Teilen über

Weiterleiten von Datenverkehr über Netzwerke in einer SDN-Infrastruktur

  • Artikel

Wichtig

Diese Version von Virtual Machine Manager (VMM) hat das Ende des Supports erreicht. Es wird empfohlen, ein Upgrade auf VMM 2022 durchzuführen.

Dieser Artikel beschreibt, wie Sie in einer softwaredefinierten Netzwerkinfrastruktur (SDN), die im System Center Virtual Machine Manager-Fabric (VMM) eingerichtet ist, Datenverkehr über Netzwerke weiterleiten.

Ein SDN-RAS-Gateway ermöglicht das Weiterleiten von Netzwerkdatenverkehr zwischen physischen und virtuellen Netzwerken, unabhängig davon, wo sich die Ressourcen befinden. RAS-Hostnamen sind mehrinstanzenfähig, können das Border Gateway Protocol (BGP) verarbeiten und unterstützen die Konnektivität über Site-to-Site-VPNs (virtuelle private Netzwerke) unter Verwendung von IPsec, Generic Routing Encapsulation (GRE) oder Layer-3-Weiterleitung. Weitere Informationen

Hinweis

  • Ab VMM 2019 UR1 wird der Typ von Ein verbundenes Netzwerk in Verbundenes Netzwerk geändert.
  • Ab VMM 2019 UR2 wird IPv6 unterstützt.
  • IPv6 wird für IPSec-Tunnel, GRE-Tunnel und L3-Ebenentunnel unterstützt.

Hinweis

  • IPv6 wird für IPSec-Tunnel, GRE-Tunnel und L3-Ebenentunnel unterstützt.

Vorbereitung

Stellen Sie Folgendes sicher:

Konfigurieren von Site-to-Site-VPN-Verbindungen mithilfe von VMM

Mit einer Site-to-Site-VPN-Verbindung können Sie zwei Netzwerke an unterschiedlichen physischen Standorten über das Internet sicher verbinden.

Für Clouddienstanbieter (Cloud Service Providers, CSPs), die eine Vielzahl von Mandanten in ihren Rechenzentren hosten, bietet ein SDN-RAS-Gateway eine mehrinstanzenfähige Gatewaylösung. Diese Lösung ermöglicht es den Mandanten, von Remotestandorten über Site-to-Site-VPN-Verbindungen auf ihre Ressourcen zuzugreifen und diese zu verwalten. Dies wiederum ermöglicht Netzwerkdatenverkehr zwischen virtuellen Ressourcen im Rechenzentrum des Clouddienstanbieter und dem physischen Netzwerk der Mandanten.

VMM 2022 unterstützt duale Stapel (Ipv4 + Ipv6) für SDN-Komponenten.

Wenn Sie IPv6 für Site-to-Site-VPN-Verbindungen aktivieren möchten, muss das Routingsubnetz sowohl IPv4- als auch IPv6-fähig sein. Damit das Gateway mit IPv6 funktioniert, müssen IPv4- und IPv6-Adressen durch ein Semikolon ( ; ) getrennt werden, und die IPv6-Adresse muss am Remoteendpunkt angegeben werden. Beispiel: 192.0.2.1/23;2001:0db8:85a3:0000:0000:8a2e:0370::/64. Verwenden Sie zum Angeben des VIP-Bereichs nicht die verkürzte Form der IPv6-Adresse. Verwenden Sie das Format "2001:db8:0:200:0:0:0:7" anstelle von "2001:db8:0:200::7".

Screenshot: Aktivieren von IPv6.

Konfigurieren einer IPSec-Verbindung

Gehen Sie folgendermaßen vor:

  1. Wählen Sie das VM-Netzwerk aus, das Sie eine Site-to-Site-IPSec-Verbindung konfigurieren möchten, und wählen Sie Konnektivität aus.
  2. Wählen Sie Verbindung mit einem anderen Netzwerk über einen VPN-Tunnel herstellen aus. Wenn Sie in Ihrem Rechenzentrum BGP-Peering aktivieren möchten, wählen Sie BGP (Border Gateway Protocol) aktivieren aus.
  3. Wählen Sie den Netzwerkcontrollerdienst für das Gatewaygerät aus.
  4. Wählen Sie VPN-VerbindungenHinzufügenAdd IPSec Tunnel (IPSec-Tunnel hinzufügen) aus.
  5. Geben Sie ein Subnetz wie im folgenden Diagramm gezeigt ein. Dieses Subnetz wird zum Weiterleiten von Paketen aus dem VM-Netzwerk verwendet. Sie müssen dieses Subnetz in Ihrem Rechenzentrum nicht vorkonfigurieren. Screenshot des Site-to-Site-VPN.
  6. Geben Sie einen Namen für die Verbindung und die IP-Adresse des Remoteendpunkts ein. Sie können optional auch die Bandbreite konfigurieren.
  7. Wählen Sie unter Authentifizierung den gewünschten Authentifizierungstyp aus. Wenn Sie sich für die Authentifizierung mit einem ausführenden Konto entscheiden, erstellen Sie ein Benutzerkonto mit einem Benutzernamen und dem IPSec-Schlüssel als Kennwort für das Konto.
  8. Geben Sie unter Routen alle Remotesubnetze ein, mit denen eine Verbindung hergestellt werden soll. Wenn Sie auf der Seite Konnektivität die Option Border Gateway Protocol (BGP) aktivieren ausgewählt haben, sind keine Routen erforderlich.
  9. Übernehmen Sie auf der Registerkarte Erweitert die Standardeinstellungen.
  10. Wenn Sie auf der Seite Konnektivität die Option Border Gateway Protocol (BGP) aktivieren ausgewählt haben, können Sie Ihre ASN, die Peer-BGP-IP und die zugehörige ASN wie unten gezeigt auf der Seite border gateway protocol wizard (Border Gateway Protocol ) ausfüllen: Screenshot von enable b g p.
  11. Versuchen Sie, die Remoteendpunkt-IP-Adresse von einem der virtuellen Computer im VM-Netzwerk zu pingen, um die Verbindung zu überprüfen.

Konfigurieren von GRE-Tunneling

GRE-Tunnel ermöglichen Konnektivität zwischen virtuellen Mandantennetzwerken und externen Netzwerken. Da das GRE-Protokoll einfach ist und GRE-Unterstützung auf den meisten Netzwerkgeräten verfügbar ist, ist es eine ideale Wahl für Tunnel, bei denen keine Verschlüsselung von Daten erforderlich ist. Die GRE-Unterstützung in Site-to-Site-Tunneln (S2S) ermöglicht die Weiterleitung von Datenverkehr zwischen virtuellen und externen Mandantennetzwerken.

Gehen Sie folgendermaßen vor:

  1. Wählen Sie das VM-Netzwerk aus, in dem Sie eine S2S GRE-Verbindung konfigurieren möchten, und wählen Sie Konnektivität aus.
  2. Wählen Sie Verbindung mit einem anderen Netzwerk über einen VPN-Tunnel herstellen aus. Wenn Sie in Ihrem Rechenzentrum BGP-Peering aktivieren möchten, wählen Sie BGP (Border Gateway Protocol) aktivieren aus.
  3. Wählen Sie den Netzwerkcontrollerdienst für das Gatewaygerät aus.
  4. Wählen Sie VPN-VerbindungenhinzufügenGRE-Tunnel hinzufügen aus.
  5. Geben Sie ein Subnetz wie im folgenden Diagramm gezeigt ein. Dieses Subnetz wird zum Weiterleiten von Paketen aus dem VM-Netzwerk verwendet. Dieses Subnetz muss in Ihrem Rechenzentrum nicht vorkonfiguriert werden. Screenshot: GRE-Tunneling.
  6. Geben Sie einen Verbindungsnamen ein, und legen Sie die IP-Adresse des Remoteendpunkts fest.
  7. Geben Sie den GRE-Schlüssel ein.
  8. Optional können Sie die anderen Felder auf diesem Bildschirm ausfüllen. Diese Werte werden zum Einrichten einer Verbindung nicht benötigt.
  9. Fügen Sie unter Routen alle Remotesubnetze hinzu, mit denen eine Verbindung hergestellt werden soll. Bei Auswahl von BGP (Border Gateway Protocol) aktivieren unter Konnektivität können Sie diesen Bildschirm leer lassen und stattdessen die ASN, die Peer-BGP-IP und die zugehörige ASN auf der Registerkarte Border Gateway Protocol eingeben.
  10. Für die verbleibenden Einstellungen können Sie die Standardwerte verwenden.
  11. Versuchen Sie, die Remoteendpunkt-IP-Adresse von einer der virtuellen Maschinen im VM-Netzwerk anzupingen, um die Verbindung zu überprüfen.

Konfigurieren von IPsec- und GRE-Verbindungen am Remotestandort

Verwenden Sie auf dem Remotepeergerät die IP-Adresse des VM-Netzwerkendpunkts von der VMM-Benutzeroberfläche als Zieladresse, wenn Sie die IPSec\GRE-Verbindung einrichten.

Screenshot der Remotewebsite.

Konfigurieren der Layer-3-Weiterleitung

Eine L3-Weiterleitung ermöglicht die Konnektivität zwischen der physischen Infrastruktur im Rechenzentrum und der virtualisierten Infrastruktur in der Hyper-V-Netzwerkvirtualisierungscloud.

Mit der L3-Weiterleitung können virtuelle Computer des Mandantennetzwerks über das Windows Server 2016-Hostnamensgateway, das bereits in einer Hostnamensumgebung konfiguriert ist, eine Verbindung mit einem physischen Netzwerk herstellen. In diesem Fall fungiert das Hostnamensgateway als Router zwischen dem virtuellen und dem physischen Netzwerk.

Um mehr zu erfahren, lesen Sie die Abschnitte: Windows Server-Gateway als Weiterleitungs-Gateway für private Cloud-Umgebungen und den Artikel RAS Gateway High Availability (Hochverfügbarkeit des RAS-Gateways).

Stellen Sie Folgendes sicher, bevor Sie L3 konfigurieren:

  • Stellen Sie sicher, dass Sie auf dem VMM-Server als Administrator angemeldet sind.
  • Sie müssen für jedes VM-Mandantennetzwerk, für das die L3-Weiterleitung eingerichtet werden muss, ein eindeutiges logisches Netzwerk als nächsten Hop mit eindeutiger VLAN-ID konfigurieren. Es muss eine 1:1-Zuordnung zwischen einem Mandantennetzwerk und dem entsprechenden physischen Netzwerk (mit eindeutiger VLAN-ID) bestehen.

Gehen Sie wie folgt vor, um das logische Netzwerk, das als nächster Hop verwendet werden soll, in SCVMM zu erstellen:

  1. Wählen Sie in der VMM-Konsole Logische Netzwerke aus, klicken Sie mit der rechten Maustaste, und wählen Sie Logisches Netzwerk erstellen aus.

  2. Wählen Sie auf der Seite Einstellungen die Option Ein verbundenes Netzwerk aus, und aktivieren Sie anschließend das Kontrollkästchen für VM-Netzwerk mit dem gleichen Namen erstellen, um virtuellen Maschinen den direkten Zugriff auf dieses logische Netzwerk zu ermöglichen und Managed by Microsoft Network Controller (Verwaltet vom Microsoft-Netzwerkcontroller).

  3. Erstellen Sie einen IP-Pool für dieses logische Netzwerk.

    Die IP-Adresse von diesem Pool ist im Skript für das Einrichten der L3-Weiterleitung erforderlich.

In der folgenden Tabelle sind Beispiele für dynamische und statische L3-Verbindungen dargestellt.

Parameter Details/Beispielwerte
L3VPNConnectionName Benutzerdefinierter Name für die Netzwerkverbindung mit L3-Weiterleitung Beispiel: Contoso_L3_GW
VmNetworkName Name des virtuellen Mandantennetzwerks, das über eine L3-Netzwerkverbindung erreichbar ist Dieses Netzwerk muss bei Ausführung des Skripts vorhanden sein. Beispiel: ContosoVMNetwork
NextHopVMNetworkName Benutzerdefinierter Name für das VM-Netzwerk, das als nächster Hop verwendet werden soll und im Rahmen der Vorbereitung erstellt wurde. Dies stellt das physische Netzwerk dar, das mit dem Mandanten-VM-Netzwerk kommunizieren möchte. Dieses Netzwerk muss bei Ausführung des Skripts vorhanden sein. Beispiel: Contoso_L3_Network
LocalIPAddresses IP-Adressen müssen auf der L3-Netzwerkschnittstelle des Hostnamensgateways konfiguriert werden. Diese IP-Adresse muss zum von Ihnen erstellten logischen Netzwerk, das als nächster Hop verwendet wird, gehören. Sie müssen ebenso die Subnetzmaske bereitstellen. Beispiel: 10.127.134.55/25
PeerIPAddresses IP-Adresse des physischen Netzwerkgateways, das über ein logisches L3-Netzwerk erreichbar ist Diese IP-Adresse muss zu dem von Ihnen in den Voraussetzungen erstellten logischen Netzwerk, das als nächster Hop verwendet wird, gehören. Diese IP-Adresse dient als nächster Hop, sobald der Datenverkehr vom Mandanten-VM-Netzwerk, der für das physische Netzwerk vorgesehen ist, das Hostnamensgateway erreicht. Beispiel: 10.127.134.65
GatewaySubnet Das Subnetz, das zum Routing zwischen dem HNV-Gateway und dem virtuellen Mandantennetzwerk verwendet wird Sie können ein beliebiges Subnetz verwenden, um sicherzustellen, dass es sich nicht mit dem logischen Netzwerk des nächsten Hops überschneidet. Beispiel:192.168.2.0/24
RoutingSubnets Statische Routen, die in der L3-Schnittstelle des HNV-Gateways verfügbar sein müssen Diese Routen gelten für die Subnetze der physischen Netzwerke, die vom Mandanten-VM-Netzwerk über eine L3-Verbindung erreichbar sein sollten.
EnableBGP Option zum Aktivieren von BGP. Standard: false.
TenantASNRoutingSubnets ASN-Nummer des Mandantengateways, nur bei aktiviertem BGP

Führen Sie folgendes Skript aus, um die L3-Weiterleitung einzurichten. Überprüfen Sie in der Tabelle oben, was jeder Skriptparameter angibt.

  param (
      [Parameter(Mandatory=$true)]
      # Name of the L3 VPN connection
      $L3VPNConnectionName,
      [Parameter(Mandatory=$true)]
      # Name of the VM network to create gateway
      $VmNetworkName,
      [Parameter(Mandatory=$true)]
      # Name of the Next Hop one connected VM network
      # used for forwarding
      $NextHopVmNetworkName,
      [Parameter(Mandatory=$true)]
      # IPAddresses on the local side that will be used
      # for forwarding
      # Format should be @("10.10.10.100/24")
      $LocalIPAddresses,
      [Parameter(Mandatory=$true)]
      # IPAddresses on the remote side that will be used
      # for forwarding
      # Format should be @("10.10.10.200")
      $PeerIPAddresses,
      [Parameter(Mandatory=$false)]
      # Subnet for the L3 gateway
      # default value 10.254.254.0/29
      $GatewaySubnet = "10.254.254.0/29",
      [Parameter(Mandatory=$false)]
      # List of subnets for remote tenants to add routes for static routing
      # Format should be @("14.1.20.0/24","14.1.20.0/24");
      $RoutingSubnets = @(),
      [Parameter(Mandatory=$false)]
      # Enable BGP in the tenant space
      $EnableBGP = $false,
      [Parameter(Mandatory=$false)]
      # ASN number for the tenant gateway
      # Only applicable when EnableBGP is true
      $TenantASN = "0"
  )

  # Import SC-VMM PowerShell module
  Import-Module virtualmachinemanager

  # Retrieve Tenant VNET info and exit if VM Network not available
  $vmNetwork = Get-SCVMNetwork -Name $VmNetworkName;
  if ($vmNetwork -eq $null)
  {
      Write-Verbose "VM Network $VmNetworkName not found, quitting"
      return
  }

  # Retrieve L3 Network info and exit if VM Network not available
  $nextHopVmNetwork = Get-SCVMNetwork -Name $NextHopVmNetworkName;
  if ($nextHopVmNetwork -eq $null)
  {
      Write-Verbose "Next Hop L3 VM Network $NextHopVmNetworkName not found, quitting"
      return
  }

  # Retrieve gateway Service and exit if not available
  $gatewayDevice = Get-SCNetworkGateway | Where {$_.Model -Match "Microsoft Network Controller"};
  if ($gatewayDevice -eq $null)
  {
      Write-Verbose "Gateway Service not found, quitting"
      return
  }

  # Retrieve Tenant Virtual Gateway info
  $vmNetworkGatewayName = $VmNetwork.Name + "_Gateway";
  $VmNetworkGateway = Get-SCVMNetworkGateway -Name $vmNetworkGatewayName -VMNetwork $vmNetwork

  # Create a new Tenant Virtual Gateway if not configured
  if($VmNetworkGateway -eq $null)
  {
      if($EnableBGP -eq $false)
      {
          # Create a new Virtual Gateway for tenant
          $VmNetworkGateway = Add-SCVMNetworkGateway -Name $vmNetworkGatewayName -EnableBGP $false -NetworkGateway $gatewayDevice -VMNetwork $vmNetwork -RoutingIPSubnet $GatewaySubnet;
      }
      else
      {
          if($TenantASN -eq "0")
          {
              Write-Verbose "Please specify valid ASN when using BGP"
              return
          }

          # Create a new Virtual Gateway for tenant
          $VmNetworkGateway = Add-SCVMNetworkGateway -Name $vmNetworkGatewayName -EnableBGP $true -NetworkGateway $gatewayDevice -VMNetwork $vmNetwork -RoutingIPSubnet $GatewaySubnet -AutonomousSystemNumber $TenantASN;
      }

  }

  if ($VmNetworkGateway -eq $null)
  {
      Write-Verbose "Could not Find / Create Virtual Gateway for $($VmNetwork.Name), quitting"
      return
  }

  # Check if the network connection already exists
  $vpnConnection = Get-SCVPNConnection -VMNetworkGateway $VmNetworkGateway -Name $L3VPNConnectionName
  if ($vpnConnection -ne $null)
  {
      Write-Verbose "L3 Network Connection for $($VmNetwork.Name) already configured, skipping"
  }
  else
  {
      # Create a new L3 Network connection for tenant
      $vpnConnection = Add-SCVPNConnection  -NextHopNetwork $nexthopvmNetwork  -Name $L3VPNConnectionName -IPAddresses $LocalIPAddresses -PeerIPAddresses $PeerIPAddresses -VMNetworkGateway $VmNetworkGateway -protocol L3;

      if ($vpnConnection -eq $null)
      {
          Write-Verbose "Could not add network connection for $($VmNetwork.Name), quitting"
          return
      }
      Write-Output "Created VPN Connection " $vpnConnection;
  }

  # Add all the required static routes to the newly created network connection interface
  foreach($route in $RoutingSubnets)
  {
      Add-SCNetworkRoute -IPSubnet $route -RunAsynchronously -VPNConnection $vpnConnection -VMNetworkGateway $VmNetworkGateway
  }

Konfigurieren der Layer-3-Weiterleitung

Eine L3-Weiterleitung ermöglicht die Konnektivität zwischen der physischen Infrastruktur im Rechenzentrum und der virtualisierten Infrastruktur in der Hyper-V-Netzwerkvirtualisierungscloud.

Mit der L3-Weiterleitungsverbindung können virtuelle Computer des Mandantennetzwerks über das Windows Server 2016/2019-SDN-Gateway, das bereits in einer SDN-Umgebung konfiguriert ist, eine Verbindung mit einem physischen Netzwerk herstellen. In diesem Fall fungiert das Hostnamensgateway als Router zwischen dem virtuellen und dem physischen Netzwerk.

Mit der L3-Weiterleitungsverbindung können virtuelle Computer des Mandantennetzwerks über das Windows Server 2016/2019/2022-SDN-Gateway, das bereits in einer SDN-Umgebung konfiguriert ist, eine Verbindung mit einem physischen Netzwerk herstellen. In diesem Fall fungiert das Hostnamensgateway als Router zwischen dem virtuellen und dem physischen Netzwerk.

Um mehr zu erfahren, lesen Sie die Abschnitte: Windows Server-Gateway als Weiterleitungs-Gateway für private Cloud-Umgebungen und den Artikel RAS Gateway High Availability (Hochverfügbarkeit des RAS-Gateways).

Stellen Sie Folgendes sicher, bevor Sie eine L3-Verbindung konfigurieren:

  • Stellen Sie sicher, dass Sie auf dem VMM-Server als Administrator angemeldet sind.
  • Sie müssen für jedes VM-Mandantennetzwerk, für das die L3-Weiterleitung eingerichtet werden muss, ein eindeutiges logisches Netzwerk als nächsten Hop mit eindeutiger VLAN-ID konfigurieren. Es muss eine 1:1-Zuordnung zwischen einem Mandantennetzwerk und dem entsprechenden physischen Netzwerk (mit eindeutiger VLAN-ID) bestehen.

Gehen Sie wie folgt vor, um das logische Netzwerk, das als nächster Hop verwendet werden soll, in VMM zu erstellen:

  1. Wählen Sie in der VMM-Konsole Logische Netzwerke aus, klicken Sie mit der rechten Maustaste, und wählen Sie Logisches Netzwerk erstellen aus.

  2. Wählen Sie auf der Seite Einstellungen die Option Ein verbundenes Netzwerk aus, und aktivieren Sie anschließend das Kontrollkästchen für VM-Netzwerk mit dem gleichen Namen erstellen, um virtuellen Maschinen den direkten Zugriff auf dieses logische Netzwerk zu ermöglichen und Verwaltet vom Microsoft-Netzwerkcontroller.

    Ein verbundenes Netzwerk

Hinweis

Ab VMM 2019 UR1 wird der Typ von Ein verbundenes Netzwerk in Verbundenes Netzwerk geändert.

  1. Erstellen Sie einen IP-Pool für dieses logische Netzwerk. Für die Einrichtung der L3-Weiterleitung wird eine IP-Adresse aus diesem Pool benötigt.

Gehen Sie wie folgt vor, um die L3-Weiterleitung zu konfigurieren:

Hinweis

Sie können die Bandbreite in der L3-VPN-Verbindung nicht einschränken.

  1. Wählen Sie in der VMM-Konsole das virtuelle Mandantennetzwerk aus, das Sie über das L3-Gateway mit dem physischen Netzwerk verbinden möchten.

  2. Klicken Sie mit der rechten Maustaste auf das ausgewählte virtuelle Mandantennetzwerk, und wählen Sie EigenschaftenKonnektivität aus.

  3. Wählen Sie Verbindung mit einem anderen Netzwerk über einen VPN-Tunnel herstellen aus. Wenn Sie in Ihrem Rechenzentrum BGP-Peering aktivieren möchten, wählen Sie BGP (Border Gateway Protocol) aktivieren aus. Screenshot der L3-Konfiguration über die Benutzeroberfläche.

  4. Wählen Sie den Netzwerkcontrollerdienst für das Gatewaygerät aus.

  5. Wählen Sie auf der Seite VPN-Connections die Option AddLayer 3 tunnel (Layer 3-Tunnel hinzufügen)> aus.

    Screenshot: Hinzufügen eines Layer3-Tunnels.

  6. Geben Sie unter Routingsubnetz ein Subnetz im CIDR-Notationsformat an. Dieses Subnetz wird zum Weiterleiten von Paketen aus dem VM-Netzwerk verwendet. Sie müssen dieses Subnetz in Ihrem Rechenzentrum nicht vorkonfigurieren.

    Screenshot des L3-Subnetzes.

  7. Konfigurieren Sie die L3-Verbindung unter Verwendung der folgenden Informationen:

Parameter Details
Name Benutzerdefinierter Name für die Netzwerkverbindung mit L3-Weiterleitung
VM Network (NextHop) Benutzerdefinierter Name für das VM-Netzwerk, das als nächster Hop verwendet werden soll und im Rahmen der Vorbereitung erstellt wurde. Dies stellt das physische Netzwerk dar, das mit dem Mandanten-VM-Netzwerk kommunizieren möchte. Wenn Sie Durchsuchen auswählen, stehen nur die vom Netzwerkdienst verwalteten Verbundenen VM-Netzwerke zur Auswahl.
Peer-IP-Adresse IP-Adresse des physischen Netzwerkgateways, das über ein logisches L3-Netzwerk erreichbar ist Diese IP-Adresse muss zu dem logischen Netzwerk gehören, das als nächster Hop verwendet werden soll und von Ihnen im Zuge der Vorbereitung erstellt wurde. Diese IP-Adresse fungiert als nächster Hop, sobald der für das physische Netzwerk bestimmte Datenverkehr aus dem Mandanten-VM-Netzwerk das SDN-Gateway erreicht. Hierbei muss es sich um eine IPv4-Adresse handeln. Es können mehrere Peer-IP-Adressen vorhanden sein. Diese müssen jeweils durch ein Komma getrennt sein.
Lokale IP-Adressen IP-Adressen müssen auf der L3-Netzwerkschnittstelle des Hostnamensgateways konfiguriert werden. Diese IP-Adressen müssen zu dem logischen Netzwerk gehören, das als nächster Hop verwendet werden soll und von Ihnen im Zuge der Vorbereitung erstellt wurde. Sie müssen ebenso die Subnetzmaske bereitstellen. Beispiel: 10.127.134.55/25. Hierbei muss es sich um eine IPv4-Adresse im CIDR-Notationsformat handeln. Die Peer-IP-Adresse und die lokalen IP-Adressen müssen aus dem gleichen Pool stammen. Diese IP-Adressen müssen dem Subnetz angehören, das in der Definition des logischen Netzwerks des VM-Netzwerks definiert ist.

  • Wenn Sie statische Routen verwenden, geben Sie unter Routen alle Remotesubnetze ein, mit denen Sie eine Verbindung herstellen möchten.

    Screenshot: Remotesubnetze.

    Hinweis

    Sie müssen in Ihrem physischen Netzwerk Routen für die Subnetze der virtuellen Mandantennetzwerke konfigurieren. Dabei muss als nächster Hop die IP-Adresse der L3-Schnittstelle des SDN-Gateways (lokale IP-Adresse, die bei der Erstellung der L3-Verbindung verwendet wurde) verwendet werden. Dadurch wird sichergestellt, dass der zurückgegebene Datenverkehr an das virtuelle Mandantennetzwerk ordnungsgemäß über das Hostnamengateway weitergeleitet wird.

  • Wenn Sie BGP verwenden, stellen Sie sicher, dass BGP-Peering zwischen der IP-Adresse der internen SDN-Gatewayschnittstelle eingerichtet wird, die sich in einem anderen Fach auf der Gateway-VM (nicht im Standardfach) befindet, und dem Peergerät im physischen Netzwerk.

    Damit BGP funktioniert, müssen folgende Schritte ausgeführt werden:

    1. Fügen Sie den BGP-Peer für die L3-Verbindung hinzu. Geben Sie auf der Seite Border Gateway Protocol Ihre ASN, die Peer-BGP-IP-Adresse und die dazugehörige ASN ein.

      Screenshot: Hinzufügen von bgp.

    2. Legen Sie die interne Adresse des SDN-Gateways fest, wie im folgenden Abschnitt beschrieben.

    3. Erstellen Sie den BGP-Peer auf Remoteseite (physisches Netzwerkgateway). Verwenden Sie während der Erstellung des BGP-Peers die interne Adresse des SDN-Gateways (festgelegt im vorhergehenden Schritt) als IP-Adresse des Peers.

    4. Konfigurieren Sie eine Route für das physische Netzwerk, bei der das Ziel die interne Adresse des SDN-Gateways und der nächste Hop die IP-Adresse der L3-Schnittstelle ist (lokale IP-Adresse, die bei der Erstellung der L3-Verbindung verwendet wurde).

Hinweis

Nachdem Sie die L3-Verbindung hergestellt haben, müssen Sie Routen in Ihrem physischen Netzwerk für die Subnetze der virtuellen Mandantennetzwerke konfigurieren. Dabei agiert der nächste Hop als IP-Adresse der L3-Schnittstelle auf dem Hostnamensgateway (der Parameter „LocalIpAddresses“ im Skript). Dadurch wird sichergestellt, dass der zurückgegebene Datenverkehr an das virtuelle Mandantennetzwerk ordnungsgemäß über das Hostnamengateway weitergeleitet wird.

Sie können über die L3-Verbindung auch statische Routen oder dynamische Routen (über BGP) konfigurieren. Wenn Sie statische Routen verwenden, können Sie diese mithilfe von Add-SCNetworkRoute hinzufügen, wie im skript unten beschrieben.

Wenn Sie BGP mit der L3-Tunnelverbindung verwenden, muss das BGP-Peering zwischen der IP-Adresse der internen Schnittstelle des Hostnamensgateways (die in einem anderen Depot auf der Gateway-VM und nicht im Standarddepot zu finden ist) und dem Peergerät auf dem physischen Netzwerk hergestellt werden.

Damit BGP funktioniert, müssen Sie die folgenden Schritte ausführen:

  1. Fügen Sie den BGP-Peer für die L3-Verbindung über das Cmdlet Add-SCBGPPeer hinzu.

    Beispiel: Add-SCBGPPeer -Name "peer1" -PeerIPAddress "12.13.14.15" -PeerASN 15 -VMNetworkGateway $VmNetworkGateway

  2. Legen Sie, wie im folgenden Abschnitt beschrieben, die interne Hostnamensgatewayadresse fest.

  3. Erstellen Sie den BGP-Peer auf Remoteseite (physisches Netzwerkgateway). Verwenden Sie beim Erstellen des BGP-Peers die interne SDN-Gatewayadresse (ermittelt in Schritt 2 oben) als Peer-IP-Adresse.

  4. Konfigurieren Sie eine Route auf dem physischen Netzwerk, deren Ziel die interne Hostnamensgatewayadresse ist und der nächste Hop die IP-Adresse der L3-Schnittstelle (Parameter LocalIPAddresses im Skript).

Festlegen der internen Hostnamensgatewayadresse

Gehen Sie dazu wie folgt vor:

Führen Sie die folgenden PowerShell-Cmdlets entweder auf einem Computer mit einem installierten Netzwerkcontroller oder auf einem Computer, der als Netzwerkcontrollerclient konfiguriert wurde, aus.

$gateway = Get-NetworkControllerVirtualGateway -ConnectionUri <REST uri of your deployment>
$gateway.Properties.NetworkConnections.Properties.IPAddresses

Die Ergebnisse dieses Befehls können mehrere virtuelle Gateways anzeigen, je nachdem, wie viele Mandanten Gatewayverbindungen konfiguriert haben. Jedes virtuelle Gateway kann mehrere Verbindungen besitzen (IPSec, GRE, L3).

Da Sie bereits die IP-Adresse der L3-Schnittstelle der Verbindung kennen (LocalIPAddresses), können Sie die korrekte Verbindung basierend auf dieser IP-Adresse identifizieren. Nachdem Sie die richtige Netzwerkverbindung hergestellt haben, führen Sie den folgenden Befehl (auf dem entsprechenden virtuellen Gateway) aus, um die IP-Adresse des BGP-Routers des virtuellen Gateways abzurufen.

$gateway.Properties.BgpRouters.Properties.RouterIp

Das Ergebnis dieses Befehls ist die IP-Adresse, die Sie auf dem remoten Router als Peer-IP-Adresse konfigurieren müssen.

Einrichten des Datenverkehrsselektors von VMM PowerShell

Gehen Sie folgendermaßen vor:

Hinweis

Die verwendeten Werte sind nur Beispiele.

  1. Erstellen Sie de Datenverkehrsselektor mit den folgenden Parametern.

    $t= new-object Microsoft.VirtualManager.Remoting.TrafficSelector

$t.Type=7 // IPV4=7, IPV6=8

$t.ProtocolId=6 // TCP =6, reference: https://en.wikipedia.org/wiki/List_of_IP_protocol_numbers

$t.PortEnd=5090

$t.PortStart=5080

$t.IpAddressStart=10.100.101.10

$t.IpAddressEnd=10.100.101.100

  2. Konfigurieren Sie den oben genannten Datenverkehrsselektor mithilfe des Parameters -LocalTrafficSelectors von Add-SCVPNConnection oder Set-SCVPNConnection.