Scenariusz: kierowanie ruchu przez urządzenia WUS przy użyciu ustawień niestandardowych

Podczas pracy z routingiem koncentratora wirtualnego usługi Azure Virtual WAN dostępnych jest wiele opcji. Ten artykuł koncentruje się na tym, że chcesz kierować ruch przez wirtualne urządzenie sieciowe (WUS) do komunikacji między sieciami wirtualnymi i gałęziami, a także użyć innego urządzenia WUS dla ruchu powiązanego z Internetem. Aby uzyskać więcej informacji, zobacz About virtual hub routing (Informacje o routingu koncentratora wirtualnego).

Uwaga

Należy pamiętać, że w następujących scenariuszach routingu sieć wirtualna koncentratora usługi Virtual WAN i sieci wirtualnej będącej szprychą zawierającą urządzenie WUS musi znajdować się w tym samym regionie świadczenia usługi Azure.

Projektowanie

• Szprychy dla sieci wirtualnych połączonych z koncentratorem wirtualnym. (Na przykład sieć wirtualna 1, sieć wirtualna 2 i sieć wirtualna 3 na diagramie w dalszej części tego artykułu).
• Sieć wirtualna usługi dla sieci wirtualnych, w których użytkownicy wdrożyli urządzenie WUS w celu sprawdzenia ruchu nieinternetowego i prawdopodobnie za pomocą typowych usług, do których dostęp uzyskują szprychy. (Na przykład sieć wirtualna 4 na diagramie w dalszej części tego artykułu).
• Sieć wirtualna obwodowa dla sieci wirtualnych, w których użytkownicy wdrożyli urządzenie WUS do inspekcji ruchu powiązanego z Internetem. (Na przykład sieć wirtualna 5 na diagramie w dalszej części tego artykułu).
• Koncentratory dla koncentratorów usługi Virtual WAN zarządzanych przez firmę Microsoft.

Poniższa tabela zawiera podsumowanie połączeń obsługiwanych w tym scenariuszu:

Źródło	Działanie	Szprychy	Sieć wirtualna usługi	Odgałęzienia	Internet
Szprychy	->	bezpośrednio	bezpośrednio	za pośrednictwem sieci wirtualnej usługi	za pośrednictwem sieci wirtualnej obwodowej
Sieć wirtualna usługi	->	bezpośrednio	nie dotyczy	bezpośrednio
Oddziałów	->	za pośrednictwem sieci wirtualnej usługi	bezpośrednio	bezpośrednio

Każda z komórek w macierzy łączności opisuje, czy łączność przepływa bezpośrednio za pośrednictwem wirtualnej sieci WAN, czy przez jedną z sieci wirtualnych z urządzeniem WUS.

Warto pamiętać o następujących szczegółach:

• Szprychy:
  • Szprychy dotrą do innych szprych bezpośrednio za pośrednictwem koncentratorów usługi Virtual WAN.
  • Szprychy będą uzyskiwać łączność z gałęziami za pośrednictwem trasy statycznej wskazującej sieć wirtualną usługi. Nie uczą się określonych prefiksów z gałęzi, ponieważ te prefiksy są bardziej szczegółowe i zastępują podsumowanie.
  • Szprychy będą wysyłać ruch internetowy do sieci wirtualnej obwodowej za pośrednictwem bezpośredniej komunikacji równorzędnej sieci wirtualnych.
• Gałęzie będą uzyskiwać dostęp do szprych za pośrednictwem routingu statycznego wskazującego sieć wirtualną usługi. Nie uczą się określonych prefiksów z sieci wirtualnych, które zastępują podsumowaną trasę statyczną.
• Sieć wirtualna usługi będzie podobna do sieci wirtualnej usług udostępnionych, która musi być osiągalna z każdej sieci wirtualnej i każdej gałęzi.
• Sieć wirtualna obwodowa nie musi mieć łączności za pośrednictwem wirtualnej sieci WAN, ponieważ jedynym ruchem, który będzie obsługiwał, jest bezpośrednia komunikacja równorzędna sieci wirtualnych. Aby uprościć konfigurację, należy jednak użyć tego samego modelu łączności co dla sieci wirtualnej obwodowej.

Istnieją trzy odrębne wzorce łączności, które przekładają się na trzy tabele tras. Skojarzenia z różnymi sieciami wirtualnymi to:

• Szprychy:
  • Skojarzona tabela tras: RT_V2B
  • Propagowanie do tabel tras: RT_V2B i RT_SHARED
• Sieci wirtualne urządzenia WUS (sieć wirtualna usługi i sieć wirtualna DMZ):
  • Skojarzona tabela tras: RT_SHARED
  • Propagowanie do tabel tras: RT_SHARED
• Oddziałów:
  • Skojarzona tabela tras: domyślna
  • Propagowanie do tabel tras: RT_SHARED i domyślne

Uwaga

Upewnij się, że sieci wirtualne będące szprychami nie są propagowane do etykiety Domyślne. Dzięki temu ruch z gałęzi do sieci wirtualnych szprych jest przekazywany do urządzeń WUS.

Te trasy statyczne zapewniają, że ruch do i z sieci wirtualnej i gałęzi przechodzi przez urządzenie WUS w sieci wirtualnej usługi (VNet 4):

opis	Tabela tras	Trasa statyczna
Odgałęzienia	RT_V2B	10.2.0.0/16 —> vnet4conn
Szprychy urządzenia WUS	Wartość domyślna	10.1.0.0/16 —> vnet4conn

Teraz możesz użyć usługi Virtual WAN, aby wybrać poprawne połączenie w celu wysłania pakietów do. Należy również użyć usługi Virtual WAN, aby wybrać prawidłową akcję do wykonania podczas odbierania tych pakietów. W tym celu należy użyć tabel tras połączeń w następujący sposób:

opis	Connection	Trasa statyczna
Sieć wirtualna 2Branch	vnet4conn	10.2.0.0/16 -> 10.4.0.5
Sieć wirtualna Branch2	vnet4conn	10.1.0.0/16 —> 10.4.0.5

Aby uzyskać więcej informacji, zobacz About virtual hub routing (Informacje o routingu koncentratora wirtualnego).

Architektura

Na poniższym diagramie przedstawiono architekturę opisaną wcześniej w artykule.

Na diagramie znajduje się jeden koncentrator; Koncentrator 1.

• Koncentrator 1 jest połączony bezpośrednio z sieciami wirtualnymi urządzeniami sieci wirtualnymi WUS 4 i VNet 5.

• Ruch między sieciami wirtualnymi 1, 2, 3 i gałęziami ma być kierowany przez wirtualne urządzenie WUS 4 10.4.0.5.

• Oczekuje się, że cały ruch internetowy z sieci wirtualnych 1, 2 i 3 będzie przechodzić za pośrednictwem wirtualnego urządzenia SIECIOWEGO 5 10.5.0.5.

Przepływ pracy

Aby skonfigurować routing za pośrednictwem urządzenia WUS, rozważ następujące kroki:

1. Aby ruch związany z Internetem był kierowany za pośrednictwem sieci wirtualnej 5, sieci wirtualne 1, 2 i 3 muszą łączyć się bezpośrednio za pośrednictwem komunikacji równorzędnej sieci wirtualnej z siecią wirtualną 5. Musisz również skonfigurować trasę zdefiniowaną przez użytkownika w sieciach wirtualnych dla wersji 0.0.0.0/0 i następnego przeskoku 10.5.0.5.

   Jeśli nie chcesz łączyć sieci wirtualnych 1, 2 i 3 z siecią wirtualną 5, a zamiast tego używać urządzenia WUS w sieci wirtualnej 4 do kierowania ruchu 0.0.0.0/0 z gałęzi (lokalnych połączeń sieci VPN lub usługi ExpressRoute), przejdź do alternatywnego przepływu pracy.

   Jeśli jednak chcesz, aby ruch między sieciami wirtualnymi był przesyłany przez urządzenie WUS, należy odłączyć sieć wirtualną 1,2,3 z koncentratora wirtualnego i połączyć go lub umieścić go powyżej sieci VNet4 będącej szprychą urządzenia WUS. W usłudze Virtual WAN ruch sieciowy między sieciami wirtualnymi jest przesyłany przez koncentrator usługi Virtual WAN lub koncentrator usługi Azure Firewall w usłudze Virtual WAN (secure hub). Jeśli sieć równorzędna sieci wirtualnych bezpośrednio korzysta z komunikacji równorzędnej sieci wirtualnych, może komunikować się bezpośrednio przez tranzyt przez koncentrator wirtualny.

2. W witrynie Azure Portal przejdź do centrum wirtualnego i utwórz niestandardową tabelę tras o nazwie RT_Shared. Ta tabela zawiera informacje o trasach za pośrednictwem propagacji ze wszystkich sieci wirtualnych i połączeń gałęzi. Ta pusta tabela jest widoczna na poniższym diagramie.

   • Trasy: nie musisz dodawać żadnych tras statycznych.

   • Skojarzenie: wybierz pozycję Sieci wirtualne 4 i 5, co oznacza, że połączenia tych sieci wirtualnych są skojarzone z tabelą tras RT_Shared.

   • Propagacja: ponieważ chcesz, aby wszystkie gałęzie i połączenia sieci wirtualnej dynamicznie propagowały swoje trasy do tej tabeli tras, wybierz gałęzie i wszystkie sieci wirtualne.

3. Utwórz niestandardową tabelę tras o nazwie RT_V2B na potrzeby kierowania ruchu z sieci wirtualnych 1, 2 i 3 do gałęzi.

   • Trasy: dodaj zagregowany statyczny wpis trasy dla gałęzi z następnym przeskokiem jako połączenie z siecią wirtualną 4. Skonfiguruj trasę statyczną w połączeniu sieci wirtualnej 4 dla prefiksów gałęzi. Wskaż następny przeskok jako określony adres IP urządzenia WUS w sieci wirtualnej 4.

   • Skojarzenie: wybierz wszystkie sieci wirtualne 1, 2 i 3. Oznacza to, że połączenia sieci wirtualnej 1, 2 i 3 będą kojarzyć się z tą tabelą tras i mogą uczyć się tras (statycznych i dynamicznych za pośrednictwem propagacji) w tej tabeli tras.

   • Propagacja: połączenia propagują trasy do tabel tras. Wybranie sieci wirtualnych 1, 2 i 3 umożliwia propagowanie tras z sieci wirtualnych 1, 2 i 3 do tej tabeli tras. Nie ma potrzeby propagacji tras z połączeń gałęzi do RT_V2B, ponieważ ruch sieci wirtualnej gałęzi przechodzi przez urządzenie WUS w sieci wirtualnej 4.

4. Edytuj domyślną tabelę tras DefaultRouteTable.

   Wszystkie połączenia sieci VPN, usługi Azure ExpressRoute i sieci VPN użytkownika są skojarzone z domyślną tabelą tras. Wszystkie połączenia sieci VPN, usługi ExpressRoute i sieci VPN użytkownika propagują trasy do tego samego zestawu tabel tras.

   • Trasy: Dodaj zagregowany statyczny wpis trasy dla sieci wirtualnych 1, 2 i 3 z następnym przeskokiem jako połączenie z siecią wirtualną 4. Skonfiguruj trasę statyczną w połączeniu sieci wirtualnej 4 dla sieci wirtualnej 1, 2 i 3 zagregowanych prefiksów. Wskaż następny przeskok jako określony adres IP urządzenia WUS w sieci wirtualnej 4.

   • Skojarzenie: upewnij się, że wybrano opcję gałęzi (VPN/ER/P2S), upewniając się, że połączenia gałęzi lokalnych są skojarzone z domyślną tabelą tras.

   • Propagacja z: upewnij się, że wybrano opcję gałęzi (VPN/ER/P2S), upewniając się, że połączenia lokalne propagują trasy do domyślnej tabeli tras.

Alternatywny przepływ pracy

W tym przepływie pracy nie łączysz sieci wirtualnych 1, 2 i 3 z siecią wirtualną 5. Zamiast tego należy użyć urządzenia WUS w sieci wirtualnej 4 do kierowania ruchu 0.0.0.0/0 z gałęzi (lokalnych połączeń sieci VPN lub usługi ExpressRoute).

Aby skonfigurować routing za pośrednictwem urządzenia WUS, rozważ następujące kroki:

1. W witrynie Azure Portal przejdź do centrum wirtualnego i utwórz niestandardową tabelę tras o nazwie RT_NVA na potrzeby kierowania ruchem za pośrednictwem urządzenia WUS 10.4.0.5

   • Trasy: nie jest wymagana żadna akcja.

   • Skojarzenie: wybierz pozycję VNet4. Oznacza to, że połączenie sieci wirtualnej 4 będzie kojarzyć się z tą tabelą tras i może uczyć się tras (statycznych i dynamicznych za pośrednictwem propagacji) w tej tabeli tras.

   • Propagacja: połączenia propagują trasy do tabel tras. Wybranie sieci wirtualnych 1, 2 i 3 umożliwia propagowanie tras z sieci wirtualnych 1, 2 i 3 do tej tabeli tras. Wybranie gałęzi (VPN/ER/P2S) umożliwia propagowanie tras z gałęzi/połączeń lokalnych do tej tabeli tras. Wszystkie połączenia sieci VPN, usługi ExpressRoute i sieci VPN użytkownika propagują trasy do tego samego zestawu tabel tras.

2. Utwórz niestandardową tabelę tras o nazwie RT_VNET na potrzeby kierowania ruchu z sieci wirtualnych 1, 2 i 3 do gałęzi lub Internetu (0.0.0.0/0) za pośrednictwem wirtualnego urządzenia WUS4. Ruch między sieciami wirtualnymi będzie bezpośredni, a nie przez wirtualne urządzenie WUS sieci wirtualnej 4. Jeśli chcesz, aby ruch był kierowany przez urządzenie WUS, odłącz sieć wirtualną 1, 2 i 3 i połącz je przy użyciu komunikacji równorzędnej sieci wirtualnej z siecią VNet4.

   • Trasy: 

     • Dodaj zagregowaną trasę "10.2.0.0/16" z następnym przeskokiem jako połączenie sieci wirtualnej 4 dla ruchu wychodzącego z sieci wirtualnych 1, 2 i 3 w kierunku gałęzi. W połączeniu sieci VNet4 skonfiguruj trasę dla "10.2.0.0/16" i wskaż następny przeskok jako konkretny adres IP urządzenia WUS w sieci wirtualnej 4.

     • Dodaj trasę "0.0.0.0/0" z następnym przeskokiem jako połączenie z siecią wirtualną 4. Dodano element "0.0.0.0/0", co oznacza wysyłanie ruchu do Internetu. Nie oznacza to określonych prefiksów adresów odnoszących się do sieci wirtualnych lub gałęzi. W połączeniu sieci VNet4 skonfiguruj trasę dla "0.0.0.0/0" i wskaż następny przeskok jako konkretny adres IP urządzenia WUS w sieci wirtualnej 4.

   • Skojarzenie: wybierz wszystkie sieci wirtualne 1, 2 i 3. Oznacza to, że połączenia sieci wirtualnej 1, 2 i 3 będą kojarzyć się z tą tabelą tras i mogą uczyć się tras (statycznych i dynamicznych za pośrednictwem propagacji) w tej tabeli tras.

   • Propagacja: połączenia propagują trasy do tabel tras. Wybranie sieci wirtualnych 1, 2 i 3 umożliwia propagowanie tras z sieci wirtualnych 1, 2 i 3 do tej tabeli tras. Upewnij się, że opcja gałęzi (VPN/ER/P2S) nie jest zaznaczona. Gwarantuje to, że połączenia lokalne nie mogą bezpośrednio uzyskać dostępu do sieci wirtualnych 1, 2 i 3.

3. Edytuj domyślną tabelę tras DefaultRouteTable.

   Wszystkie połączenia sieci VPN, usługi Azure ExpressRoute i sieci VPN użytkownika są skojarzone z domyślną tabelą tras. Wszystkie połączenia sieci VPN, usługi ExpressRoute i sieci VPN użytkownika propagują trasy do tego samego zestawu tabel tras.

   • Trasy: 

     • Dodaj zagregowaną trasę "10.1.0.0/16" dla sieci wirtualnych 1, 2 i 3 z następnym przeskokiem jako połączenie z siecią wirtualną 4.

     • Dodaj trasę "0.0.0.0/0" z następnym przeskokiem jako połączenie z siecią wirtualną 4. Dodano element "0.0.0.0/0", co oznacza wysyłanie ruchu do Internetu. Nie oznacza to określonych prefiksów adresów odnoszących się do sieci wirtualnych lub gałęzi. W poprzednim kroku połączenia sieci VNet4 skonfigurowano już trasę dla "0.0.0.0.0/0", a następny przeskok będzie konkretnym adresem IP urządzenia WUS w sieci wirtualnej 4.

   • Skojarzenie: upewnij się, że wybrano opcję gałęzi (VPN/ER/P2S ). Gwarantuje to, że lokalne połączenia gałęzi są skojarzone z domyślną tabelą tras. Wszystkie połączenia sieci VPN, usługi Azure ExpressRoute i sieci VPN użytkownika są skojarzone tylko z domyślną tabelą tras.

   • Propagacja z: upewnij się, że wybrano opcję gałęzi (VPN/ER/P2S ). Dzięki temu połączenia lokalne propagują trasy do domyślnej tabeli tras. Wszystkie połączenia sieci VPN, usługi ExpressRoute i sieci VPN użytkownika propagują trasy do "tego samego zestawu tabel tras".

Zagadnienia do rozważenia

• Użytkownicy portalu muszą włączyć opcję "Propagacja trasy domyślnej" w połączeniach (VPN/ER/P2S/VNet) dla trasy 0.0.0.0/0, aby zaczęły obowiązywać.

• Użytkownicy PS/CLI/REST muszą ustawić flagę "enableinternetsecurity" na wartość true dla trasy 0.0.0.0/0, aby zaczęły obowiązywać.

• Połączenie sieci wirtualnej nie obsługuje adresu IP "wielu/unikatowych" następnego przeskoku do "tego samego" wirtualnego urządzenia sieciowego w sieci wirtualnej szprych "if" jednej z tras z adresem IP następnego przeskoku jest wskazywany jako publiczny adres IP lub 0.0.0.0/0 (Internet).

• Gdy 0.0.0.0.0/0 jest skonfigurowana jako trasa statyczna w połączeniu sieci wirtualnej, ta trasa jest stosowana do całego ruchu, w tym zasobów w samej szprychy. Oznacza to, że cały ruch zostanie przekazany do adresu IP następnego przeskoku trasy statycznej (prywatny adres IP urządzenia WUS). W związku z tym we wdrożeniach z trasą 0.0.0.0/0 z adresem IP urządzenia WUS następnego przeskoku skonfigurowanym w połączeniu sieci wirtualnej będącej szprychą, aby uzyskać dostęp do obciążeń w tej samej sieci wirtualnej co urządzenie WUS bezpośrednio (tj. aby ruch nie przechodził przez urządzenie WUS), określ trasę /32 w połączeniu sieci wirtualnej będącej szprychą. Jeśli na przykład chcesz uzyskać bezpośredni dostęp do wersji 10.1.3.1, określ 10.1.3.1/32 następny przeskok 10.1.3.1 w połączeniu sieci wirtualnej będącej szprychą.

• Aby uprościć routing i zmniejszyć zmiany w tabelach tras koncentratora usługi Virtual WAN, zachęcamy do korzystania z nowej opcji "Komunikacja równorzędna BGP z koncentratorem usługi Virtual WAN".

  • Scenariusz: komunikacja równorzędna BGP z koncentratorem wirtualnym
  • Jak utworzyć komunikację równorzędną BGP z koncentratorem wirtualnym — Azure Portal

Następne kroki

• Aby uzyskać więcej informacji na temat usługi Virtual WAN, zobacz często zadawane pytania.
• Aby uzyskać więcej informacji na temat routingu koncentratora wirtualnego, zobacz About virtual hub routing (Informacje o routingu koncentratora wirtualnego).