共用方式為

在 VMM 網狀架構中設定 SDN RAS 閘道

  • 發行項

本文說明如何在 System Center Virtual Machine Manager (VMM) 網狀架構中設定軟體定義網路 (SDN) RAS 閘道。

SDN RAS 閘道是 SDN 中的數據路徑元素,可在兩個自發系統之間啟用站對站連線。 具體而言,RAS 閘道可讓您使用IPSec、一般路由封裝或第3層轉送,在遠端租用戶網路與數據中心之間進行站對站連線。 深入了解

注意

VMM 2025 和 2022 提供 RAS 閘道的雙重堆疊支援。

注意

  • 從 VMM 2019 UR1, 一個連線 的網路類型會變更為 連線的網路
  • VMM 2019 UR2 和更新版本支援 IPv6。

在您開始使用 Intune 之前

在開始之前,請確定下列事項:

  • 規劃:閱讀規劃軟體定義網路的相關信息,並檢閱本檔中的規劃拓撲。 此圖顯示範例 4 節點設定。 此設定具有三個網路控制站節點 (VM) 和三個 SLB/MUX 節點的高可用性。 它會顯示兩個租使用者,其中一個虛擬網路分成兩個虛擬子網,以模擬 Web 層和資料庫層。 基礎結構和租用戶虛擬機都可以跨任何實體主機轉散發。
  • 網路控制站:您必須先部署網路控制站,才能部署 RAS 閘道。
  • SLB:若要確保正確處理相依性,您也必須在設定閘道之前部署 SLB。 如果已設定 SLB 和閘道,您可以使用並驗證 IPsec 連線。
  • 服務範本:VMM 會使用服務範本將 GW 部署自動化。 服務範本支援第1代和第2代 VM 上的多節點部署。

部署步驟

若要設定 RAS 閘道,請執行下列動作:

  1. 下載服務範本:下載部署 GW 所需的服務範本。

  2. 建立VIP邏輯網路:建立GRE VIP邏輯網路。 它需要私人 VIP 的 IP 位址池,並將 VIP 指派給 GRE 端點。 網路存在以定義指派給站對站 GRE 連線之 SDN 網狀架構上執行的閘道 VM 的 VIP。

    注意

    若要啟用雙堆疊支援,請在建立 GRE VIP 邏輯網路時,將 IPv6 子網新增至網站並建立 IPv6 位址池。 (適用於2022年和更新版本)

  3. 匯入服務範本:匯入 RAS 閘道服務範本。

  4. 部署閘道:部署閘道服務實例,並設定其屬性。

  5. 驗證部署:設定站對站 GRE、IPSec 或 L3,並驗證部署。

下載服務範本

  1. Microsoft SDN GitHub 存放庫 下載 SDN 資料夾,並將範本從 VMM> 範本>GW 複製到 VMM 伺服器上的本機路徑。
  2. 將內容解壓縮到本機電腦上的資料夾。 您稍後會將其匯入至連結庫。

下載包含兩個範本:

  • EdgeServiceTemplate_Generation 1 VM.xml範本是用於在第 1 代虛擬機上部署 GW 服務。
  • EdgeServiceTemplate_Generation 2 VM.xml用於在第 2 代虛擬機上部署 GW 服務。

這兩個範本都有三部虛擬機的預設計數,可在服務範本設計工具中變更。

建立 GRE VIP 邏輯網路

  1. 在 VMM 控制台中,執行 [建立邏輯網络精靈]。 輸入 [ 名稱],選擇性地提供描述,然後選取 [ 下一步]。
  1. 在 [設定] 中,選取 [一個連線的網络]。 您可以選擇性地選取 [建立具有相同名稱的 VM 網络]。 此設定可讓 VM 直接存取此邏輯網路。 選取 [網络控制站管理],然後選取 [ 下一步]。
  • 針對 VMM 2019 UR1 和更新版本,在 [設定] 中,依網路控制站選取 [已連線的網络],然後選取 [下一步]。
  1. [設定] 中,依 [網络控制站] 選取 [已連線的網络],然後選取 [下一步]。

  1. [網站] 中,指定設定:

    以下是範例值:

    • 網路名稱:GRE VIP
    • 子網:31.30.30.0
    • 遮罩:24
    • 主幹上的 VLAN 識別碼:NA
    • 閘道:31.30.30.1
  1. 在 [ 摘要] 中,檢閱設定並完成精靈。

  1. 若要使用 IPv6,請將 IPv4 和 IPV6 子網新增至網站。 以下是範例值:

    • 網路名稱:GRE VIP
    • 子網:FD4A:293D:184F:382C::
    • 遮罩:64
    • 主幹上的 VLAN 識別碼:NA
    • 閘道:FD4A:293D:184F:382C::1

  2. 在 [ 摘要] 中,檢閱設定並完成精靈。

  1. 若要使用 IPv4,請將 IPv4 子網新增至網站,並建立 IPv4 位址池。 以下是範例值:

    • 網路名稱:GRE VIP
    • 子網路:
    • 面具:
    • 主幹上的 VLAN 識別碼:NA
    • 閘道:

  2. 若要使用 IPv6,請將 IPv4 和 IPV6 子網新增至網站,並建立 IPv6 位址池。 以下是範例值:

    • 網路名稱:GRE VIP
    • 子網:FD4A:293D:184F:382C::
    • 遮罩:64
    • 主幹上的 VLAN 識別碼:NA
    • 閘道:FD4A:293D:184F:382C::1

  3. 在 [ 摘要] 中,檢閱設定並完成精靈。

建立 GRE VIP 位址的 IP 位址池

注意

從 VMM 2019 UR1 和更新版本,您可以使用建立 邏輯網路 精靈來建立 IP 位址池。

注意

您可以使用建立 邏輯網路 精靈來建立IP位址池。

  1. 以滑鼠右鍵按兩下 GRE VIP 邏輯網路 >[建立IP集區]。
  2. 輸入 集區的名稱 和選擇性描述,並檢查是否已選取VIP網路。 選取 [下一步]。
  3. 接受默認網站,然後選取 [ 下一步]。
  1. 為您的範圍選擇起始和結束IP位址。 在可用子網的第二個位址上啟動範圍。 例如,如果您的可用子網從 .1 到 .254,請從 .2 開始範圍。
  2. [保留給負載平衡器 VIP 的 IP 位址] 方塊 中,輸入子網中的 IP 位址範圍。 這必須符合您用來啟動和結束IP位址的範圍。
  3. 您不需要提供閘道、DNS 或 WINS 資訊,因為此集區只用來透過網路控制站為 VIP 配置 IP 位址。 選取 [ 下一步 ] 以略過這些畫面。
  4. 在 [ 摘要] 中,檢閱設定並完成精靈。
  1. 如果您已建立 IPv6 子網,請建立個別的 IPv6 GRE VIP 位址池。
  2. 為您的範圍選擇起始和結束IP位址。 在可用子網的第二個位址上啟動範圍。 例如,如果您的可用子網從 .1 到 .254,請從 .2 開始範圍。 針對指定VIP範圍,請勿使用縮短的IPv6位址形式; 使用 2001:db8:0:200:0:0:0:7 格式,而不是 2001:db8:0:200::7
  3. [保留給負載平衡器 VIP 的 IP 位址] 方塊 中,輸入子網中的 IP 位址範圍。 這必須符合您用來啟動和結束IP位址的範圍。
  4. 您不需要提供閘道、DNS 或 WINS 資訊,因為此集區只用來透過網路控制站為 VIP 配置 IP 位址。 選取 [ 下一步 ] 以略過這些畫面。
  5. 在 [ 摘要] 中,檢閱設定並完成精靈。

匯入服務範本

  1. 選取 [鏈接庫>匯入範本]。
  2. 流覽至您的服務範本資料夾。 例如,選取 EdgeServiceTemplate產生2.xml 檔案。
  3. 當您匯入服務範本時,請更新環境的參數。

注意

連結庫資源是在網路控制站部署期間匯入的。

  • WinServer.vhdx:選取您稍早在網路控制站部署期間準備和匯入的虛擬硬碟映射。
  • EdgeDeployment.CR:對應至 VMM 連結庫中 EdgeDeployment.cr 連結庫資源。

  1. 在 [ 摘要] 頁面上,檢閱詳細數據,然後選取 [ 匯入]。

    注意

    您可以自訂服務範本。 深入了解

部署閘道服務

若要啟用 IPv6,請在上線閘道服務時,選取 [ 啟用 IPv6 ] 複選框,然後選取您先前建立的 IPv6 GRE VIP 子網。 此外,請選取 [公用 IPv6 集區],並提供公用 IPv6 位址。

此範例使用第 2 代範本。

  1. 選取 EdgeServiceTemplate Generation2.xml 服務範本,然後選取 [ 設定部署]。

  2. 輸入 [ 名稱],然後選擇服務實例的目的地。 目的地必須對應至包含先前針對閘道部署所設定主機的主機群組。

  3. 在 [ 網络設定] 中,將管理網路對應至管理 VM 網络。

    注意

    [ 部署服務 ] 對話框會出現在對應完成之後。 VM 實例一開始為 Red 是正常的。 選取 [ 重新整理預覽 ] 以自動尋找適合 VM 的主機。

  4. 在 [ 設定部署] 視窗左側,設定下列設定:

    • AdminAccount。 必要。 選取將作為閘道 VM 上本機系統管理員使用的 RunAs 帳戶。
    • 管理網路。 必要。 選擇您為主機管理建立的管理 VM 網路。
    • 管理帳戶。 必要。 選取具有許可權的執行身分帳戶,將閘道新增至與網路控制站相關聯的 Active Directory 網域。 這可以是部署網路控制站時用於 MgmtDomainAccount 的相同帳戶。
    • FQDN。 必要。 網關 Active Directory 網域的 FQDN。

  5. 選取 [部署服務 ] 以開始服務部署作業。

    注意

    • 部署時間會根據您的硬體而有所不同,但通常介於 30 到 60 分鐘之間。 如果閘道部署失敗,請在重試部署之前,先刪除 [所有主機>服務] 中的失敗服務實例。

    • 如果您未使用大量授權 VHDX(或產品金鑰未使用回應檔案提供),則在 VM 佈建期間,部署將會在產品金鑰頁面停止。 您必須手動存取 VM 桌面,並輸入金鑰或略過金鑰。

    • 如果您想要相應縮小或相應放大已部署的 SLB 實例,請閱讀此 部落格

閘道限制

以下是 NC 受控閘道的預設限制:

  • MaxVMNetworksSupported= 50
  • MaxVPNConnectionsPerVMNetwork= 10
  • MaxVMSubnetsSupported= 550
  • MaxVPNConnectionsSupported= 250

注意

針對 SDNv2 虛擬化網路,會為每個 VM 網路建立內部路由子網。 MaxVMSubnetsSupported 限制包含針對 VM 網路建立的內部子網。

您可以 覆寫網路控制站受控網關的預設限制 。 不過,將限制覆寫為較高的數位可能會影響網路控制站的效能。

覆寫閘道限制

若要覆寫預設限制,請將覆寫字串附加至網路控制站服務 連接字串 並在 VMM 中更新。

  • MaxVMNetworksSupported= 並在後方輸入可搭配此閘道使用的 VM 網路數目。
  • MaxVPNConnectionsPerVMNetwork= 後面接著可以使用此閘道為每個 VM 網路建立的 VPN 連線數目。
  • MaxVMSubnetsSupported= 後面接著可以搭配此閘道使用的 VM 網路子網數目。
  • MaxVPNConnectionsSupported= 後面接著可以搭配此閘道使用的 VPN 連線數目。

範例:

若要覆寫可與網關搭配使用的 VM 網路數目上限為 100,請更新 連接字串,如下所示:

serverurl=https://NCCluster.contoso.com;servicename=NC_VMM_RTM; MaxVMNetworksSupported==100

設定閘道管理員角色

現在已部署閘道服務,您可以設定屬性,並將它與網路控制站服務產生關聯。

  1. 選取 [網狀架構>網路服務] 以顯示已安裝的網路服務清單。 以滑鼠右鍵按兩下網路控制站服務 >屬性

  2. 選取 [ 服務] 索引標籤,然後選取 [網關管理員角色]。

  3. 尋找 [服務資訊] 底下的 [相關聯的服務] 字段,然後選取 [流覽]。 選取您稍早建立的閘道服務實例,然後選取 [ 確定]。

  4. 選取網路控制站將用來存取閘道虛擬機的執行身分帳戶

    注意

    執行身分帳戶必須具有閘道 VM 的系統管理員許可權。

  5. GRE VIP 子網中,選取您先前建立的 VIP 子網。

  1. [公用 IPv4 集區] 中,選取您在 SLB 部署期間設定的集區。 在 [公用 IPv4 位址] 中,提供上一個集區的IP位址,並確定您未從範圍中選取初始三個IP位址。

  1. 若要啟用 IPv4 支援,請在 [公用 IPv4 集區] 中選取您在 SLB 部署期間設定的集區。 在 [公用 IPv4 位址] 中,提供上一個集區的IP位址,並確定您未從範圍中選取初始三個IP位址。

  2. 若要啟用 IPv6 支援,請從 [網路控制站屬性>服務] 選取 [啟用 IPv6] 複選框,選取您先前建立的 IPv6 GRE VIP 子網,然後分別輸入公用 IPv6 集區和公用 IPv6 位址。 此外,選取將指派給網關 VM 的 IPv6 前端子網。

    啟用 IPv6 的螢幕快照。

  3. [閘道容量] 中,設定容量設定。

    閘道容量 (Mbps) 表示預期超出閘道 VM 的一般 TCP 頻寬。 您必須根據所使用的基礎網路速度來設定此參數。

    IPsec 通道頻寬限制為閘道容量的 (3/20)。 這表示,如果閘道容量設定為 1000 Mbps,則對等的 IPsec 通道容量會限制為 150 Mbps。

    注意

    帶寬限制是輸入頻寬和輸出頻寬的總值。

    GRE 和 L3 通道的對等比率分別為 1/5 和 1/2。

  4. 在 [節點保留給失敗時保留] 字段中,設定備份的保留節點數目。

  5. 若要設定個別閘道 VM,請選取每個 VM 並選取 IPv4 前端子網、指定本機 ASN,以及選擇性地新增 BGP 對等互連的對等互連裝置資訊。

注意

如果您打算使用 GRE 連線,則必須設定閘道 BGP 對等互連。

您部署的服務實例現在與閘道管理員角色相關聯。 您必須看到其下所列的閘道 VM 實例。

  1. [閘道容量] 中,設定容量設定。

    閘道容量 (Mbps) 表示預期超出閘道 VM 的一般 TCP 頻寬。 您必須根據所使用的基礎網路速度來設定此參數。

    IPsec 通道頻寬限制為閘道容量的 (3/20)。 這表示,如果閘道容量設定為 1000 Mbps,則對等的 IPsec 通道容量會限制為 150 Mbps。

    注意

    帶寬限制是輸入頻寬和輸出頻寬的總值。

    GRE 和 L3 通道的對等比率分別為 1/5 和 1/2。

  2. 在 [節點保留給失敗時保留] 字段中,設定備份的保留節點數目。

  3. 若要設定個別閘道 VM,請選取每個 VM 並選取 IPv4 前端子網、指定本機 ASN,以及選擇性地新增 BGP 對等互連的對等互連裝置資訊。

注意

如果您打算使用 GRE 連線,則必須設定閘道 BGP 對等互連。

您部署的服務實例現在與閘道管理員角色相關聯。 您必須看到其下所列的閘道 VM 實例。

驗證部署

部署閘道之後,您可以設定 S2S GRE、S2S IPSec 或 L3 連線類型,並加以驗證。 如需詳細資訊,請參閱下列內容:

如需連線類型的詳細資訊,請參閱 這一點

從 PowerShell 設定流量選取器

以下是使用 VMM PowerShell 設定流量選取器的程式。

  1. 使用下列參數建立流量選取器。

    注意

    使用的值只是範例。

    $t= new-object Microsoft.VirtualManager.Remoting.TrafficSelector

$t.Type=7 // IPV4=7, IPV6=8

$t.ProtocolId=6 // TCP =6, reference: https://en.wikipedia.org/wiki/List_of_IP_protocol_numbers

$t.PortEnd=5090

$t.PortStart=5080

$t.IpAddressStart=10.100.101.10

$t.IpAddressEnd=10.100.101.100

  2. 使用 Add-SCVPNConnection 或 Set-SCVPNConnection-LocalTrafficSelectors 參數設定上述流量選取器

從 SDN 網狀架構移除閘道

使用 下列步驟 從 SDN 網狀架構移除閘道。