路由對應是一項功能,可讓您控制虛擬 WAN 虛擬中樞的路由公告和路由。 針對 Azure 虛擬 WAN 站對站 (S2S) VPN 連線、使用者 VPN 點對站 (P2S) 連線、ExpressRoute (ER) 連線和虛擬網路 (VNet) 連線,路由對應可讓您更充分地控制進出以上連線的路由。 您可以使用 Azure 入口網站設定路由對應。 有關設定步驟,請參閱如何設定路由對應。
為什麼要使用路由對應?
一些使用路由對應的主要好處是:
- 當您有透過 ExpressRoute 或 VPN 連線至虛擬 WAN 的內部部署網路,並受限於可從/向虛擬中樞公告的路由數目,可以使用路由對應來摘要路由。
- 您可以使用路由對應,控制在內部部署和虛擬網路中進入和離開虛擬 WAN 部署的路由。
- 您可以藉由修改 BGP 屬性 (例如 AS 路徑),來控制虛擬 WAN 部署中的路由決策,並依需求調整路由。 當有多個路徑可連線至目的地前置詞,且客戶想要使用 AS 路徑來控制最佳路徑選取時,此流程將有所助益。
- 您可以使用 BGP 社群屬性輕鬆標記路由以便進行管理。
在虛擬 WAN 內,虛擬中樞路由器作為路由管理員,可簡化虛擬中樞內部和虛擬中樞之間的路由作業。 虛擬中樞路由器是與閘道 (S2S、ER 和 P2S)、Azure 防火牆和網路虛擬設備 (NVA) 通訊的中央路由引擎,藉此簡化路由管理作業。
雖然閘道會做出路由決策,但虛擬中樞路由器會提供中央路由管理,並啟用虛擬中樞內的進階路由案例,以及自訂路由表、路由關聯和傳播等功能。
路由對應可讓您執行路由彙總、路由篩選,並可修改 BGP 屬性,例如 AS 路徑和社群來管理路由和路由決策。 路由對應可配置以下資源和設定:
連線:路由對應可以套用至使用者、分支、ExpressRoute 和 VNet 連線。
- ExpressRoute 連線:中樞與 ER 線路的連線。
- 站對站 VPN 連線:中樞與 VPN 網站的連線。
- VNet 連線:中樞與虛擬網路的連線。
- 點對站連線:中樞與 P2S 使用者的連線。
虛擬中樞的路由對應可套用至任何連線,如下圖所示:
路由彙總:路由對應可讓您藉由摘要來減少進出連線的路由數目。 (範例:10.2.1.0.0/24、10.2.2.0/24 和 10.2.3.0/24 可以摘要為 10.2.0.0/16)。
路由篩選:針對 ExpressRoute 連線、站對站 VPN 連線、VNet 連線和點對站連線,路由對應可讓您排除從以上連線中公告或接收的路由。
修改 BGP 屬性:路由對應可讓您修改 AS 路徑和 BGP 社群。 您現在可以新增或設定 ASN (自治號碼)。
考量與限制
在使用路由對應之前,請考慮以下限制:
使用路由對應來摘要一組路由時,中樞路由器會從這些路由移除 BGP 社群和 AS-PATH 屬性。 這同時適用於輸入和輸出路由。
使用路由對應時,請勿使用私人 ASN 進行 AS 尋址(請注意,所參考的文章著重於 ExpressRoute Microsoft 對等連線,但此同樣適用於 ExpressRoute 的私人對等連線)。
使用路由圖時,請勿使用 Azure 保留的 ASN 作為 AS 前置操作。
- 公用 ASN:8074、8075、12076
- 私人 ASNs:65515、65517、65518、65519、65520
使用路由映射時,請勿移除 Azure BGP 社區:
- 65517:12001、65517:12002、65517:12003、65517:12005、65517:12006、65518:65518、65517:65517、65517:12076、65518:12076、65515:10000、65515:20000
您無法將路由對應套用至虛擬中樞內部部署與 SD-WAN/防火牆 NVA 之間的連線。 部署虛擬中樞中的 NVA 時,您仍然可以將路由對應套用至其他支援的連線。 這不適用於 Azure 防火牆,因為 Azure 防火牆的路由是透過虛擬 WAN 路由意圖功能提供提供。
路線對應僅支援 2 位元組 ASN 數位。
僅當預設路由是從本地或 NVA 獲知時,才支援修改預設路由。
前置詞可以透過路由對應或 NAT 修改,但不能同時透過兩者修改。
路由對應不會套用至中樞位址空間。
在包含 NVA 的 VNet 上使用路線對應時。 您可以在 VNet 位址或 NVA 公告的位址上套用路由對應。
Route-Maps 僅支援路由摘要。 請勿使用路線對應來建立更特定的路線。
設定工作流程
您可以使用 Azure 入口網站設定路由對應。 有關設定工作流程和綜合步驟,請參閱如何設定路由對應。
什麼是路由對應規則?
路由對應是一或多個路由對應規則的有序順序,這些規則會套用至虛擬中樞所接收或傳送的路由。 路由對應規則由比對條件和動作組成。
設定路由對映規則時,可以使用下一步設定來指定與此規則相符的路由是繼續由路由對應中的後續規則處理,還是停止 (終止)。 為路由對應配置路由對應規則後,可以將路由對應套用至連線。
需考量的事項:
- 可為路由對應規則設定任何路由修改,而沒有數目限制。 您可以直接使用路由對應,而無須設定規則。
- 如果路由對應在規則中未設定任何動作,路由就會保持不變。
- 如果路由對應在規則中設定多項修改,路由就會套用所有已設定的動作。 動作的順序沒有相關性。
- 如果路由與規則中的所有比對條件皆不相符,則會將路由視為與規則不符。 不論 [下一步] 設定為何,路由皆會傳遞至路由對應底下的規則。
- 設定規則,僅比對預定的路由以避免非預期流量。
比對條件
路由對應可讓您使用路由前置詞、BGP 社群和 AS 路徑來比對路由。 比對條件是已處理路由必須符合的條件集合,才能將視為與規則相符。
路由對應規則的比對條件沒有數目限制。
如果建立的路由對應沒有比對條件,系統會比對已套用連線的所有路由。
例如,站對站 VPN 連線具有從 Azure 公告至分公司的路由 10.2.1.0/24、10.2.2.2.2.0/24 和 10.2.3.0/24。 沒有比對條件的路由對應會比對 10.2.1.0/24、10.2.2.0/24 及 10.2.3.0/24。
如果路由對應有多個比對條件,路由就必須符合所有比對條件,才能將其視為與規則相符。 比對條件的順序沒有相關性。
例如,站對站 VPN 連線具有從 Azure 公告至分公司的路由 10.2.1.0/24,且該路由具有 AS 路徑 65535 和 BGP 社群 65535:100。 如果在連線上建立的路由對應規則具有符合前置詞 10.2.1.0 的比對條件和 AS 路徑 65535 的另一個比對條件,則需要滿足這兩個條件才能被視為符合。
支援多個規則。 如果與第一個規則不相符,則會評估第二個規則。 在 [下一步] 欄位中選取 [終止] 以結束路由對應中的規則清單。 未比對規則時,預設值為允許而非拒絕。
動作
比對條件可用來選取一組路由。 選取這些路由之後,您就可以卸除或修改這些路由。 您可以設定下列動作:
卸除:所有相符的路由都會從路由公告中卸除 (亦即篩選出來)。 例如,站對站 VPN 連線具有從 Azure 公告至分公司的路由 10.2.1.0/24、10.2.2.2.2.0/24 和 10.2.3.0/24。 路由對應可以設定為卸除 10.2.1.0/24、10.2.2.0/24,進而只讓 10.2.3.0/24 從 Azure 公告至分公司。
修改:可能的路由修改是彙總路由前置詞或修改路由 BGP 屬性。 例如,站對站 VPN 連線具有從 Azure 公告至分公司的路由 10.2.1.0/24,且該路由具有 AS 路徑 65535 和 BGP 社群 65535:100。 路由對應可以設定為新增 AS 路徑 [65535, 65005]。
支援路由對應規則的設定
本節顯示路由圖功能中支援的匹配條件和動作。
比對條件
| 屬性 | 準則 | 值 (範例) | 解釋 |
|---|---|---|---|
| 路由前置詞 | 等於 | 10.1.0.0/16、10.2.0.0/16、10.3.0.0/16、10.4.0.0/16 | 只會比對這 4 個路由。 不會比對這些路由下的特定前置詞。 |
| 路由前置詞 | 包含 | 10.1.0.0/16、10.2.0.0/16、192.168.16.0/24、192.168.17.0/24 | 比對下列所有指定的路由和所有前置詞。 (範例 10.2.1.0/24 在 10.2.0.0/16 下方) |
| 社群 | 等於 | 65001:100、65001:200 | 路由的社群屬性必須同時具有兩個社群。 順序沒有相關性。 |
| 社群 | 包含 | 65001:100、65001:200 | 路由的社群屬性可有一或多個指定社群。 |
| AS 路徑 | 等於 | 65001、65002、65003 | 路由的 AS 路徑必須依指定順序列出 ASN。 |
| AS 路徑 | 包含 | 65001、65002、65003 | 路由中的 AS-PATH 可列出一或多個 ASN。 順序沒有相關性。 |
路由修改
| 屬性 | 動作 | 值 | 解釋 |
|---|---|---|---|
| 路由前置詞 | 卸除 | 10.3.0.0/8、10.4.0.0/8 | 規則中指定的路由會卸除。 |
| 路由前置詞 | 替換 | 10.0.0.0/8、192.168.0.0/16 | 以規則中指定的路由取代所有相符路由。 |
| AS 路徑 | 加 | 64580、64581 | 前面加上 AS 路徑,其中包含規則中指定的 ASN 清單。 這些 ASN 會以相符路由的相同順序加以套用。 |
| AS 路徑 | 替換 | 65004、65005 | 針對每個相符的路由,AS 路徑會以相同順序設定為此清單。 請參閱保留 AS 編號的重要考量。 |
| AS 路徑 | 替換 | 未指定任何值 | 移除相符路由中 AS 路徑內的所有 ASN。 |
| 社群 | 加 | 64580:300、64581:300 | 將所有列出的社群新增至所有相符路由社群屬性。 |
| 社群 | 替換 | 64580:300、64581:300 | 以所提供清單取代所有相符路由的社群屬性。 |
| 社群 | 替換 | 未指定任何值 | 從所有相符的路由中移除社群屬性。 |
| 社群 | 移除 | 65001:100、65001:200 | 在相符路由的社群屬性中,移除任何列出的社群。 |
將路由對應套用至連線
您可以在輸入、輸出或輸入和輸出方向的每個連線上套用路由對應。 您可以選擇在輸入和輸出方向中套用相同或不同的路由對應,但每個方向只能套用一個路由對應。 針對 ExpressRoute 連線,路由對應無法適用於 MSEE 裝置。
輸入方向:當路由對應設定在輸入方向的連線時,該連線上的所有輸入路由公告都會由路由對應處理,接著才會進入虛擬中樞路由器的路由表 defaultRouteTable。
輸出方向:當在輸出方向的連線上設定路由對應時,路由對應會處理該連線上的所有輸出路由公告,然後由虛擬中樞路由器透過該連線進行公告。 輸出路由對應只能修改 Virtual WAN 公告給特定連線的路由,且無法用來選擇連線用於存取特定前綴的路由或路徑。 這是因為透過 中樞路由偏好 的最佳路徑選取會在套用任何輸出路線對應之前發生。 因此,輸出路由無法用來影響 Azure 中的最佳路徑選取。
如需將路由對應套用至連線的步驟,請參閱如何設定路由對應。
使用路由對應儀表板監視
當路由對應套用至連線時,您可以使用路由對應儀表板來監視和檢視:
- 路由
- AS 路徑
- BGP 社群
如需更多資訊和步驟,請參閱使用路由對應儀表板監視路由對應。