Dela via

Vad är RAS-gateway (Remote Access Service) för programvarudefinierade nätverk?

  • Artikel

Gäller för: Azure Local, versionerna 23H2 och 22H2; Windows Server 2022, Windows Server 2019, Windows Server 2016

Den här artikeln innehåller en översikt över RAS-gatewayen (Remote Access Service) för SDN (Software Defined Networking) i Azure Local och Windows Server.

RAS Gateway är en programvarubaserad BGP-kompatibel router (Border Gateway Protocol) som är utformad för molntjänstleverantörer (CSP:er) och företag som är värdar för virtuella nätverk med flera klientnätverk med Hjälp av Hyper-V-nätverksvirtualisering (HNV). Du kan använda RAS Gateway för att dirigera nätverkstrafik mellan ett virtuellt nätverk och ett annat nätverk, antingen lokalt eller via fjärranslutning.

RAS Gateway kräver nätverksstyrenhet, som utför distributionen av gatewaypooler, konfigurerar klientanslutningar på varje gateway och växlar nätverkstrafikflöden till en standby-gateway om en gateway misslyckas.

Kommentar

Multitenancy är möjligheten för en molninfrastruktur att stödja arbetsbelastningar för virtuella datorer (VM) för flera klientorganisationer, men ändå isolera dem från varandra, medan alla arbetsbelastningar körs på samma infrastruktur. Flera arbetsbelastningar från en enskild klientorganisation kan kopplas samman och fjärrhanteras, men dessa system kopplas inte samman inte med arbetsbelastningen för andra hyresgäster och andra hyresgäster kan inte fjärrstyra dem.

Funktioner

RAS Gateway erbjuder många funktioner för virtuellt privat nätverk (VPN), tunneltrafik, vidarebefordran och dynamisk routning.

Plats-till-plats-IPsec VPN

Med den här RAS Gateway-funktionen kan du ansluta två nätverk på olika fysiska platser via Internet med hjälp av en vpn-anslutning (Site-to-Site) (S2S). Det här är en krypterad anslutning med IKEv2 VPN-protokoll.

För CSP:er som är värdar för många klienter i deras datacenter tillhandahåller RAS Gateway en gatewaylösning med flera klienter som gör det möjligt för klientorganisationer att komma åt och hantera sina resurser via plats-till-plats-VPN-anslutningar från fjärranslutna platser. RAS Gateway tillåter nätverkstrafikflöde mellan virtuella resurser i ditt datacenter och deras fysiska nätverk.

GRE-tunnlar från plats till plats

Gre-baserade tunnlar (Generic Routing Encapsulation) möjliggör anslutning mellan virtuella klientnätverk och externa nätverk. Eftersom GRE-protokollet är enkelt och stöd för GRE är tillgängligt på de flesta nätverksenheter är det ett idealiskt val för tunneltrafik där kryptering av data inte krävs.

GRE-stöd i S2S-tunnlar löser problemet med vidarebefordran mellan virtuella klientnätverk och externa klientnätverk med hjälp av en gateway med flera klienter.

Vidarebefordran av lager 3

Vidarebefordran av layer 3 (L3) möjliggör anslutning mellan den fysiska infrastrukturen i datacentret och den virtualiserade infrastrukturen i Hyper-V-nätverksvirtualiseringsmolnet. Med hjälp av L3-vidarebefordran kan virtuella klientnätverksdatorer ansluta till ett fysiskt nätverk via SDN-gatewayen, som redan har konfigurerats i SDN-miljön. I det här fallet fungerar SDN-gatewayen som en router mellan det virtualiserade nätverket och det fysiska nätverket.

Följande diagram visar ett exempel på konfigurationen av L3-vidarebefordran i Azure Local som konfigurerats med SDN:

Diagram över ett L3-vidarebefordransexempel.

  • Det finns två virtuella nätverk i Azure Local-instansen: det virtuella SDN-nätverket 1 med adressprefixet 10.0.0.0/16 och det virtuella SDN-nätverket 2 med adressprefixet 16.0.0.0/16.
  • Varje virtuellt nätverk har en L3-anslutning till det fysiska nätverket.
  • Eftersom L3-anslutningarna är för olika virtuella nätverk har SDN-gatewayen ett separat fack för varje anslutning för att tillhandahålla isoleringsgarantier.
  • Varje SDN-gatewayfack har ett gränssnitt i det virtuella nätverksutrymmet och ett gränssnitt i det fysiska nätverksutrymmet.
  • Varje L3-anslutning måste mappas till ett unikt VLAN i det fysiska nätverket. Det här VLAN måste skilja sig från HNV-providerns VLAN, som används som underliggande datavidarebefordring av fysiskt nätverk för virtualiserad nätverkstrafik.
  • I det här exemplet används statisk routning.

Här följer information om varje anslutning som används i det här exemplet:

Nätverkselement Anslutning 1 Anslutning 2
Gateway-undernätsprefix 10.0.1.0/24 16.0.1.0/24
L3 IP-adress 15.0.0.5/24 20.0.0.5/24
IP-adress för L3-peer 15.0.0.1 20.0.0.1
Vägar på anslutningen 18.0.0.0/24 22.0.0.0/24

Routningsöverväganden vid användning av L3-vidarebefordran

För statisk routning måste du konfigurera en väg i det fysiska nätverket för att nå det virtuella nätverket. Till exempel en väg med adressprefixet 10.0.0.0/16 med nästa hopp som L3 IP-adress för anslutningen (15.0.0.5).

För dynamisk routning med BGP måste du fortfarande konfigurera en statisk /32-väg eftersom BGP-anslutningen finns mellan det interna gränssnittet för gatewayutrymmet och L3-peer-IP-adressen. För Anslutning 1 skulle peering vara mellan 10.0.1.6 och 15.0.0.1. För den här anslutningen behöver du därför en statisk väg på den fysiska växeln med målprefixet 10.0.1.6/32 med nästa hopp som 15.0.0.5.

Om du planerar att distribuera L3 Gateway-anslutningar med BGP-routning måste du konfigurera ToR-växlingsinställningarna (Top of Rack) med följande:

  • update-source: Detta anger källadressen för BGP-uppdateringar, dvs. L3 VLAN. Till exempel VLAN 250.
  • ebgp multihop: Detta anger att fler hopp krävs eftersom BGP-grannen är mer än ett hopp bort.

Dynamisk routning med BGP

BGP minskar behovet av manuell routningskonfiguration på routrar eftersom det är ett dynamiskt routningsprotokoll och automatiskt lär sig vägar mellan platser som är anslutna med hjälp av VPN-anslutningar från plats till plats. Om din organisation har flera platser som är anslutna med BGP-aktiverade routrar, till exempel RAS Gateway, tillåter BGP att routrarna automatiskt beräknar och använder giltiga vägar till varandra i händelse av nätverksstörningar eller fel.

BGP Route Reflector som ingår i RAS Gateway är ett alternativ till en fullständig BGP-nättopologi som krävs för routningssynkronisering mellan routrar. Mer information finns i Vad är routningsreflektor?

Så här fungerar RAS Gateway

RAS Gateway dirigerar nätverkstrafik mellan det fysiska nätverket och virtuella datornätverksresurser, oavsett plats. Du kan dirigera nätverkstrafiken på samma fysiska plats eller på många olika platser.

Du kan distribuera RAS Gateway i pooler med hög tillgänglighet som använder flera funktioner samtidigt. Gatewaypooler innehåller flera instanser av RAS Gateway för hög tillgänglighet och redundans.

Du kan enkelt skala upp eller ned en gatewaypool genom att lägga till eller ta bort virtuella gatewaydatorer i poolen. Borttagning eller tillägg av gatewayer stör inte de tjänster som tillhandahålls av en pool. Du kan också lägga till och ta bort hela pooler med gatewayer. Mer information finns i HÖG tillgänglighet för RAS Gateway.

Varje gatewaypool ger M+N-redundans. Det innebär att antalet virtuella M-datorer för aktiv gateway säkerhetskopieras av antalet virtuella datorer i väntelägesgatewayen. Med M+N-redundans får du större flexibilitet när du ska fastställa vilken tillförlitlighetsnivå du behöver när du distribuerar RAS Gateway.

Du kan tilldela en enskild offentlig IP-adress till alla pooler eller till en delmängd pooler. Detta minskar avsevärt antalet offentliga IP-adresser som du måste använda, eftersom det är möjligt att alla klienter ansluter till molnet på en enda IP-adress.

Nästa steg

Relaterad information finns också: