如何設定虛擬 WAN 中樞路由意圖和路由原則
虛擬 WAN 中樞路由意圖可讓您設定簡單且宣告式路由原則,以將流量傳送至連線安全性解決方案,例如 Azure 防火牆、網路虛擬設備或部署在虛擬 WAN 中樞內的軟體即服務 (SaaS) 解決方案。
背景
路由意圖和路由原則可讓您設定虛擬 WAN 中樞,將因特網系結和私人(點對站 VPN、站對站 VPN、ExpressRoute、虛擬網絡 和網路虛擬設備)流量轉送至部署在虛擬中樞的 Azure 防火牆、新一代防火牆、網路虛擬設備 (NVA),或安全性軟體即服務 (SaaS) 解決方案。
路由原則有兩種類型:網際網路流量與私人流量路由原則。 每個虛擬 WAN 中樞最多有一個網際網路流量路由原則與一個私人流量路由原則,每個都各自有單一下一個躍點資源。 雖然私人流量同時包含分支與虛擬網路位址前置詞,但路由原則會將其視為路由意圖概念中的一個實體。
因特網流量路由原則:在虛擬 WAN 中樞上設定因特網流量路由原則時,所有分支(遠端使用者 VPN(點對站 VPN)、站對站 VPN 和 ExpressRoute)和 虛擬網絡 連線至該虛擬 WAN 中樞,會將因特網系結流量轉送至 Azure 防火牆、第三方安全性提供者、網路虛擬設備或 SaaS 解決方案指定為路由原則的一部分。
換句話說,在虛擬 WAN 中樞上設定因特網流量路由原則時,虛擬 WAN 會公告預設路由 (0.0.0.0/0) 路由至所有輪輻、網關和網路虛擬設備(部署在中樞或輪輻中)。
私人流量路由原則:在虛擬 WAN 中樞上設定私人流量路由原則時,所有分支和 虛擬網絡 流量進出虛擬 WAN 中樞,包括中樞間流量會轉送至下一個躍點 Azure 防火牆、網路虛擬設備或 SaaS 解決方案資源。
換句話說,在虛擬 WAN 中樞上設定私人流量路由原則時,所有分支對分支、分支對虛擬網路、虛擬網路對分支和中樞間流量都會透過虛擬 WAN 中樞部署的 Azure 防火牆、網路虛擬設備或 SaaS 解決方案傳送。
使用案例
下一節會說明將路由原則套用至安全虛擬 WAN 中樞的兩個常見案例。
所有虛擬 WAN 中樞都受到保護(部署 Azure 防火牆、NVA 或 SaaS 解決方案)
在此案例中,所有虛擬 WAN 中樞都會使用其中 Azure 防火牆、NVA 或 SaaS 解決方案進行部署。 在此案例中,您可以在每個虛擬 WAN 中樞上設定網際網路流量路由原則、私人流量路由原則或同時設定兩者。
請考慮下列設定,中樞 1 和中樞 2 均具有私人和網際網路流量的路由原則。
中樞 1 設定:
- 具有下一個躍點中樞 1 Azure 防火牆、NVA 或 SaaS 解決方案的私人流量原則
- 下一個躍點中樞 1 Azure 防火牆、NVA 或 SaaS 解決方案的因特網流量原則
中樞 2 設定:
- 下一個躍點中樞 2 Azure 防火牆、NVA 或 SaaS 解決方案的私人流量原則
- 下一個躍點中樞 2 Azure 防火牆、NVA 或 SaaS 解決方案的因特網流量原則
下列為這類設定所產生的流量流程。
注意
網際網路流量必須透過中樞內的本機安全性解決方案輸出,因為預設路由 (0.0.0.0/0) 不會跨中樞傳播。
從 | 至 | 中樞 1 VNet | 中樞 1 分支 | 中樞 2 VNet | 中樞 2 分支 | 網際網路 |
---|---|---|---|---|---|---|
中樞 1 VNet | → | 中樞 1 AzFW 或 NVA | 中樞 1 AzFW 或 NVA | Hub 1 和 2 AzFW、NVA 或 SaaS | Hub 1 和 2 AzFW、NVA 或 SaaS | 中樞 1 AzFW、NVA 或 SaaS |
中樞 1 分支 | → | 中樞 1 AzFW、NVA 或 SaaS | 中樞 1 AzFW、NVA 或 SaaS | Hub 1 和 2 AzFW、NVA 或 SaaS | Hub 1 和 2 AzFW、NVA 或 SaaS | 中樞 1 AzFW、NVA 或 SaaS |
中樞 2 VNet | → | Hub 1 和 2 AzFW、NVA 或 SaaS | Hub 1 和 2 AzFW、NVA 或 SaaS | Hub 2 AzFW、NVA 或 SaaS | Hub 2 AzFW、NVA 或 SaaS | Hub 2 AzFW、NVA 或 SaaS |
中樞 2 分支 | → | Hub 1 和 2 AzFW、NVA 或 SaaS | Hub 1 和 2 AzFW、NVA 或 SaaS | Hub 2 AzFW、NVA 或 SaaS | Hub 2 AzFW、NVA 或 SaaS | 中樞 2AzFW、NVA 或 SaaS |
同時部署安全與一般虛擬 WAN 中樞
在此案例中,並非所有的 WAN 中樞都是安全虛擬 WAN 中樞 (已部署安全性解決方案的中樞)。
請考慮下列設定,其中中樞 1 (正常) 和中樞 2 (安全) 部署在虛擬 WAN 中。 中樞 2 具有私人和網際網路流量的路由原則。
中樞 1 設定:
- N/A (如果中樞未使用 Azure 防火牆、NVA 或 SaaS 解決方案部署,則無法設定路由原則)
中樞 2 設定:
- 具有下一個躍點中樞 2 Azure 防火牆、NVA 或 SaaS 解決方案的私人流量原則。
- 下一個躍點中樞 2 Azure 防火牆、NVA 或 SaaS 解決方案的因特網流量原則。
下列為這類設定所產生的流量流程。 由於預設路由 (0.0.0.0/0)不會跨中樞傳播,連線到中樞 1 的分支和虛擬網路無法透過中樞內部署的安全性解決方案存取網際網路。
從 | 至 | 中樞 1 VNet | 中樞 1 分支 | 中樞 2 VNet | 中樞 2 分支 | 網際網路 |
---|---|---|---|---|---|---|
中樞 1 VNet | → | 直接 | 直接 | Hub 2 AzFW、NVA 或 SaaS | Hub 2 AzFW、NVA 或 SaaS | - |
中樞 1 分支 | → | 直接 | 直接 | Hub 2 AzFW、NVA 或 SaaS | Hub 2 AzFW、NVA 或 SaaS | - |
中樞 2 VNet | → | Hub 2 AzFW、NVA 或 SaaS | Hub 2 AzFW、NVA 或 SaaS | Hub 2 AzFW、NVA 或 SaaS | Hub 2 AzFW、NVA 或 SaaS | Hub 2 AzFW、NVA 或 SaaS |
中樞 2 分支 | → | Hub 2 AzFW、NVA 或 SaaS | Hub 2 AzFW、NVA 或 SaaS | Hub 2 AzFW、NVA 或 SaaS | Hub 2 AzFW、NVA 或 SaaS | Hub 2 AzFW、NVA 或 SaaS |
已知限制
- 下表說明不同 Azure 環境中路由意圖的可用性。
- 路由意圖不適用於由 21 Vianet 運作的 Mirosoft Azure。
- Palo Alto Cloud NGFW 僅適用於 Azure 公用。 請連絡 Palo Alto Networks,瞭解 Azure Government 中的雲端 NGFW 可用性,以及 Viacom 營運的 Azure Microsoft。
- 所有 Azure Government 區域都無法使用網路虛擬設備。 請連絡 NVA 合作夥伴,以取得 Azure Government 中的可用性。
雲端環境 | Azure 防火牆 | 網路虛擬設備 | 可以快速建置 SaaS 解決方案, |
---|---|---|---|
Azure 公用 | Yes | .是 | Yes |
Azure Government | Yes | 有限 | No |
Microsoft由 21 Vianet 運作的 Azure | No | 無 | No |
- 路由意圖可藉由管理所有連線的路由表關聯和傳播來簡化路由(虛擬網絡、站對站 VPN、點對站 VPN 和 ExpressRoute)。 具有自訂路由表和自訂原則的虛擬 WAN 無法搭配路由意圖建構使用。
- 若 Azure 防火牆設定為允許 VPN 通道端點 (站對站 VPN 閘道私人 IP 和內部部署 VPN 裝置私人 IP) 之間的流量,且中樞內已設定路由意圖,則該中樞即可支援加密的 ExpressRoute (透過 ExpressRoute 線路執行站對站 VPN 通道)。 如需所需設定的詳細資訊,請參閱具有路由意圖的加密 ExpressRoute。
- 路由意圖「不支援」下列連線使用案例:
- defaultRouteTable 中指向虛擬網路連線的靜態路由,無法與路由意圖搭配使用。 不過,您可以使用 BGP 對等互連功能。
- 虛擬網絡 連線上具有「靜態路由傳播」的靜態路由不會套用至私人路由原則中指定的下一個躍點資源。 將 Microsoft Azure 虛擬網路連線上的靜態路由套用至私人路由原則之下一個躍點的支援在藍圖上。
- 目前正在規劃部署功能,以在「相同」虛擬 WAN 中樞同時部署 SD-WAN 連線 NVA 和個別防火牆 NVA 或 SaaS 解決方案。 當路由意圖設定為具有下一個躍點 SaaS 解決方案或防火牆 NVA,SD-WAN NVA 與 Azure 之間的連線就會受到影響。 因此,請改為在不同虛擬中樞部署 SD-WAN NVA 和防火牆 NVA 或 SaaS 解決方案。 或者,您也可以在連線至中樞的輪輻虛擬網路內部署 SD-WAN NVA,並利用虛擬中樞 BGP 對等互連功能。
- 只有當網路虛擬設備 (NVA) 是新一代防火牆或雙重角色新一代防火牆,且是 SD-WAN NVA 時,才能將其指定為路由意圖的下一個躍點資源。 目前只有「檢查點」、「fortinet-ngfw」和「fortinet-ngfw-and-sdwan」這三個 NVA 可設定為路由意圖下一個躍點。 如果您嘗試指定其他 NVA,路由意圖建立會失敗。 若要檢查 NVA 類型,您可以瀏覽至虛擬中樞 -> 網路虛擬設備,然後查看 [廠商] 欄位。 Palo Alto Networks Cloud NGFW 也支援作為路由意圖的下一個躍點,但被視為 SaaS 解決方案類型的下一個躍點。
- 如果路由意圖使用者想將多個 ExpressRoute 線路連線至虛擬 WAN,並想透過中樞內部署的安全性解決方案傳送流量,則可以開啟支援案例以啟用此使用案例。 如需詳細資訊,請參考啟用跨 ExpressRoute 線路的連線。
虛擬網路位址空間限制
注意
您可以連線到單一虛擬 WAN 中樞的虛擬網路位址空間數目上限是可調整的。 開啟 Azure 支援案例以要求增加限制。 這些限制適用於虛擬 WAN 中樞層級。 如果您有多個需要增加限制的虛擬 WAN 中樞,請在虛擬 WAN 部署中要求所有虛擬 WAN 中樞的限制增加。
對於使用路由意圖的客戶,所有虛擬網路直接連線到單一虛擬 WAN 中樞的位址空間數目上限為 400。 此限制會個別套用至虛擬 WAN 部署中的每個虛擬 WAN 中樞。 連線到遠端 (相同虛擬 WAN 中其他虛擬 WAN 中樞) 中樞的虛擬網路位址空間不會計入此限制。
如果連線到中樞的直接連線虛擬網路位址空間數目超過限制,在虛擬中樞上啟用或更新路由意圖將會失敗。 針對已設定路由意圖的中樞,如果虛擬網路位址空間因虛擬網路位址空間更新等操作而超出限制,則新連線的位址空間可能無法路由傳送。
如果所有本機連線的虛擬網路的位址空間總數超過記載限制的 90%,或您有任何計劃的網路擴充或部署作業會增加虛擬網路位址空間的數目使其超過限制,則請主動要求增加限制。
下表提供範例虛擬網路位址空間計算。
虛擬中樞 | 虛擬網路計數 | 每個虛擬網路的位址空間 | 連線至虛擬中樞的虛擬網路位址空間總數 | 建議的動作 |
---|---|---|---|---|
中樞 #1 | 200 | 1 | 200 | 不需要採取任何動作,監視位址空間計數。 |
中樞 #2 | 150 | 3 | 450 | 要求限制增加以使用路由意圖。 |
中樞 #3 | 370 | 1 | 370 | 要求增加限制。 |
您可以使用下列 Powershell 指令碼來估算連線到單一虛擬 WAN 中樞之虛擬網路中的位址空間數目。 針對虛擬 WAN 中的所有虛擬 WAN 中樞執行此指令碼。 藍圖上有 Azure 監視器計量可讓您追蹤及設定已連線虛擬網路位址空間的警示。
請務必修改指令碼中虛擬 WAN 中樞的資源識別碼,以符合您的環境。 如果您有跨租用戶虛擬網路連線,請確保您有足夠的權限可讀取虛擬 WAN 虛擬網路連線物件,以及已連線的虛擬網路資源。
$hubVNETconnections = Get-AzVirtualHubVnetConnection -ParentResourceId "/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/virtualHubs/<virtual hub name>"
$addressSpaceCount = 0
foreach($connection in $hubVNETconnections) {
try{
$resourceURI = $connection.RemoteVirtualNetwork.Id
$RG = ($resourceURI -split "/")[4]
$name = ($resourceURI -split "/")[8]
$VNET = Get-AzVirtualNetwork -Name $name -ResourceGroupName $RG -ErrorAction "Stop"
$addressSpaceCount += $VNET.AddressSpace.AddressPrefixes.Count
}
catch{
Write-Host "An error ocurred while processing VNET connected to Virtual WAN hub with resource URI: " -NoNewline
Write-Host $resourceURI
Write-Host "Error Message: " -ForegroundColor Red
Write-Host $_.Exception.Message -ForegroundColor Red
}
finally{
}
}
Write-Host "Total Address Spaces in VNETs connected to this Virtual WAN Hub: " -ForegroundColor Green -NoNewline
Write-Host $addressSpaceCount -ForegroundColor Green
考量
若目前在虛擬 WAN 中樞使用 Azure 防火牆的客戶沒有路由意圖,可以透過 Azure 防火牆管理員、虛擬 WAN 中樞路由入口網站,或其他 Azure 管理工具 (PowerShell、CLI、REST API) 來啟用路由意圖。
啟用路由意圖之前,請考慮下列事項:
- 只能在沒有自訂路由表的中樞上設定路由意圖,且 defaultRouteTable 中沒有具有下一個躍點虛擬網路連線的靜態路由。 如需詳細資訊,請參閱必要條件。
- 啟用路由意圖之前,請先儲存閘道、連線和路由表的複本。 系統不會自動儲存並套用先前的設定。 如需詳細資訊,請參閱復原策略。
- 路由意圖會變更 defaultRouteTable 中的靜態路由。 由於 Azure 入口網站最佳化,當您使用 REST、CLI 或 PowerShell 設定路由意圖時,設定路由意圖之後的 defaultRouteTable 狀態可能會有所不同。 如需詳細資訊,請參閱靜態路由。
- 啟用路由意圖會影響前置詞公告至內部部署的情形。 如需詳細資訊,請參閱前置詞公告。
- 您可以開啟支援案例,透過中樞內防火牆設備啟用跨 ExpressRoute 線路的連線。 啟用此連線模式會修改要公告至 ExpressRoute 線路的前置詞。 如需詳細資訊,請參閱關於 ExpressRoute。
- 路由意圖是虛擬 WAN 中唯一的機制,可透過部署在中樞的安全性設備啟用中樞間流量檢查。 中樞間流量檢查也需要在所有中樞上啟用路由意圖,以確保流量會在部署於虛擬 WAN 中樞的安全性設備之間對稱地路由傳送。
- 路由意圖會將虛擬網路和內部部署流量傳送至路由原則中指定的下一個躍點資源。 虛擬 WAN 會根據設定的路由原則來規劃基礎 Azure 平臺,以路由傳送內部部署和 虛擬網絡 流量,而不會透過虛擬中樞路由器處理流量。 由於路由器不會處理透過路由意圖路由傳送的封包,因此您不需要為設定路由意圖的中樞上的數據平面封包轉送配置額外的 路由基礎結構單位 。 不過,您可能需要根據連線至虛擬 WAN 中樞之 虛擬網絡 中的 虛擬機器 數目,配置額外的路由基礎結構單位。
- 路由意圖可讓您為私人和網際網路路由原則設定不同的下一個躍點資源。 例如,您可以將私人路由原則的下一個躍點設定為中樞內的 Azure 防火牆,並將因特網路由原則的下一個躍點設定為中樞內的 NVA 或 SaaS 解決方案。 因為 SaaS 解決方案和防火牆 NVA 部署在虛擬 WAN 中樞的相同子網中,因此在相同中樞部署具有防火牆 NVA 的 SaaS 解決方案可能會影響 SaaS 解決方案的水準延展性,因為水準向外延展的 IP 位址較少。此外,您最多可以在每個虛擬 WAN 中樞部署一個 SaaS 解決方案。
必要條件
若要啟用路由意圖和原則,您的虛擬中樞必須符合下列必要條件:
- 沒有使用虛擬中樞部署的自訂路由表。 唯一存在的路由表是 noneRouteTable 和 defaultRouteTable。
- 您無法具有下一個躍點是虛擬網路連線的靜態路由。 您在 defaultRouteTable 中可能有下一個躍點是 Azure 防火牆的靜態路由。
針對不符合上述需求的中樞,設定路由意圖的選項會呈現灰色。
在 Azure 防火牆管理員中使用路由意圖 (啟用中樞間選項) 則有額外的需求:
- Azure 防火牆管理員建立的路由會遵循「private_traffic」、「internet_traffic」或「all_traffic」命名慣例。 因此,defaultRouteTable 中的所有路由都必須遵循此慣例。
復原策略
注意
從中樞完全移除路由意圖設定時,中樞的所有連線都會設定為傳播至預設標籤 (適用於虛擬 WAN 中的「所有」defaultRouteTables)。 因此,如果您考慮在虛擬 WAN 中實作路由意圖,您應該先儲存現有設定的複本 (閘道、連線、路由表),若後續想還原原始設定,即可套用該複本。 系統不會自動還原先前的設定。
路由意圖藉由管理中樞內所有連線的路由關聯和傳播,簡化路由和設定。
下表描述設定路由意圖之後,所有連線的相關聯路由表和傳播路由表。
路由意圖設定 | 相關聯的路由表 | 傳播的路由表 |
---|---|---|
網際網路 | defaultRouteTable | 預設標籤 (虛擬 WAN 中所有中樞的 defaultRouteTable) |
私人 | defaultRouteTable | noneRouteTable |
網際網路和私人 | defaultRouteTable | noneRouteTable |
defaultRouteTable 中的靜態路由
下一節說明在中樞上啟用路由意圖時,路由意圖如何管理 defaultRouteTable 中的靜態路由。 路由意圖對 defaultRouteTable 所做的修改無法加以復原。
如果您移除路由意圖,則必須手動還原先前的設定。 因此,建議您先儲存設定的快照集,再啟用路由意圖。
Azure 防火牆管理員和虛擬 WAN 中樞入口網站
在中樞上啟用路由意圖時,系統會在 defaultRouteTable 中自動建立靜態路由,該路由則對應至設定的路由原則。 這些路由包括:
路由名稱 | 首碼 | 下一個躍點資源 |
---|---|---|
_policy_PrivateTraffic | 10.0.0.0/8、192.168.0.0/16、172.16.0.0/12 | Azure 防火牆 |
_policy_PublicTraffic | 0.0.0.0/0 | Azure 防火牆 |
注意
defaultRouteTable 中的任何靜態路由,包含與 0.0.0.0/0 或 RFC1918 超級網路 (10.0.0.0/8, 192.168.0.0/16 和 172.16.0.0/12) 不完全符合的前置詞,會自動合併成名為「private_traffic」的單一靜態路由。 不論原則類型為何,defaultRouteTable 中符合 RFC1918 超級網路或 0.0.0.0/0 的前置詞,一律會在設定路由意圖後自動移除。
例如,在設定路由意圖之前,請考量 defaultRouteTable 具有下列路由的案例:
路由名稱 | 首碼 | 下一個躍點資源 |
---|---|---|
private_traffic | 192.168.0.0/16、172.16.0.0/12、40.0.0.0/24、10.0.0.0/24 | Azure 防火牆 |
to_internet | 0.0.0.0/0 | Azure 防火牆 |
additional_private | 10.0.0.0/8、50.0.0.0/24 | Azure 防火牆 |
在此中樞上啟用路由意圖會導致下列 defaultRouteTable 的結束狀態。 非 RFC1918 或 0.0.0.0/0 的所有前置詞都會合併成名為 private_traffic 的單一路由。
路由名稱 | 首碼 | 下一個躍點資源 |
---|---|---|
_policy_PrivateTraffic | 10.0.0.0/8、192.168.0.0/16、172.16.0.0/12 | Azure 防火牆 |
_policy_PublicTraffic | 0.0.0.0/0 | Azure 防火牆 |
private_traffic | 40.0.0.0/24、10.0.0.0/24、50.0.0.0/24 | Azure 防火牆 |
其他方法 (PowerShell、REST、CLI)
使用非入口網站方法來建立路由意圖時,會自動在 defaultRouteTable 中建立對應的原則路由,並移除靜態路由中與 0.0.0.0/0 或 RFC1918 超級網路 (10.0.0.0/8、192.168.0.0/16 或 172.16.0.0/12) 完全相符的任何前置詞。 不過,其他靜態路由「不會」自動合併。
例如,在設定路由意圖之前,請考量 defaultRouteTable 具有下列路由的案例:
路由名稱 | 首碼 | 下一個躍點資源 |
---|---|---|
firewall_route_ 1 | 10.0.0.0/8 | Azure 防火牆 |
firewall_route_2 | 192.168.0.0/16、10.0.0.0/24 | Azure 防火牆 |
firewall_route_3 | 40.0.0.0/24 | Azure 防火牆 |
to_internet | 0.0.0.0/0 | Azure 防火牆 |
下表呈現成功建立路由意圖後,defaultRouteTable 的最終狀態。 請注意,系統會自動移除 firewall_route_1 和 to_internet,因為這些路由中唯一的前置詞是 10.0.0.0/8 和 0.0.0.0/0。 firewall_route_2 已修改為移除 192.168.0.0/16,因為該前置詞是 RFC1918 彙總前置詞。
路由名稱 | 首碼 | 下一個躍點資源 |
---|---|---|
_policy_PrivateTraffic | 10.0.0.0/8、192.168.0.0/16、172.16.0.0/12 | Azure 防火牆 |
_policy_PublicTraffic | 0.0.0.0/0 | Azure 防火牆 |
firewall_route_2 | 10.0.0.0/24 | Azure 防火牆 |
firewall_route_3 | 40.0.0.0/24 | Azure 防火牆 |
將前置詞公告至內部部署
下一節說明在虛擬中樞上設定路由意圖之後,虛擬 WAN 如何將路由公告至內部部署。
網際網路路由原則
注意
0.0.0.0/0 預設路由「不會」跨虛擬中樞進行公告。
若您在虛擬中樞上啟用網際網路路由原則,0.0.0.0/0 預設路由會公告至中樞的所有連線 (虛擬網路 ExpressRoute、站對站 VPN、點對站 VPN、中樞內的 NVA 和 BGP 連線),其中 [傳播預設路由] 或 [啟用網際網路安全性] 旗標會設為 true。 對於不應該獲知預設路由的所有連線,您可以將此旗標設定為 false。
私人路由原則
使用私人路由原則設定虛擬中樞時,虛擬 WAN 會以下列方式將路由公告至本機內部部署連線:
- 針對本機中樞的虛擬網路、ExpressRoute、站對站 VPN、點對站 VPN、中樞內的 NVA,或連線至目前中樞的 BGP 連線,與從上述項目獲知前置詞所對應的路由。
- 針對遠端中樞虛擬網路、ExpressRoute、站對站 VPN、點對站 VPN、中樞內的 NVA,或設定私人路由原則的 BGP 連線,與從上述項目獲知前置詞所對應的路由。
- 針對遠端中樞虛擬網路、ExpressRoute、站對站 VPN、點對站 VPN、中樞內的 NVA、未設定路由意圖的 BGP 連線,「以及」傳播至本機中樞 defaultRouteTable 的遠端連線,與從上述項目獲知前置詞所對應的路由。
- 除非啟用 Global Reach,否則從一個 ExpressRoute 線路獲知的前置詞不會公告至其他 ExpressRoute 線路。 如果您想透過中樞內部署的安全性解決方案啟用 ExpressRoute 對 ExpressRoute 傳輸,請開啟支援案例。 如需詳細資訊,請參閱啟用跨 ExpressRoute 線路的連線。
主要路由案例
下一節說明在虛擬 WAN 中樞上設定路由意圖時的一些主要路由案例和路由行為。
透過路由意圖在 ExpressRoute 線路間傳輸連線
有兩個不同設定可在虛擬 WAN 內的 ExpressRoute 線路間傳輸連線。 由於這兩個設定互不相容,客戶應該選擇一個設定選項,以支援在兩個 ExpressRoute 線路間傳輸連線能力。
注意
若要使用私人路由原則,透過中樞內的防火牆設備啟用 ExpressRoute 對 ExpressRoute 傳輸連線,請向 Microsoft 支援服務開啟支援案例。 此選項與 Global Reach 不相容,而且需要停用 Global Reach,以確保連線至虛擬 WAN 的所有 ExpressRoute 線路之間可正確傳輸路由。
- ExpressRoute Global Reach: ExpressRoute Global Reach 可讓兩個已啟用 Global Reach 的線路直接向彼此傳送流量,而不需要透過虛擬中樞傳輸。
- 路由意圖私人路由原則:設定私人路由原則可讓兩個 ExpressRoute 線路,透過在中樞內部署的安全性解決方案向彼此傳送流量。
下列設定可讓您在具有路由意圖私人路由原則的中樞內,透過防火牆設備跨 ExpressRoute 線路連線:
- 兩個 ExpressRoute 線路皆連線至相同中樞,並在該中樞上設定私人路由原則。
- ExpressRoute 線路連線至不同的中樞,且兩個中樞皆有設定私人路由原則。 因此,兩個中樞都必須部署安全性解決方案。
ExpressRoute 的路由考量
注意
下列路由考量適用於訂用帳戶 (由 Microsoft 支援服務啟用) 的所有虛擬中樞,以允許 ExpressRoute 透過中樞內的安全性設備連線至 ExpressRoute。
使用在虛擬中樞內部署的防火牆設備,來啟用跨 ExpressRoute 線路的傳輸連線後,針對路由公告至 ExpressRoute 內部部署的方式,您可以預期下列行為變更:
- 虛擬 WAN 自動將 RFC1918 彙總前置詞 (10.0.0.0/8、192.168.0.0/16、172.16.0.0/12) 公告至已和 ExpressRoute 連線的內部部署。 除了上一節所述的路由,系統也會公告這些彙總路由。
- 虛擬 WAN 自動將 defaultRouteTable 中所有靜態路由公告至已和 ExpressRoute 線路連線的內部部署。 這表示虛擬 WAN 會將私人流量前置詞文字輸入框中指定的路由公告至內部部署。
由於這些路由公告變更,連線至 ExpressRoute 的內部部署無法針對 RFC1918 彙總位址範圍 (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) 公告確切位址範圍。 確保您在 RFC1918 範圍內公告更明確的子網路,而非彙總超級網路和 [私人流量] 文字輸入框中的任何前置詞。
此外,如果您的 ExpressRoute 線路向 Azure 公告非 RFC1918 前置詞,請確定您在 [私人流量前置詞] 文字輸入框中填入的位址範圍不會比 ExpressRoute 公告的路由具體。 例如,如果 ExpressRoute 線路從內部部署公告 40.0.0.0/24,請在 [私人流量前置詞] 文字輸入框中,填入 /23 CIDR 範圍或更大範圍 (範例:40.0.0.0/23)。
將公告路由傳送至其他內部部署 (站對站 VPN、點對站 VPN、NVA) 不會受到透過中樞內部署的安全性設備來啟用 ExpressRoute 對 ExpressRoute 傳輸連線能力的影響。
加密的 ExpressRoute
若要使用加密的 ExpressRoute (透過 ExpressRoute 線路執行的站對站 VPN 通道),搭配路由意圖私人路由原則,請設定防火牆規則,「允許」虛擬 WAN 站對站 VPN 閘道 (來源) 和內部部署 VPN 裝置 (目的地) 中通道私人 IP 位址之間的流量。 針對在防火牆裝置上使用深層封包檢查的客戶,建議從深層封包檢查中排除這些私人 IP 之間的流量。
若要取得虛擬 WAN 站對站 VPN 閘道的通道私人 IP 位址,您可以下載 VPN 設定,並依序檢視 [vpnSiteConnections] -> [gatewayConfiguration] -> [IPAddresses]。 [IPAddresses] 欄位中所列的 IP 位址,是指派給站對站 VPN 閘道中每個執行個體的私人 IP 位址,可用來終止透過 ExpressRoute 執行的 VPN 通道。 在下列範例中,閘道上的通道 IP 為 192.168.1.4 和 192.168.1.5。
"vpnSiteConnections": [
{
"hubConfiguration": {
"AddressSpace": "192.168.1.0/24",
"Region": "South Central US",
"ConnectedSubnets": [
"172.16.1.0/24",
"172.16.2.0/24",
"172.16.3.0/24",
"192.168.50.0/24",
"192.168.0.0/24"
]
},
"gatewayConfiguration": {
"IpAddresses": {
"Instance0": "192.168.1.4",
"Instance1": "192.168.1.5"
},
"BgpSetting": {
"Asn": 65515,
"BgpPeeringAddresses": {
"Instance0": "192.168.1.15",
"Instance1": "192.168.1.12"
},
"CustomBgpPeeringAddresses": {
"Instance0": [
"169.254.21.1"
],
"Instance1": [
"169.254.21.2"
]
},
"PeerWeight": 0
}
}
內部部署裝置用於 VPN 終止的私人 IP 位址,是指定為 VPN 網站連結連線一部分的 IP 位址。
使用上述範例 VPN 設定和 VPN 網站,建立防火牆規則以允許下列流量。 VPN 閘道 IP 必須是來源 IP,而內部部署 VPN 裝置必須是設定規則中的目的地 IP。
規則參數 | 值 |
---|---|
來源 IP | 192.168.1.4 和 192.168.1.5 |
來源連接埠 | * |
目的地 IP | 10.100.0.4 |
目的地連接埠 | * |
通訊協定 | ANY |
加密 ExpressRoute 的效能
使用加密的 ExpressRoute 設定私人路由原則,會透過中樞中部署的下一個躍點安全性設備,路由 VPN ESP 封包。 因此,您可以預期加密的 ExpressRoute VPN 通道輸送量上限為 1 Gbps 雙向 (從內部部署輸入和從 Azure 輸出)。 若要達到最大 VPN 通道輸送量,請考慮下列部署最佳化:
- 部署 Azure 防火牆進階版,而不是 Azure 防火牆標準版或 Azure 防火牆基本版。
- 確定 Azure 防火牆會先處理規則,讓規則在 Azure 防火牆原則中具有最高的優先順序,以處理 VPN 通道端點之間的流量 (192.168.1.4 和 192.168.1.5)。 若要深入了解 Azure 防火牆規則處理邏輯,請參閱 Azure 防火牆規則處理邏輯。
- 關閉 VPN 通道端點之間流量的深層封包。 若要深入瞭解如何設定 Azure 防火牆以排除來自深層封包檢查的流量,請參閱 IDPS 略過清單文件。
- 將 VPN 裝置設定為針對 IPSEC 加密和完整性來使用 GCMAES256,以將效能最大化。
直接路由至 NVA 實例以進行雙重角色連線和防火牆 NVA
注意
直接路由至虛擬 WAN 中搭配私人路由原則使用的雙重角色 NVA,僅適用於 虛擬網絡 之間的流量,以及透過從虛擬 WAN 中樞部署 NVA 的 BGP 所學到的路由。 ExpressRoute 和 VPN 傳輸連線到 NVA 連線的內部部署不會直接路由至 NVA 實例,而是透過雙重角色 NVA 的負載平衡器路由傳送。
某些網路虛擬設備可以在相同裝置上同時具備連線能力 (SD-WAN) 和安全性 (NGFW) 功能。 這些 NVA 被視為雙重角色 NVA。 檢查 NVA 是否為 NVA 合作夥伴下的雙重角色 NVA。
當私人路由原則設定為雙重角色 NVA 時,虛擬 WAN 會自動公告從該虛擬 WAN 中樞的 NVA 裝置學習到直接連線的路由(本機)虛擬網絡,以及虛擬 WAN 中的其他虛擬中樞,以及下一個躍點作為 NVA 實例,而不是 NVA 內部負載平衡器。
對於只有一個 NVA 實例的主動-被動 NVA 設定,其中只有一個 NVA 實例將特定前置詞的路由公告給虛擬 WAN(或從其中一個實例學習的 AS-PATH 長度一律最短),虛擬 WAN 可確保來自 Azure 虛擬網絡 的輸出流量一律會路由傳送至作用中 (或慣用的) NVA 實例。
針對 主動-主動 NVA 組態 (多個 NVA 實例會公告具有相同 AS-PATH 長度的相同前置詞),Azure 會自動執行 ECMP,以將流量從 Azure 路由傳送至內部部署。 Azure 的軟體定義網路平台不保證流量層級對稱,這表示從 Azure 到 Azure 的輸入流程和從 Azure 輸出的流量可以落在 NVA 的不同實例上。 這會導致狀態防火牆檢查捨棄的非對稱路由。 因此,除非 NVA 可以支援非對稱轉送或支援會話共用/同步處理,否則不建議使用主動-主動連線模式,其中 NVA 的行為是雙重角色 NVA。 如需 NVA 是否支援非對稱轉送或工作階段狀態共用/同步處理的詳細資訊,請連絡 NVA 提供者。
透過 Azure 入口網站設定路由意圖
您可以使用 Azure 防火牆管理員或虛擬 WAN 入口網站,透過 Azure 入口網站設定路由意圖和路由原則。 您可以透過 Azure 防火牆管理員入口網站,使用下一個躍點資源 Azure 防火牆來設定路線規劃原則。 您可以透過虛擬 WAN 入口網站,使用虛擬中樞或 SaaS 解決方案內部署的下一個躍點資源 Azure 防火牆、網路虛擬設備來設定路線規劃原則。
在虛擬 WAN 安全中樞使用 Azure 防火牆的客戶,可以將 Azure 防火牆管理員的 [在中樞間啟用] 設定設為 [已啟用],以使用路線規劃意圖,或使用虛擬 WAN 入口網站,直接將 Azure 防火牆設定為路線規劃意圖和原則的下一個躍點資源。 任一入口網站體驗中的設定皆相同,且 Azure 防火牆管理員中的變更會自動反映在虛擬 WAN 入口網站中,反之亦然。
透過 Azure 防火牆管理員設定路由意圖和原則
下列步驟說明如何使用 Azure 防火牆管理員,在虛擬中樞上設定路由意圖和路由原則。 請注意,Azure 防火牆管理員只支援 Azure 防火牆類型的下一個躍點資源。
瀏覽至要設定路由原則的虛擬 WAN 中樞。
在 [安全性] 底下選取 [安全虛擬中心設定],然後選取 [在 Azure 防火牆管理員中管理此安全虛擬中樞的安全性提供者和路由設定]。
從功能表中選取要設定路由原則的中樞。
在 [設定] 下選取 [安全性設定]
如果您想要設定網際網路流量路由原則,請從 [網際網路流量] 下拉式清單中選取 [Azure 防火牆] 或相關的網際網路安全性提供者。 如果沒有,請選取 [無]
如果您想要透過 Azure 防火牆,為分支和虛擬網路流量設定私人流量路由原則,請從 [私人流量] 下拉式清單中選取 [Azure 防火牆]。 如果沒有,請選取 [略過 Azure 防火牆]。
如果您想要設定私人流量路由原則,並讓分支或虛擬網路公告非 IANA RFC1918 前置詞,請選取 [私人流量前置詞],然後在出現的文字輸入框中指定非 IANA RFC1918 前置詞範圍。 選取完成。
選取要啟用的中樞間。 啟用此選項可確保您的路由原則會套用至此虛擬 WAN 中樞的路由意圖。
選取 [儲存]。
針對您想要設定路由原則的其他安全虛擬 WAN 中樞重複步驟 2-8。
此時,您已準備好傳送測試流量。 確保您的防火牆原則已適當設定,以根據您所需的安全性設定允許/拒絕流量。
透過虛擬 WAN 入口網站設定路由意圖和原則
下列步驟說明如何使用虛擬 WAN 入口網站,在虛擬中樞上設定路由意圖和路由原則。
從 [必要條件] 區段中步驟 3 的確認電子郵件中提供的自訂入口網站連結,瀏覽至您想要設定路由原則的虛擬 WAN 中樞。
在 [路由] 底下,選取 [路由原則]。
如果您想為分支和虛擬網路流量設定私人流量路由原則,請在 [私人流量] 下方選取 [Azure 防火牆]、[網路虛擬設備] 或 [SaaS 解決方案]。 在 [下一個躍點資源] 下方,選取相關的下一個躍點資源。
如果您想要設定私人流量路由原則,並讓分支或虛擬網路使用非 IANA RFC1918 前置詞,請選取 [其他前置詞],然後在出現的文字輸入框中指定非 IANA RFC1918 前置詞範圍。 選取完成。 務必在所有使用私人路由原則設定的虛擬中樞中,向 [私人流量前置詞] 文字方塊中新增相同的前置詞,確保向所有中樞公告正確的路由。
若要設定網際網路流量路由原則,請選取 [Azure 防火牆]、[網路虛擬設備] 或 [SaaS 解決方案]。 在 [下一個躍點資源] 下方,選取相關的下一個躍點資源。
若要套用路由意圖和路由原則設定,請按一下 [儲存]。
對想要設定路由原則的所有中樞重複執行上述步驟。
此時,您已準備好傳送測試流量。 請確定您已妥善設定防火牆原則,以便根據所需安全性設定來允許/拒絕流量。
使用 BICEP 範本設定路由意圖
如需範本和步驟的相關資訊,請參閱 BICEP 範本。
疑難排解
下一節說明在虛擬 WAN 中樞上設定路由意圖和原則時,對問題進行移難排解的常見方法。
有效路由
注意
只有私人路由原則中指定的下一個躍點資源才支援在虛擬 WAN 路由意圖下一個躍點資源上套用的有效路由。 如果您使用私人和網際網路由原則,請檢查私人路由原則中指定之下一個躍點資源的有效路由,以取得網際網路由原則下一個躍點資源上有效的路由虛擬 WAN 程式。 如果您只使用網際網路原則,請檢查 defaultRouteTable 上的有效路由,以檢視在網際網路路由原則下一個躍點資源上設計的路由。
在虛擬中樞上設定私人路由原則時,Azure 防火牆、網路虛擬設備或虛擬中樞內的 SaaS 解決方案,會檢查內部部署與虛擬網路之間的所有流量。
因此,defaultRouteTable 的有效路由會顯示 RFC1918 彙總前置詞 (10.0.0.0/8、192.168.0.0/16、172.16.0.0/12),以及下一個躍點 Azure 防火牆或網路虛擬設備。 這反映出 虛擬網絡 與分支之間的所有流量都會路由傳送至中樞內的 Azure 防火牆、NVA 或 SaaS 解決方案,以進行檢查。
在防火牆檢查封包之後 (且每個防火牆規則設定允許封包),虛擬 WAN 會將封包轉送至其最終目的地。 若要查看虛擬 WAN 用來轉送已檢查封包的路由,請檢視防火牆或網路虛擬設備的有效路由表。
防火牆有效路由表可協助縮小網路問題範圍並隔離問題,例如設定錯誤或特定分支和虛擬網路發生問題。
針對設定問題進行疑難排解
如果您要針對設定問題進行疑難排解,請考量下列事項:
- 請確定您在 defaultRouteTable 中,沒有具備下一個躍點虛擬網路連線的自訂路由表或靜態路由。
- 如果您的部署不符合上述需求,設定路由意圖的選項會在 Azure 入口網站中呈現灰色。
- 如果您使用 CLI、PowerShell 或 REST,路由意圖建立作業會失敗。 請刪除失敗的路由意圖、移除自訂路由表和靜態路由,然後嘗試重新建立。
- 如果您使用 Azure 防火牆管理員,請確定 defaultRouteTable 中的現有路由名為 private_traffic、internet_traffic 或 all_traffic。 如果路由的名稱不同,則設定路由意圖 (在中樞間啟用) 的選項會呈現灰色。
- 在中樞上設定路由意圖之後,請確定已更新中樞的現有連線,或已建立新的中樞連線,並將選擇性的關聯和傳播路由表欄位設定為空白。 針對透過 Azure 入口網站執行的所有作業,系統會自動將選擇性的關聯和傳播設定設為空白。
針對資料路徑進行疑難排解
假設您已檢閱已知限制一節,以下是對資料路徑和連線進行疑難排解的一些方式:
- 對有效路由進行疑難排解:
- 如果已設定私人路由原則,針對 RFC1918 彙總 (10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12),以及 [私人流量] 文字輸入框中指定的任何前置詞,您應該會在 defaultRouteTable 的有效路由中看到具有下一個躍點防火牆的路由。 請確定所有虛擬網路和內部部署前置詞,都是 defaultRouteTable 中靜態路由內的子網路。 如果內部部署或虛擬網路使用的位址空間,並非 defaultRouteTable 中有效路由內的子網路,請將前置詞新增至 [私人流量] 文字輸入框。
- 如果已設定網際網路流量路由原則,您應該會在 defaultRouteTable 的有效路由中看到預設 (0.0.0.0/0) 路由。
- 當您確認 defaultRouteTable 的有效路由具有正確前置詞,請檢視網路虛擬設備或 Azure 防火牆的有效路由。 防火牆上的有效路由會顯示虛擬 WAN 已選取何種路由,並決定防火牆可以將封包轉送至哪些目的地。 找出遺漏的前置詞或前置詞處於不正確的狀態,有助於縮小資料路徑問題的範圍,並指向正確的 VPN、ExpressRoute、NVA 或 BGP 連線以進行疑難排解。
- 對特定案例進行疑難排解:
- 如果虛擬 WAN 中具有未受保護的中樞 (沒有 Azure 防火牆或 NVA 的中樞),請確定未受保護的中樞連線,會傳播至具有已設定路由意圖的中樞內 defaultRouteTable。 如果未將傳播設定為 defaultRouteTable,則安全中樞連線就無法將封包傳送至未受保護的中樞。
- 如果您已設定網際網路路由原則,則針對應該獲知 0.0.0.0/0 預設路由的所有連線,請確定已將 [傳播預設路由] 或 [啟用網際網路安全性] 設定為 'true'。 即使已設定網際網路路由原則,此設定設為 'false' 的連線也不會獲知 0.0.0.0.0/0 路由。
- 如果您使用部署在聯機至虛擬中樞 虛擬網絡 的私人端點,則從內部部署目的地為聯機至虛擬 WAN 中樞 虛擬網絡 之私人端點的內部部署流量,預設會略過路由意圖下一個躍點 Azure 防火牆、NVA 或 SaaS。 不過,這會導致非對稱路由 (這可能會導致內部部署與私人端點之間的連線中斷),因為輪輻虛擬網路中的私人端點會將內部部署流量轉送至防火牆。 為了確保路由對稱性,請在已部署私人端點的子網路上,啟用私人端點的路由表網路原則。 在 [私人流量] 文字輸入框中設定可對應至私人端點私人 IP 位址的 /32 路由,無法在中樞上設定私人路由原則時確保流量對稱性。
- 如果您使用加密的 ExpressRoute 搭配私人路由原則,請確定您的防火牆裝置已設定規則,以允許虛擬 WAN 站對站 VPN 閘道私人 IP 通道端點和內部部署 VPN 裝置之間的流量。 ESP (在外部加密) 封包應該記錄在 Azure 防火牆記錄中。 如需具有路由意圖的加密 ExpressRoute 詳細資訊,請參閱加密的 ExpressRoute 文件。
針對 Azure 防火牆路由問題進行疑難排解
- 嘗試設定路由意圖之前,請確定 Azure 防火牆的佈建狀態為「成功」。
- 如果您在分支/虛擬網路中使用非 IANA RFC1918 前置詞,請確定您已在 [私人前置詞] 文字輸入框中指定這些前置詞。 已設定的「私人前置詞」不會自動傳播至已設定路由意圖的虛擬 WAN 內其他的中樞。 若要確保連線,請將這些前置詞新增至每個具有路由意圖的單一中樞內 [私人前置詞] 文字輸入框。
- 如果您已在防火牆管理員的 [私人流量前置詞] 文字輸入框中,指定非 RFC1918 位址,您可能需要在防火牆上設定 SNAT 原則,以停用非 RFC1918 私人流量的 SNAT。 如需詳細資訊,請參考 Azure 防火牆 SNAT 範圍。
- 設定和檢視 Azure 防火牆記錄,以協助針對網路流量進行疑難排解和分析。 如需如何設定 Azure 防火牆監視的詳細資訊,請參考 Azure 防火牆診斷。 如需不同類型的防火牆記錄概觀,請參閱 Azure 防火牆記錄和計量。
- 如需 Azure 防火牆的詳細資訊,請參閱 Azure 防火牆文件。
針對網路虛擬設備進行疑難排解
- 嘗試設定路由意圖之前,請確定網路虛擬設備的佈建狀態為「成功」。
- 如果您在已連線的內部部署或虛擬網路中使用非 IANA RFC1918 前置詞,請確定您已在 [私人前置詞] 文字輸入框中指定這些前置詞。 已設定的「私人前置詞」不會自動傳播至已設定路由意圖的虛擬 WAN 內其他的中樞。 若要確保連線,請將這些前置詞新增至每個具有路由意圖的單一中樞內 [私人前置詞] 文字輸入框。
- 如果您已在 [私人流量前置詞] 文字輸入框中,指定非 RFC1918 位址,您可能需要在 NVA 上設定 SNAT 原則,以停用特定非 RFC1918 私人流量的 SNAT。
- 檢查 NVA 防火牆記錄,以查看防火牆規則是否已捨棄或拒絕流量。
- 請聯絡您的 NVA 提供者,以取得更多移難排解的支援和指導。
對軟體即服務進行疑難排解
- 嘗試設定路由意圖之前,請確定 SaaS 解決方案的佈建狀態為「成功」。
- 如需更多疑難排解秘訣,請參閱虛擬 WAN 文件中的疑難排解一節,或參閱 Palo Alto Networks Cloud NGFW 文件。