Scenariusz: kierowanie ruchu przez urządzenia WUS przy użyciu ustawień niestandardowych
Podczas pracy z usługą Azure Virtual WAN routingu koncentratora wirtualnego dostępnych jest wiele opcji. Ten artykuł koncentruje się na tym, że chcesz kierować ruch przez wirtualne urządzenie sieciowe (WUS) do komunikacji między sieciami wirtualnymi i gałęziami, a także użyć innego urządzenia WUS dla ruchu powiązanego z Internetem. Aby uzyskać więcej informacji, zobacz About virtual hub routing (Informacje o routingu koncentratora wirtualnego).
Uwaga
Należy pamiętać, że w poniższych scenariuszach routingu Virtual WAN centrum i szprychy Virtual Network zawierające urządzenie WUS musi znajdować się w tym samym regionie świadczenia usługi Azure.
Projekt
- Szprychy dla sieci wirtualnych połączonych z koncentratorem wirtualnym. (Na przykład sieć wirtualna 1, sieć wirtualna 2 i sieć wirtualna 3 na diagramie w dalszej części tego artykułu).
- Sieć wirtualna usługi dla sieci wirtualnych, w której użytkownicy wdrożyli urządzenie WUS w celu sprawdzenia ruchu nie internetowego, a być może za pomocą typowych usług, do których uzyskuje dostęp szprychy. (Na przykład sieć wirtualna 4 na diagramie w dalszej części tego artykułu).
- Sieć wirtualna obwodowa dla sieci wirtualnych, w której użytkownicy wdrożyli urządzenie WUS używane do inspekcji ruchu powiązanego z Internetem. (Na przykład sieć wirtualna 5 na diagramie w dalszej części tego artykułu).
- Centra dla centrów Virtual WAN zarządzanych przez firmę Microsoft.
Poniższa tabela zawiera podsumowanie połączeń obsługiwanych w tym scenariuszu:
| Źródło | Działanie | Szprychy | Sieć wirtualna usługi | Gałęzie | Internet |
|---|---|---|---|---|---|
| Szprychy | -> | Bezpośrednio | Bezpośrednio | za pośrednictwem sieci wirtualnej usługi | za pośrednictwem sieci wirtualnej obwodowej |
| Sieć wirtualna usługi | -> | Bezpośrednio | n/d | Bezpośrednio | |
| Gałęzie | -> | za pośrednictwem sieci wirtualnej usługi | Bezpośrednio | Bezpośrednio |
Każda z komórek w macierzy łączności opisuje, czy łączność przepływa bezpośrednio przez Virtual WAN, czy przez jedną z sieci wirtualnych z urządzeniem WUS.
Zwróć uwagę na następujące szczegóły:
- Szprychy:
- Szprychy dotrą do innych szprych bezpośrednio nad Virtual WAN piastami.
- Szprychy będą uzyskiwać łączność z gałęziami za pośrednictwem trasy statycznej wskazującej sieć wirtualną usługi. Nie uczą się określonych prefiksów z gałęzi, ponieważ te prefiksy są bardziej szczegółowe i zastępują podsumowanie.
- Szprychy będą wysyłać ruch internetowy do sieci wirtualnej obwodowej za pośrednictwem bezpośredniej komunikacji równorzędnej sieci wirtualnych.
- Gałęzie będą uzyskiwać dostęp do szprych za pośrednictwem routingu statycznego wskazującego sieć wirtualną usługi. Nie uczą się określonych prefiksów z sieci wirtualnych, które zastępują podsumowaną trasę statyczną.
- Sieć wirtualna usługi będzie podobna do sieci wirtualnej usług udostępnionych, która musi być osiągalna z każdej sieci wirtualnej i każdej gałęzi.
- Sieć wirtualna obwodowa nie musi mieć łączności za pośrednictwem Virtual WAN, ponieważ jedynym ruchem, który będzie obsługiwać, jest bezpośrednia komunikacja równorzędna sieci wirtualnych. Aby uprościć konfigurację, należy jednak użyć tego samego modelu łączności co sieć wirtualna obwodowa.
Istnieją trzy odrębne wzorce łączności, które przekładają się na trzy tabele tras. Skojarzenia z różnymi sieciami wirtualnymi to:
- Szprychy:
- Skojarzona tabela tras: RT_V2B
- Propagowanie do tabel tras: RT_V2B i RT_SHARED
- Sieci wirtualne urządzenia WUS (sieć wirtualna usługi i sieć wirtualna DMZ):
- Skojarzona tabela tras: RT_SHARED
- Propagowanie do tabel tras: RT_SHARED
- Oddziałów:
- Skojarzona tabela tras: domyślna
- Propagowanie do tabel tras: RT_SHARED i Domyślne
Uwaga
Upewnij się, że sieci wirtualne będące szprychami nie są propagowane do etykiety Domyślne. Dzięki temu ruch z gałęzi do sieci wirtualnych szprych jest przekazywany do urządzeń WUS.
Te trasy statyczne zapewniają, że ruch do i z sieci wirtualnej i gałęzi przechodzi przez urządzenie WUS w sieci wirtualnej usługi (VNet 4):
| Description | Tabela tras | Trasa statyczna |
|---|---|---|
| Gałęzie | RT_V2B | 10.2.0.0/16 —> vnet4conn |
| Szprychy urządzenia WUS | Domyślny | 10.1.0.0/16 —> vnet4conn |
Teraz możesz użyć Virtual WAN, aby wybrać poprawne połączenie do wysłania pakietów. Należy również użyć Virtual WAN, aby wybrać właściwą akcję do wykonania podczas odbierania tych pakietów. W tym celu należy użyć tabel tras połączeń w następujący sposób:
| Description | Połączenie | Trasa statyczna |
|---|---|---|
| VNet2Branch | vnet4conn | 10.2.0.0/16 -> 10.4.0.5 |
| Sieć wirtualna Branch2VNet | vnet4conn | 10.1.0.0/16 -> 10.4.0.5 |
Aby uzyskać więcej informacji, zobacz About virtual hub routing (Informacje o routingu koncentratora wirtualnego).
Architektura
Na poniższym diagramie przedstawiono architekturę opisaną wcześniej w artykule.
Na diagramie znajduje się jeden koncentrator; Koncentrator 1.
Koncentrator 1 jest bezpośrednio połączony z sieciami wirtualnymi urządzeniami sieci wirtualnymi WUS 4 i VNet 5.
Ruch między sieciami wirtualnymi 1, 2, 3 i gałęziami oczekuje się, że będzie przechodzić przez wirtualne urządzenie WUS 4 10.4.0.5.
Oczekuje się, że cały ruch internetowy z sieci wirtualnych 1, 2 i 3 będzie przechodzić przez wirtualne urządzenie WUS 5 10.5.0.5.
Przepływ pracy
Aby skonfigurować routing za pośrednictwem urządzenia WUS, należy wziąć pod uwagę następujące kroki:
Aby ruch związany z Internetem był kierowany za pośrednictwem sieci wirtualnej 5, sieci wirtualne 1, 2 i 3 muszą łączyć się bezpośrednio za pośrednictwem komunikacji równorzędnej sieci wirtualnej z siecią wirtualną 5. Musisz również skonfigurować trasę zdefiniowaną przez użytkownika w sieciach wirtualnych dla wersji 0.0.0.0/0 i następnego przeskoku 10.5.0.5.
Jeśli nie chcesz łączyć sieci wirtualnych 1, 2 i 3 z siecią wirtualną 5, a zamiast tego wystarczy użyć urządzenia WUS w sieci wirtualnej 4 do kierowania ruchu 0.0.0.0/0 z gałęzi (lokalne połączenia sieci VPN lub usługi ExpressRoute), przejdź do alternatywnego przepływu pracy.
Jeśli jednak chcesz, aby ruch między sieciami wirtualnymi był przesyłany przez urządzenie WUS, należy rozłączyć sieć wirtualną 1,2,3 z koncentratora wirtualnego i połączyć ją lub umieścić nad siecią VNet4 będącej szprychą urządzenia WUS. W Virtual WAN ruch między sieciami wirtualnymi jest przesyłany przez centrum Virtual WAN lub centrum Azure Firewall Virtual WAN (secure hub). Jeśli sieć równorzędna sieci wirtualnych bezpośrednio korzysta z komunikacji równorzędnej sieci wirtualnych, może komunikować się bezpośrednio przez tranzyt przez koncentrator wirtualny.
W Azure Portal przejdź do koncentratora wirtualnego i utwórz niestandardową tabelę tras o nazwie RT_Shared. Ta tabela zawiera informacje o trasach za pośrednictwem propagacji ze wszystkich sieci wirtualnych i połączeń gałęzi. Ta pusta tabela jest widoczna na poniższym diagramie.
Trasy: Nie musisz dodawać żadnych tras statycznych.
Stowarzyszenia: Wybierz pozycję Sieci wirtualne 4 i 5, co oznacza, że połączenia tych sieci wirtualnych są skojarzone z tabelą tras RT_Shared.
Propagacji: Ponieważ chcesz, aby wszystkie gałęzie i połączenia sieci wirtualnej dynamicznie propagowały swoje trasy do tej tabeli tras, wybierz gałęzie i wszystkie sieci wirtualne.
Utwórz niestandardową tabelę tras o nazwie RT_V2B na potrzeby kierowania ruchu z sieci wirtualnych 1, 2 i 3 do gałęzi.
Trasy: Dodaj zagregowany statyczny wpis trasy dla gałęzi z następnym przeskokiem jako połączenie sieci wirtualnej 4. Skonfiguruj trasę statyczną w połączeniu sieci wirtualnej 4 dla prefiksów gałęzi. Wskaż następny przeskok jako konkretny adres IP urządzenia WUS w sieci wirtualnej 4.
Stowarzyszenia: Wybierz wszystkie sieci wirtualne 1, 2 i 3. Oznacza to, że połączenia sieci wirtualnej 1, 2 i 3 będą kojarzyć się z tą tabelą tras i mogą uczyć się tras (statycznych i dynamicznych za pośrednictwem propagacji) w tej tabeli tras.
Propagacji: Połączenia propagują trasy do tabel tras. Wybranie sieci wirtualnych 1, 2 i 3 umożliwia propagowanie tras z sieci wirtualnych 1, 2 i 3 do tej tabeli tras. Nie ma potrzeby propagowania tras z połączeń gałęzi do RT_V2B, ponieważ ruch sieci wirtualnej gałęzi przechodzi przez urządzenie WUS w sieci wirtualnej 4.
Edytuj domyślną tabelę tras DefaultRouteTable.
Wszystkie połączenia sieci VPN, usługi Azure ExpressRoute i sieci VPN użytkownika są skojarzone z domyślną tabelą tras. Wszystkie połączenia sieci VPN, ExpressRoute i sieci VPN użytkownika propagują trasy do tego samego zestawu tabel tras.
Trasy: Dodaj zagregowany wpis trasy statycznej dla sieci wirtualnych 1, 2 i 3 z następnym przeskokiem jako połączenie sieci wirtualnej 4. Skonfiguruj trasę statyczną w połączeniu sieci wirtualnej 4 dla sieci wirtualnej 1, 2 i 3 zagregowanych prefiksów. Wskaż następny przeskok jako konkretny adres IP urządzenia WUS w sieci wirtualnej 4.
Stowarzyszenia: Upewnij się, że wybrano opcję gałęzi (VPN/ER/P2S), upewniając się, że połączenia gałęzi lokalnych są skojarzone z domyślną tabelą tras.
Propagacja z: Upewnij się, że wybrano opcję gałęzi (VPN/ER/P2S), upewniając się, że połączenia lokalne propagują trasy do domyślnej tabeli tras.
Alternatywny przepływ pracy
W tym przepływie pracy nie łączysz sieci wirtualnych 1, 2 i 3 z siecią wirtualną 5. Zamiast tego urządzenie WUS w sieci wirtualnej 4 służy do kierowania ruchu 0.0.0.0/0 z gałęzi (lokalnych połączeń sieci VPN lub ExpressRoute).
Aby skonfigurować routing za pośrednictwem urządzenia WUS, rozważ następujące kroki:
W Azure Portal przejdź do koncentratora wirtualnego i utwórz niestandardową tabelę tras o nazwie RT_NVA na potrzeby kierowania ruchu za pośrednictwem urządzenia WUS 10.4.0.5
Trasy: Nie jest wymagana żadna akcja.
Stowarzyszenia: Wybierz pozycję VNet4. Oznacza to, że połączenie sieci wirtualnej 4 będzie kojarzyć się z tą tabelą tras i może uczyć się tras (statycznych i dynamicznych za pośrednictwem propagacji) w tej tabeli tras.
Propagacji: Połączenia propagują trasy do tabel tras. Wybranie sieci wirtualnych 1, 2 i 3 umożliwia propagowanie tras z sieci wirtualnych 1, 2 i 3 do tej tabeli tras. Wybieranie gałęzi (VPN/ER/P2S) umożliwia propagowanie tras z gałęzi/połączeń lokalnych do tej tabeli tras. Wszystkie połączenia sieci VPN, ExpressRoute i sieci VPN użytkownika propagują trasy do tego samego zestawu tabel tras.
Utwórz niestandardową tabelę tras o nazwie RT_VNET na potrzeby kierowania ruchu z sieci wirtualnych 1, 2 i 3 do gałęzi lub Internetu (0.0.0.0/0) za pośrednictwem wirtualnego urządzenia WUS. Ruch między sieciami wirtualnymi będzie bezpośredni, a nie za pośrednictwem wirtualnego urządzenia WUS sieci wirtualnej 4. Jeśli chcesz, aby ruch był kierowany za pośrednictwem urządzenia WUS, odłącz sieć wirtualną 1, 2 i 3 i połącz je przy użyciu komunikacji równorzędnej sieci wirtualnej z siecią VNet4.
Trasy:
Dodaj zagregowaną trasę "10.2.0.0/16" z następnym przeskokiem jako połączenie sieci wirtualnej 4 dla ruchu wychodzącego z sieci wirtualnych 1, 2 i 3 w kierunku gałęzi. W połączeniu vNet4 skonfiguruj trasę dla "10.2.0.0/16" i wskaż następny przeskok jako konkretny adres IP urządzenia WUS w sieci wirtualnej 4.
Dodaj trasę "0.0.0.0/0" z następnym przeskokiem jako połączenie z siecią wirtualną 4. Dodano element "0.0.0.0/0", aby sugerować wysyłanie ruchu do Internetu. Nie oznacza to konkretnych prefiksów adresów odnoszących się do sieci wirtualnych lub gałęzi. W połączeniu vNet4 skonfiguruj trasę dla "0.0.0.0.0/0" i wskaż następny przeskok jako konkretny adres IP urządzenia WUS w sieci wirtualnej 4.
Stowarzyszenia: Wybierz wszystkie sieci wirtualne 1, 2 i 3. Oznacza to, że połączenia sieci wirtualnej 1, 2 i 3 będą kojarzyć się z tą tabelą tras i mogą uczyć się tras (statycznych i dynamicznych za pośrednictwem propagacji) w tej tabeli tras.
Propagacji: Połączenia propagują trasy do tabel tras. Wybranie sieci wirtualnych 1, 2 i 3 umożliwia propagowanie tras z sieci wirtualnych 1, 2 i 3 do tej tabeli tras. Upewnij się, że nie wybrano opcji gałęzi (VPN/ER/P2S). Gwarantuje to, że połączenia lokalne nie mogą bezpośrednio uzyskać dostępu do sieci wirtualnych 1, 2 i 3.
Edytuj domyślną tabelę tras DefaultRouteTable.
Wszystkie połączenia sieci VPN, usługi Azure ExpressRoute i sieci VPN użytkownika są skojarzone z domyślną tabelą tras. Wszystkie połączenia sieci VPN, ExpressRoute i sieci VPN użytkownika propagują trasy do tego samego zestawu tabel tras.
Trasy:
Dodaj zagregowaną trasę "10.1.0.0/16" dla sieci wirtualnych 1, 2 i 3 z następnym przeskokiem jako połączenie z siecią wirtualną 4.
Dodaj trasę "0.0.0.0/0" z następnym przeskokiem jako połączenie z siecią wirtualną 4. Dodano element "0.0.0.0/0", aby sugerować wysyłanie ruchu do Internetu. Nie oznacza to konkretnych prefiksów adresów odnoszących się do sieci wirtualnych lub gałęzi. W poprzednim kroku połączenia sieci VNet4 skonfigurowano już trasę dla "0.0.0.0.0/0", a następny przeskok będzie określonym adresem IP urządzenia WUS w sieci wirtualnej 4.
Stowarzyszenia: Upewnij się, że wybrano opcję gałęzi (VPN/ER/P2S ). Dzięki temu połączenia gałęzi lokalnej są skojarzone z domyślną tabelą tras. Wszystkie połączenia sieci VPN, usługi Azure ExpressRoute i sieci VPN użytkownika są skojarzone tylko z domyślną tabelą tras.
Propagacja z: Upewnij się, że wybrano opcję gałęzi (VPN/ER/P2S ). Dzięki temu połączenia lokalne propagują trasy do domyślnej tabeli tras. Wszystkie połączenia sieci VPN, ExpressRoute i sieci VPN użytkownika propagują trasy do "tego samego zestawu tabel tras".
Zagadnienia do rozważenia
Użytkownicy portalu muszą włączyć opcję "Propagacja domyślnej trasy" w połączeniach (VPN/ER/P2S/VNet) dla trasy 0.0.0.0/0, aby zaczęły obowiązywać.
Użytkownicy PS/CLI/REST muszą ustawić flagę "enableinternetsecurity" na wartość true dla trasy 0.0.0.0/0, aby zaczęły obowiązywać.
Połączenie sieci wirtualnej nie obsługuje adresu IP "wielu/unikatowych" następnego przeskoku do "tego samego" wirtualnego urządzenia sieciowego w sieci wirtualnej szprych "if" jednej z tras z adresem IP następnego przeskoku jest wskazywany jako publiczny adres IP lub 0.0.0.0/0 (Internet).
Gdy 0.0.0.0.0/0 jest skonfigurowana jako trasa statyczna w połączeniu sieci wirtualnej, ta trasa jest stosowana do całego ruchu, w tym zasobów w samej szprychy. Oznacza to, że cały ruch zostanie przekazany do adresu IP następnego przeskoku trasy statycznej (prywatny adres IP urządzenia WUS). W związku z tym we wdrożeniach z trasą 0.0.0.0/0 z adresem IP urządzenia WUS następnego przeskoku skonfigurowanym w połączeniu sieci wirtualnej szprychy dostęp do obciążeń w tej samej sieci wirtualnej co urządzenie WUS bezpośrednio (tj. tak, aby ruch nie przechodził przez urządzenie WUS), określ trasę /32 w połączeniu sieci wirtualnej szprychy. Jeśli na przykład chcesz uzyskać bezpośredni dostęp do wersji 10.1.3.1, określ 10.1.3.1/32 następny przeskok 10.1.3.1 w połączeniu sieci wirtualnej szprychy.
Aby uprościć routing i zmniejszyć zmiany w tabelach tras centrum Virtual WAN, zachęcamy do korzystania z nowej opcji "komunikacja równorzędna BGP z centrum Virtual WAN".
Następne kroki
- Aby uzyskać więcej informacji na temat Virtual WAN, zobacz często zadawane pytania.
- Aby uzyskać więcej informacji na temat routingu koncentratora wirtualnego, zobacz About virtual hub routing (Informacje o routingu koncentratora wirtualnego).
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla