Scenario: verkeer routeren via NVA's met behulp van aangepaste instellingen

Wanneer u met azure Virtual WAN virtuele hubroutering werkt, hebt u veel opties beschikbaar. De focus van dit artikel is wanneer u verkeer wilt routeren via een virtueel netwerkapparaat (NVA) voor communicatie tussen virtuele netwerken en vertakkingen, en een andere NVA wilt gebruiken voor internetverkeer. Zie Over routering van virtuele hubs voor meer informatie.

Notitie

Houd er rekening mee dat voor de onderstaande routeringsscenario's de Virtual WAN hub en spoke-Virtual Network met de NVA zich in dezelfde Azure-regio moeten bevinden.

Ontwerp

• Spokes voor virtuele netwerken die zijn verbonden met de virtuele hub. (Bijvoorbeeld VNet 1, VNet 2 en VNet 3 in het diagram verderop in dit artikel.)
• Service-VNet voor virtuele netwerken waarbij gebruikers een NVA hebben geïmplementeerd om niet-internetverkeer te inspecteren, en mogelijk met algemene services die toegankelijk zijn via spokes. (Bijvoorbeeld VNet 4 in het diagram verderop in dit artikel.)
• Perimeter-VNet voor virtuele netwerken waar gebruikers een NVA hebben geïmplementeerd voor het inspecteren van internetverkeer. (Bijvoorbeeld VNet 5 in het diagram verderop in dit artikel.)
• Hubs voor Virtual WAN hubs die worden beheerd door Microsoft.

De volgende tabel bevat een overzicht van de verbindingen die in dit scenario worden ondersteund:

Van	Tot	Knooppunten	Service-VNet	Vertakkingen	Internet
Knooppunten	->	Direct	Direct	via service-VNet	via perimeter-VNet
Service-VNet	->	Direct	n.v.t.	Direct
Vertakkingen	->	via service-VNet	Direct	Direct

Elk van de cellen in de connectiviteitsmatrix beschrijft of connectiviteit rechtstreeks via Virtual WAN of via een van de virtuele netwerken met een NVA loopt.

Let op de volgende details:

• Spaken:
  • Spokes bereiken andere spokes rechtstreeks via Virtual WAN hubs.
  • Spokes krijgen connectiviteit met vertakkingen via een statische route die naar het service-VNet wijst. Ze leren geen specifieke voorvoegsels van de vertakkingen, omdat deze voorvoegsels specifieker zijn en de samenvatting overschrijven.
  • Spokes verzenden internetverkeer naar het perimeter-VNet via een directe VNet-peering.
• Vertakkingen krijgen spokes via een statische routering die naar het service-VNet wijst. Ze leren geen specifieke voorvoegsels van de virtuele netwerken die de samengevatte statische route overschrijven.
• Het service-VNet is vergelijkbaar met een shared services-VNet dat bereikbaar moet zijn vanuit elk virtueel netwerk en elke vertakking.
• Het perimeter-VNet hoeft geen verbinding te hebben via Virtual WAN, omdat het enige verkeer dat het ondersteunt, afkomstig is van directe peerings van virtuele netwerken. Gebruik echter hetzelfde connectiviteitsmodel als voor het perimeter-VNet om de configuratie te vereenvoudigen.

Er zijn drie verschillende verbindingspatronen, die zich vertalen in drie routetabellen. De koppelingen met de verschillende virtuele netwerken zijn:

• Spaken:
  • Gekoppelde routetabel: RT_V2B
  • Doorgeven aan routetabellen: RT_V2B en RT_SHARED
• NVA-VNets (service-VNet en DMZ VNet):
  • Gekoppelde routetabel: RT_SHARED
  • Doorgeven aan routetabellen: RT_SHARED
• Takken:
  • Gekoppelde routetabel: standaard
  • Doorgeven aan routetabellen: RT_SHARED en standaard

Notitie

Zorg ervoor dat de spoke-VNets niet worden doorgegeven aan het standaardlabel. Dit zorgt ervoor dat verkeer van vertakkingen naar spoke-VNets wordt doorgestuurd naar de NVA's.

Deze statische routes zorgen ervoor dat verkeer van en naar het virtuele netwerk en de vertakking via de NVA in het service-VNet (VNet 4) gaat:

Beschrijving	Routetabel	Statische route
Vertakkingen	RT_V2B	10.2.0.0/16 -> vnet4conn
NVA-spaken	Standaard	10.1.0.0/16 -> vnet4conn

U kunt nu Virtual WAN gebruiken om de juiste verbinding te selecteren waarnaar de pakketten moeten worden verzonden. U moet ook Virtual WAN gebruiken om de juiste actie te selecteren die moet worden ondernomen bij het ontvangen van deze pakketten. U gebruikt hiervoor de verbindingsroutetabellen als volgt:

Description	Verbinding	Statische route
VNet2Branch	vnet4conn	10.2.0.0/16 -> 10.4.0.5
Branch2VNet	vnet4conn	10.1.0.0/16 -> 10.4.0.5

Zie Over routering van virtuele hubs voor meer informatie.

Architectuur

In het volgende diagram ziet u de architectuur die eerder in het artikel is beschreven.

In het diagram is er één hub; Hub 1.

• Hub 1 is rechtstreeks verbonden met NVA VNets VNet 4 en VNet 5.

• Verkeer tussen VNets 1, 2, 3 en de vertakkingen gaat naar verwachting via VNet 4 NVA 10.4.0.5.

• Al het internetverkeer van VNets 1, 2 en 3 gaat naar verwachting via VNet 5 NVA 10.5.0.5.

Werkstroom

Als u routering via NVA wilt instellen, moet u de volgende stappen overwegen:

1. Om internetverkeer via VNet 5 te laten verlopen, hebt u VNets 1, 2 en 3 nodig om rechtstreeks verbinding te maken via peering van virtuele netwerken met VNet 5. U moet ook een door de gebruiker gedefinieerde route instellen in de virtuele netwerken voor 0.0.0.0/0 en de volgende hop 10.5.0.5.

   Als u VNets 1, 2 en 3 niet wilt verbinden met VNet 5 en in plaats daarvan gewoon de NVA in VNet 4 wilt gebruiken om 0.0.0.0/0-verkeer van vertakkingen (on-premises VPN- of ExpressRoute-verbindingen) te routeren, gaat u naar de alternatieve werkstroom.

   Als u echter wilt dat VNet-naar-VNet-verkeer via de NVA wordt overgedragen, moet u VNet 1,2,3 loskoppelen van de virtuele hub en deze verbinden of stapelen boven de NVA Spoke VNet4. In Virtual WAN gaat VNet-naar-VNet-verkeer via de Virtual WAN-hub of de Azure Firewall van een Virtual WAN hub (Beveiligde hub). Als VNets rechtstreeks peering gebruiken via VNet-peering, kunnen ze rechtstreeks communiceren door de overdracht via de virtuele hub te omzeilen.

2. Ga in de Azure Portal naar uw virtuele hub en maak een aangepaste routetabel met de naam RT_Shared. Deze tabel leert routes via doorgifte van alle virtuele netwerken en vertakkingsverbindingen. U ziet deze lege tabel in het volgende diagram.

   • Routes: U hoeft geen statische routes toe te voegen.

   • Association: Selecteer VNets 4 en 5, wat betekent dat de verbindingen van deze virtuele netwerken zijn gekoppeld aan de routetabel RT_Shared.

   • Voortplanting: Omdat u wilt dat alle vertakkingen en virtuele netwerkverbindingen hun routes dynamisch doorgeven aan deze routetabel, selecteert u vertakkingen en alle virtuele netwerken.

3. Maak een aangepaste routetabel met de naam RT_V2B voor het omleiden van verkeer van VNets 1, 2 en 3 naar vertakkingen.

   • Routes: Voeg een geaggregeerde statische route-vermelding toe voor vertakkingen, met de volgende hop als de VNet 4-verbinding. Configureer een statische route in de verbinding van VNet 4 voor vertakkingsvoorvoegsels. Geef de volgende hop aan als het specifieke IP-adres van de NVA in VNet 4.

   • Association: Selecteer alle VNets 1, 2 en 3. Dit betekent dat VNet-verbindingen 1, 2 en 3 aan deze routetabel worden gekoppeld en routes kunnen leren (statisch en dynamisch via doorgifte) in deze routetabel.

   • Voortplanting: Verbindingen geven routes door aan routetabellen. Als u VNets 1, 2 en 3 selecteert, kunt u routes van VNets 1, 2 en 3 doorgeven aan deze routetabel. Het is niet nodig om routes van vertakkingsverbindingen door te geven aan RT_V2B, omdat verkeer van virtuele vertakkingen via de NVA in VNet 4 verloopt.

4. Bewerk de standaardroutetabel DefaultRouteTable.

   Alle VPN-, Azure ExpressRoute- en GEBRUIKERS-VPN-verbindingen zijn gekoppeld aan de standaardroutetabel. Alle VPN-, ExpressRoute- en gebruikers-VPN-verbindingen geven routes door aan dezelfde set routetabellen.

   • Routes: Voeg een geaggregeerde statische route-vermelding toe voor VNets 1, 2 en 3, met de volgende hop als de VNet 4-verbinding. Configureer een statische route in de verbinding van VNet 4 voor geaggregeerde voorvoegsels van VNet 1, 2 en 3. Geef de volgende hop aan als het specifieke IP-adres van de NVA in VNet 4.

   • Association: Zorg ervoor dat de optie voor vertakkingen (VPN/ER/P2S) is geselecteerd, zodat on-premises vertakkingsverbindingen zijn gekoppeld aan de standaardroutetabel.

   • Doorgifte van: Zorg ervoor dat de optie voor vertakkingen (VPN/ER/P2S) is geselecteerd, zodat on-premises verbindingen routes doorgeven aan de standaardroutetabel.

Alternatieve werkstroom

In deze werkstroom verbindt u VNets 1, 2 en 3 niet met VNet 5. In plaats daarvan gebruikt u de NVA in VNet 4 om 0.0.0.0/0-verkeer te routeren vanuit vertakkingen (on-premises VPN- of ExpressRoute-verbindingen).

Als u routering via NVA wilt instellen, moet u de volgende stappen overwegen:

1. Ga in de Azure Portal naar uw virtuele hub en maak een aangepaste routetabel met de naam RT_NVA voor het omleiden van verkeer via de NVA 10.4.0.5

   • Routes: Er is geen actie vereist.

   • Association: Selecteer VNet4. Dit betekent dat VNet-verbinding 4 wordt gekoppeld aan deze routetabel en routes kan leren (statisch en dynamisch via doorgifte) in deze routetabel.

   • Voortplanting: Verbindingen geven routes door aan routetabellen. Als u VNets 1, 2 en 3 selecteert, kunt u routes van VNets 1, 2 en 3 doorgeven aan deze routetabel. Als u vertakkingen (VPN/ER/P2S) selecteert, kunnen routes van vertakkingen/on-premises verbindingen naar deze routetabel worden doorgegeven. Alle VPN-, ExpressRoute- en gebruikers-VPN-verbindingen geven routes door aan dezelfde set routetabellen.

2. Maak een aangepaste routetabel met de naam RT_VNET voor het omleiden van verkeer van VNets 1, 2 en 3 naar vertakkingen of internet (0.0.0.0/0) via de VNet4 NVA. VNet-naar-VNet-verkeer is direct en niet via de NVA van VNet 4. Als u wilt dat verkeer via de NVA gaat, verbreekt u de verbinding met VNet 1, 2 en 3 en verbindt u deze via VNet-peering met VNet4.

   • Routes: 

     • Voeg een geaggregeerde route '10.2.0.0/16' toe met de volgende hop als de VNet 4-verbinding voor verkeer van VNets 1, 2 en 3 naar vertakkingen. Configureer in de VNet4-verbinding een route voor '10.2.0.0/16' en geef aan dat de volgende hop het specifieke IP-adres van de NVA in VNet 4 is.

     • Voeg een route '0.0.0.0/0' toe met de volgende hop als de VNet 4-verbinding. '0.0.0.0/0' wordt toegevoegd om te impliceren dat verkeer naar internet wordt verzonden. Dit impliceert geen specifieke adresvoorvoegsels die betrekking hebben op VNets of vertakkingen. Configureer in de VNet4-verbinding een route voor '0.0.0.0/0' en geef de volgende hop aan als het specifieke IP-adres van de NVA in VNet 4.

   • Association: Selecteer alle VNets 1, 2 en 3. Dit betekent dat VNet-verbindingen 1, 2 en 3 aan deze routetabel worden gekoppeld en routes kunnen leren (statisch en dynamisch via doorgifte) in deze routetabel.

   • Voortplanting: Verbindingen geven routes door aan routetabellen. Als u VNets 1, 2 en 3 selecteert, kunt u routes van VNets 1, 2 en 3 doorgeven aan deze routetabel. Zorg ervoor dat de optie voor vertakkingen (VPN/ER/P2S) niet is geselecteerd. Dit zorgt ervoor dat on-premises verbindingen niet rechtstreeks toegang hebben tot de VNets 1, 2 en 3.

3. Bewerk de standaardroutetabel DefaultRouteTable.

   Alle VPN-, Azure ExpressRoute- en GEBRUIKERS-VPN-verbindingen zijn gekoppeld aan de standaardroutetabel. Alle VPN-, ExpressRoute- en gebruikers-VPN-verbindingen geven routes door aan dezelfde set routetabellen.

   • Routes: 

     • Voeg een geaggregeerde route '10.1.0.0/16' toe voor VNets 1, 2 en 3 met de volgende hop als de VNet 4-verbinding.

     • Voeg een route '0.0.0.0/0' toe met de volgende hop als de VNet 4-verbinding. '0.0.0.0/0' wordt toegevoegd om te impliceren dat verkeer naar internet wordt verzonden. Dit impliceert geen specifieke adresvoorvoegsels die betrekking hebben op VNets of vertakkingen. In de vorige stap voor de VNet4-verbinding hebt u al een route geconfigureerd voor '0.0.0.0/0', waarbij de volgende hop het specifieke IP-adres van de NVA in VNet 4 is.

   • Association: Zorg ervoor dat de optie voor vertakkingen (VPN/ER/P2S) is geselecteerd. Dit zorgt ervoor dat on-premises vertakkingsverbindingen zijn gekoppeld aan de standaardroutetabel. Alle VPN-, Azure ExpressRoute- en gebruikers-VPN-verbindingen zijn alleen gekoppeld aan de standaardroutetabel.

   • Doorgifte van: Zorg ervoor dat de optie voor vertakkingen (VPN/ER/P2S) is geselecteerd. Dit zorgt ervoor dat on-premises verbindingen routes doorgeven aan de standaardroutetabel. Alle VPN-, ExpressRoute- en gebruikers-VPN-verbindingen geven routes door aan dezelfde set routetabellen.

Overwegingen

• Portalgebruikers moeten 'Doorsturen naar standaardroute' inschakelen voor verbindingen (VPN/ER/P2S/VNet) om de route 0.0.0.0/0 van kracht te laten worden.

• PS/CLI/REST-gebruikers moeten de vlag enableinternetsecurity instellen op true om de route 0.0.0.0/0 van kracht te laten worden.

• Virtuele netwerkverbinding biedt geen ondersteuning voor 'meerdere/unieke' volgende hop-IP-adressen naar hetzelfde virtuele netwerkapparaat in een spoke-VNet als een van de routes met het IP-adres van de volgende hop wordt aangegeven als openbaar IP-adres of 0.0.0.0/0 (internet).

• Wanneer 0.0.0.0/0 is geconfigureerd als een statische route op een virtuele netwerkverbinding, wordt die route toegepast op al het verkeer, inclusief de resources binnen de spoke zelf. Dit betekent dat al het verkeer wordt doorgestuurd naar het IP-adres van de volgende hop van de statische route (NVA Private IP). Geef in implementaties met een 0.0.0.0/0-route met het VOLGENDE HOP NVA-IP-adres geconfigureerd op een virtuele spoke-netwerkverbinding om rechtstreeks toegang te krijgen tot workloads in hetzelfde virtuele netwerk als de NVA (zodat verkeer niet via de NVA gaat), een /32-route op de virtuele spoke-netwerkverbinding. Als u bijvoorbeeld rechtstreeks toegang wilt krijgen tot 10.1.3.1, geeft u 10.1.3.1/32 volgende hop 10.1.3.1 op de virtuele spoke-netwerkverbinding op.

• Om routering te vereenvoudigen en de wijzigingen in de routetabellen van de Virtual WAN hub te verminderen, raden we u aan de nieuwe optie 'BGP-peering met Virtual WAN hub' te gebruiken.

  • Scenario: BGP-peering met een virtuele hub
  • BGP-peering maken met virtuele hub - Azure Portal

Volgende stappen

• Zie de veelgestelde vragen voor meer informatie over Virtual WAN.
• Zie Over virtuele hubroutering voor meer informatie over routering van virtuele hubs.