Сценарий: пиринг BGP с помощью виртуального концентратора

  • Статья

Маршрутизатор концентратора Виртуальной глобальной сети Azure, также называемый маршрутизатором виртуального концентратора, выступает в качестве диспетчера маршрутов и упрощает операции маршрутизации внутри виртуальных концентраторов и между ними. Иными словами, маршрутизатор виртуального концентратора выполняет следующие действия:

  • Упрощает управление маршрутизацией, выступая в роли централизованной подсистемы маршрутизации к шлюзам, таким как VPN, ExpressRoute, P2S и сетевые виртуальные модули (NVA).
  • Реализует сценарии предварительной маршрутизации для пользовательских таблиц маршрутов, связи и распространения маршрутов.
  • Действует как маршрутизатор для передачи трафика между виртуальными сетями, подключенными к виртуальному концентратору, и к ним.

Маршрутизатор виртуального концентратора теперь также поддерживает возможность пиринга, обмениваясь сведениями о маршрутизации напрямую через протокол маршрутизации BGP. NVA или конечная точка BGP, подготовленная в виртуальной сети, которая подключена к виртуальному концентратору, может напрямую устанавливать пиринг с маршрутизатором виртуального концентратора, если он поддерживает протокол маршрутизации BGP, а ASN на NVA отличается от ASN виртуального концентратора.

Преимущества и замечания

Основные преимущества

  • Вам больше не нужно вручную обновлять таблицу маршрутизации в NVA при каждом обновлении адресов виртуальной сети.
  • Также нет необходимости вручную обновлять определяемые пользователем маршруты каждый раз, когда NVA объявляет новые маршруты или отзывает старые.
  • NVA в виртуальных сетях, подключенных к виртуальному концентратору, может определять маршруты шлюза виртуального концентратора (VPN, ExpressRoute или управляемые NVA).
  • Пиринг с маршрутизатором виртуального концентратора можно установить для нескольких экземпляров NVA. Вы можете настроить атрибуты BGP в NVA и, в зависимости от режима (например, "активный — активный" или "активный — пассивный"), разрешить маршрутизатору виртуального концентратора определить, какой экземпляр NVA является активным, а какой — пассивным.

Рекомендации

  • Установить пиринг между маршрутизатором виртуального концентратора и сервером Azure Route Server, подготовленным в виртуальной сети, нельзя.

  • Маршрутизатор виртуального концентратора поддерживает только 16-разрядные (2 байта) ASN.

  • Подключение к виртуальной сети с конечной точкой подключения BGP NVA должно быть всегда связано с таблицей defaultRouteTable и распространено на нее. Пользовательские таблицы маршрутов в настоящее время не поддерживаются.

  • Маршрутизатор виртуального концентратора поддерживает транзитное подключение между виртуальными сетями, подключенными к виртуальным концентраторам. Это никак не связано с аналогичным подключением для пиринга BGP, так как Виртуальная глобальная сеть сама по себе поддерживает транзитное подключение. Примеры:

    • VNET1: NVA1 подключен к виртуальному концентратору 1 —> (транзитное подключение) —> VNET2: NVA2 подключен к виртуальному концентратору 1.
    • VNET1: NVA1 подключен к виртуальному концентратору 1 —> (транзитное подключение) —> VNET2: NVA2 подключен к виртуальному концентратору 2.

  • Вы можете использовать собственные общедоступные или частные ASN в своем виртуальном сетевом устройстве. Диапазоны, зарезервированные Azure или IANA, использовать нельзя. Следующие номера ASN зарезервированы для Azure и IANA.

    • ASN, зарезервированные Azure:
      • Общедоступные ASN: 8074, 8075, 12076.
      • Частные ASN: 65515, 65517, 65518, 65519, 65520.
    • Номера ASN, зарезервированные для IANA: 23456, 64496-64511, 65535-65551

  • Хотя маршрутизатор виртуального концентратора обменивается маршрутами BGP с NVA и распространяет их в виртуальную сеть, он упрощает распространение маршрутов из локальной среды через шлюзы, размещенные в виртуальном концентраторе (VPN-шлюз, шлюз ExpressRoute или управляемые шлюзы NVA).

  • Пиринг BGP поддерживается только с IP-адресом, назначенным интерфейсу NVA. Пиринг с петлями не поддерживается.

    Маршрутизатор виртуального концентратора имеет следующие ограничения:

    Ресурс Ограничение
    Число маршрутов, которые может объявить каждый узел BGP на маршрутизаторе виртуального концентратора. Маршрутизатор может принимать до 10 000 маршрутов (всего) из подключенных к нему ресурсов. Например, если на виртуальном концентраторе 6000 маршрутов из подключенных виртуальных сетей, ветвей, виртуальных концентраторов и т. д., то при настройке нового пиринга BGP с использованием NVA модуль NVA может объявить только до 4000 маршрутов.
    Число одноранговых узлов BGP Не более 8 одноранговых узлов BGP можно подключить к одному центру Виртуальная глобальная сеть

  • Маршруты из NVA в виртуальной сети, которая более конкретна, чем адресное пространство виртуальной сети, при объявлении в виртуальном концентраторе через BGP не распространяется дальше в локальную среду.

  • В настоящее время мы поддерживаем только 4000 маршрутов из NVA в виртуальный концентратор.

  • Трафик, предназначенный для адресов в виртуальной сети, напрямую подключенный к виртуальному концентратору, не может быть настроен для маршрутизации через NVA с помощью пиринга BGP между концентратором и NVA. Это связано с тем, что виртуальный концентратор автоматически узнает о системных маршрутах, связанных с адресами в периферийной виртуальной сети при создании соединения с периферийной виртуальной сетью. Эти автоматически полученные системные маршруты предпочтительнее, чем маршруты, полученные концентратором по протоколу BGP.

  • Пиринг BGP между NVA в периферийной виртуальной сети и защищенным виртуальным концентратором (концентратором с интегрированным решением безопасности) поддерживается, если намерение маршрутизации настроено в концентраторе. Функция пиринга BGP не поддерживается для защищенных виртуальных центров, в которых намерение маршрутизации не настроено.

  • Чтобы модуль NVA обменивался маршрутами с сайтами, подключенными через VPN и ER, необходимо включить маршрутизацию между филиалами.

  • При настройке пиринга BGP с концентратором вы увидите два IP-адреса. Пиринг с обоими этими адресами является обязательным. Не пиринг с обоими адресами может вызвать проблемы с маршрутизацией. Одни и те же маршруты должны быть объявлены для обоих этих адресов. Реклама различных маршрутов приведет к проблемам маршрутизации.

  • Ip-адрес следующего прыжка на маршрутах, объявляемых из NVA на сервер маршрутизации виртуального концентратора, должен совпадать с IP-адресом NVA, IP-адресом, настроенным на одноранговом узле BGP. Наличие другого IP-адреса, объявленного следующим прыжком, не поддерживается в виртуальной глобальной сети на данный момент.

Сценарии с пирингом BGP

В этом разделе описаны сценарии, в которых для настройки маршрутизации можно использовать функцию пиринга BGP.

Транзитное подключение виртуальных сетей

Изображение с маршрутизацией между виртуальными сетями.

В этом сценарии виртуальный концентратор с именем "Концентратор 1" подключен к нескольким виртуальным сетям. Цель — создать маршрутизацию между виртуальными сетями VNET1 и VNET5.

Этапы настройки без пиринга BGP

Следующие действия необходимы, если пиринг BGP не используется в виртуальном концентраторе:

Настройка виртуального концентратора

  • В таблице defaultRouteTable концентратора 1 настройте статический маршрут для VNET5 (подсеть 10.2.1.0/24), указывающий на подключение VNET2.
  • В подключении к виртуальной сети концентратора 1 для VNET2 настройте статический маршрут для VNET5, указывающий на IP-адрес NVA VNET2 (подсеть 10.2.0.5).
  • На концентраторе 1 распространите маршруты от подключений для VNET1 и VNET2 в таблицу defaultRouteTable и свяжите их с ней.

Конфигурация виртуальной сети

  • В VNET5 настройте определяемый пользователем маршрут (UDR), чтобы он указывал на IP-адрес NVA VNET2.

Этапы настройки с пирингом BGP

В предыдущей конфигурации обслуживание статических маршрутов и UDR может усложниться, если конфигурация VNET5 часто меняется. Чтобы устранить эту проблему, можно настроить пиринг BGP с виртуальным концентратором, а конфигурацию маршрутизации необходимо изменить описанным ниже образом.

Настройка виртуального концентратора

  • На концентраторе 1 настройте NVA VNET2 в качестве узла BGP. Кроме того, настройте NVA VNET2, чтобы установить пиринг BGP с концентратором 1.
  • На концентраторе 1 распространите маршруты от подключений для VNET1 и VNET2 в таблицу defaultRouteTable и свяжите их с ней.

Конфигурация виртуальной сети

  • В VNET5 настройте определяемый пользователем маршрут (UDR), чтобы он указывал на IP-адрес NVA VNET2.

Действующие маршруты

В следующей таблице показаны несколько записей из эффективных маршрутов Концентратора 1 в defaultRouteTable. Обратите внимание на маршрут для VNET5 (подсеть 10.2.1.0/24): это подтверждает, что VNET1 и VNET5 смогут взаимодействовать друг с другом.

Префикс получателя Следующий прыжок Источник Путь ASN
10.2.0.0/24 eastusconn Идентификатор подключения виртуальной сети -
10.2.1.0/24. Идентификатор пирингового подключения BGP для NVA Идентификатор пирингового подключения BGP для NVA 65510
10.4.1.0/24 Концентратор 2 Концентратор 2 -

Настройка маршрутизации таким образом с использованием данной функции устраняет необходимость в статических записях маршрута на виртуальном концентраторе. В результате конфигурация упрощается, а таблицы маршрутов динамически обновляются при изменении конфигурации в подключенных виртуальных сетях (например, VNET5).

Подключение виртуальных сетей филиалов

Изображение с маршрутизацией между филиалом и виртуальной сетью.

В этом сценарии для локального сайта с именем "NVA филиала 1" настроено VPN-подключение, завершающееся на NVA VNET2. Цель — настроить маршрутизацию между NVA филиала 1 и виртуальной сетью VNET1.

Этапы настройки без пиринга BGP

Следующие действия необходимы, если пиринг BGP не используется в виртуальном концентраторе:

Настройка виртуального концентратора

  • В таблице defaultRouteTable концентратора 1 настройте статический маршрут для NVA филиала 1, указывающий на подключение VNET2.
  • В подключении к виртуальной сети концентратора 1 для VNET2 настройте статический маршрут для NVA филиала 1, указывающий на IP-адрес NVA VNET2 (10.2.0.5).
  • На концентраторе 1 распространите маршруты от подключений для VNET1 и VNET2 в таблицу defaultRouteTable и свяжите их с ней.

Конфигурация виртуальной сети

  • Пиринг BGP между NVA VNET2 и NVA филиала 1 и объявления маршрутов для VNET1 из NVA VNET2 в NVA филиала 1.

Этапы настройки с пирингом BGP

Со временем префиксы назначения в NVA филиала 1 могут измениться или может возникнуть несколько сайтов наподобие NVA филиала 1, которым требуется подключение к VNET1. В результате потребуется обновить статические маршруты на концентраторе 1 и в VNET2, что может оказаться трудоемкой задачей. В таких случаях мы можем использовать пиринг BGP с виртуальным концентратором, и нам потребуется выполнить описанные ниже действия по настройке подключения маршрутизации.

Настройка виртуального концентратора

  • На концентраторе 1 настройте NVA VNET2 в качестве узла BGP. Кроме того, настройте NVA VNET2, чтобы установить пиринг BGP с концентратором 1.
  • На концентраторе 1 распространите маршруты от подключений для VNET1 и VNET2 в таблицу defaultRouteTable и свяжите их с ней.

Конфигурация виртуальной сети

  • Пиринг BGP между NVA VNET2 и NVA филиала 1 и объявления маршрутов для VNET1 из NVA VNET2 в NVA филиала 1.

Действующие маршруты

В таблице ниже показано несколько записей из эффективных маршрутов концентратора 1 в таблице defaultRouteTable. Обратите внимание, что маршрут для NVA филиала 1 (подсеть 192.168.1.0/24) был определен через пиринг BGP с NVA.

Префикс получателя Следующий прыжок Источник Путь ASN
10.2.0.0/24 eastusconn Идентификатор подключения виртуальной сети -
192.168.1.0/24 Идентификатор пирингового подключения BGP для NVA Идентификатор пирингового подключения BGP для NVA 65510

Для управления изменениями сети в NVA филиала 1 или установки подключений между новыми сайтами наподобие NVA филиала 1 на концентраторе 1 не требуется дополнительная настройка, так как пиринг BGP между концентратором 1 и NVA динамически обновляет таблицы маршрутов. Это упрощает настройку и обслуживание конфигурации.

Следующие шаги