關於虛擬中樞的路由對應 (預覽版)
路由對應是一項功能,可讓您控制虛擬 WAN 虛擬中樞的路由公告和路由。 針對 Azure 虛擬 WAN 站對站 (S2S) VPN 連線、使用者 VPN 點對站 (P2S) 連線、ExpressRoute (ER) 連線和虛擬網路 (VNet) 連線,路由對應可讓您更充分地控制進出以上連線的路由。 您可以使用 Azure 入口網站設定路由對應。 如需設定步驟,請參閱 如何設定路線對應。
重要
路由對應目前已進入公開預覽階段,而且是在沒有服務等級協定的情況下提供。 路由對應不應該用於生產工作負載。 特定功能可能不受支援、功能可能受限,或者可能無法在所有 Azure 位置提供使用。 請參閱 Microsoft Azure 預覽版增補使用規定,以了解適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未正式發行的版本) 的法律條款。
為什麼要使用路線對應?
使用路線圖的一些主要優點包括:
- 當您透過 ExpressRoute 或 VPN 連線到虛擬 WAN 的內部部署網路時,可以使用路由對應來摘要路由,並受限於可從虛擬中樞公告的路由數目。
- 您可以使用路由對應來控制在內部部署和虛擬網路之間輸入和離開虛擬 WAN 部署的路由。
- 您可以藉由修改 BGP 屬性 (例如 AS 路徑),來控制虛擬 WAN 部署中的路由決策,並依需求調整路由。 當有多個路徑可連線至目的地前置詞,且客戶想要使用 AS 路徑來控制最佳路徑選取時,此流程將有所助益。
- 您可以使用 BGP 社群屬性輕鬆標記路由以便進行管理。
在虛擬 WAN 內,虛擬中樞路由器作為路由管理員,可簡化虛擬中樞內部和虛擬中樞之間的路由作業。 虛擬中樞路由器是與閘道 (S2S、ER 和 P2S)、Azure 防火牆和網路虛擬設備 (NVA) 通訊的中央路由引擎,藉此簡化路由管理作業。
雖然閘道會做出路由決策,但虛擬中樞路由器會提供中央路由管理,並啟用虛擬中樞內的進階路由案例,以及自訂路由表、路由關聯和傳播等功能。
路由對應可讓您執行路由彙總、路由篩選,並可修改 BGP 屬性,例如 AS 路徑和社群來管理路由和路由決策。 路由對應可針對下列資源和設定進行設定:
連線:路由對應可以套用至使用者、分支、ExpressRoute 和 VNet 連線。
- ExpressRoute 連線:中樞與 ER 線路的連線。
- 站對站 VPN 連線:中樞與 VPN 網站的連線。
- VNet 連線:中樞與虛擬網路的連線。
- 點對站連線:中樞與 P2S 使用者的連線。
虛擬中樞可以套用至任何連線的路由對應,如下圖所示:
路由彙總:路由對應可讓您藉由摘要來減少進出連線的路由數目。 (範例:10.2.1.0.0/24、10.2.2.0/24 和 10.2.3.0/24 可以摘要為 10.2.0.0/16)。
路由篩選:針對 ExpressRoute 連線、站對站 VPN 連線、VNet 連線和點對站連線,路由對應可讓您排除從以上連線中公告或接收的路由。
修改 BGP 屬性:路由對應可讓您修改 AS 路徑和 BGP 社群。 您現在可以新增或設定 ASN (自治號碼)。
考量與限制
使用路線圖之前,請先考慮下列限制:
- 在預覽期間,使用路線圖的中樞必須部署在自己的虛擬 WAN 中。
- 路由對應功能僅適用於在 虛擬機器擴展集 基礎結構上執行的虛擬中樞。 如需詳細資訊,請參閱常見問題集。
- 使用路由對應來摘要一組路由時,中樞路由器會 從這些路由移除 BGP 社群 和 AS-PATH 屬性。 這同時適用於輸入和輸出路由。
- 將 ASN 新增至 AS-PAT 時,僅使用私人 ASN 範圍 64512 - 65535,但不會使用 ASN 的 Reseverd by Azure:
- 公用 ASN:8074、8075、12076
- 私人 ASNs:65515、65517、65518、65519、65520
- 您無法將路由對應套用至虛擬中樞內部部署與 SD-WAN/防火牆 NVA 之間的連線。 預覽期間不支援這些連線。 部署虛擬中樞中的 NVA 時,您仍然可以將路由對應套用至其他支持的連線。 這不適用於 Azure 防火牆,因為 Azure 防火牆的路由是透過虛擬 WAN 路由意圖功能提供提供。
- 路由對應僅支援 2 位元組的 ASN 編號。
- 路線地圖目前不支援點對站 (P2S) 多重集區功能。
- 只有在從內部部署或 NVA 學習預設路由時,才支援修改預設路由。
- 您可以透過路線對應或 NAT 來修改前置詞,但不能同時修改兩者。
- 路線圖不會套用至中 樞位址空間。
- 不支援在輪輻 VNet 中的 NVA 上套用路由 地圖。
設定工作流程
您可以使用 Azure 入口網站 來設定路線對應。 如需設定工作流程和完整步驟,請參閱 如何設定路線對應。
什麼是路線對應規則?
路由對應是一或多個 路由對應規則的排序順序,這些規則 會套用至虛擬中樞接收或傳送的路由。 路線對應規則包含 比對條件和 動作。
當您設定路由對應規則時,您可以使用 [ 下一步 ] 設定來指定符合此規則的路由是否會繼續由路由對應中的後續規則處理,或停止(終止)。 為路線圖設定路線圖規則之後,路由對應可以套用至連線。
需考量的事項:
- 路由對應規則可以設定任意數目的路由修改。 可以有一個路線圖,沒有任何規則。
- 如果路由對應在規則中未設定任何動作,則路由不會變更。
- 如果路由對應在規則中設定了多個修改,則會在路由上套用所有已設定的動作。 動作的順序沒有相關性。
- 如果路由與規則中的所有比對條件皆不相符,則會將路由視為與規則不符。 不論下一個步驟設定為何,路由會傳遞至規則。
- 設定規則,僅比對預定的路由以避免非預期流量。
比對條件
路由對應可讓您使用路由前置詞、BGP 社群和 AS 路徑來比對路由。 比對條件 是處理路由必須符合的條件集,才能視為規則的相符專案。
路線圖規則可以有任意數目的比對條件。
如果建立路由對應時沒有相符條件,則會比對套用連線的所有路由。
例如,站對站 VPN 連線具有從 Azure 公告至分公司的路由 10.2.1.0/24、10.2.2.2.2.0/24 和 10.2.3.0/24。 沒有比對條件的路線圖會比對 10.2.1.0/24、10.2.2.0/24 和 10.2.3.0/24。
如果路由對應有多個比對條件,則路由必須符合規則的所有比對條件。 比對條件的順序沒有相關性。
例如,站對站 VPN 連線具有路由 10.2.1.0/24,AS Path 為 65535,而 BGP 社群為 65535:100,則會從 Azure 公告至分公司。 如果在連接上建立路由對應規則,其前置詞為 10.2.1.0 相符,而 AS Path 65535 的另一個比對條件,則必須符合這兩個條件才能視為相符專案。
支援多個規則。 如果與第一個規則不相符,則會評估第二個規則。 在 [下一個步驟] 字段中選取 [終止],以結束路由對應中的規則清單。 未比對規則時,預設值為允許而非拒絕。
動作
比對條件可用來選取一組路由。 選取這些路由之後,您就可以卸除或修改這些路由。 您可以設定下列 動作:
卸除:所有相符的路由都會從路由公告中卸除 (亦即篩選出來)。 例如,站對站 VPN 連線具有從 Azure 公告至分公司的路由 10.2.1.0/24、10.2.2.2.2.0/24 和 10.2.3.0/24。 路由對應可以設定為卸除 10.2.1.0/24、10.2.2.0/24,導致只有 10.2.3.0/24 從 Azure 公告至分公司。
修改:可能的路由修改是彙總路由前置詞或修改路由 BGP 屬性。 例如,站對站 VPN 連線具有路由 10.2.1.0/24,AS Path 為 65535,而 BGP 社群為 65535:100,則會從 Azure 公告至分公司。 路由對應可以設定為新增 [65535, 65005] 的 AS Path。
路由對應規則的支持設定
本節顯示路線地圖預覽支援的比對條件和動作。
比對條件
| 屬性 | 準則 | 值 (範例) | 解釋 |
|---|---|---|---|
| 路由前置詞 | 等於 | 10.1.0.0/16、10.2.0.0/16、10.3.0.0/16、10.4.0.0/16 | 只會比對這 4 個路由。 不會比對這些路由下的特定前置詞。 |
| 路由前置詞 | contains | 10.1.0.0/16、10.2.0.0/16、192.168.16.0/24、192.168.17.0/24 | 比對下列所有指定的路由和所有前置詞。 (範例 10.2.1.0/24 在 10.2.0.0/16 下方) |
| 社群 | 等於 | 65001:100、65001:200 | 路由的社群屬性必須同時具有兩個社群。 順序沒有相關性。 |
| 社群 | contains | 65001:100、65001:200 | 路由的社群屬性可以有一或多個指定的社群。 |
| AS 路徑 | 等於 | 65001、65002、65003 | 路由的 AS 路徑必須依指定順序列出 ASN。 |
| AS 路徑 | contains | 65001、65002、65003 | 路由中的 AS-PATH 可以包含一或多個列出的 ASN。 順序沒有相關性。 |
路由修改
| 屬性 | 動作 | 值 | 解釋 |
|---|---|---|---|
| 路由前置詞 | 加 | 10.3.0.0/8、10.4.0.0/8 | 系統會新增規則中指定的路由。 |
| 路由前置詞 | Replace | 10.0.0.0/8、192.168.0.0/16 | 以規則中指定的路由取代所有相符路由。 |
| AS 路徑 | 加 | 64580、64581 | 前面加上 AS 路徑,其中包含規則中指定的 ASN 清單。 這些 ASN 會以相符路由的相同順序套用。 |
| AS 路徑 | Replace | 65004、65005 | 針對每個相符的路由,AS 路徑會以相同順序設定為此清單。 請參閱保留 AS 編號的重要考量。 |
| AS 路徑 | Replace | 未指定任何值 | 移除相符路由中 AS 路徑內的所有 ASN。 |
| 社群 | 加 | 64580:300、64581:300 | 將所有列出的社群新增至所有相符路由社群屬性。 |
| 社群 | Replace | 64580:300、64581:300 | 以所提供清單取代所有相符路由的社群屬性。 |
| 社群 | Replace | 未指定任何值 | 從所有相符的路由中移除社群屬性。 |
| 社群 | 移除 | 65001:100、65001:200 | 在相符路由的社群屬性中,移除任何列出的社群。 |
將路線對應套用至連線
您可以針對輸入、輸出或輸入和輸出方向,在每個連線上套用路線對應。 您可以選擇在輸入和輸出方向中套用相同或不同的路線對應,但每個方向只能套用一個路線地圖。 針對 ExpressRoute 連線,無法在 MSEE 裝置上套用路由對應。
輸入方向: 當路由對應設定在輸入方向的連線時,該聯機上的所有輸入路由公告都會由路由對應處理, 然後才進入虛擬中樞路由器的路由表 defaultRouteTable。
輸出方向: 當路由對應在輸出方向的連線上設定時,路由對應會在連線上由虛擬中樞路由器公告之前,先處理該連線上的所有輸出路由公告。
如需將路線對應套用至連線的步驟,請參閱 如何設定路線對應。
使用路線圖儀錶板監視
當路由圖套用至連線時,您可以使用 [路線圖] 儀錶板來監視和檢視:
- 路由
- AS 路徑
- BGP 社群
如需詳細資訊和步驟,請參閱 使用路線圖儀錶板監視路線地圖。