Den här artikeln beskriver hur du övergår en IPv4 hub-and-spoke-nätverkstopologi till IPv6. Den presenterar nätverkstopologin hub-and-spoke som en startpunkt och beskriver de steg du kan vidta för att implementera IPv6-stöd.
I ett nav-och-ekernätverk är det virtuella hubbnätverket en central anslutningspunkt för de virtuella ekernätverken. De virtuella ekernätverken ansluter till hubben och kan tillhandahålla isolering för programresurser. Mer information finns i Övergång till IPv6.
Arkitektur
Ladda ned en Visio-fil med den här arkitekturen.
Arbetsflöde
Offentligt internet och lokalt nätverk: Användare eller tjänster kan komma åt Azure-resurser via det offentliga Internet. Det lokala nätverket har lokala virtuella datorer som ansluter säkert till Azure-nätverket via en VPN-gateway.
Azure Virtual Network Manager: Den här komponenten är hanteringsskiktet som övervakar hela nätverksinfrastrukturen i Azure. Den hanterar routning, principer och övergripande hälsotillstånd för det virtuella nätverket.
Virtuellt navnätverk: Hubben är den centrala punkten i nätverkstopologin. Nätverkskonfigurationen stöder både IPv4 och IPv6 (dubbel stack).
- Azure Bastion ger säker och sömlös RDP/SSH-anslutning (Remote Desktop Protocol/Secure Shell) från Azure Portal till de virtuella datorerna direkt via TLS (Transport Layer Security).
- Azure Firewall inspekterar och filtrerar trafik mellan hubben och det offentliga Internet.
- ExpressRoute ansluter det lokala nätverket till hubben.
- VPN Gateway ansluter även det lokala nätverket till hubben och ger redundans.
- Tjänsterna i det virtuella hubbnätverket skickar loggar och mått (diagnostik) till Azure Monitor för övervakning.
Virtuella ekernätverk: Det finns fyra ekrar anslutna till hubben. Varje eker är ett nätverk med dubbla staplar som stöder både IPv4 och IPv6.
- IPv6-användardefinierade vägar (UDR) definierar anpassade vägar för IPv6-trafik från ekern.
- De virtuella ekernätverken är anslutna via peering-anslutningar eller anslutna grupper. Peeringanslutningar och anslutna grupper är icke-transitiva anslutningar med låg latens mellan virtuella nätverk. Peer-kopplade eller anslutna virtuella nätverk kan utbyta trafik via Azure-stamnätet.
- All utgående trafik från de virtuella ekernätverken flödar via hubben med hjälp av en konfiguration i Azure Firewall som kallas tvingad tunneltrafik.
- Inom varje eker finns det tre undernät som är avsedda som resursundernät, som var och en är värd för en virtuell dator.
- Varje virtuell dator ansluter till en intern lastbalanserare som har konfigurerats för att stödja IPv4- och IPv6-adressintervall. Lastbalanseraren distribuerar inkommande nätverkstrafik över de virtuella datorerna.
Komponenter
- Azure Virtual Network är den grundläggande byggstenen för privata nätverk i Azure. Med virtuellt nätverk kan många Azure-resurser, till exempel Virtuella Azure-datorer, kommunicera säkert med varandra, lokala nätverk och Internet.
- Ett virtuellt nätverksgränssnitt krävs för kommunikation mellan virtuella datorer. Du kan konfigurera virtuella datorer och andra resurser så att de har flera nätverksgränssnitt, vilket gör att du kan skapa konfigurationer med dubbla staplar (IPv4 och IPv6).
- En offentlig IP-adress används för inkommande IPv4- och IPv6-anslutningar till Azure-resurser.
- Virtual Network Manager används för att skapa och hantera nätverksgrupper och deras anslutningar.
- Azure Firewall är en hanterad, molnbaserad nätverkssäkerhetstjänst. Det skyddar dina Azure Virtual Network-resurser. En hanterad Azure Firewall-brandväggsinstans finns i ett eget undernät.
- Azure VPN Gateway eller Azure ExpressRoute kan användas för att skapa en virtuell nätverksgateway för att ansluta ett virtuellt nätverk till en virtuell privat nätverksenhet (VPN) eller en ExpressRoute-krets. Gatewayen tillhandahåller anslutning mellan lokala nätverk.
- Azure Load Balancer används för att aktivera flera datorer som har samma syfte att dela trafik. I den här arkitekturen distribuerar lastbalanserarna trafik mellan flera undernät som stöder IPv6.
- En routningstabell i Azure är en uppsättning UDR:er som tillhandahåller anpassade sökvägsdefinitioner för nätverkstrafik.
- Azure Virtual Machines är en IaaS-lösning (infrastruktur som en tjänst) som stöder IPv6.
- Azure Bastion är ett fullständigt hanterat PaaS-erbjudande (Plattform som en tjänst) som Microsoft tillhandahåller och underhåller. Det ger säker och sömlös fjärrskrivbordsprotokoll och SSH-åtkomst till virtuella datorer utan exponering för offentliga IP-adresser.
- Monitor är en omfattande övervakningslösning för att samla in, analysera och svara på övervakningsdata från molnmiljöer och lokala miljöer. Du kan använda Monitor för att maximera tillgängligheten och prestandan för dina program och tjänster.
Överföra ett virtuellt hubbnätverk till IPv6
Om du vill överföra ett virtuellt navnätverk till stöd för IPv6 måste du uppdatera nätverksinfrastrukturen för att hantera IPv6-adressintervall, så att den centrala, kontrollerande delen av nätverket kan hantera IPv6-trafik. Den här metoden säkerställer att den centrala hubben effektivt kan dirigera och hantera trafik mellan olika nätverkssegment (ekrar) med hjälp av IPv6. Följ dessa steg för att implementera IPv6 i det virtuella hubbnätverket:
Lägg till IPv6-adressutrymme i det virtuella hubbnätverket och hubbundernäten
Du måste lägga till IPv6-adressintervall i det virtuella hubbnätverket först och sedan till dess undernät. Använd adressblocket /56 för det virtuella nätverket och /64-adressblocket för varje undernät. I följande tabell visas en exempelkonfiguration.
| Adressintervall för virtuellt hubbnätverk | Adressintervall för hubbundernät |
|---|---|
Virtuellt hubbnätverk: 2001:db8:1234:0000::/56 |
Azure Bastion-undernät: 2001:db8:1234:0000::/64Azure Firewall-undernät: 2001:db8:1234:0001::/64VPN Gateway-undernät: 2001:db8:1234:0002::/64ExpressRoute-undernät: 2001:db8:1234:0003::/64 |
Dessa IPv6-adresser är exempel. Du bör ersätta 2001:db8:1234:: med organisationens IPv6-adressblock. Planera och dokumentera dina IPv6-adressallokeringar noggrant för att undvika överlappningar och säkerställa effektiv användning av adressutrymmet. Om du vill lägga till IPv6-adressutrymmet i det virtuella hubbnätverket kan du använda Azure Portal, PowerShell eller Azure CLI.
Konfigurera användardefinierade vägar (UDR) för varje hubbundernät
UDF:er är vägar som du konfigurerar manuellt för att åsidosätta Azures standardsystemvägar. I Azure är UDR:er viktiga för att styra flödet av nätverkstrafik i ett virtuellt nätverk. Du kan använda UDR för att dirigera trafik från ett undernät till specifika enheter, gatewayer eller mål i Azure eller till lokala nätverk. När du lägger till IPv6-stöd i det virtuella hubbnätverket måste du:
- Lägg till IPv6-vägar. Om det finns en etablerad routningstabell lägger du till nya vägar som anger IPv6-adressprefixen.
- Ändra befintliga vägar. Om det redan finns vägar för IPv4 kan du behöva ändra dem för att säkerställa att de även gäller för IPv6-trafik eller skapa separata IPv6-specifika vägar.
- Associera routningstabellen med undernät. När du har definierat vägarna associerar du routningstabellen med relevanta undernät i det virtuella nätverket. Den här associationen avgör vilka undernät som använder de vägar som du definierade.
Du behöver inte lägga till en väg för varje resurs, men du behöver en väg för varje undernät. Varje undernät kan ha flera resurser och de följer alla de regler som definieras i routningstabellen som är associerad med deras undernät. Mer information finns i Översikt över användardefinierad väg.
För exempelarkitekturen har det virtuella hubbnätverket fyra undernät: Azure Bastion, Azure Firewall, VPN Gateway och ExpressRoute. I följande tabell visas exempel på UDR:er för varje undernät.
| Hubbundernät | beskrivning | IPv6-adressintervall | Vägnamn | Mål | Nästa hopp |
|---|---|---|---|---|---|
| Azure Bastion | Dirigera till brandväggen | 2001:db8:1234:0000::/64 |
Internetväg | ::/0 |
2001:db8:1234:0001::/64 (Azure Firewall) |
| Azure Firewall | Standardväg | 2001:db8:1234:0001::/64 |
Internetväg | ::/0 |
Internet Gateway |
| VPN Gateway | Lokal väg | 2001:db8:1234:0002::/64 |
Lokal väg | 2001:db8:abcd::/56 |
VPN Gateway |
| ExpressRoute | Lokal väg | 2001:db8:1234:0003::/64 |
Lokal väg | 2001:db8:efgh::/56 |
ExpressRoute |
När du konfigurerar dina UDR:er måste du anpassa dem till organisationens nätverksprinciper och arkitekturen för din Azure-distribution.
Ändra ExpressRoute-kretsen (om tillämpligt)
För att tillhandahålla ExpressRoute-kretsen med IPv6-stöd måste du:
- Aktivera privat IPv6-peering. Aktivera privat IPv6-peering för ExpressRoute-kretsen. Den här konfigurationen möjliggör IPv6-trafik mellan ditt lokala nätverk och det virtuella hubbnätverket.
- Allokera IPv6-adressutrymme. Ange IPv6-undernät för de primära och sekundära ExpressRoute-länkarna.
- Uppdatera routningstabeller. Se till att du dirigerar IPv6-trafik på rätt sätt via ExpressRoute-kretsen.
De här konfigurationerna utökar IPv6-anslutningen till dina Azure-tjänster via en ExpressRoute-krets, så att du kan dirigera funktioner med dubbla staplar samtidigt. Om du vill ändra ExpressRoute kan du använda Azure Portal, PowerShell eller Azure CLI.
Överföra virtuella ekernätverk till IPv6
Virtuella ekernätverk är anslutna till den centrala hubben. När du tillhandahåller stöd för virtuella ekernätverk med IPv6 kan varje ekernätverk kommunicera via det mer avancerade IPv6-protokollet, och det utökar enhetligheten i nätverket. Följ dessa steg för att tillhandahålla stöd för virtuella ekernätverk med IPv6:
Lägg till IPv6-adressutrymme i de virtuella ekernätverken och ekerundernäten
Precis som det virtuella hubbnätverket måste du lägga till IPv6-adressintervall till varje virtuellt ekernätverk och sedan deras undernät. Använd adressblocket /56 för de virtuella nätverken och /64-adressblocket för undernäten. Följande tabell innehåller ett exempel på IPv6-adressintervall för virtuella ekernätverk och deras undernät.
| Adressintervall för virtuellt ekernätverk | Adressintervall för ekerundernät |
|---|---|
Virtuellt ekernätverk 1: 2001:db8:1234:0100::/56 |
Undernät 1: 2001:db8:1234:0100::/64Undernät 2: 2001:db8:1234:0101::/64Undernät 3: 2001:db8:1234:0102::/64 |
Virtuellt ekernätverk 2: 2001:db8:1234:0200::/56 |
Undernät 1: 2001:db8:1234:0200::/64Undernät 2: 2001:db8:1234:0201::/64Undernät 3: 2001:db8:1234:0202::/64 |
Virtuellt ekernätverk 3: 2001:db8:1234:0300::/56 |
Undernät 1: 2001:db8:1234:0300::/64Undernät 2: 2001:db8:1234:0301::/64Undernät 3: 2001:db8:1234:0302::/64 |
Virtuellt ekernätverk 4: 2001:db8:1234:0400::/56 |
Undernät 1: 2001:db8:1234:0400::/64Undernät 2: 2001:db8:1234:0401::/64Undernät 3: 2001:db8:1234:0402::/64 |
För konfigurationen justerar du IPv6-adresserna enligt organisationens allokering och behov.
Ändra virtuella ekernätverksresurser
Varje virtuellt ekernätverk innehåller flera virtuella datorer och en intern lastbalanserare. Med den interna lastbalanseraren kan du dirigera IPv4- och IPv6-trafik till de virtuella datorerna. Du måste ändra de virtuella datorerna och de interna lastbalanserarna så att de stöder IPv6.
För varje virtuell dator måste du skapa ett IPv6-nätverksgränssnitt och associera det med den virtuella datorn för att lägga till IPv6-stöd. Mer information finns i Lägga till IPv6-konfiguration till en virtuell dator.
Om det inte finns någon intern lastbalanserare i varje virtuellt ekernätverk bör du skapa en intern lastbalanserare med dubbla staplar. Mer information finns i Skapa en intern lastbalanserare med dubbla staplar. Om det finns en intern lastbalanserare kan du använda PowerShell eller Azure CLI för att lägga till IPv6-stöd.
Konfigurera användardefinierade vägar (UDR) för varje ekerundernät
För att konfigurera UDR använder virtuella ekernätverk samma konfiguration som virtuella hubbnätverk När du lägger till IPv6-stöd i ett virtuellt ekernätverk måste du:
Lägg till IPv6-vägar. Om det finns en etablerad routningstabell lägger du till nya vägar som anger IPv6-adressprefixen.
Ändra befintliga vägar. Om det redan finns vägar för IPv4 kan du behöva ändra dem för att säkerställa att de även gäller för IPv6-trafik eller skapa separata IPv6-specifika vägar.
Associera routningstabellen med undernät. När du har definierat vägarna associerar du routningstabellen med relevanta undernät i det virtuella nätverket. Den här associationen avgör vilka undernät som använder de vägar som du definierade.
I följande tabell visas exempel på UDR:er för varje undernät i ett virtuellt ekernätverk.
| Ekerundernät | beskrivning | IPv6-adressintervall | Vägnamn | Mål | Nästa hopp |
|---|---|---|---|---|---|
| Undernät 1 | Dirigera till brandväggen | 2001:db8:1234:0100::/64 |
Internetväg | ::/0 |
2001:db8:1234:0001::/64 (Azure Firewall) |
| Undernät 2 | Dirigera till VPN Gateway | 2001:db8:1234:0101::/64 |
VPN-väg | 2001:db8:abcd::/64 |
2001:db8:1234:0002::/64 (VPN Gateway) |
| Undernät 3 | Dirigera till ExpressRoute | 2001:db8:1234:0102::/64 |
ExpressRoute-väg | 2001:db8:5678::/64 |
2001:db8:1234:0003::/64 (ExpressRoute) |
För konfigurationen måste du justera UDR:erna med organisationens nätverksprinciper och arkitekturen för din Azure-distribution.
Deltagare
Microsoft underhåller den här artikeln. Följande deltagare skrev ursprungligen artikeln.
Huvudförfattare:
- Werner Rall | Senior Cloud Solutions Architect Engineer
Övriga medarbetare:
- Sherri Babylon | Senior Technical Program Manager
- Dawn Bedard | Teknisk programansvarig för huvudnamn
- Brandon Stephenson | Senior kundtekniker
Om du vill se linkedin-profiler som inte är offentliga loggar du in på LinkedIn.
Nästa steg
- Skapa en virtuell dator med ett IPv6-nätverk med dubbla staplar
- Hantera IP-adressintervall
- Cloud Adoption Framework: Planera för IP-adressering
- IPv6 för Azure Virtual Network
- Lägga till IPv6-stöd via ExpressRoute
- Stöd för Azure DNS IPv6
- IPv6 för Azure Load Balancer
- Lägg till IPv6-stöd för privat peering med hjälp av Azure Portal