ルート マップは、Virtual WAN の仮想ハブのルート アドバタイズとルーティングを制御する機能を提供する機能です。 ルートマップを使用すると、Azure Virtual WAN のサイト間 (S2S) VPN 接続、ユーザー VPN ポイント対サイト (P2S) 接続、ExpressRoute (ER) 接続、仮想ネットワーク (VNet) 接続に出入りするルーティングをより詳細に制御できます。 ルートマップは Azure portal を使用して構成できます。 構成手順については、「ルートマップを構成する方法」を参照してください。
ルート マップを使用する理由
ルート マップを使用する主な利点は次のとおりです。
- ルート マップを使用すると、ExpressRoute または VPN 経由で Virtual WAN に接続されているオンプレミス ネットワークがあり、仮想ハブとの間でアドバタイズできるルートの数によって制限されている場合に、ルートを集約できます。
- ルート マップを使用して、オンプレミス ネットワークと仮想ネットワークにおける Virtual WAN デプロイを出入りするルートを制御できます。
- AS パスなどの BGP 属性を変更して、ルートの優先順位をより高く、または低くすることで、Virtual WAN デプロイでのルーティングの決定を制御できます。 これは、複数のパスを介して到達可能な宛先プレフィックスがあり、お客様が AS パスを使用して最適なパス選択を制御したい場合に役立ちます。
- ルートを管理するために、BGP Community 属性を使用してルートに簡単にタグを付けることができます。
Virtual WAN では、仮想ハブ ルーターがルート マネージャーとして機能し、仮想ハブ内および仮想ハブ間のルーティング操作を簡略化します。 仮想ハブ ルーターは、ゲートウェイ (S2S、ER、P2S)、Azure Firewall、ネットワーク仮想アプライアンス (NVA) と通信する中央ルーティング エンジンとなることで、ルーティング管理を簡素化します。
ゲートウェイはルーティングの決定を行います。一方、仮想ハブ ルーターは、カスタム ルート テーブル、ルートの関連付け、伝達などの機能を使用して、中央ルート管理を提供し、仮想ハブの高度なルーティング シナリオを可能にします。
ルート マップを使用すると、ルートの集約、ルートのフィルター処理を実行できます。また、AS-PATH や Community などの BGP 属性を変更して、ルートとルーティングの決定を管理できます。 ルート マップは、次のリソースと設定に対して構成できます。
接続: ルート マップは、ユーザー、ブランチ、ExpressRoute、VNet 接続に適用できます。
- ExpressRoute 接続: ER 回線へのハブの接続。
- サイト間 VPN 接続: VPN サイトへのハブの接続。
- VNet 接続: 仮想ネットワークへのハブの接続。
- ポイント対サイト接続: P2S ユーザーへのハブの接続。
次の図に示すように、仮想ハブでは、任意の接続にルート マップを適用できます。
ルート集計: ルートマップを使用すると、集約によって、接続に出入りするルートの数を減らすことができます。 (例: 10.2.1.0.0/24、10.2.2.0/24、10.2.3.0/24 は 10.2.0.0/16 に集約できます)。
ルート フィルター処理: ルートマップを使用すると、ExpressRoute 接続、サイト間 VPN 接続、VNet 接続、ポイント対サイト接続からアドバタイズされた、または受信したルートを除外できます。
BGP 属性の変更: ルートマップを使用すると、AS パスおよび BGP コミュニティを変更できます。 ASN (自律システム番号) を追加または設定できるようになりました。
考慮事項と制限事項
ルート マップを使用する前に、次の制限事項を考慮してください。
ルート マップを使って一連のルートを集約する場合、ハブ ルーターによって、それらのルートから BGP コミュニティと AS-PATH の属性が削除されます。 これは、受信ルートと送信ルートの両方に適用されます。
ルート マップを使用する場合 は、AS プリペンドにプライベート ASN を使用しないでください (参照先の記事では ExpressRoute Microsoft ピアリングに焦点を当てていますが、ExpressRoute プライベート ピアリングにも同じことが適用されることに注意してください)。
ルート マップを使用する場合は、AZURE によって予約されている ASN を AS プリペンド用に使用しないでください。
- パブリック ASN: 8074, 8075, 12076
- プライベート ASN: 65515, 65517, 65518, 65519, 65520
ルート マップを使用する場合は、Azure BGP コミュニティを削除しないでください。
- 65517:12001、65517:12002、65517:12003、65517:12005、65517:12006、65518:65518、65517:65517、65517:12076、65518:12076、65515:10000、65515:20000
仮想ハブ内のオンプレミスと SD-WAN/ファイアウォール NVA 間の接続にはルート マップを適用できません。 仮想ハブ内の NVA がデプロイされている場合、サポートされている他の接続にルート マップを引き続き適用できます。 これは Azure Firewall には適用されません。Azure Firewall のルーティングは Virtual WAN のルーティング インテント機能を通して提供されるためです。
ルート マップは、2 バイトの ASN 番号のみをサポートしています。
既定のルートの変更は、既定のルートがオンプレミスまたは NVA から学習された場合にのみサポートされます。
プレフィックスは、ルート マップまたは NAT のいずれかによって変更できますが、両方で変更することはできません。
ルート マップはハブ アドレス空間には適用されません。
NVA を含んでいる VNet 上でルート マップを使用している場合。 VNet アドレス上のルート マップまたは NVA によってアドバタイズされているアドレスを適用できます。
ルート マップは、ルート要約のみをサポートしています。 ルート マップを、他の特定のルートの作成には使用しないでください。
構成ワークフロー
Azure portal を使用してルート マップを構成できます。 構成ワークフローと包括的な構成手順については、「ルートマップを構成する方法」を参照してください。
ルート マップ ルールとは
ルート マップは、仮想ハブによって送受信されるルートに適用される 1 つ以上のルート マップ ルールの順序付けられたシーケンスです。 ルート マップ ルールは、一致条件とアクションで構成されます。
ルート マップ ルールを構成する場合は、[次のステップ] 設定を使用して、このルールに一致するルートをルート マップ内の後続のルールで引き続き処理するか、停止 (終了) するかを指定します。 ルート マップに対してルート マップ ルールを構成した後、ルート マップを接続に適用できます。
また、以下の点を考慮してください。
- ルート マップ ルールには、任意の数のルート変更を構成できます。 ルールを持たないルート マップを作成することもできます。
- ルート マップで、ルールでアクションが構成されていない場合、ルートは変更されません。
- ルート マップで、ルールで複数の変更が構成されている場合、構成されたすべてのアクションがルートに適用されます。 アクションの順序は関係ありません。
- ルートがルール内のすべての一致条件について一致しない場合、ルートはルールに一致するとは見なされません。 ルートは、[次のステップ] 設定に関係なく、ルート マップの下のルールに渡されます。
- 意図しないトラフィック フローを避けるために、意図したルートのみに一致するようにルールを構成します。
一致条件
ルートマップを使用すると、ルートプレフィックス、BGP コミュニティ、AS パスを使用してルートを一致させることができます。 [一致条件] は、処理されたルートが規則の一致と見なされるために満たす必要がある条件のセットです。
ルート マップ ルールには、任意の数の一致条件を指定できます。
一致条件なしでルート マップが作成された場合、適用された接続のすべてのルートが一致します。
たとえば、サイト間 VPN 接続では、ルート 10.2.1.0/24、10.2.2.0/24、10.2.3.0/24 が Azure からブランチ オフィスにアドバタイズされます。 一致条件のないルート マップは、10.2.1.0/24、10.2.2.0/24、10.2.3.0/24 と一致します。
ルート マップに複数の一致条件がある場合、ルートがルールに一致すると見なされるには、すべての一致条件を満たす必要があります。 一致条件の順序は関係ありません。
たとえば、サイト間 VPN 接続にはルート 10.2.1.0/24 があり、AS パスは 65535、BGP コミュニティは 65535:100 で、Azure からブランチ オフィスにアドバタイズされます。 プレフィックス 10.2.1.0 で一致する一致条件と AS パス 65535 のもう 1 つの一致条件を持つルート マップ ルールが接続で作成された場合、両方の条件が一致と見なされるためには、両方の条件を満たす必要があります。
複数のルールがサポートされています。 1 つ目のルールが一致しない場合は、2 番目のルールが評価されます。 [次のステップ] フィールドの [終了] を選択して、ルート マップ内のルールの一覧を終了します。 一致するルールがない場合、既定では許可され、拒否はされません。
アクション
一致条件は、一連のルートを特定するために使用されます。 それらのルートを選択すると、削除または変更できます。 次の [アクション] を構成できます。
削除: 一致したすべてのルートは、ルート アドバタイズから削除されます (つまり、フィルターで除外されます)。 たとえば、サイト間 VPN 接続では、ルート 10.2.1.0/24、10.2.2.0/24、10.2.3.0/24 が Azure からブランチ オフィスにアドバタイズされます。 ルート マップは、10.2.1.0/24 と 10.2.2.0/24 を削除するように構成できます。そうすると、10.2.3.0/24 だけが Azure からブランチ オフィスにアドバタイズされる結果になります。
変更: ルートで行うことのできる変更は、ルート プレフィックスの集計またはルート BGP 属性の変更です。 たとえば、サイト間 VPN 接続にはルート 10.2.1.0/24 があり、AS パスは 65535、BGP コミュニティは 65535:100 で、Azure からブランチ オフィスにアドバタイズされます。 ルート マップは、[65535、65005] の AS パスを追加するように構成できます。
ルート マップ ルールでサポートされている構成
このセクションでは、ルート マップ機能でサポートされる一致条件とアクションを示します。
一致条件
| プロパティ | 条件 | 例示的な値 | 解釈 |
|---|---|---|---|
| ルート プレフィックス | 等しい | 10.1.0.0/16、10.2.0.0/16、10.3.0.0/16、10.4.0.0/16 | これらの 4 つのルートにのみ一致します。 これらのルートの特定のプレフィックスは一致しません。 |
| ルート プレフィックス | 含む | 10.1.0.0/16、10.2.0.0/16、192.168.16.0/24、192.168.17.0/24 | 指定されたすべてのルートと、その下にあるすべてのプレフィックスと一致します。 (例: 10.2.1.0/24 は 10.2.0.0/16 の下にあります) |
| コミュニティ | 等しい | 65001:100、65001:200 | ルートのコミュニティ プロパティには、両方のコミュニティが必要です。 順序は関係ありません。 |
| コミュニティ | 含む | 65001:100、65001:200 | ルートのコミュニティ プロパティには、指定されたコミュニティの 1 つ以上が含まれる場合があります。 |
| AS パス | 等しい | 65001、65002、65003 | ルートの AS パスには、ASN が指定した順序で一覧表示されている必要があります。 |
| AS パス | 含む | 65001、65002、65003 | ルート内の AS-PATH には、一覧表示されている ASN が 1 つ以上含まれる場合があります。 順序は関係ありません。 |
ルートの変更
| プロパティ | アクション | 価値 | 解釈 |
|---|---|---|---|
| ルート プレフィックス | 落とす | 10.3.0.0/8、10.4.0.0/8 | ルールで指定されたルートが削除されます。 |
| ルート プレフィックス | 置換 | 10.0.0.0/8、192.168.0.0/16 | 一致したすべてのルートを、ルールで指定されたルートに置き換えます。 |
| AS パス | 追加 | 64580、64581 | ルールで指定された ASN の一覧を AS パスの先頭に付加します。 これらの ASN は、一致したルートに対して同じ順序で適用されます。 |
| AS パス | 置換 | 65004、65005 | AS パスは、一致したルートごとに同じ順序でこのリストに設定されます。 予約済みの AS 番号に関する主な考慮事項をご覧ください。 |
| AS パス | 置換 | 値が指定されていない | 一致したルートの AS パス内のすべての ASN を削除します。 |
| コミュニティ | 追加 | 64580:300、64581:300 | 一致したすべてのルートのコミュニティ属性に、記載されているすべてのコミュニティを追加します。 |
| コミュニティ | 置換 | 64580:300、64581:300 | 一致したすべてのルートのコミュニティ属性を、指定されたリストに置き換えます。 |
| コミュニティ | 置換 | 値が指定されていない | 一致したすべてのルートからコミュニティ属性を削除します。 |
| コミュニティ | [削除] | 65001:100、65001:200 | 一致したルートのコミュニティ属性に存在する、記載されているコミュニティをすべて削除します。 |
ルート マップの接続への適用
受信方向、送信方向、または受信方向と送信方向の両方の各接続に対し、ルート マップを適用できます。 受信方向と送信方向に、同じルート マップまたは異なるルート マップを適用できますが、各方向に適用できるルート マップは 1 つだけです。 ExpressRoute 接続の場合、MSEE デバイスにルート マップを適用することはできません。
受信方向: ルート マップが受信方向の接続で構成されている場合、その接続上のすべてのイングレス ルート アドバタイズは、仮想ハブ ルーターのルーティング テーブル defaultRouteTable に入力される前に、ルート マップによって処理されます。
送信方向: ルート マップが送信方向の接続で構成されている場合、その接続上のすべてのエグレス ルート アドバタイズは、接続で仮想ハブ ルーターによってアドバタイズされる前に、ルート マップによって処理されます。 送信ルート マップでは、Virtual WAN によって特定の接続にアドバタイズされるルートのみを変更でき、特定のプレフィックスにアクセスするために接続で使用するルートまたはパスを選択するために使用することはできません。 これは、送信ルート マップを適用する前に 、ハブ ルーティング優先 設定を使用した最適パス選択が行われるためです。 そのため、送信ルートを使用して、Azure での最適なパスの選択に影響を与えることはできません。
ルート マップを接続に適用する手順については、「ルート マップを構成する方法」を参照してください。
ルート マップ ダッシュボードを使用した監視
ルート マップが接続に適用されている場合は、ルート マップ ダッシュボードを使用して、次の監視と表示を行うことができます。
- ルート
- AS パス
- BGP コミュニティ
詳細と手順については、「ルート マップ ダッシュボードを使用してルート マップを監視する」を参照してください。
次のステップ
- ルート マップを構成するには、「ルート マップを構成する方法」を参照してください。
- ルート、AS パス、BGP コミュニティを監視するには、「ルート マップ ダッシュボード」を参照してください。