jointes de connexion d'appairage à distance : si des CIDR identiques sont importés à partir de deux pièces jointes de connexion d'appairage à distance, l'une d'elles est choisie à l'aide d'une procédure de décision arbitraire et stable.

Propagation de routage et contrôle de distribution de routage d'import sur DRG

Vous pouvez attacher des ressources réseau, telles que des réseaux cloud virtuels, des circuits virtuels OCI FastConnect ou des tunnels VPN IPSec à une passerelle de routage dynamique (DRG). Les routes associées à ces ressources réseau sont propagées vers le DRG. Utilisez une stratégie de distribution de routage d'import pour les importer dans une table de routage DRG en tant que routages dynamiques.

Propagation de routage sur DRG

Les routes suivantes sont associées à la ressource réseau de chaque type d'attachement de DRG et sont propagées vers le DRG :

  • Pièce jointe VCN

    Les routes dans la table de routage VCN qui est associée à l'attachement DRG dans le VCN, et les CIDR de VCN ainsi que ses CIDR de sous-réseau. Une fois qu'un VCN est attaché à un DRG, le DRG est représenté comme un attachement DRG dans le VCN. Une table de routage du VCN peut être associée à l'attachement DRG pour le routage entrant VCN via le DRG. Ce sont les routes de cette table de routage VCN qui sont propagées vers le DRG. Si une table de routage VCN n'est pas associée à l'attachement de DRG, seuls les CIDR de VCN et ses CIDR de sous-réseau sont propagés vers le DRG.

    Lorsque ces routes sont importées dans une table de routage DRG, cette attachement VCN sera l'attachement de saut suivant dans les routes.

  • Attachement de tunnel IPSec

    Routages annoncés par le CPE (Customer Premise Equipment) IPSec lorsque le routage dynamique BGP (Border Gateway Protocol) est utilisé sur la connexion IPSec ou les routages statiques configurés si le routage statique est utilisé sur la connexion IPSec.

    Lorsque ces routages sont importés vers une table de routage DRG en tant que routages dynamiques, l'attachement de tunnel IPSec est l'attachement de saut suivant pour les routages.

  • Pièce jointe de rémunération variable

    Routages publiés par le CPE OCI FastConnect via BGP.

    Lorsque ces routages sont importés dans une table de routage DRG, l'attachement de rémunération variable est l'attachement de saut suivant dans les routages.

  • Attachement de connexion d'appairage à distance

    Tous les routages de la table de routage DRG associés à l'attachement RPC du DRG distant seront propagés vers le DRG local.

    Lorsque ces routages sont importés vers une table de routage DRG locale, l'attachement RPC constitue le saut suivant pour les routages.

Contrôle de distribution de routage d'import sur DRG

Pour une table de routage DRG donnée, vous pouvez créer et appliquer une stratégie de distribution de routage d'import pour contrôler les routages importés vers la table de routage. Vous pouvez faire correspondre par type de pièce jointe (par exemple, faire correspondre toutes les pièces jointes VCN), une pièce jointe spécifique ou faire correspondre toutes les pièces jointes.

La table de routage DRG générée automatiquement pour les pièces jointes VCN a une distribution de routage d'import par défaut qui a une correspondance avec toutes les instructions pour importer des routes à partir de toutes les pièces jointes DRG

La table de routage DRG générée automatiquement pour les pièces jointes IPSec, OCI FastConnect VC et RPC a une distribution de routage d'import par défaut qui a une instruction VCN de type correspondance pour importer uniquement les routes à partir de toutes les pièces jointes VCN.

Remarques :

Cette stratégie de distribution d'import par défaut n'importe pas les routages propagés par d'autres types de pièce jointe dans cette table de routage DRG.

Si vous utilisez la table de routage DRG générée automatiquement pour tous vos attachements VCN, vous obtiendrez une connectivité de routage entièrement maillée entre vos réseaux cloud virtuels, et tous vos réseaux cloud virtuels disposeront de routages pour atteindre tous vos réseaux sur site et réseaux cloud virtuels dans la région distante.

Si vous souhaitez établir une connectivité de routage plus restreinte ou créer une segmentation de routage dans votre réseau, vous pouvez utiliser des tables de routage DRG distinctes avec différentes stratégies de distribution de routage d'import pour différents attachements DRG. Par exemple, nous avons créé 3 segments de routage sur le même DRG en utilisant différentes tables de routage DRG et différentes distributions de routage d'import pour les réseaux cloud virtuels :

  • Une connectivité entièrement maillée entre VCN-1, VCN-2 et VCN-3
  • Connectivité entre VCN-4 et VCN-5
  • Connectivité entre le VCN-6 et les réseaux sur site

L'image suivante est un exemple de contrôle de distribution de routage d'import DRG.Description de drg-import-route-distribution-control.png
Description de l'illustration drg-import-route-distribution-control.png

drg-import-route-distribution-control-oracle.zip

Bien que, par défaut, toutes les pièces jointes utilisent la table de routage DRG générée automatiquement pour son type, les conceptions de réseau réelles nécessitent souvent des pièces jointes du même type pour avoir des règles de routage et des stratégies de distribution d'import de routage différentes. Il est recommandé de créer des tables de routage DRG distinctes pour ces pièces jointes.

Opération de routage DRG

Une passerelle de routage dynamique (DRG) achemine le trafic entre ses attachements. Pour un flux de trafic donné, il existe un attachement entrant et un attachement sortant sur le DRG.

Le DRG utilise un modèle de routage entrant lorsque le trafic entre dans le DRG via l'attachement entrant. Le DRG utilise la table de routage DRG associée à l'attachement entrant pour décider de l'emplacement du trafic. Si un routage pour la destination existe dans la table de routage DRG de l'attachement entrant, le saut suivant du routage doit être un autre attachement sur le DRG. Il peut s'agir d'un attachement VCN (si la destination se trouve dans un VCN), d'un attachement IPSec ou de circuit virtuel (si la destination se trouve dans un réseau sur site connecté au DRG via des tunnels IPSec ou OCI FastConnect), ou d'un attachement RPC (si la destination se trouve dans une région distante). S'il n'existe aucun routage correspondant pour la destination, le trafic est supprimé.

L'image suivante est un exemple d'opération de routage DRG.

Description de drg-routing-operation.png
Description de l'illustration drg-routing-operation.png

drg-routage-opération-oracle.zip

Cet exemple montre la recherche de routage DRG pour le trafic provenant de la pièce jointe 1 et qui est dirigé vers un réseau de destination sur la pièce jointe 2. La recherche de routage a lieu dans la table de routage DRG de la pièce jointe entrante (pièce jointe-1). La table de routage comporte une règle de routage pour la destination avec la pièce jointe sortante (pièce jointe-2) comme pièce jointe du saut suivant.

Etant donné que l'attachement DRG est une connexion point à point logique entre le DRG et la ressource réseau derrière l'attachement, le DRG n'a pas besoin d'effectuer une autre recherche de routage sur l'attachement sortant, il transmet simplement le trafic à la ressource réseau suivante via l'attachement. La ressource réseau suivante peut être un VCN, ou le périphérique de routage de l'autre côté d'un tunnel IPSec, d'un circuit virtuel OCI FastConnect ou d'un DRG dans une région distante. Il appartient à la ressource suivante d'effectuer sa propre recherche de routage pour décider où transférer le trafic. Par exemple, si l'attachement du saut suivant est un attachement de rémunération variable, le DRG acheminera le trafic via le circuit virtuel OCI FastConnect. Le dispositif de routage de l'autre extrémité du circuit virtuel effectue son propre routage lors de la réception du trafic. Si le prochain saut est un attachement VCN, le routage entrant VCN via le DRG a lieu.

L'image suivante illustre le processus de recherche de routage le long d'un chemin réseau à sauts multiples.

Description de l'image routing-lookup-multi-hop-network-path.png
Description de l'illustration routing-lookup-multi-hop-network-path.png

routing-lookup-multi-hop-network-path-oracle.zip

Dans cet exemple, l'image montre le chemin de routage entre un réseau sur site 10.254.0.0/16 et un sous-réseau VCN 10.1.1.0/24. Le routage local par défaut dans le VCN est utilisé pour plus de simplicité. Pour obtenir la connectivité de routage de bout en bout, plusieurs tables de routage DRG et tables de routage VCN sont utilisées à différents points pour la recherche de routage pour chaque direction :

  • Table de routage DRG pour ATT-VC

    La table de routage DRG pour l'attachement de rémunération variable OCI FastConnect : achemine le trafic du réseau sur site vers le VCN-1.

  • Table de routage DRG pour ATT-VCN-1

    La table de routage DRG pour l'attachement VCN-1 : achemine le trafic de VCN-1 vers le réseau sur site.

  • Table de routage VCN pour la pièce jointe DRG

    La table de routage VCN pour l'attachement DRG dans le routage entrant VCN : VCN via le routage DRG vers VCN-1.

    Si aucune table de routage spécifiée par l'utilisateur n'est associée à l'attachement de DRG dans le VCN, la route locale par défaut pour les CIDR de VCN est utilisée. Autrement dit, le DRG acheminera le trafic directement vers les destinations du VCN. Il s'agit de la route locale implicite du VCN et est invisible pour les utilisateurs.

  • Table de routage de sous-réseau

    La table de routage VCN pour le sous-réseau 10.1.1.0/24 : achemine le trafic du sous-réseau VCN-1 vers le DRG.

L'image suivante montre le routage du trafic de VCN-1 vers le réseau sur site.

Description de l'image traffic-route-vcn-prem.png
Description de l'illustration traffic-route-vcn-prem.png

traffic-route-vcn-prem-oracle.zip

Dans cet exemple, la table de routage du sous-réseau VCN et la table de routage DRG pour l'attachement VCN-1 acheminent le trafic d'une ressource du sous-réseau VCN-1 vers une ressource du réseau sur site.

L'image suivante présente la table de routage DRG pour l'attachement de rémunération variable OCI FastConnect :

Description de l'image traffic-route-prem-vcn.png
Description de l'illustration traffic-route-prem-vcn.png

traffic-route-prem-vcn-oracle.zip

Dans cet exemple, la table de routage VCN associée à l'attachement DRG dans le VCN pour le routage entrant DRG achemine le trafic de la ressource sur site vers une ressource dans le sous-réseau VCN-1.