Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Pracując z routingiem koncentratora wirtualnego w ramach usługi Virtual WAN, istnieje wiele dostępnych scenariuszy. W tym scenariuszu NVA (wirtualne urządzenie sieciowe) celem jest kierowanie ruchu przez NVA dla połączeń gałęzi do sieci wirtualnej i sieci wirtualnej do gałęzi. Aby uzyskać informacje na temat routingu koncentratora wirtualnego, zobacz About virtual hub routing (Informacje o routingu koncentratora wirtualnego).
Uwaga
Jeśli masz już konfigurację z trasami utworzonymi przed wprowadzeniem nowych możliwości Jak skonfigurować routing koncentratora wirtualnego stają się dostępne, wykonaj kroki opisane w tych wersjach artykułów:
Projektowanie
W tym scenariuszu użyjemy następującej konwencji nazewnictwa:
- "VNets NVA dla sieci wirtualnych, w których użytkownicy wdrożyli NVA i połączyli inne sieci wirtualne jako rozgałęzienia (VNet 2 i VNet 4 na rysunku 2 w dalszej części artykułu)."
- "Szprychy NVA dla sieci wirtualnych połączonych z siecią wirtualną NVA (sieć wirtualna 5, sieć wirtualna 6, sieć wirtualna 7 i sieć wirtualna 8 na rysunku 2 w dalszej części artykułu)."
- "Sieci wirtualne bez NVA" dla sieci wirtualnych połączonych z wirtualną siecią WAN, które nie mają wirtualnych urządzeń sieciowych ani innych sieci wirtualnych z nimi połączonych (sieć wirtualna 1 i sieć wirtualna 3 na rysunku 2 w dalszej części artykułu).
- "Hubs" dla zarządzanych przez Microsoft koncentratorów Wirtualnej Sieci WAN, do których podłączone są NVA VNets. Sieci wirtualne, które są szprychami NVA, nie muszą być połączone z koncentratorami usługi Virtual WAN, wystarczy że będą połączone tylko z sieciami wirtualnymi NVA.
Poniższa macierz łączności zawiera podsumowanie przepływów obsługiwanych w tym scenariuszu:
Macierz łączności
| Źródło | Do: | Szprychy NVA | Sieci wirtualne urządzenia WUS | Sieci wirtualne nienależące do urządzenia WUS | Oddziały |
|---|---|---|---|---|---|
| Szprychy NVA | → | Nad NVA VNet | Peering (Komunikacja równorzędna) | Przez sieć wirtualną NVA VNet | Za pośrednictwem sieci wirtualnej NVA VNet |
| Sieci wirtualne NVA | → | Komunikacja równorzędna | Bezpośredni | Bezpośredni | Bezpośredni |
| Sieci wirtualne bez NVA | → | Przez NVA VNet | Bezpośredni | Bezpośredni | Bezpośredni |
| Oddziały | → | Za pośrednictwem sieci wirtualnej NVA | Bezpośredni | Bezpośredni | Bezpośredni |
Każda z komórek w macierzy łączności opisuje, w jaki sposób sieć wirtualna lub oddział (strona "Od" przepływu, nagłówki wierszy w tabeli) komunikuje się z siecią wirtualną lub oddziałem docelowym (strona "Do" przepływu, nagłówki kolumn zapisane kursywą w tabeli). "Bezpośredni" oznacza, że łączność jest zapewniana natywnie przez wirtualną sieć WAN, "Peering" oznacza, że łączność jest dostarczana przez trasę zdefiniowaną przez użytkownika w sieci wirtualnej, "Przez sieć wirtualną NVA" oznacza, że łączność przechodzi przez urządzenie NVA wdrożone w sieci wirtualnej NVA. Rozważ następujące elementy:
- Szprychy NVA nie są zarządzane przez usługę Virtual WAN. W związku z tym mechanizmy, za pomocą których będą komunikować się z innymi sieciami wirtualnymi lub gałęziami, są utrzymywane przez użytkownika. Łączność z siecią wirtualną NVA jest zapewniana przez peering sieci wirtualnej, a trasa domyślna do 0.0.0.0/0 wskazująca NVA jako następny przeskok powinna obejmować łączność z Internetem, innymi węzłami i oddziałami.
- Sieci wirtualne NVA znają własne rozgałęzienia NVA, ale nie rozgałęzienia NVA połączone z innymi sieciami wirtualnymi NVA. Na przykład na rysunku 2, który znajduje się dalej w tym artykule, sieć wirtualna 2 ma informacje o sieci wirtualnej 5 oraz 6, ale nie o innych połączeniach, takich jak sieć wirtualna 7 i 8. Trasa statyczna jest wymagana do przekazywania prefiksów innych wsporników do sieci NVA VNet
- Podobnie, gałęzie i sieci wirtualne nienależące do NVA nie będą wiedzieć o żadnych szprychach NVA, ponieważ szprychy NVA nie są połączone z koncentratorami sieci Virtual WAN. W związku z tym również potrzebne są trasy statyczne.
Biorąc pod uwagę, że szprychy NVA nie są zarządzane przez usługę Virtual WAN, wszystkie inne wiersze pokazują ten sam wzorzec łączności. W związku z tym pojedyncza tabela tras (domyślna) to:
- Sieci wirtualne (niezwiązane z centrum i centrum użytkowników)
- Powiązana tabela routingu: domyślna
- Propagacja do tabel tras: ustawienie domyślne
- Oddziały
- Skojarzona tabela tras: domyślna
- Propagacja do tabel tras: ustawienie domyślne
Jednak w tym scenariuszu musimy zastanowić się, które trasy statyczne należy skonfigurować. Każda trasa statyczna ma dwa składniki: jedną część w koncentratorze usługi Virtual WAN, która informuje komponenty Virtual WAN, z którego połączenia korzystać dla każdego odgałęzienia, oraz drugą w konkretnym połączeniu, wskazującą na konkretny adres IP przypisany do urządzenia NVA (lub do urządzenia do równoważenia obciążenia przed wieloma urządzeniami NVA), co pokazano na rysunku 1.
Rysunek 1
W związku z tym, trasy statyczne, których potrzebujemy w tabeli Domyślne do wysyłania ruchu do szprych NVA w sieci wirtualnej NVA, przedstawiają się następująco:
| opis | Tabela tras | Trasa statyczna |
|---|---|---|
| Sieć wirtualna 2 | Wartość domyślna | 10.2.0.0/16 —> eastusconn |
| Sieć wirtualna 4 | Wartość domyślna | 10.4.0.0/16 —> weconn |
Teraz te trasy statyczne będą ogłaszane do oddziałów lokalnych, a koncentrator Virtual WAN będzie wiedział, do której sieci wirtualnej przekierować ruch. Jednak połączenie sieci wirtualnej musi wiedzieć, co zrobić podczas odbierania tego ruchu: w tym miejscu są używane tabele tras połączenia. W tym miejscu użyjemy krótsze prefiksy (/24 zamiast dłuższego /16), aby upewnić się, że te trasy mają priorytet nad trasami importowanymi z NVA VNets (VNet 2 i VNet 4):
| opis | Connection | Trasa statyczna |
|---|---|---|
| Sieć wirtualna 5 | eastusconn | 10.2.1.0/24 -> 10.2.0.5 |
| Sieć wirtualna 6 | eastusconn | 10.2.2.0/24 -> 10.2.0.5 |
| Sieć wirtualna 7 | weconn | 10.4.1.0/24 -> 10.4.0.5 |
| Sieć wirtualna 8 | weconn | 10.4.2.0/24 -> 10.4.0.5 |
Teraz sieci wirtualne NVA, sieci wirtualne nienależące do NVA i gałęzie wiedzą, jak dotrzeć do wszystkich szprych NVA. Aby uzyskać więcej informacji na temat routingu koncentratora wirtualnego, zobacz About virtual hub routing (Informacje o routingu koncentratora wirtualnego).
Architektura
Na rysunku 2 znajdują się dwa centrale; Hub1 i Hub2.
Hub1 i Hub2 są bezpośrednio połączone z sieciami wirtualnymi VNet 2 i VNet 4.
Sieć wirtualna 5 i sieć wirtualna 6 są połączone z siecią wirtualną 2.
VNet 7 i VNet 8 są połączone w relacji równorzędnej z VNet 4.
Sieci wirtualne 5,6,7,8 to szprychy pośrednie, a nie bezpośrednio połączone z koncentratorem wirtualnym.
Rysunek 2
Zagadnienia do rozważenia
W tym scenariuszu można użyć urządzenia wirtualnego sieci (NVA) innej firmy lub usługi Azure Firewall w sieci wirtualnej 2 i sieci wirtualnej 4.
Ten scenariusz nie obsługuje bezpiecznych centrów z intencją routingu ze względu na ograniczenia zasad routingu dotyczące tras statycznych. Można jednak użyć funkcji komunikacji równorzędnej BGP , aby używać szprych pośrednich wraz z bezpiecznymi koncentratorami z intencją routingu.
Przepływ pracy scenariusza
Aby skonfigurować routing za pośrednictwem urządzenia NVA, oto kroki, które należy wziąć pod uwagę:
Zidentyfikuj połączenie sieci wirtualnej będącej szprychą urządzenia WUS. Na rysunku 2 są to połączenia sieci wirtualnej 2 (eastusconn) i połączenia sieci wirtualnej 4 (weconn).
Upewnij się, że skonfigurowaliśmy trasy zdefiniowane przez użytkownika:
- Z sieci wirtualnej 5 i sieci wirtualnej 6 do adresu IP wirtualnego urządzenia sieciowego 2 sieci wirtualnej
- Z VNet 7 i VNet 8 do NVA IP VNet 4
Nie musisz łączyć sieci wirtualnych 5, 6, 7, 8 bezpośrednio z węzłami wirtualnymi. Upewnij się, że sieciowe grupy zabezpieczeń w sieciach wirtualnych 5,6,7,8 zezwalają na ruch dla gałęzi (VPN/ER/P2S) lub sieci wirtualnych połączonych ze zdalnymi sieciami wirtualnymi. Na przykład sieci wirtualne 5,6 muszą upewnić się, że sieciowe grupy zabezpieczeń zezwalają na ruch dla lokalnych prefiksów adresów i sieci wirtualnych 7,8, które są połączone ze zdalnym koncentratorem 2.
Usługa Virtual WAN nie obsługuje scenariusza, w którym VNety 5,6 łączą się z koncentratorem wirtualnym i komunikują się za pośrednictwem adresu IP VNet 2 NVA; dlatego konieczne jest połączenie VNetów 5,6 z VNet 2, a podobnie VNetów 7,8 z VNet 4.
Dodaj zagregowany statyczny wpis trasy dla sieci wirtualnych 2,5,6 do tabeli tras domyślnych koncentratora 1.
Uwaga
Aby uprościć routing i zmniejszyć zmiany w tabelach tras koncentratora usługi Virtual WAN, zalecamy konfigurację nowego peeringu BGP z koncentratorem usługi Virtual WAN. Aby uzyskać więcej informacji, zobacz następujące artykuły:
Skonfiguruj trasę statyczną dla sieci wirtualnych 5 i 6 w połączeniu sieci wirtualnej VNet 2. Aby ustawić konfigurację routingu dla połączenia sieci wirtualnej, zobacz sekcję routing koncentratora wirtualnego.
Dodaj zagregowany statyczny wpis trasy dla sieci wirtualnych 4,7,8 do tabeli tras domyślnych koncentratora 1.
Powtórz kroki 2, 3 i 4 dla domyślnej tabeli tras Hubu 2.
Spowoduje to zmianę konfiguracji routingu, jak pokazano na rysunku 3.
Rysunek 3
Następne kroki
- Aby uzyskać więcej informacji na temat usługi Virtual WAN, zobacz często zadawane pytania.
- Aby uzyskać więcej informacji na temat routingu koncentratora wirtualnego, zobacz About virtual hub routing (Informacje o routingu koncentratora wirtualnego).