Informationen zum Routing virtueller Hubs

  • Artikel

Die Routingfunktionen in einem virtuellen Hub werden von einem Router bereitgestellt, der das gesamte Routing zwischen den Gateways mit dem Border Gateway Protocol (BGP) verwaltet. Ein virtueller Hub kann mehrere Gateways enthalten, z. B. ein Site-to-Site-VPN-Gateway, ExpressRoute-Gateway, Point-to-Site-Gateway, Azure Firewall. Dieser Router bietet auch Transitkonnektivität zwischen virtuellen Netzwerken, die mit einem virtuellen Hub verbunden sind, und kann einen Gesamtdurchsatz von bis zu 50 GBit/s unterstützen. Diese Routingfunktionen gelten für Kunden von Virtual WAN Standard.

Informationen zur Konfiguration des Routings finden Sie unter Konfigurieren des Routings für virtuelle Hubs.

Routingkonzepte

In den folgenden Abschnitten werden die Schlüsselkonzepte des Routings für virtuelle Hubs beschrieben.

Hub-Routingtabelle

Eine Routingtabelle für virtuelle Hubs kann eine oder mehrere Routen enthalten. Eine Route enthält ihren Namen, eine Bezeichnung, einen Zieltyp, eine Liste von Zielpräfixen und Informationen zum nächsten Hop für ein weiterzuleitendes Paket. Eine Verbinden ion verfügt in der Regel über eine Routingkonfiguration, die einer Routentabelle zugeordnet oder weitergegeben wird.

Absicht und Richtlinien für das Hubrouting

Routingabsicht und Routingrichtlinien ermöglichen es Ihnen, Ihren Virtual WAN-Hub so zu konfigurieren, dass internetgebundener und privater (Point-to-Site, Site-to-Site, ExpressRoute, virtuelle Netzwerkgeräte innerhalb des Virtual WAN-Hubs und Virtual Network) Datenverkehr über ein Azure Firewall , Firewall-NVA der nächsten Generation oder Software-as-a-Service-Lösung, die im Virtual WAN-Hub bereitgestellt wird, gesendet wird. Es gibt zwei Arten von Routingrichtlinien: Richtlinien zum Routing von Internetdatenverkehr und Routingrichtlinien für privaten Datenverkehr. Jeder virtuelle WAN-Hub kann höchstens eine Richtlinie für das Routing von Internetdatenverkehr und eine Richtlinie für privates Datenverkehrsrouting aufweisen, jeweils mit einer Next Hop-Ressource.

Während privater Datenverkehr sowohl Branch- als auch Virtual Network-Adresspräfixe umfasst, werden diese von Routingrichtlinien in Konzepten der Routingabsicht als eine Entität betrachtet.

  • Routingrichtlinie für Internetdatenverkehr: Wenn eine Routingrichtlinie für Internetdatenverkehr für einen Virtual WAN-Hub konfiguriert ist, leiten alle Zweigstellen- (Benutzer-VPN [Point-to-Site-VPN], Site-to-Site-VPN und ExpressRoute) und VNet-Verbindungen mit diesem Virtual WAN-Hub internetgebundenen Datenverkehr an die Azure Firewall-Ressource oder den Sicherheitsanbieter eines Drittanbieters weiter, die bzw. der im Rahmen der Routingrichtlinie angegeben ist.

  • Routingrichtlinie für privaten Datenverkehr: Wenn eine Routingrichtlinie für privaten Datenverkehr für einen Virtual WAN-Hub konfiguriert ist, wird der gesamte Zweigstellen- und VNet-Datenverkehr des Virtual WAN-Hubs (eingehend, ausgehend und zwischen Hubs) an die Azure Firewall-Ressource des nächsten Hops weitergeleitet, die in der Routingrichtlinie für privaten Datenverkehr angegeben wurde.

Weitere Informationen zum Konfigurieren von Routingabsicht und -richtlinien finden Sie in diesem Dokument.

Verbindungen

Verbindungen sind Resource Manager-Ressourcen, die über eine Routingkonfiguration verfügen. Die vier Arten von Verbindungen sind:

  • VPN-Verbindung: Verbindet einen VPN-Standort mit einem VPN-Gateway für virtuelle Hubs.
  • ExpressRoute-Verbindung: Verbindet eine ExpressRoute-Leitung mit einem ExpressRoute-Gateway für virtuelle Hubs.
  • Verbindung für P2S-Konfiguration: Verbindet eine Benutzer-VPN-Konfiguration (Point-to-Site) mit einem Benutzer-VPN-Gateway für virtuelle Hubs (Point-to-Site).
  • Virtuelle Netzwerkverbindung für Hub: Verbindet virtuelle Netzwerke mit einem virtuellen Hub.

Sie können die Routingkonfiguration für eine virtuelle Netzwerkverbindung beim Setup einrichten. Standardmäßig werden alle Verbindungen mit der standardmäßigen Routingtabelle verknüpft und an diese übergeben.

Zuordnung

Jede Verbindung ist einer Routingtabelle zugeordnet. Durch die Zuordnung einer Verbindung zu einer Routingtabelle kann der Datenverkehr (aus dieser Verbindung) an das in der Routingtabelle als Routen angegebene Ziel gesendet werden. Die Routingkonfiguration der Verbindung zeigt die zugeordnete Routentabelle an. Mehrere Verbindungen können derselben Routingtabelle zugeordnet werden. Alle VPN-, ExpressRoute- und Benutzer-VPN-Verbindungen sind derselben (standardmäßigen) Routingtabelle zugeordnet.

Standardmäßig sind alle Verbindungen einer Standardroutingtabelle in einem virtuellen Hub zugeordnet. Jeder virtuelle Hub verfügt über eine eigene Standardroutingtabelle, die bearbeitet werden kann, um eine oder mehrere statische Routen hinzuzufügen. Statisch hinzugefügte Routen haben Vorrang vor dynamisch gelernten Routen für dieselben Präfixe.

Diagram shows Association.

Weitergabe

Verbindungen geben Routen dynamisch an eine Routingtabelle weiter. Bei einer VPN-Verbindung, einer ExpressRoute-Verbindung oder einer P2S-Konfigurationsverbindung werden die Routen mithilfe von BGP vom virtuellen Hub an den lokalen Router weitergegeben. Routen können an eine oder mehrere Routingtabellen weitergegeben werden.

Für jeden virtuellen Hub ist auch eine Keine-Routingtabelle verfügbar. Die Weitergabe an die Keine-Routingtabelle bedeutet, dass von der Verbindung aus keine Routen weitergegeben werden müssen. VPN-, ExpressRoute- und Benutzer-VPN-Verbindungen geben Routen an denselben Satz von Routingtabellen weiter.

Diagram shows propagation.

Bezeichnungen

Bezeichnungen sind ein Verfahren zum logischen Gruppieren von Routingtabellen. Dies ist insbesondere bei der Weitergabe von Routen von Verbindungen zu mehreren Routingtabellen hilfreich. Die Standardroutingtabelle weist beispielsweise eine integrierte Bezeichnung mit dem Namen „Standard“ auf. Wenn Benutzer Verbindungsrouten an die Bezeichnung „Standard“ weitergeben, gilt sie automatisch für alle Standardroutingtabellen über jeden Hub im virtuellen WAN.

Konfigurieren statischer Routen in einer virtuellen Netzwerkverbindung

Die Konfiguration statischer Routen bietet einen Mechanismus zum Steuern des Datenverkehrs vom Hub über die IP-Adresse eines nächsten Hops, bei dem es sich um ein virtuelles Netzwerkgerät (NVA) handeln könnte, das in einem an einen virtuellen Hub angefügten Spoke-VNet bereitgestellt wird. Die statische Route besteht aus einem Routennamen, einer Liste von Zielpräfixen und einer IP-Adresse des nächsten Hops.

Löschen statischer Routen

Um eine statische Route zu löschen, muss die Route aus der Routingtabelle gelöscht werden, in der sie platziert ist. Weitere Informationen finden Sie unter "Löschen einer Route ".

Routingtabellen für bereits vorhandene Routen

Routingtabellen verfügen jetzt über Features für die Zuordnung und Verteilung. Wenn eine Routingtabelle bereits vorhanden ist, verfügt sie nicht über diese Features. Falls bei Ihnen im Rahmen des Hub-Routings bereits vorhandene Routen genutzt werden und Sie diese neuen Funktionen nutzen möchten, sollten Sie Folgendes beachten:

  • Kunden mit Virtual WAN vom Typ „Standard“ mit bereits vorhandenen Routen auf dem virtuellen Hub:

    Wenn im Azure-Portal im Abschnitt „Routing“ für den Hub bereits Routen vorhanden sind, müssen Sie diese zuerst löschen und dann versuchen, neue Routingtabellen zu erstellen (verfügbar im Abschnitt „Routingtabellen“ für den Hub im Azure-Portal).

  • Kunden mit Virtual WAN vom Typ „Basic“ mit bereits vorhandenen Routen auf dem virtuellen Hub:

    Wenn im Azure-Portal im Abschnitt „Routing“ für den Hub bereits Routen vorhanden sind, müssen Sie diese zuerst löschen und dann Ihre Virtual WAN-Instanz vom Typ „Basic“ auf „Standard“ upgraden. Weitere Informationen finden Sie unter Upgrade eines Virtual WAN von Basic auf Standard.

Hubzurücksetzung

Das Zurücksetzen von virtuellen Hubs ist nur im Azure-Portal verfügbar. Das Zurücksetzen bietet Ihnen eine Möglichkeit, fehlerhafte Ressourcen wie Routingtabellen, Hubrouter oder die virtuelle Hubressource selbst wieder in den richtigen Bereitstellungszustand versetzen. Sie sollten den Hub zurücksetzen, bevor Sie sich an Microsoft wenden. Mit diesem Vorgang werden keine Gateways in einem virtuellen Hub zurückgesetzt.

Weitere Überlegungen

Beachten Sie beim Konfigurieren des Virtual WAN-Routings Folgendes:

  • Alle Branchverbindungen (Point-to-Site, Site-to-Site und ExpressRoute) müssen der Standardroutingtabelle zugeordnet werden. Auf diese Weise erlernen alle Branches die gleichen Präfixe.
  • Alle Branchverbindungen müssen ihre Routen an dieselbe Gruppe von Routingtabellen weitergeben. Wenn Sie z. B. festlegen, dass Branches an die Standardroutingtabelle weitergeben sollen, muss diese Konfiguration über alle Branches konsistent sein. Somit können alle Verbindungen, die der Standardroutingtabelle zugeordnet sind, alle Branches erreichen.
  • Wenn Sie Azure Firewall in mehreren Regionen verwenden, müssen alle virtuellen Spoke-Netzwerke derselben Routingtabelle zugeordnet sein. Beispielsweise ist es nicht möglich, dass eine Teilmenge der VNETs Azure Firewall durchlaufen, während andere VNETs Azure Firewall im selben virtuellen Hub umgehen.
  • Sie können mehrere IP-Adressen für den nächsten Hop für eine einzelne virtuelle Netzwerkverbindung angeben. Die virtuelle Netzwerkverbindung unterstützt jedoch nicht „mehrere/eindeutig“ für die IP-Adresse des nächsten Hops zum selben virtuellen Netzwerkgerät in einem virtuellen SPOKE-Netzwerk, wenn eine der Routen mit der IP-Adresse des nächsten Hops als öffentliche IP-Adresse oder 0.0.0.0/0 (Internet) angegeben ist.
  • Alle Informationen im Zusammenhang mit der Route 0.0.0.0/0 sind auf die Routingtabelle des lokalen Hubs beschränkt. Diese Route wird nicht über Hubs weitergegeben.
  • Virtual WAN kann nur zum Programmieren von Routen in einem Spoke verwendet werden, wenn das Präfix kürzer (weniger spezifisch) als das Präfix des virtuellen Netzwerks ist. Im Diagramm oben hat das Spoke-VNET1 beispielsweise das Präfix 10.1.0.0/16: In diesem Fall könnte Virtual WAN keine Route einschleusen, die dem Präfix des virtuellen Netzwerks (10.1.0.0/16) oder einem der Subnetze (10.1.0.0/24, 10.1.1.0/24) entspricht. Mit anderen Worten: Virtual WAN kann keinen Datenverkehr zwischen zwei Subnetzen anziehen, die sich im selben virtuellen Netzwerk befinden.
  • Obwohl 2 Hubs auf demselben virtuellen WAN Routen ankündigen (solange die Verteilung auf dieselben Bezeichnungen aktiviert ist), gilt dies nur für dynamisches Routing. Nachdem Sie eine statische Route definiert haben, ist dies nicht der Fall.

Nächste Schritte