1. Informazioni sulle soluzioni dynamic routing gateway
  2. Informazioni sulle soluzioni Dynamic Routing Gateway

Informazioni sulle soluzioni Dynamic Routing Gateway

Utilizza questo documento di riferimento per ulteriori informazioni sull'instradamento della rete virtuale Oracle Cloud Infrastructure (OCI). Decifra l'instradamento IPv4 nelle reti cloud OCI e introduce funzioni di instradamento OCI di base. Fornisce inoltre casi d'uso tipici in diversi scenari di distribuzione, il che è utile se è necessario progettare, gestire o risolvere i problemi delle reti virtuali OCI.

OCI offre una soluzione di rete virtuale definita dal software. Una rete OCI è costituita da reti cloud virtuali (VCN), subnet, gateway di rete, appliance virtuali del servizio di rete L4-7 nativa OCI o 3a parte e così via. L'instradamento è la funzione di base per stabilire la connettività di rete tra gli elementi di una rete OCI o tra una rete OCI e reti on premise o altre reti cloud.

La piena raggiungibilità della rete richiede la connettività di rete ottenuta mediante criteri di instradamento e sicurezza di rete appropriati gestiti tramite liste di sicurezza o gruppi di sicurezza di rete o criteri sulle appliance firewall di rete. Questo documento si concentra esclusivamente sulle funzioni di routing e design, non discute la gestione delle politiche di sicurezza della rete.

OCI utilizza gli stessi meccanismi di instradamento sia per IPv4 che per IPv6. Tuttavia, è necessario aggiungere considerazioni univoche a una progettazione di rete IPv6. Ad esempio, i diversi ambiti degli indirizzi IPv6 e il fatto che IPv6 Internet Routing non passa attraverso NATing. Mentre le stesse teorie si applicano all'instradamento IPv4 e IPv6, le discussioni e gli esempi qui si concentrano sull'instradamento IPv4.

Informazioni sull'instradamento DRG

Un gateway di instradamento dinamico (DRG) è un router virtuale regionale che interconnette le reti VCN in un'area e connette le reti VCN con reti on premise tramite circuiti virtuali Oracle Cloud Infrastructure FastConnect o tunnel IPSec VPN. Fornisce inoltre la connettività di rete tra le aree mediante una connessione RPC (Remote Peering Connection).

Un DRG agisce come un hub centrale per connettere le risorse di rete ad esso collegate. Le risorse di rete possono essere VCN, tunnel IPSec VPN site-to-site, circuiti virtuali OCI FastConnect o RPC. Quando una risorsa di rete è collegata a un DRG, viene creato un collegamento del tipo corrispondente:
  • Collegamento alla rete cloud virtuale (collegamento VCN): quando una VCN è collegata al DRG
  • Collegamento al circuito virtuale (collegamentoVC): quando un circuito virtuale OCI FastConnect è collegato al DRG
  • Collegamento del tunnel IPSec: quando un tunnel IPSec è collegato al DRG
  • Collegamento alla connessione peering remoto (collegamento RPC): quando un RPC è collegato al DRG
Il DRG instrada il traffico tra i collegamenti utilizzando le tabelle di instradamento DRG. Ogni collegamento è associato a una tabella di instradamento DRG. Il traffico immette il gateway DRG da un collegamento e viene instradato a un altro collegamento dal gateway DRG in base alla tabella di instradamento DRG associata al collegamento in entrata del traffico.

Tabelle di instradamento su DRG

Un gateway di instradamento dinamico (DRG) utilizza le tabelle di instradamento DRG per instradare il traffico tra i relativi collegamenti. OCI genera automaticamente due tabelle di instradamento per ogni DRG, una per i collegamenti VCN e la seconda per i collegamenti IPSec, OCI FastConnect e RPC (Remote Peering Connection). È possibile creare più tabelle di instradamento DRG.
Le regole di instradamento in una tabella di instradamento DRG contengono i campi riportati di seguito.
  • Tipo: il tipo di instradamento può essere dinamico o statico. Gli instradamenti dinamici vengono importati dai collegamenti DRG. Puoi utilizzare OCI Console o API per creare instradamenti statici.
  • CIDR di destinazione: il CIDR di destinazione.
  • Tipo di collegamento hop successivo: l'hop successivo di una regola di instradamento in una tabella di instradamento DRG è il collegamento DRG della rete in cui risiede la destinazione o nell'instradamento alla destinazione. Il collegamento può essere un collegamento VCN, un collegamento RPC tra più aree o un collegamento RPC tra più tenancy. Non può essere un collegamento VPN o un collegamento al circuito virtuale OCI FastConnect.
  • Nome collegamento hop successivo: il nome dell'allegato.
  • Stato instradamento: stato.
Di seguito è riportato un esempio del contenuto di una tabella di instradamento DRG.
Type CIDR di destinazione Tipo di collegamento hop successivo Nome collegamento hop successivo Stato instradamento
Dinamica 0.0.0.0/0 Rete cloud virtuale (VCN) Att-DRG-1-VCN-0 Attiva
Dinamica 10.0.0.0/8 Tunnel IPSec Collegamento DRG per il tunnel IPSec: dal tunnel IPSec all'on premise 2 Attiva
Dinamica 10.0.0.0/16 Rete cloud virtuale Collegamento di DRG 1 alla VCN 0 Attiva
Dinamica 21.0.1.0/24 Connessione peering remoto Collegamento DRG per RPC: da RPC a SJC-DRG-1 (us-west-1 San Jose-DRG-1) Attiva

A ogni collegamento DRG è associata una tabella di instradamento DRG. Per impostazione predefinita, si tratta della tabella di instradamento DRG generata automaticamente per il tipo di collegamento. È possibile modificarla in una tabella di instradamento DRG creata dall'utente.

Quando il traffico arriva su un DRG, il DRG esegue la ricerca dell'instradamento in entrata in base alla tabella di instradamento DRG associata al collegamento in entrata del traffico. La ricerca di instradamento risolve il collegamento next-hop (l'allegato in uscita). Il DRG invia il traffico al collegamento di uscita attraverso il quale il traffico arriverà alla rete next-hop. Nessuna ricerca di instradamento nel collegamento di uscita nel DRG.

Preferenza di instradamento nella tabella di instradamento DRG

È possibile che più instradamenti per lo stesso prefisso e la stessa maschera vengano visualizzati in una tabella di instradamento DRG. Il gateway di instradamento dinamico dispone di un meccanismo integrato per risolvere tali conflitti di instradamento. La decisione viene presa in base alla seguente preferenza di instradamento e viene valutata nel seguente ordine:
  1. In una tabella di instradamento DRG gli instradamenti statici hanno una preferenza maggiore rispetto agli instradamenti dinamici.
  2. Tra gli instradamenti dinamici in una tabella di instradamento DRG, gli instradamenti con percorso AS più breve sono preferiti rispetto agli instradamenti con percorso AS più lungo.

    Nota

    Gli instradamenti con un'origine instradamento di VCN o STATIC hanno sempre un percorso AS vuoto. Gli instradamenti con un'origine di instradamento del tunnel IPSec VPN o del circuito virtuale OCI FastConnect avranno i percorsi AS mostrati nella tabella riportata di seguito.
    Origine instradamento Dettagli su come Oracle preferisce il percorso Percorso AS risultante per il percorso
    OCI FastConnect OCI non antepone ASN agli instradamenti. Ciò comporta una lunghezza totale del percorso AS pari a 1. ASN cliente
    VPN da sito a sito con instradamento BGP (Border Gateway Protocol) OCI antepone un singolo ASN privato a tutti gli instradamenti che il dispositivo edge del cliente pubblicizza tramite una VPN da sito a sito con BGP, per una lunghezza totale del percorso AS di 2.

    ASN privato,

    ASN cliente
    VPN da sito a sito con instradamento statico OCI comunica tali instradamenti statici al DRG come instradamenti dinamici BGP. OCI antepone 3 ASN privati su questi percorsi. Ciò comporta una lunghezza totale del percorso AS pari a 3.

    ASN privato,

    ASN privato,

    ASN privato
  3. Il tipo di allegato che ha importato l'instradamento viene valutato in base alla seguente priorità in base al tipo di allegato:
    1. VCN
    2. VIRTUAL_CIRCUIT: se ECMP (Equal-cost multi-path routing) è disabilitato per la tabella di instradamento DRG, il DRG esegue una selezione arbitraria ma stabile. Se ECMP è abilitato, tutti gli instradamenti vengono aggiunti alla tabella di instradamento e il DRG effettua le scelte di instradamento utilizzando ECMP. La larghezza ECMP massima supportata all'interno di un DRG è 8.
    3. IPSEC_TUNNEL: se ECMP è disabilitato per la tabella di instradamento DRG, il DRG effettua una selezione arbitraria ma stabile. Se ECMP è abilitato, tutti gli instradamenti verranno aggiunti alla tabella di instradamento e il DRG effettuerà le scelte di instradamento utilizzando ECMP. La larghezza ECMP massima supportata all'interno di un DRG è 8.
    4. REMOTE_PEERING_CONNECTION (RPC): il DRG sceglierà l'instradamento con la distanza di rete più bassa.

    Se due instradamenti hanno distanze di rete identiche, il DRG seleziona l'instradamento con l'origine di instradamento con la priorità più alta (STATIC > VCN > VIRTUAL_CIRCUIT> IPSEC_TUNNEL).

    Se due instradamenti hanno la stessa origine di instradamento, il DRG effettua una selezione arbitraria ma stabile.

  4. Se vengono importati instradamenti in conflitto da allegati dello stesso tipo, il conflitto viene risolto in modo diverso a seconda del tipo di allegato:
    • Collegamenti a VCN: se i CIDR identici vengono importati da due collegamenti VCN, ne viene selezionato uno solo utilizzando una procedura decisionale arbitraria ma stabile.
    • Collegamenti VIRTUAL_CIRCUIT e IPSEC_TUNNEL: se in una tabella di instradamento DRG vengono importati più instradamenti con lo stesso CIDR e lunghezze AS_PATH diverse, viene selezionato l'instradamento con la lunghezza AS_PATH minima. In caso contrario, un percorso viene scelto utilizzando una procedura decisionale arbitraria ma stabile.
    • Collegamenti RPC: se i CIDR identici vengono importati da due collegamenti RPC, uno di essi viene scelto utilizzando una procedura decisionale stabile arbitraria.

Instrada propagazione e importa controllo distribuzione instradamento su DRG

Puoi collegare le risorse di rete, come le VCN, i circuiti virtuali OCI FastConnect o i tunnel IPSec VPN a un gateway di instradamento dinamico (DRG). Gli instradamenti associati a queste risorse di rete vengono propagati al DRG. Utilizzare un criterio di importazione distribuzione instradamenti per importarli in una tabella di instradamento DRG come instradamenti dinamici.

Propagazione instradamento su DRG

Di seguito sono riportati gli instradamenti associati alla risorsa di rete di ciascun tipo di collegamento DRG e che vengono propagati al DRG.

  • Collegamento a VCN

    Gli instradamenti nella tabella di instradamento della VCN associati al collegamento DRG nella VCN, ai CIDR della VCN e ai relativi CIDR della subnet. Dopo aver collegato una VCN a un gateway DRG, il gateway DRG viene rappresentato come collegamento DRG nella VCN. Una tabella di instradamento della VCN può essere associata al collegamento DRG per l'instradamento in entrata della VCN tramite il gateway DRG. Sono gli instradamenti in questa tabella di instradamento VCN che vengono propagati al DRG. Se una tabella di instradamento VCN non è associata al collegamento DRG, solo i CIDR VCN e i relativi CIDR subnet vengono propagati al DRG.

    Quando questi instradamenti vengono importati in una tabella di instradamento DRG, questo collegamento VCN sarà il collegamento next-hop negli instradamenti.

  • Collegamento tunnel IPSec

    Gli instradamenti pubblicati dall'apparecchiatura locale del cliente IPSec (CPE) quando l'instradamento dinamico del protocollo BGP (Border Gateway Protocol) viene utilizzato nella connessione IPSec o negli instradamenti statici configurati se l'instradamento statico viene utilizzato nella connessione IPSec.

    Quando questi instradamenti vengono importati in una tabella di instradamento DRG come instradamenti dinamici, il collegamento del tunnel IPSec sarà il collegamento del percorso successivo per gli instradamenti.

  • Allegato VC

    Gli instradamenti pubblicati dal CPE OCI FastConnect tramite BGP.

    Quando questi instradamenti vengono importati in una tabella di instradamento DRG, il collegamento VC è il collegamento next-hop negli instradamenti.

  • Allegato RPC

    Tutti gli instradamenti nella tabella di instradamento DRG associati al collegamento RPC del DRG remoto verranno propagati al DRG locale.

    Quando questi instradamenti vengono importati in una tabella di instradamento DRG locale, il collegamento RPC sarà la scelta successiva per gli instradamenti.

Importa controllo distribuzione instradamento su DRG

Per una determinata tabella di instradamento DRG, è possibile creare e applicare un criterio di importazione distribuzione instradamenti per controllare quali instradamenti vengono importati nella tabella di instradamento. È possibile trovare una corrispondenza in base al tipo di collegamento (ad esempio, abbinare tutti i collegamenti VCN), a un collegamento specifico o a tutti.

La tabella di instradamento DRG generata automaticamente per i collegamenti VCN dispone di una distribuzione di instradamento di importazione predefinita che ha una corrispondenza con tutte le istruzioni per importare gli instradamenti da tutti i collegamenti DRG

La tabella di instradamento DRG generata automaticamente per i collegamenti IPSec, OCI FastConnect VC e RPC dispone di una distribuzione di instradamento importazione predefinita con un'istruzione VCN di tipo corrispondenza per importare solo gli instradamenti da tutti i collegamenti VCN.

Nota

Questo criterio di importazione distribuzione predefinito non importa gli instradamenti propagati da altri tipi di collegamento in questa tabella di instradamento DRG.

Se utilizzi la tabella di instradamento DRG generata automaticamente per tutti i collegamenti VCN, otterrai una connettività di instradamento completamente mesh tra le tue VCN e tutte le tue VCN disporranno di instradamenti per raggiungere tutte le tue reti e VCN on premise nell'area remota.

Se si desidera stabilire una connettività di instradamento più limitata o creare la segmentazione dell'instradamento nella rete, è possibile utilizzare tabelle di instradamento DRG separate con criteri di distribuzione dell'instradamento di importazione diversi per collegamenti DRG diversi. Ad esempio, abbiamo creato 3 segmenti di instradamento sullo stesso DRG utilizzando tabelle di instradamento DRG diverse e distribuzioni di instradamento di importazione diverse per i VCN:

  • Una connettività completamente mesh tra VCN-1, VCN-2 e VCN-3
  • Connettività tra la VCN-4 e la VCN-5
  • Connettività tra la rete VCN-6 e le reti on premise

L'immagine seguente mostra un esempio di controllo della distribuzione dei percorsi di importazione DRG.Descrizione di drg-import-route-distribution-control.png
Descrizione dell'immagine drg-import-route-distribution-control.png

drg-import-route-distribution-control-oracle.zip

Sebbene per impostazione predefinita, tutti i collegamenti utilizzino la tabella di instradamento DRG generata automaticamente per il relativo tipo, i progetti di rete reali spesso richiedono alcuni collegamenti dello stesso tipo per avere regole di instradamento e criteri di distribuzione di importazione di instradamento diversi. È consigliabile creare tabelle di instradamento DRG separate per questi collegamenti.

Operazione di instradamento DRG

Un gateway di instradamento dinamico (DRG) instrada il traffico tra i relativi collegamenti. Per un determinato flusso di traffico sono disponibili un collegamento in entrata e un collegamento in uscita nel gateway DRG.

Il DRG utilizza un modello di instradamento in entrata quando il traffico entra nel DRG tramite il collegamento in entrata. Il DRG utilizza la tabella di instradamento DRG associata al collegamento in entrata per decidere dove va il traffico. Se nella tabella di instradamento DRG del collegamento in entrata esiste un instradamento per la destinazione, l'operazione successiva dell'instradamento deve essere un altro collegamento nel DRG. Potrebbe trattarsi di un collegamento VCN (se la destinazione si trova in una VCN), di un collegamento IPSec o a un circuito virtuale (se la destinazione si trova in una rete in locale connessa al DRG tramite tunnel IPSec o OCI FastConnect) oppure di un collegamento RPC (se la destinazione si trova in un'area remota). Se non esiste un percorso corrispondente per la destinazione, il traffico viene eliminato.

L'immagine seguente mostra un esempio di operazione di instradamento DRG.

Descrizione di drg-routing-operation.png
Descrizione dell'immagine drg-routing-operation.png

drg-routing-operazione-oracle.zip

Questo esempio mostra la ricerca dell'instradamento DRG per il traffico proveniente dall'allegato 1 e che passa a una rete di destinazione che si trova nell'allegato 2. La ricerca dell'instradamento viene eseguita nella tabella di instradamento DRG del collegamento in entrata (allegato-1). La tabella di instradamento dispone di una regola di instradamento per la destinazione con il collegamento in uscita (allegato 2) come collegamento del prossimo hop.

Poiché il collegamento DRG è una connessione point-to-point logica tra il DRG e la risorsa di rete dietro il collegamento, il DRG non deve eseguire un'altra ricerca di instradamento sul collegamento di uscita, ma solo inoltra il traffico alla risorsa di rete successiva tramite il collegamento. La risorsa di rete successiva potrebbe essere una VCN o un dispositivo di instradamento dall'altra parte di un tunnel IPSec o di un circuito virtuale OCI FastConnect o un DRG in un'area remota. Spetta alla risorsa successiva eseguire la propria ricerca di instradamento per decidere dove inoltrare il traffico. Ad esempio, se il collegamento next-hop è un collegamento VC, il gateway DRG instrada il traffico attraverso il circuito virtuale OCI FastConnect. Il dispositivo di routing all'altra estremità del circuito virtuale esegue il proprio routing al momento della ricezione del traffico. Se il next-hop è un collegamento VCN, viene eseguito l'instradamento in entrata della VCN attraverso il gateway DRG.

L'immagine seguente mostra il processo di ricerca dell'instradamento lungo un percorso di rete multi-hop.

Descrizione di routing-lookup-multi-hop-network-path.png
Descrizione dell'immagine routing-lookup-multi-hop-network-path.png

routing, ricerca, multi-hop, rete, percorso oracle.zip

In questo esempio, l'immagine mostra il percorso di instradamento tra una rete in locale 10.254.0.0/16 e una subnet VCN 10.1.1.0/24. Per semplicità viene utilizzato l'instradamento locale predefinito nella VCN. Per ottenere la connettività di instradamento end-to-end, sono disponibili più tabelle di instradamento DRG e tabelle di instradamento VCN utilizzate in punti diversi per la ricerca di instradamento per ogni direzione.

  • Tabella di instradamento del gateway DRG per ATT-VC

    La tabella di instradamento DRG per il collegamento VC OCI FastConnect: instrada il traffico dalla rete in locale alla rete VCN-1.

  • Tabella di instradamento DRG per ATT-VCN-1

    Tabella di instradamento DRG per il collegamento VCN-1: instrada il traffico dalla rete VCN-1 alla rete in locale.

  • Tabella di instradamento VCN per il collegamento DRG

    Tabella di instradamento VCN per il collegamento DRG nella VCN: instradamento in entrata della VCN tramite il gateway DRG nella VCN-1.

    Se non è stata specificata alcuna tabella di instradamento associata al collegamento DRG nella VCN, viene utilizzato l'instradamento locale predefinito per i CIDR della VCN. In altre parole, il gateway DRG instraderà il traffico direttamente alle destinazioni nella VCN. Si tratta dell'instradamento locale implicito della VCN che non è visibile agli utenti.

  • Tabella di instradamento subnet

    Tabella di instradamento della VCN per la subnet 10.1.1.0/24: instrada il traffico dalla subnet VCN-1 al DRG.

L'immagine riportata di seguito mostra l'instradamento del traffico dalla rete VCN-1 alla rete in locale.

Descrizione di traffic-route-vcn-prem.png
Descrizione dell'immagine traffic-route-vcn-prem.png

traffic-route-vcn-prem-oracle.zip

In questo esempio, la tabella di instradamento della subnet VCN e la tabella di instradamento DRG per il collegamento VCN-1 instradano il traffico da una risorsa nella subnet VCN-1 a una risorsa nella rete in locale.

L'immagine seguente mostra la tabella di instradamento DRG per il collegamento VC OCI FastConnect:

Descrizione del percorso del traffico in locale vcn.png
Descrizione dell'immagine traffic-route-prem-vcn.png

traffico-route-prem-vcn-oracle.zip

In questo esempio, la tabella di instradamento della VCN associata al collegamento DRG nella VCN per l'instradamento in entrata del DRG instrada il traffico dalla risorsa in locale a una risorsa nella subnet VCN-1.