Megosztás a következőn keresztül:

Forgatókönyv: Forgalom átirányítása NVA-kon keresztül egyéni beállítások használatával

  • Cikk

Az Azure Virtual WAN virtuális központ útválasztása során számos lehetőség áll rendelkezésére. A cikk középpontjában az áll, hogy a forgalmat egy hálózati virtuális berendezésen (NVA) keresztül szeretné irányítani a virtuális hálózatok és ágak közötti kommunikációhoz, és egy másik NVA-t szeretne használni az internethez kötött forgalomhoz. További információ: A virtuális központ útválasztása.

Feljegyzés

Vegye figyelembe, hogy az alábbi útválasztási forgatókönyvek esetében az NVA-t tartalmazó Virtual WAN hubnak és küllős virtuális hálózatnak ugyanabban az Azure-régióban kell lennie.

Tervezés

  • Küllők a virtuális központhoz csatlakoztatott virtuális hálózatokhoz. (Például az 1. virtuális hálózat, a 2. virtuális hálózat és a 3. virtuális hálózat a jelen cikk későbbi, diagramjában.)
  • Szolgáltatás virtuális hálózata virtuális hálózatokhoz, ahol a felhasználók üzembe helyeztek egy NVA-t a nem internetes forgalom vizsgálatára, és esetleg a küllők által elért közös szolgáltatásokkal. (Például a VNet 4 a cikk későbbi részében található diagramban.)
  • Szegélyhálózat virtuális hálózatokhoz, ahol a felhasználók üzembe helyeztek egy NVA-t az internethez kötött forgalom vizsgálatához. (A cikk későbbi részében például a VNet 5 a diagramon.)
  • A Microsoft által felügyelt Virtuális WAN-központok központjai.

Az alábbi táblázat az ebben a forgatókönyvben támogatott kapcsolatokat foglalja össze:

Forrás Művelet Küllők Szolgáltatás virtuális hálózata Ágak Internet
Küllők -> közvetlenül közvetlenül szolgáltatás virtuális hálózatán keresztül szegélyhálózaton keresztül
Szolgáltatás virtuális hálózata -> közvetlenül n.a. közvetlenül
Ágak -> szolgáltatás virtuális hálózatán keresztül közvetlenül közvetlenül

A kapcsolati mátrix minden cellája azt írja le, hogy a kapcsolat közvetlenül a Virtual WAN-on keresztül vagy az NVA-val rendelkező virtuális hálózatok egyikén halad át.

Jegyezze fel a következő részleteket:

  • Küllők:
    • A küllők közvetlenül a Virtual WAN-központokon keresztül érnek el más küllőket.
    • A küllők a szolgáltatás virtuális hálózatára mutató statikus útvonalon keresztül kapnak kapcsolatot az ágakhoz. Nem tanulnak konkrét előtagokat az ágakból, mert ezek az előtagok pontosabbak, és felülbírálják az összegzést.
    • A küllők közvetlen virtuális hálózatok közötti társviszony-létesítéssel küldik az internetes forgalmat a szegélyhálózatra.
  • Az ágak a szolgáltatás virtuális hálózatára mutató statikus útválasztáson keresztül jutnak el a küllőkhöz. Nem tanulnak olyan előtagokat a virtuális hálózatokból, amelyek felülbírálják az összesített statikus útvonalat.
  • A szolgáltatás virtuális hálózata hasonló lesz a megosztott szolgáltatások virtuális hálózatához, amelyet minden virtuális hálózatról és minden ágból el kell érni.
  • A peremhálózatnak nem kell virtuális WAN-kapcsolattal rendelkeznie, mert az egyetlen forgalom, amit támogatni fog, közvetlen virtuális hálózati társviszonyokon keresztül történik. A konfiguráció egyszerűsítése érdekében azonban ugyanazt a kapcsolati modellt használja, mint a szegélyhálózat esetében.

Három különböző kapcsolati minta létezik, amelyek három útvonaltáblát alkotnak. A különböző virtuális hálózatokhoz tartozó társítások a következők:

  • Küllők:
    • Társított útvonaltábla: RT_V2B
    • Propagálás útvonaltáblákra: RT_V2B és RT_SHARED
  • NVA virtuális hálózatok (Service VNet és DMZ VNet):
    • Társított útvonaltábla: RT_SHARED
    • Propagálás útvonaltáblákra: RT_SHARED
  • Ágak:
    • Társított útvonaltábla: Alapértelmezett
    • Propagálás útvonaltáblákra: RT_SHARED és alapértelmezett

Feljegyzés

Győződjön meg arról, hogy a küllős virtuális hálózatok nem propagálása az alapértelmezett címkére. Ez biztosítja, hogy az ágakról a küllős virtuális hálózatokra érkező forgalmat a rendszer továbbítsa az NVA-knak.

Ezek a statikus útvonalak biztosítják, hogy a virtuális hálózat és az ág felé és onnan érkező forgalom a szolgáltatás virtuális hálózatában (VNet 4) áthaladjon az NVA-n:

Leírás Útvonaltábla Statikus útvonal
Ágak RT_V2B 10.2.0.0/16 -> vnet4conn
NVA küllők Alapértelmezett 10.1.0.0/16 -> vnet4conn

Most már a Virtual WAN használatával kiválaszthatja a megfelelő kapcsolatot a csomagok elküldéséhez. A Virtual WAN használatával is ki kell választania a csomagok fogadásakor végrehajtandó megfelelő műveletet. Ehhez a kapcsolat útvonaltábláit használja az alábbiak szerint:

Leírás Connection Statikus útvonal
VNet2Branch vnet4conn 10.2.0.0/16 -> 10.4.0.5
Branch2VNet vnet4conn 10.1.0.0/16 -> 10.4.0.5

További információ: A virtuális központ útválasztása.

Architektúra

Az alábbi ábra a cikkben korábban ismertetett architektúrát mutatja be.

A diagramon egy központ található; Központ 1.

  • Az 1. központ közvetlenül csatlakozik a 4- és 5-ös NVA virtuális hálózatokhoz.

  • Az 1., 2. és 3. virtuális hálózatok és az ágak közötti forgalom várhatóan a VNet 4 NVA 10.4.0.5-ös hálózaton keresztül fog haladni.

  • Az 1., 2. és 3. virtuális hálózatokról érkező összes internetes forgalom várhatóan az 5 NVA 10.5.0.5-ös VNeten keresztül fog haladni.

A hálózati architektúra diagramja.

Munkafolyamat

Munkafolyamat diagramja.

Az útválasztás NVA-n keresztüli beállításához vegye figyelembe a következő lépéseket:

  1. Ahhoz, hogy az internethez kötött forgalom az 5. VNeten keresztül haladjon, az 1., a 2. és a 3. virtuális hálózatra van szüksége ahhoz, hogy közvetlenül kapcsolódjon a virtuális hálózatok közötti társviszony-létesítésen keresztül az 5. virtuális hálózathoz. A virtuális hálózatokban a 0.0.0.0/0 és a következő ugrás 10.5.0.5-ös ugrásához felhasználó által megadott útvonalat is be kell állítania.

    Ha nem szeretné csatlakoztatni az 1-es, a 2-es és a 3-at a VNet 5-höz, és ehelyett csak a 4-es virtuális hálózat NVA-ját használja a 0.0.0.0/0 forgalom átirányításához ágakból (helyszíni VPN- vagy ExpressRoute-kapcsolatokból), lépjen a másik munkafolyamatra.

    Ha azonban azt szeretné, hogy a virtuális hálózatok közötti forgalom áthaladjon az NVA-n, le kell választania az 1,2,3-s virtuális hálózatot a virtuális központról, és csatlakoztatnia kell, vagy az NVA küllős virtuális hálózata fölött kell azt halmolnia4. A Virtual WAN-ban a virtuális hálózatok közötti forgalom a Virtual WAN hubon vagy a Virtual WAN hub Azure Firewallján (Secure Hub) keresztül halad át. Ha a virtuális hálózatok társviszonya közvetlenül a virtuális hálózatok közötti társviszony-létesítéssel történik, akkor közvetlenül a virtuális központon keresztül kommunikálhatnak az átvitel megkerülésével.

  2. Az Azure Portalon lépjen a virtuális központra, és hozzon létre egy RT_Shared nevű egyéni útvonaltáblát. Ez a táblázat az útvonalakat az összes virtuális hálózat és ágkapcsolat propagálásán keresztül tanulja meg. Ezt az üres táblát az alábbi ábrán tekintheti meg.

    • Útvonalak: Nem kell statikus útvonalakat hozzáadnia.

    • Társítás: Válassza ki a 4. és az 5. virtuális hálózatokat, ami azt jelenti, hogy ezeknek a virtuális hálózatoknak a kapcsolatai az útvonaltáblához RT_Shared.

    • Propagálás: Mivel azt szeretné, hogy az összes ág és virtuális hálózati kapcsolat dinamikusan propagálja az útvonalakat erre az útvonaltáblára, válassza ki az ágakat és az összes virtuális hálózatot.

  3. Hozzon létre egy RT_V2B nevű egyéni útvonaltáblát az 1., a 2. és a 3. virtuális hálózatról az ágakra irányuló forgalom irányításához.

    • Útvonalak: Összesített statikus útvonalbejegyzés hozzáadása az ágakhoz, a következő ugrás pedig vNet 4-kapcsolatként. Konfiguráljon egy statikus útvonalat a VNet 4 kapcsolatában az ágelőtagokhoz. A következő ugrást adja meg a 4. virtuális hálózat NVA-jának adott IP-címeként.

    • Társítás: Válassza ki az összes 1., 2. és 3. virtuális hálózatot. Ez azt jelenti, hogy az 1., 2. és 3. VNet-kapcsolatok ehhez az útvonaltáblához lesznek társítva, és képesek lesznek az útvonalak (statikus és dinamikus propagáláson keresztüli) megismerésére ebben az útvonaltáblában.

    • Propagálás: A kapcsolatok útvonaltáblákra propagálja az útvonalakat. Az 1., 2. és 3. virtuális hálózatok kiválasztása lehetővé teszi az útvonalak propagálását az 1., 2. és 3. virtuális hálózatokról erre az útvonaltáblára. Nincs szükség útvonalak propagálására az ágkapcsolatokról a RT_V2B, mert az ág virtuális hálózatának forgalma a 4. virtuális hálózat NVA-n keresztül történik.

  4. Szerkessze a DefaultRouteTable alapértelmezett útvonaltábláját.

    Az alapértelmezett útvonaltáblához minden VPN-, Azure ExpressRoute- és felhasználói VPN-kapcsolat társítva van. Minden VPN-, ExpressRoute- és felhasználói VPN-kapcsolat ugyanahhoz az útvonaltáblához propagálja az útvonalakat.

    • Útvonalak: Adjon hozzá egy összesített statikus útvonalbejegyzést az 1., a 2. és a 3. virtuális hálózatokhoz, és a következő ugrást vNet 4-kapcsolatként adja hozzá. Konfiguráljon statikus útvonalat a VNet 4 1., 2. és 3. összesített előtagjainak kapcsolatában. A következő ugrást adja meg a 4. virtuális hálózat NVA-jának adott IP-címeként.

    • Társítás: Győződjön meg arról, hogy az ágak (VPN/ER/P2S) beállítás be van jelölve, biztosítva, hogy a helyszíni ágkapcsolatok az alapértelmezett útvonaltáblához legyenek társítva.

    • Propagálás innen: Győződjön meg arról, hogy az ágak (VPN/ER/P2S) beállítás be van jelölve, biztosítva, hogy a helyszíni kapcsolatok propagálják az útvonalakat az alapértelmezett útvonaltáblába.

Alternatív munkafolyamat

Ebben a munkafolyamatban nem csatlakoztatja az 1., a 2. és a 3. virtuális hálózatot az 5. virtuális hálózathoz. Ehelyett a VNet 4 NVA-ját használja a 0.0.0.0/0 forgalom átirányításához ágakból (helyszíni VPN- vagy ExpressRoute-kapcsolatokból).

Alternatív munkafolyamat diagramja.

Az útválasztás NVA-n keresztüli beállításához vegye figyelembe a következő lépéseket:

  1. Az Azure Portalon lépjen a virtuális központra, és hozzon létre egy RT_NVA nevű egyéni útvonaltáblát a forgalom NVA 10.4.0.5-en keresztüli irányításához

    • Útvonalak: Nincs szükség műveletre.

    • Társítás: Válassza a VNet4 lehetőséget. Ez azt jelenti, hogy a 4-es VNet-kapcsolat ehhez az útvonaltáblához lesz társítva, és képes megtanulni az útvonalakat (statikus és dinamikus propagálással) ebben az útvonaltáblában.

    • Propagálás: A kapcsolatok útvonaltáblákra propagálja az útvonalakat. Az 1., 2. és 3. virtuális hálózatok kiválasztása lehetővé teszi az útvonalak propagálását az 1., 2. és 3. virtuális hálózatokról erre az útvonaltáblára. Az ágak (VPN/ER/P2S) kiválasztása lehetővé teszi az útvonalak propagálását az ágakból/helyszíni kapcsolatokból ebbe az útvonaltáblába. Minden VPN-, ExpressRoute- és felhasználói VPN-kapcsolat ugyanahhoz az útvonaltáblához propagálja az útvonalakat.

  2. Hozzon létre egy RT_VNET nevű egyéni útvonaltáblát, amely az 1., 2. és 3. virtuális hálózatról az ágakra vagy az internetre (0.0.0.0/0) irányuló forgalmat irányítja a VNet4 NVA-n keresztül. A virtuális hálózatok közötti forgalom közvetlen lesz, és nem a VNet 4 NVA-ján keresztül. Ha azt szeretné, hogy a forgalom az NVA-n keresztül haladjon, bontsa le az 1., 2. és 3. virtuális hálózatot, és csatlakoztassa őket virtuális hálózatok közötti társviszony-létesítéssel a VNet4-hez.

    • Útvonalak: 

      • Adjon hozzá egy "10.2.0.0/16" összesített útvonalat a következő ugrással az 1., 2. és 3. virtuális hálózatról az ágak felé irányuló forgalom VNet 4-es kapcsolataként. A VNet4-kapcsolatban konfiguráljon egy útvonalat a 10.2.0.0/16-os verzióhoz, és a következő ugrást a 4. virtuális hálózat NVA-jának adott IP-címeként adja meg.

      • Adjon hozzá egy "0.0.0.0/0" útvonalat a következő ugrással vNet 4-kapcsolatként. A "0.0.0.0/0" a forgalom internetes küldését jelenti. Nem utal konkrét címelőtagokra a virtuális hálózatokhoz vagy ágakhoz. A VNet4-kapcsolaton konfiguráljon egy útvonalat a "0.0.0.0/0" számára, és a következő ugrást a 4. virtuális hálózat NVA-jának adott IP-címeként adja meg.

    • Társítás: Válassza ki az összes 1., 2. és 3. virtuális hálózatot. Ez azt jelenti, hogy az 1., 2. és 3. VNet-kapcsolatok ehhez az útvonaltáblához lesznek társítva, és képesek lesznek az útvonalak (statikus és dinamikus propagáláson keresztüli) megismerésére ebben az útvonaltáblában.

    • Propagálás: A kapcsolatok útvonaltáblákra propagálja az útvonalakat. Az 1., 2. és 3. virtuális hálózatok kiválasztása lehetővé teszi az útvonalak propagálását az 1., 2. és 3. virtuális hálózatokról erre az útvonaltáblára. Győződjön meg arról, hogy az ágak (VPN/ER/P2S) beállítás nincs bejelölve. Ez biztosítja, hogy a helyszíni kapcsolatok ne érhessenek el közvetlenül az 1., 2. és 3. virtuális hálózatokhoz.

  3. Szerkessze a DefaultRouteTable alapértelmezett útvonaltábláját.

    Az alapértelmezett útvonaltáblához minden VPN-, Azure ExpressRoute- és felhasználói VPN-kapcsolat társítva van. Minden VPN-, ExpressRoute- és felhasználói VPN-kapcsolat ugyanahhoz az útvonaltáblához propagálja az útvonalakat.

    • Útvonalak: 

      • A 1.1.0.0/16-os összesített útvonal hozzáadása az 1-es, a 2-es és a 3-as virtuális hálózatokhoz, és a következő ugrás a VNet 4-kapcsolat.

      • Adjon hozzá egy "0.0.0.0/0" útvonalat a következő ugrással vNet 4-kapcsolatként. A "0.0.0.0/0" a forgalom internetes küldését jelenti. Nem utal konkrét címelőtagokra a virtuális hálózatokhoz vagy ágakhoz. A VNet4-kapcsolat előző lépésében már konfigurálta volna a 0.0.0.0/0 útvonalát, a következő ugrás pedig a 4. virtuális hálózat NVA-jának adott IP-címe lesz.

    • Társítás: Győződjön meg arról, hogy az ágak (VPN/ER/P2S) beállítás be van jelölve. Ez biztosítja, hogy a helyszíni ágkapcsolatok az alapértelmezett útvonaltáblához legyenek társítva. Minden VPN-, Azure ExpressRoute- és felhasználói VPN-kapcsolat csak az alapértelmezett útvonaltáblához van társítva.

    • Propagálás innen: Győződjön meg arról, hogy az ágak (VPN/ER/P2S) beállítás be van jelölve. Ez biztosítja, hogy a helyszíni kapcsolatok útvonalakat propagáljanak az alapértelmezett útvonaltáblába. Minden VPN-, ExpressRoute- és felhasználói VPN-kapcsolat "azonos útvonaltáblákra" propagálja az útvonalakat.

Megfontolások

  • A portál felhasználóinak engedélyezniük kell a "Propagálás alapértelmezett útvonalra" beállítást a kapcsolatokon (VPN/ER/P2S/VNet) a 0.0.0.0/0 útvonal érvénybe lépéséhez.

  • A PS/CLI/REST-felhasználóknak az "enableinternetsecurity" jelzőt igaz értékre kell állítaniuk a 0.0.0.0/0 útvonal érvénybe lépéséhez.

  • A virtuális hálózati kapcsolat nem támogatja a "több/egyedi" következő ugrási IP-címet a küllős virtuális hálózat "azonos" hálózati virtuális berendezéséhez, "ha" a következő ugrási IP-címmel rendelkező útvonalak egyike nyilvános IP-címnek vagy 0.0.0.0/0 (internet) értéknek van jelezve.

  • Ha a 0.0.0.0/0 statikus útvonalként van konfigurálva egy virtuális hálózati kapcsolaton, az útvonal minden forgalomra vonatkozik, beleértve magát a küllőn belüli erőforrásokat is. Ez azt jelenti, hogy a rendszer minden forgalmat a statikus útvonal következő ugrási IP-címére (NVA Privát IP-címre) továbbít. Így a 0.0.0.0/0 útvonallal rendelkező, küllős virtuális hálózati kapcsolaton konfigurált következő ugrásos NVA IP-címmel rendelkező üzemelő példányokban a számítási feladatok elérése az NVA-val közvetlenül megegyező virtuális hálózaton (azaz hogy a forgalom ne haladjon át az NVA-n), adjon meg egy /32-es útvonalat a küllős virtuális hálózati kapcsolaton. Ha például közvetlenül szeretné elérni a 10.1.3.1-et, adja meg a 10.1.3.1/32 következő ugrást a küllős virtuális hálózati kapcsolaton.

  • Az útválasztás egyszerűsítése és a Virtual WAN hub útvonaltábláinak változásainak csökkentése érdekében javasoljuk, hogy használja az új "BGP-társviszony-létesítés a Virtual WAN Hubbal" lehetőséget.

Következő lépések

  • A Virtual WAN-ról további információt a gyakori kérdések között talál.
  • A virtuális központ útválasztásáról további információt a Virtuális központ útválasztása című témakörben talál.