Scenario: BGP-peering met een virtuele hub
Azure Virtual WAN-hubrouter, ook wel virtuele hubrouter genoemd, fungeert als routebeheerder en biedt vereenvoudiging in routering binnen en tussen virtuele hubs. Met andere woorden: een virtuele hubrouter doet het volgende:
- Vereenvoudigt routeringsbeheer door de centrale routeringsengine te zijn die praat met gateways zoals VPN, ExpressRoute, P2S en VIRTUELE netwerkapparaten (NVA).
- Maakt geavanceerde routeringsscenario's mogelijk van aangepaste routetabellen, koppeling en doorgifte van routes.
- Fungeert als de router voor verkeer dat wordt overgedragen tussen/naar virtuele netwerken die zijn verbonden met een virtuele hub.
De virtuele hubrouter biedt nu ook de mogelijkheid om er mee te peeren, waardoor routeringsgegevens rechtstreeks via het BGP-routeringsprotocol (Border Gateway Protocol) worden uitgewisseld. Een NVA of een BGP-eindpunt dat is ingericht in een virtueel netwerk dat is verbonden met een virtuele hub, kan rechtstreeks peeren met de virtuele hubrouter als het ondersteuning biedt voor het BGP-routeringsprotocol en zorgt ervoor dat de ASN op de NVA is ingesteld om te verschillen van de ASN van de virtuele hub.
Voordelen en overwegingen
Belangrijkste voordelen
- U hoeft de routeringstabel in uw NVA niet meer handmatig bij te werken wanneer de adressen van uw virtuele netwerken worden bijgewerkt.
- U hoeft door de gebruiker gedefinieerde routes niet meer handmatig bij te werken wanneer uw NVA nieuwe routes aankondigt of oude routes intrekt.
- NVA in virtuele netwerken die zijn verbonden met een virtuele hub, kan virtuele hubgatewayroutes (VPN, ExpressRoute of Beheerde NVA) leren.
- U kunt meerdere exemplaren van uw NVA koppelen aan een virtuele hubrouter. U kunt BGP-kenmerken in uw NVA configureren en, afhankelijk van uw ontwerp (actief-actief of actief-passief), de virtuele hubrouter laten weten welk NVA-exemplaar actief of passief is.
Overwegingen
U kunt de virtuele hubrouter alleen koppelen aan NVA's die zijn geïmplementeerd in rechtstreeks verbonden VNets.
- Het configureren van BGP-peering tussen een on-premises NVA en de router van de virtuele hub wordt niet ondersteund.
- Het configureren van BGP-peering tussen een Azure Route Server en de router van de virtuele hub wordt niet ondersteund.
De virtuele hubrouter ondersteunt alleen 16-bits ASN (2 bytes).
De virtuele netwerkverbinding met het NVA BGP-verbindingseindpunt moet altijd worden gekoppeld en doorgegeven aan defaultRouteTable. Aangepaste routetabellen worden momenteel niet ondersteund.
De virtuele hubrouter ondersteunt transitconnectiviteit tussen virtuele netwerken die zijn verbonden met virtuele hubs. Dit heeft niets te maken met deze functie voor BGP-peeringfunctionaliteit, omdat Virtual WAN al ondersteuning biedt voor transitconnectiviteit. Voorbeelden:
- VNET1: NVA1 verbonden met Virtual Hub 1 -> (transitconnectiviteit) -> VNET2: NVA2 verbonden met Virtual Hub 1.
- VNET1: NVA1 verbonden met Virtual Hub 1 -> (transitconnectiviteit) -> VNET2: NVA2 verbonden met Virtual Hub 2.
U kunt uw eigen openbare ASN's of privé-ASN's gebruiken in uw virtuele netwerkapparaat. U kunt de bereiken die door Azure of IANA zijn gereserveerd niet gebruiken. De volgende ASN's zijn gereserveerd voor Azure of IANA:
- ASN's die zijn gereserveerd door Azure:
- Openbare ASN's: 8074, 8075, 12076
- Privé-ASN's: 65515, 65517, 65518, 65519, 65520
- ASN's gereserveerd door IANA: 23456, 64496-64511, 65535-65551
- ASN's die zijn gereserveerd door Azure:
Hoewel de virtuele hubrouter BGP-routes uitwisselt met uw NVA en deze doorgeeft aan uw virtuele netwerk, vergemakkelijkt het rechtstreeks het doorgeven van routes vanaf on-premises via de gehoste gateways van de virtuele hub (VPN-gateway/ExpressRoute-gateway/beheerde NVA-gateways).
BGP-peering wordt alleen ondersteund met een IP-adres dat is toegewezen aan een interface van de NVA. Peering met loopbacks wordt niet ondersteund.
De router van de virtuele hub heeft de volgende limieten:
Bron Limiet Het aantal routes dat elke BGP-peer kan adverteren naar de virtuele hub. De hub kan maximaal 10.000 routes (totaal) van de verbonden resources accepteren. Als een virtuele hub bijvoorbeeld in totaal 6000 routes heeft van de verbonden virtuele netwerken, vertakkingen, virtuele hubs, enzovoort, kan de NVA maximaal 4000 routes adverteren wanneer een nieuwe BGP-peering is geconfigureerd met een NVA. Aantal BGP-peers Maximaal 8 BGP-peers kunnen worden verbonden met één Virtual WAN-hub Routes van NVA in een virtueel netwerk die specifieker zijn dan de adresruimte van het virtuele netwerk, wanneer ze worden geadverteerd naar de virtuele hub via BGP, worden niet verder doorgegeven aan on-premises.
Momenteel ondersteunen we slechts 4000 routes van de NVA naar de virtuele hub.
Verkeer dat is bestemd voor adressen in het virtuele netwerk dat rechtstreeks is verbonden met de virtuele hub, kan niet worden geconfigureerd om via de NVA te routeren met behulp van BGP-peering tussen de hub en NVA. Dit komt doordat de virtuele hub automatisch informatie krijgt over systeemroutes die zijn gekoppeld aan adressen in het virtuele spoke-netwerk wanneer de spoke-verbinding met het virtuele netwerk wordt gemaakt. Deze automatisch geleerde systeemroutes hebben de voorkeur boven routes die de hub via BGP heeft geleerd.
BGP-peering tussen een NVA in een spoke-VNet en een beveiligde virtuele hub (hub met een geïntegreerde beveiligingsoplossing) wordt ondersteund als routeringsintentie is geconfigureerd op de hub. De BGP-peeringfunctie wordt niet ondersteund voor beveiligde virtuele hubs waarbij de routeringsintentie niet is geconfigureerd.
Om de NVA routes te laten uitwisselen met vpn- en ER-verbonden sites, moet vertakking naar vertakkingsroutering zijn ingeschakeld.
Wanneer u BGP-peering configureert met de hub, ziet u twee IP-adressen. Peering met beide adressen is vereist. Peering met beide adressen kan leiden tot routeringsproblemen. Dezelfde routes moeten worden geadverteerd naar beide adressen. Het adverteren van verschillende routes veroorzaakt routeringsproblemen.
Het IP-adres van de volgende hop op de routes die van de NVA naar de virtuele HUB-routeserver worden geadverteerd, moet hetzelfde zijn als het IP-adres van de NVA, het IP-adres dat is geconfigureerd op de BGP-peer. Het hebben van een ander IP-adres dat op dit moment wordt aangekondigd als volgende hop, wordt niet ondersteund voor Virtual WAN.
BGP-peeringscenario's
In deze sectie worden scenario's beschreven waarin de BGP-peeringfunctie kan worden gebruikt om routering te configureren.
VNet-connectiviteit doorvoeren
In dit scenario is de virtuele hub met de naam Hub 1 verbonden met verschillende virtuele netwerken. Het doel is om routering tussen virtuele netwerken VNET1 en VNET5 tot stand te brengen.
Configuratiestappen zonder BGP-peering
De volgende stappen zijn vereist wanneer BGP-peering niet wordt gebruikt op de virtuele hub:
Configuratie van virtuele hub
- Configureer in de standaardroutetabel van hub 1 statische route voor VNET5 (subnet 10.2.1.0/24) die verwijst naar de VNET2-verbinding.
- Configureer op de virtuele netwerkverbinding van Hub 1 voor VNET2 statische route voor VNET5 die verwijst naar VNET2 NVA IP (subnet 10.2.0.5).
- Geef op Hub 1 routes door van verbindingen voor VNET1 en VNET2 naar de defaultRouteTable en koppel ze aan de defaultRouteTable.
Configuratie van virtueel netwerk
- Stel op VNET5 een door de gebruiker gedefinieerde route (UDR) in om te verwijzen naar het NVA-IP-adres van VNET2.
Configuratiestappen met BGP-peering
In de vorige configuratie kan het onderhoud van de statische routes en UDR complex worden als de VNET5-configuratie regelmatig wordt gewijzigd. Om deze uitdaging aan te pakken, kan de BGP-peering met een virtuele hubfunctie worden gebruikt en moet de routeringsconfiguratie worden gewijzigd in de volgende stappen:
Configuratie van virtuele hub
- Configureer op Hub 1 VNET2 NVA als BGP-peer. Configureer ook VNET2 NVA om een BGP-peering met Hub 1 te hebben.
- Geef op Hub 1 routes door van verbindingen voor VNET1 en VNET2 naar de defaultRouteTable en koppel ze aan de defaultRouteTable.
Configuratie van virtueel netwerk
- Stel op VNET5 een door de gebruiker gedefinieerde route (UDR) in om te verwijzen naar het NVA-IP-adres van VNET2.
Effectieve routes
In de volgende tabel ziet u enkele vermeldingen uit de effectieve routes van Hub 1 in de defaultRouteTable. U ziet dat de route voor VNET5 (subnet 10.2.1.0/24) en dit bevestigt dat VNET1 en VNET5 met elkaar kunnen communiceren.
Doelvoorvoegsel | Volgende hop | Oorprong | ASN-pad |
---|---|---|---|
10.2.0.0/24 | eastusconn | VNet-verbindings-id | - |
10.2.1.0/24 | BGP-peerverbindings-id voor NVA | BGP-peerverbindings-id voor NVA | 65510 |
10.4.1.0/24 | Hub 2 | Hub 2 | - |
Als u routering op deze manier configureert met behulp van de functie, hoeft u geen statische routevermeldingen meer te gebruiken op de virtuele hub. Daarom is de configuratie eenvoudiger en worden routetabellen dynamisch bijgewerkt wanneer de configuratie in verbonden virtuele netwerken (zoals VNET5) verandert.
Vertakkings-VNet-connectiviteit
In dit scenario heeft de on-premises site met de naam NVA Branch 1 een VPN geconfigureerd om te worden beëindigd op de VNET2 NVA. Het doel is om routering tussen NVA Branch 1 en VNET1 van het virtuele netwerk te configureren.
Configuratiestappen zonder BGP-peering
De volgende stappen zijn vereist wanneer BGP-peering niet wordt gebruikt op de virtuele hub:
Configuratie van virtuele hub
- Configureer in de standaardroutetabel van hub 1 een statische route voor NVA Branch 1 die verwijst naar de VNET2-verbinding.
- Configureer op de virtuele netwerkverbinding van Hub 1 voor VNET2 statische route voor NVA Branch 1 die verwijst naar VNET2 NVA IP (10.2.0.5).
- Geef op Hub 1 routes door van verbindingen voor VNET1 en VNET2 naar de defaultRouteTable en koppel ze aan de defaultRouteTable.
Configuratie van virtueel netwerk
- BGP-peering tussen VNET2 NVA en NVA Branch 1, en routeadvertenties voor VNET1 van VNET2 NVA naar NVA Branch 1.
Configuratiestappen met BGP-peering
Na verloop van tijd kunnen de doelvoorvoegsels in NVA Branch 1 veranderen, of er zijn veel sites zoals NVA Branch 1, die verbinding met VNET1 nodig hebben. Dit zou ertoe leiden dat er updates nodig zijn voor de statische routes op de Hub 1 en de VNET2-verbinding, wat lastig kan worden. In dergelijke gevallen kunnen we de BGP-peering gebruiken met een functie voor een virtuele hub en de configuratiestappen voor routeringsconnectiviteit worden hieronder weergegeven.
Configuratie van virtuele hub
- Configureer op Hub 1 VNET2 NVA als BGP-peer. Configureer ook VNET2 NVA om een BGP-peering met Hub 1 te hebben.
- Geef op Hub 1 routes door van verbindingen voor VNET1 en VNET2 naar de defaultRouteTable en koppel ze aan de defaultRouteTable.
Configuratie van virtueel netwerk
- BGP-peering tussen VNET2 NVA en NVA Branch 1, en routeadvertenties voor VNET1 van VNET2 NVA naar NVA Branch 1.
Effectieve routes
In de onderstaande tabel ziet u enkele vermeldingen uit de effectieve routes van Hub 1 in de defaultRouteTable. U ziet dat de route voor NVA Branch 1 (subnet 192.168.1.0/24) wordt geleerd via de BGP-peering met de NVA.
Doelvoorvoegsel | Volgende hop | Oorprong | ASN-pad |
---|---|---|---|
10.2.0.0/24 | eastusconn | VNet-verbindings-id | - |
192.168.1.0/24 | BGP-peerverbindings-id voor NVA | BGP-peerverbindings-id voor NVA | 65510 |
Als u netwerkwijzigingen in NVA Branch 1 wilt beheren of verbinding wilt maken tussen nieuwe sites zoals NVA Branch 1, is er geen aanvullende configuratie vereist op Hub 1, omdat de BGP-peering tussen Hub 1 en NVA de routetabellen dynamisch bijwerkt. De configuratie en het onderhoud worden daarom vereenvoudigd.