Informationen zur Routenzuordnung für virtuelle Hubs (Vorschau)
Routenzuordnung ist eine Funktion, mit der Sie Routenankündigungen und Routing für virtuelle WAN-Hubs steuern können. Die Routenzuordnung ermöglicht Ihnen mehr Kontrolle über das eingehende und ausgehende Routing in S2S-VPN-Verbindungen (Site-to-Site), Benutzer-VPN-P2S-Verbindungen (Point-to-Site), ER-Verbindungen (ExpressRoute) und VNet-Verbindungen (virtuelle Netzwerke) in Azure Virtual WAN. Die Routenzuordnung kann mittels dem Azure-Portal konfiguriert werden. Konfigurationsschritte finden Sie unter Konfigurieren von Routenzuordnungen.
Wichtig
Die Routenzuordnung befindet sich derzeit in der Public Preview und wird ohne Vereinbarung zum Servicelevel angeboten. Routenzuordnungen sollten nicht für Produktionsarbeitslasten verwendet werden. Unter Umständen werden bestimmte Features nicht unterstützt, verfügen über eingeschränkte Funktionen und sind nicht an allen Azure-Standorten verfügbar. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten rechtliche Bedingungen. Sie gelten für diejenigen Azure-Features, die sich in der Beta- oder Vorschauversion befinden oder aber anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
Warum Routenzuordnungen verwenden?
Einige der wichtigsten Vorteile der Verwendung von Routenzuordnungen sind:
- Routenzuordnungen können verwendet werden, um Routen zusammenzufassen, wenn Sie lokale Netzwerke haben, die über ExpressRoute oder VPN mit dem virtuellen WAN verbunden sind, und die Anzahl der Routen, die von/zu dem virtuellen Hub angekündigt werden können, begrenzt ist.
- Mithilfe der Routenzuordnung können Sie eingehende und ausgehende Routen zwischen lokalen und virtuellen Netzwerken in Ihrer Virtual WAN-Bereitstellung steuern.
- Sie können Routingentscheidungen in Ihrer Virtual WAN-Bereitstellung steuern, indem Sie ein BGP-Attribut wie AS-PATH ändern, um eine Route als mehr oder weniger bevorzugt zu kennzeichnen. Dies ist hilfreich, wenn Zielpräfixe über mehrere Pfade erreichbar sind und Kunden AS-PATH verwenden möchten, um die beste Pfadauswahl zu steuern.
- Sie können Routen ganz einfach mit dem BGP-Community-Attribut markieren, um Routen zu verwalten.
In Virtual WAN fungiert der virtuelle Hubrouter als Routen-Manager und vereinfacht den Routingvorgang innerhalb und zwischen virtuellen Hubs. Der virtuelle Hubrouter vereinfacht die Routingverwaltung, indem er als zentrale Routing-Engine agiert, die mit Gateways (S2S, ER und P2S), Azure Firewall und virtuellen Netzwerkgeräten kommuniziert.
Während die Gateways ihre Routingentscheidungen treffen, bietet der virtuelle Hubrouter eine zentrale Routenverwaltung und ermöglicht erweiterte Routingszenarien im virtuellen Hub mit Features wie benutzerdefinierten Routingtabellen, Routenzuordnung und Verteilung.
Mit der Routenzuordnung können Sie Routenaggregation und Routenfilterung durchführen und BGP-Attribute wie AS-PATH und Community ändern, um Routen und Routingentscheidungen zu verwalten. Routenzuordnungen können für die folgenden Ressourcen und Einstellungen konfiguriert werden:
Verbindungen: Eine Routenzuordnung kann auf Benutzer-, Verzweigungs-, ExpressRoute- und VNet-Verbindungen angewendet werden.
- ExpressRoute-Verbindung: Die Verbindung des Hubs mit einer ER-Leitung.
- Site-to-Site-VPN-Verbindung: Die Verbindung des Hubs mit einem VPN-Standort.
- VNet-Verbindung: Die Verbindung des Hubs mit einem virtuellen Netzwerk.
- Point-to-Site-Verbindung: Die Hubverbindung mit P2S-Benutzer*innen.
In einem virtuellen Hub kann eine Routenzuordnung auf jede der Verbindungen angewendet werden, wie im folgenden Diagramm dargestellt:
Routenaggregation: Mit der Routenzuordnung können Sie die Anzahl eingehender und/oder ausgehender Routen in einer Verbindung reduzieren, indem Sie sie zusammenfassen. (Beispiel: 10.2.1.0.0/24, 10.2.2.0/24 und 10.2.3.0/24 können in 10.2.0.0/16 zusammengefasst werden).
Routenfilterung: Mit der Routenzuordnung können Sie Routen ausschließen, die über ExpressRoute-Verbindungen, Site-to-Site-VPN-Verbindungen, VNet-Verbindungen und Point-to-Site-Verbindungen angekündigt oder empfangen werden.
Ändern von BGP-Attributen: Mit der Routenzuordnung können Sie AS-PATH- und BGP-Communitys ändern. Sie können jetzt ASNs (Autonomous System Numbers, Autonome Systemnummern) hinzufügen oder festlegen.
Überlegungen und Einschränkungen
Berücksichtigen Sie vor der Verwendung von Routenzuordnungen die folgenden Einschränkungen:
- Während der Vorschau müssen Hubs, die Routenzuordnungen verwenden, in ihren eigenen virtuellen WANs eingesetzt werden.
- Die Funktion Routenzuordnung ist nur für virtuelle Hubs verfügbar, die auf der Infrastruktur von Virtual Machine Scale Sets laufen. Weitere Informationen finden Sie in den häufig gestellten Fragen.
- Wenn Sie die Routenzuordnungen verwenden, um eine Gruppe von Routen zusammenzufassen, entfernt der Hubrouter die Attribute BGP Community und AS-PATH von diesen Routen. Dies gilt sowohl für eingehende als auch für ausgehende Routen.
- Verwenden Sie beim Hinzufügen von ASNs zum AS-PATH nur den privaten ASN-Bereich 64512 bis 65535, verwenden Sie jedoch keine ASNs, die von Azure reserviert sind:
- Öffentliche ASNs: 8074, 8075, 12076
- Private ASNs: 65515, 65517, 65518, 65519, 65520
- Entfernen Sie bei Verwendung von Route-Karten nicht die Azure BGP-Communitys:
- 65517:12001 , 65517:12002 , 65517:12003 , 65517:12005 , 65517:12006 , 65518:65518 , 65517:65517 , 65517:12076 , 65518:12076 , 65515:10000 , 65515:20000
- Sie können keine Routenzuordnungen auf Verbindungen zwischen lokalen und SD-WAN/Firewall-NVAs im virtuellen Hub anwenden. Diese Verbindungen werden während der Vorschauphase nicht unterstützt. Sie können Routenzuordnungen weiterhin auf andere unterstützte Verbindungen anwenden, wenn ein virtuelles Netzwerkgerät im virtuellen Hub bereitgestellt wird. Dies gilt nicht für die Azure Firewall, da das Routing für Azure Firewall über Virtual WAN-Routingabsichtsfeatures bereitgestellt wird.
- Die Routenzuordnung unterstützt nur 2-Byte-ASN-Nummern.
- Die Point-to-Site (P2S) Multipool-Funktion wird derzeit nicht von Routenzuordnungen unterstützt.
- Das Ändern der Standardroute wird nur unterstützt, wenn die Standardroute von der lokalen Oder einer NVA gelernt wird.
- Ein Präfix kann entweder durch Routenzuordnungen oder durch NAT geändert werden, aber nicht beides.
- Die Routenzuordnungen werden nicht auf den Hubadressraum angewendet.
- Das Anwenden von Route-Maps auf NVAs in einem Spoke-VNet wird nicht unterstützt.
Konfigurationsworkflow
Sie können mittels des Azure-Portals die Routenzuordnungen konfigurieren. Informationen zu Konfigurationsworkflows und umfassenden Schritten finden Sie unter Konfigurieren von Routenzuordnungen.
Was sind Routenzuordnungsregeln?
Eine Routenzuordnung ist eine geordnete Sequenz aus einer oder mehreren Routenzuordnungsregeln, die auf Routen angewendet werden, die vom virtuellen Hub empfangen oder gesendet werden. Routenzuordnungsregeln bestehen aus Vergleichsbedingungen und Aktionen.
Wenn Sie eine Routenzuordnungsregel konfigurieren, verwenden Sie die Einstellung Nächster Schritt, um anzugeben, ob Routen, die dieser Regel entsprechen, weiterhin von den nachfolgenden Regeln in der Routenzuordnung verarbeitet werden oder ob sie beendet werden sollen (beenden). Nachdem Routenzuordnungsregeln für die Routenzuordnung konfiguriert wurden, kann die Routenzuordnung auf Verbindungen angewendet werden.
Ziehen Sie Folgendes in Betracht:
- Für eine Routenzuordnungsregel kann eine beliebige Anzahl von Routenänderungen konfiguriert werden. Es ist möglich, eine Routenzuordnung ohne Regeln zu haben.
- Wenn für eine Routenzuordnung keine Aktionen in einer Regel konfiguriert sind, bleiben die Routen unverändert.
- Wenn für eine Routenzuordnung mehrere Änderungen in einer Regel konfiguriert sind, werden alle konfigurierten Aktionen auf die Route angewendet. Die Reihenfolge der Aktionen ist nicht relevant.
- Wenn eine Route keiner der Vergleichsbedingungen in einer Regel entspricht, wird die Route nicht als Übereinstimmung für die Regel betrachtet. Die Route wird unabhängig von der Einstellung Nächster Schritt an die Regel unter der Routenzuordnung weitergeleitet.
- Konfigurieren Sie Regeln so, dass sie nur mit den beabsichtigten Routen übereinstimmen, um unbeabsichtigte Datenverkehrsflüsse zu vermeiden.
Übereinstimmungsbedingungen
Die Routenzuordnung ermöglicht das Abgleichen von Routen anhand von Routenpräfix, BGP-Community und AS-Path. Vergleichsbedingungen sind die Bedingungen, die eine verarbeitete Route erfüllen muss, um als Übereinstimmung für die Regel zu gelten.
Eine Routenzuordnungsregel kann eine beliebige Anzahl von Vergleichsbedingungen aufweisen.
Wenn eine Routenzuordnung ohne Vergleichsbedingung erstellt wird, werden alle Routen aus der angewendeten Verbindung verglichen.
Beispielsweise weist eine Site-to-Site-VPN-Verbindung die Routen 10.2.1.0/24, 10.2.2.0/24 und 10.2.3.0/24 auf, die von Azure an eine Filiale angekündigt werden. Eine Routenzuordnung ohne Vergleichsbedingung entspricht 10.2.1.0/24, 10.2.2.0/24 und 10.2.3.0/24.
Wenn eine Routenzuordnung mehrere Vergleichsbedingungen aufweist, muss eine Route alle Vergleichsbedingungen erfüllen, um als Übereinstimmung für die Regel zu gelten. Die Reihenfolge der Vergleichsbedingungen ist nicht relevant.
Beispielsweise weist eine Site-to-Site-VPN-Verbindung die Route 10.2.1.0/24 mit einem AS-Pfad von 65535 und einer BGP-Community von 65535:100 auf, die von Azure an eine Filiale angekündigt wird. Wenn für die Verbindung eine Routenzuordnungsregel mit einer Vergleichsbedingung mit dem Präfix 10.2.1.0 und einer weiteren Vergleichsbedingung mit dem AS-Pfad 65535 erstellt wird, müssen beide Bedingungen erfüllt sein, um als Übereinstimmung zu gelten.
Es werden mehrere Regeln unterstützt. Wenn die erste Regel keine Übereinstimmung erzielt, wird die zweite Regel ausgewertet. Wählen Sie Beenden im Feld Nächster Schritt aus, um die Liste der Regeln in der Routenzuordnung zu beenden. Wenn keine Regel eine Übereinstimmung erzielt, lautet die Standardeinstellung „Zulassen“, nicht „Verweigern“.
Aktionen
Vergleichsbedingungen werden verwendet, um eine Reihe von Routen auszuwählen. Wenn diese Routen ausgewählt sind, können sie gelöscht oder geändert werden. Sie können die folgenden Aktionen konfigurieren:
Löschen: Alle übereinstimmenden Routen werden aus der Routenankündigung gelöscht (d. h. herausgefiltert). Beispielsweise weist eine Site-to-Site-VPN-Verbindung die Routen 10.2.1.0/24, 10.2.2.0/24 und 10.2.3.0/24 auf, die von Azure an eine Filiale angekündigt werden. Eine Routenzuordnung kann so konfiguriert werden, dass 10.2.1.0/24 und 10.2.2.0/24 gelöscht werden, sodass nur 10.2.3.0/24 von Azure an eine Filiale angekündigt wird.
Ändern: Mögliche Routenänderungen sind das Aggregieren von Routenpräfixen oder das Ändern von Routen-BGP-Attributen. Beispielsweise weist eine Site-to-Site-VPN-Verbindung die Route 10.2.1.0/24 mit einem AS-Pfad von 65535 und einer BGP-Community von 65535:100 auf, die von Azure an eine Filiale angekündigt wird. Eine Routenzuordnung kann so konfiguriert werden, dass der AS-Pfad [65535, 65005] hinzugefügt wird.
Unterstützte Konfigurationen für Routenzuordnungsregeln
In diesem Abschnitt werden die Vergleichsbedingungen und Aktionen aufgeführt, die für die Vorschau von Routenzuordnungen unterstützt werden.
Übereinstimmungsbedingungen
Eigenschaft | Kriterium | Wert (Beispiel) | Interpretation |
---|---|---|---|
Route-prefix | equals | 10.1.0.0/16,10.2.0.0/16,10.3.0.0/16,10.4.0.0/16 | Entspricht nur diesen vier Routen. Spezifische Präfixe unter diesen Routen werden nicht abgeglichen. |
Route-prefix | contains | 10.1.0.0/16,10.2.0.0/16, 192.168.16.0/24, 192.168.17.0/24 | Entspricht allen angegebenen Routen und allen darunter befindlichen Präfixen. (Beispiel 10.2.1.0/24 befindet sich unter 10.2.0.0/16.) |
Community | equals | 65001:100,65001:200 | Die Community-Eigenschaft der Route muss über beide Communitys verfügen. Die Reihenfolge ist nicht relevant. |
Community | contains | 65001:100,65001:200 | Die Community-Eigenschaft der Route kann eine oder mehrere der angegebenen Communitys aufweisen. |
AS-Path | equals | 65001,65002,65003 | In der AS-PATH-Eigenschaft der Routen müssen ASNs in der angegebenen Reihenfolge aufgeführt sein. |
AS-Path | contains | 65001,65002,65003 | AS-PFAD in den Routen kann eine oder mehrere der aufgeführten ASNs enthalten. Die Reihenfolge ist nicht relevant. |
Routenänderungen
Eigenschaft | Aktion | Wert | Interpretation |
---|---|---|---|
Route-prefix | Hinzufügen | 10.3.0.0/8,10.4.0.0/8 | Die in den Regeln angegebenen Routen werden hinzugefügt. |
Route-prefix | Replace | 10.0.0.0/8,192.168.0.0/16 | Es werden alle übereinstimmenden Routen durch die in der Regel angegebenen Routen ersetzt. |
As-Path | Hinzufügen | 64580,64581 | AS-PATH wird die Liste der in der Regel angegebenen ASNs vorangestellt. Diese ASNs werden in der gleichen Reihenfolge auf die übereinstimmenden Routen angewendet. |
As-Path | Replace | 65004,65005 | AS-PATH wird für jede übereinstimmende Route in derselben Reihenfolge auf diese Liste festgelegt. Weitere Informationen finden Sie in den wichtigen Überlegungen zu reservierten AS-Nummern. |
As-Path | Replace | Kein Wert angegeben | Alle ASNs im AS-PATH in den übereinstimmenden Routen werden entfernt. |
Community | Hinzufügen | 64580:300,64581:300 | Alle aufgeführten Communitys werden dem Community-Attribut aller übereinstimmenden Routen hinzugefügt. |
Community | Replace | 64580:300,64581:300 | Das Community-Attribut wird für alle übereinstimmenden Routen durch die angegebene Liste ersetzt. |
Community | Replace | Kein Wert angegeben | Das Community-Attribut wird aus allen übereinstimmenden Routen entfernt. |
Community | Remove (Entfernen) | 65001:100,65001:200 | Alle aufgeführten Communitys, die im Community-Attribut der übereinstimmenden Routen vorliegen, werden entfernt. |
Anwenden von Routenzuordnungen auf Verbindungen
Bei jeder Verbindung können Sie Routenzuordnungen in eingehender, ausgehender oder sowohl eingehender als auch ausgehender Richtung anwenden. Sie können in ein- und ausgehender Richtung dieselben oder unterschiedliche Routenzuordnungen anwenden, es kann aber nur jeweils eine Routenzuordnung in jeder Richtung angewendet werden. Bei ExpressRoute-Verbindungen kann eine Routenzuordnung nicht auf MSEE-Geräte angewendet werden.
Eingehende Richtung: Wenn eine Routenzuordnung für eine Verbindung in der eingehenden Richtung konfiguriert ist, werden alle eingehenden Routenankündigungen auf dieser Verbindung von der Routenzuordnung verarbeitet, bevor sie in die Routingtabelle des virtuellen Hubrouters, defaultRouteTable, eingetragen werden.
Ausgehende Richtung: Wenn eine Routenzuordnung für eine Verbindung in der ausgehenden Richtung konfiguriert ist, verarbeitet die Routenzuordnung alle ausgehenden Routenankündigungen auf dieser Verbindung, bevor sie von dem virtuellen Hubrouter über die Verbindung angekündigt werden.
Schritte zum Anwenden von Routenzuordnungen auf Verbindungen finden Sie unter Konfigurieren von Routenkarten.
Überwachen mithilfe des Routenzuordnungsdashboards
Wenn eine Routenzuordnung auf eine Verbindung angewendet wird, können Sie das Dashboard „Routenzuordnung“ verwenden, um Folgendes zu überwachen und anzuzeigen:
- Routen
- AS-Pfad
- BGP-Communitys
Weitere Informationen und Schritte finden Sie unter Überwachen von Routenzuordnungen mithilfe des Routenzuordnungsdashboards.
Nächste Schritte
- Informationen zum Konfigurieren von Routenzuordnungen finden Sie unter Konfigurieren von Routenzuordnungen.
- Siehe Routenzuordnungsdashboard zum Überwachen von Routen, AS-Path und BGP-Communitys.