クラシックなADC製品では、ルート管理は通常単一のグローバルテーブルに依存します。小規模のデプロイメントでは十分ですが、マルチテナント、マルチ部門、MSP、政府ネットワーク、DMZ/内部分離、またはデータセンター移行シナリオではすぐに限界に達します。
最初の問題はIPの重複です。異なる顧客、部門、環境が同じプライベートIPブロックを使用する場合があります。2つの別々のテナントが両方とも10.0.0.0/8を使用することは現実世界では非常に一般的です。単一のグローバルルートテーブルでは同じアプライアンス上でその2つのネットワークをクリーンに分離できません。
2つ目の問題は静的と動的ルーティングが別々のデバイスに分散していることです。ルーターがBGP/OSPFでルートを学習しながらADCが独自の静的テーブルを参照している場合、トラフィック決定の半分が一方のデバイスにあり、もう半分が別のデバイスにあります。これによりデバッグが大幅に長くなります — ADCが正しく転送しているか、ルーターが正しいルートを学習したか、リターンパスはどこから来るかをすべて個別に調査する必要があります。
3つ目の問題はデフォルトゲートウェイへの依存です。ゲートウェイは物理的にアップして見えながらアップストリームに到達できない場合があります。クラシックなセットアップではこれを検出しません。トラフィックは健全に見えるが実際には到達不能なゲートウェイに送り続けられます。
4つ目の問題はソースベースまたはポリシーベースルーティングの必要性です。一部のトラフィックはWAN1経由、一部はVPNトンネル経由、一部のテナントトラフィックは専用MPLSリンク経由、一部のサービスはインターネット出口経由でなければなりません。ADCがグローバルルートテーブルのみでこれを管理している場合、オペレーターはCLI、スクリプト、または外部ルーターに依存せざるを得ません。
TR7 ADCはルートテーブルモデルをADCの中心に置きます:すべてのテナントとネットワークゾーンが独自のルーティング決定を行い、静的ルート、動的ルート、ゲートウェイ監視、サービスフローがすべて単一のコンソールから管理されます。
TR7はルーティングをグローバルテーブルから取り出します — 各ネットワークゾーンが独自の独立したルートテーブルに存在します。
TR7では、ルートテーブルは単なるルートのリストではありません。どのインターフェースからトラフィックが来るか、どのゲートウェイに転送されるか、どのセキュリティルールを通過するか、どのバックエンドに到達するかを決定する別々のネットワークコンテキストです。このモデルにより複数の独立したネットワークゾーンが同じアプライアンス上で実行でき、それぞれが独自のIPプラン、ゲートウェイ、静的ルート、動的ルーティング動作を持ちます。
TR7 UIを通じて宛先ネットワーク、ゲートウェイ、インターフェース、メトリックを選択して静的ルートを定義できます。より高度なデプロイメントでは、BGP、OSPF、RIP、IS-ISなどの動的ルーティングプロトコルも同じルートテーブルコンテキストで実行できます。管理トラフィックを静的ルートで固定し、本番トラフィックを動的に学習されたパスに従わせることができます — 両方とも同じアプライアンス上の同じガバナンスモデルと同じ運用ビューで。
TR7は宛先IPだけでなくポリシーシグナルによってもトラフィックをステアリングすることをサポートします。特定のvServiceフローを冗長WANに、特定のテナントのトラフィックを専用リンクに、マークされたフローを別のルートテーブルに送ることができます。これは冗長WAN、アクティブ/アクティブインターネット出口、テナントごとのリンク分離、サービスごとのルート選択、インライントランジットシナリオに特に価値があります。
TR7はデフォルトゲートウェイが実際に到達可能かどうかを追跡できます。設定された回数の失敗チェックの後、ゲートウェイはアンヘルシーとマークされ、代替ルートまたは代替ゲートウェイを有効化できます。これはゲートウェイはアップだがアップストリームはダウンのシナリオをキャッチするために重要です。トラフィックが暗闇に送られることはありません — TR7は実際の到達可能性に基づいて決定します。
TR7ルートテーブルモデルは、マルチテナントデプロイメントと複雑なネットワークトポロジーに必要なすべてのルーティング機能を一つにまとめます。
すべてのTR7ルートテーブルは独自のルーティング決定を行います。同じIPブロックを異なるルートテーブルで競合なく使用できます。これはMSP、SaaS、政府、金融、マルチ顧客環境に必要な基本的な分離を提供します。
オペレーターはUIから直接宛先ネットワーク、ゲートウェイ、メトリック、インターフェースを定義します。静的ルートは主に管理ネットワーク、専用リンク、冗長パス、DMZ/内部分離、特定のバックエンドセグメントに使用されます。
一部のWANまたはポイントツーポイントの設定では、ゲートウェイIPが同じサブネット内に表示されない場合があります。TR7はそのような接続に対してゲートウェイオンリンク動作をサポートし、専用WAN、トンネル、またはサービスプロバイダーのリンクでの追加の手動ステップの必要性を削減します。
TR7は高度なネットワーキングチームのために動的ルーティングプロトコルを実行できるインフラストラクチャを提供します。BGP、OSPF、RIP、IS-ISなどのプロトコルをルートテーブルコンテキストで使用できます。これによりADCは静的ルートのみを理解するパッシブなデバイスではなく、データセンターまたはテナントネットワークのアクティブなルーティング参加者になります。
動的ルーティング側での高度なコマンドとプロトコル管理のために、ルートテーブルに結び付けられた専用コンソールが利用可能です。ネイバー定義、ルート検査、プロトコル状態、詳細なデバッグは高度なユーザーがこのインターフェースを通じて実行します。コアルーティングインフラストラクチャとコンソールアクセスは利用可能です。すべてのBGP/OSPFネイバー管理の完全にフォームベースのGUIエディターは別のロードマップ領域です。
TR7は特定のトラフィックを異なるルーティング動作に置くことを可能にします。これはサービスごと、テナントごと、またはマークされたフローごとのルート選択に使用されます。管理トラフィックは静的ゲートウェイ経由で出る一方、本番トラフィックは動的ルートに従います。特定のテナントトラフィックをVPNリンクに置き、特定のVIPトラフィックを冗長WANにステアリングできます。
デフォルトゲートウェイは定期的な間隔でチェックされます。失敗が設定されたしきい値を超えると、ルートはアンヘルシーとマークされます。代替ゲートウェイまたは代替ルートを有効化できます。この機能はリンク状態だけでなく実際のゲートウェイの到達可能性を確認します。
プライマリゲートウェイが失敗した場合、セカンダリゲートウェイへの移行が行われます。これはインターネット出口の冗長性、WANフェイルオーバー、MPLSバックアップ、VPNバックアップ、データセンター内の冗長ゲートウェイシナリオに使用されます。
TR7は変更ごとにルーティング構造全体を再生しません。追加、編集、削除されたルートが区別され、変更されたルートのみが適用されます。このアプローチはライブシステムでのリスクを削減し、変更をより迅速に有効化します。
TR7はIPv4とIPv6のルート構造を個別に管理できます。デュアルスタック環境では両方のIPファミリーが同じルートテーブルモデルの下で一緒に動作します。
各ルートテーブルは独自の名前解決設定を持つことができます。これはテナントごとのDNS、プライベート内部リゾルバー、分離されたテスト環境、異なる内部ドメインシナリオに役立ちます。
HAクラスターシナリオでは、どのデバイスがアクティブなVIPを保持しているかがルート適用に重要です。TR7は使用中のVIP移行方法 — Only VRRP、TR7リンクチェック、TR7ゲートウェイチェック、TR7リンクアンドゲートウェイチェック — に合わせてアクティブデバイスのロジックに従ってルート適用を管理します。
vServiceは1つのルートテーブルでリッスンし、別のルートテーブルに存在するバックエンドにトラフィックを転送できます。例:DMZルートテーブルでインバウンドのインターネットトラフィックを受け取り、内部ルートテーブルのバックエンドに制御された方法で転送します。同じアプライアンスがネットワークゾーン間の制御されたトランジットポイントになります。
管理ルートを固定に保ちながら、本番トラフィックが動的に学習されたルートに従って流れることができます。メトリック値が優先順位を設定します。オペレーターは重要なパスを静的として固定し、可変ネットワークセグメントを動的プロトコルに委任します。
ルートテーブルモデルはルール作成にとどまりません — 適用順序、ゲートウェイ監視のしきい値、動的ルーティングのライフサイクル、フォールト処理もカバーします。
すべてのルートは次のコアフィールドで定義されます:宛先ネットワーク、ゲートウェイ、インターフェース、メトリック、ゲートウェイオンリンク動作、および関連するルートテーブル。この構造は単純な静的ルートと複雑なマルチゲートウェイシナリオの両方に十分です。
ルート適用はインターフェースとIPの状態に依存します。TR7はまずインターフェースとIP側の変更を適用し、次にルートの変更を有効化します。この順序により、ルートが存在するがインターフェースがまだ準備できていないというクラスのエラーが排除されます。
ゲートウェイ監視は定義された間隔でチェックします。連続した失敗の後、ゲートウェイはアンヘルシーと見なされ、連続した成功の後に再びヘルシーと見なされます。このライズ/フォールアプローチにより、一時的な変動がルートフラップをトリガーすることを防ぎます。
動的ルーティングインフラストラクチャはルートテーブルコンテキスト内で実行されます。関連するプロトコルサービスが起動され、設定ファイルが生成され、プロトコルコンソールが準備され、ルート学習プロセスが関連するルートテーブルにバインドされます。
ルートを適用できない場合、TR7はその失敗を分離して評価します。正常に適用されたルートは保持され、問題のあるルートのエラーが表面化されます。これにより単一の不良ルートがルーティング構造全体を破損することを防ぎます。
ルートテーブルの分離はファイアウォールの分離と組み合わせることで完全な意味を持ちます。一方のテナントのルートがもう一方のテナントのファイアウォールルールと混在することはありません。トラフィックは正しいルートテーブルを通過するだけでなく、正しいセキュリティポリシーも通過します。
vServiceのフロントエンドIPは特定のルートテーブル内でリッスンできます。バックエンド側は異なるルートテーブルを通じてアクセスできます。これによりADCは単に受信トラフィックを近くのバックエンドに転送するデバイスから、ネットワークゾーン間の制御されたサービスゲートウェイに変わります。
動的ルーティングエンジンとコンソールアクセスは利用可能です。しかし、すべてのネイバー、フィルター、プレフィックスリスト、ルートマップをフォームベースのGUIで完全に管理することは別のロードマップ領域です。高度なネットワーキングチームはプロトコルコンソールを通じて詳細な管理を行います。
MSPは同じTR7アプライアンス上で多くの顧客を実行します。顧客Aと顧客Bが同じIPブロックを使用します。各顧客は独自のTR7ルートテーブルに分離されており、ルート、DNS、ファイアウォールルール、サービスフローが競合しません。
インターネットトラフィックはDMZルートテーブルで受け取られます。TR7がWAAPとアクセスポリシーを適用した後、トラフィックは内部ルートテーブルのバックエンドに転送されます。バックエンドのIPプランは外部に公開されません。
一部のサービスはプライマリWAN経由、一部のテナントは冗長WAN経由、一部の管理サービスは専用リンク経由で出ます。TR7のポリシーベースルーティングは各トラフィッククラスに対して異なるパスを選択します。
TR7はエッジルーターからルートを動的に学習できます。新しいネットワークセグメントが追加された場合、静的ルートを手動で書く必要はありません。ネットワーキングチームはルートをアナウンスし、TR7は関連するルートテーブルで最新のパスを使用します。
既存の内部ネットワークがOSPFで動作している場合、TR7は関連するルートテーブル内でそのトポロジーに参加できます。内部サービスネットワークが自動的に学習され、ルート管理が一元化されます。
プライマリゲートウェイが到達不能になります。ゲートウェイ監視が失敗を検出し、トラフィックが代替ゲートウェイに移動されます。オペレーターは手動でルート変更を行う必要はありません。
重複するIPブロック、静的 + BGP/OSPF動的ルーティング、ゲートウェイ監視。お客様自身のネットワークトポロジーでライブセットアップをご案内します。