你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

关于虚拟中心的路由映射(预览版)

路由映射是一项可用于控制虚拟 WAN 虚拟中心的路由播发和路由的功能。 通过路由映射,可以进一步控制进入和离开 Azure 虚拟 WAN 站点到站点 (S2S) VPN 连接、用户 VPN 点到站点 (P2S) 连接、ExpressRoute (ER) 连接以及虚拟网络 (VNet) 连接的路由。 可以使用 Azure 门户来配置路由映射。 有关配置步骤,请参阅如何配置路由映射

重要

路由映射目前为公共预览版,不附带服务级别协议。 不应将路由映射用于生产工作负载。 某些功能可能不受支持或受到约束,或者不一定在所有 Azure 位置都可用。 有关 beta 版本、预览版或尚未正式发布的版本的 Azure 功能所适用的法律条款,请参阅 Microsoft Azure 预览版的补充使用条款

为什么要使用路由映射?

使用路由映射的一些主要优势包括:

  • 如果你拥有通过 ExpressRoute 或 VPN 连接到虚拟 WAN 的本地网络,并且受到可从虚拟中心播发或播发到虚拟中心的路由数量的限制,可以使用路由映射来汇总路由。
  • 可以使用路由映射在本地和虚拟网络中控制进入和离开虚拟 WAN 部署的路由。
  • 可以通过修改 BGP 属性(例如 AS-PATH)来控制虚拟 WAN 部署中的路由决策,以提高或降低路由的优先级。 如果存在可通过多个路径访问的目标前缀,并且客户希望使用 AS-PATH 来控制最佳路径选择,则这非常有用。
  • 可以使用 BGP 社区属性轻松标记路由,以便管理路由。

在虚拟 WAN 中,虚拟中心路由器充当路由管理器,可简化虚拟中心内和跨虚拟中心的路由操作。 充当与网关(S2S、ER 和 P2S)、Azure 防火墙和网络虚拟设备 (NVA) 进行通信的中央路由引擎,虚拟中心路由器可简化路由管理。

当网关做出路由决策时,虚拟中心路由器将提供中央路由管理,并在虚拟中心内启用高级路由方案,它具有自定义路由表、路由关联和传播等功能。

通过路由映射,你可以执行路由聚合、路由筛选和修改 BGP 属性(例如 AS-PATH 和社区),以便管理路由和路由决策。 路由映射可针对以下资源和设置进行配置:

  • 连接:路由映射可以应用于用户、分支、ExpressRoute 和 VNet 连接

    • ExpressRoute 连接:中心与 ER 线路的连接。
    • 站点到站点 VPN 连接:中心与 VPN 站点的连接。
    • VNet 连接:中心与虚拟网络的连接。
    • 点到站点连接:中心与 P2S 用户的连接。

    虚拟中心可以将路由映射应用于任何连接,如下图所示:

    屏幕截图显示使用路由映射的虚拟 WAN 体系结构的示意图。

  • 路由聚合:使用路由映射,可以通过汇总来减少传入和/或传出连接的路由数。 (示例:10.2.1.0.0/24、10.2.2.0/24 和 10.2.3.0/24 可以汇总为 10.2.0.0/16)。

  • 路由筛选:通过路由映射,可以排除从 ExpressRoute 连接、站点到站点 VPN 连接、VNet 连接和点到站点连接播发或接收的路由。

  • 修改 BGP 属性:使用路由映射,可以修改 AS-PATH 和 BGP 社区。 现在可以添加或设置 ASN(自治系统编号)。

注意事项和限制

使用路由映射前,请考虑以下限制:

  • 在预览期间,使用路由映射的中心必须部署在其自己的虚拟 WAN 中。
  • 路由映射功能仅适用于在虚拟机规模集基础结构上运行的虚拟中心。 有关详细信息,请参阅常见问题解答
  • 使用路由映射汇总一组路由时,中心路由器将从这些路由中删除 BGP 社区AS-PATH 属性。 这适用于入站和出站路由。
  • 将 ASN 添加到 AS-PATH 时,请仅使用专用 ASN 范围 64512 - 65535,但不要使用 Azure 保留的 ASN:
    • 公用 ASN:8074、8075、12076
    • 专用 ASN:65515、65517、65518、65519、65520
  • 使用路由映射时,请勿移除 Azure BGP 社区:
    • 65517:12001、65517:12002、65517:12003、65517:12005、65517:12006、65518:65518、65517:65517、65517:12076、65518:12076、65515:10000、65515:20000
  • 不能将路由映射应用于虚拟中心内本地与 SD-WAN/防火墙 NVA 之间的连接。 预览期间不支持这些连接。 部署虚拟中心内的 NVA 时,仍可以将路由映射应用于其他支持的连接。 这不适用于 Azure 防火墙,因为 Azure 防火墙的路由是通过虚拟 WAN 路由意向功能提供的。
  • 路由映射仅支持 2 字节 ASN 编号。
  • 路由映射目前不支持点到站点 (P2S) 多池功能。
  • 仅当从本地或 NVA 学习默认路由时,才支持修改默认路由
  • 可以通过路由映射或 NAT 来修改前缀,但不能同时通过两者进行修改。
  • 路由映射不会应用于中心地址空间
  • 不支持在辐射 VNet 中的 NVA 上应用路由映射。

配置工作流

可以使用 Azure 门户配置路由映射。 如需了解配置工作流和综合步骤,请参阅如何配置路由映射

什么是路由映射规则?

路由映射是一个或多个路由映射规则的有序排列,这些规则应用于虚拟中心接收或发送的路由。 路由映射规则包括匹配条件以及操作

配置路由映射规则时,可以使用“下一步”设置指定匹配此规则的路由是否将继续由路由映射中的后续规则处理,或停止(终止)。 为路由映射配置路由映射规则后,可以将路由映射应用于连接。

注意事项:

  • 路由映射规则可以配置任意数量的路由修改。 可以使用任何规则的路由映射。
  • 如果路由映射未在规则中配置任何操作,则路由不会发生改变。
  • 如果路由映射在规则中配置了多个修改,则配置的所有操作都将应用于该路由。 操作的顺序无关紧要。
  • 如果某个路由与规则中的所有匹配条件都不匹配,则不会将该路由视为与规则匹配。 无论“下一步”设置如何,路由都传递到路由映射下的规则。
  • 配置规则以仅匹配用于避免意外流量流的路由。

匹配条件

路由映射允许使用路由前缀、BGP 社区和 AS-Path 来匹配路由。 匹配条件是一组条件,已处理的路由必须满足这些条件才能被视为与规则匹配

  • 路由映射规则可以具有任意数量的匹配条件。

  • 如果在没有匹配条件的情况下创建路由映射,则将匹配来自所应用连接的所有路由。

    例如,站点到站点 VPN 连接具有从 Azure 播发到分支机构的路由 10.2.1.0/24、10.2.2.0/24 和 10.2.3.0/24。 没有匹配条件的路由映射将匹配 10.2.1.0/24、10.2.2.0/24 和 10.2.3.0/24。

  • 如果路由映射具有多个匹配条件,则路由必须满足所有匹配条件,才能被视为与规则匹配。 匹配条件的顺序无关紧要。

    例如,站点到站点 VPN 连接具有从 Azure 播发到分支机构的路由 10.2.1.0/24,AS 路径为 65535,并且 BGP 社区为 65535:100。 如果在连接上创建了路由映射规则,其中一个匹配条件用于匹配前缀 10.2.1.0,,另一个匹配条件针对 AS 路径 65535,则需满足这两个条件才能被视为匹配项。

  • 支持多个规则。 如果第一个规则不匹配,则会计算第二个规则。 在“下一步”字段中选择“终止”,以结束路由映射中的规则列表。 如果未匹配任何规则,则默认为允许,而不是拒绝。

操作

匹配条件用于选择一组路由。 选择这些路由后,可以删除或修改它们。 可以配置以下操作

  • 删除:将从路由播发中删除(即过滤掉)所有匹配的路由。 例如,站点到站点 VPN 连接具有从 Azure 播发到分支机构的路由 10.2.1.0/24、10.2.2.0/24 和 10.2.3.0/24。 可将路由映射配置为删除 10.2.1.0/24、10.2.2.0/24,从而仅将 10.2.3.0/24 从 Azure 播发到分支机构。

  • 修改:可能的路由修改包括聚合路由前缀或修改路由 BGP 属性。 例如,站点到站点 VPN 连接具有从 Azure 播发到分支机构的路由 10.2.1.0/24,AS 路径为 65535,并且 BGP 社区为 65535:100。 可将路由映射配置为添加 AS 路径 [65535, 65005]。

路由映射规则支持的配置

此部分介绍路由映射预览版支持的匹配条件和操作。

匹配条件

属性 条件 值(示例) 解释
路由前缀 equals 10.1.0.0/16、10.2.0.0/16、10.3.0.0/16、10.4.0.0/16 仅匹配这 4 个路由。 这些路由下的特定前缀将不匹配。
路由前缀 contains 10.1.0.0/16、10.2.0.0/16、192.168.16.0/24、192.168.17.0/24 匹配所有指定的路由和下面的所有前缀。 (示例 10.2.1.0/24 位于 10.2.0.0/16 下方)
社区 equals 65001:100、65001:200 路由的社区属性必须同时具有这两个社区。 顺序无关紧要。
社区 contains 65001:100、65001:200 路由的社区属性可以具有一个或多个指定的社区。
AS 路径 equals 65001、65002、65003 路由的 AS-PATH 必须按指定顺序列出 ASN。
AS 路径 contains 65001、65002、65003 路由中的 AS-PATH 可以包含一个或多个列出的 ASN。 顺序无关紧要。

路由修改

属性 操作 解释
路由前缀 删除 10.3.0.0/8、10.4.0.0/8 将删除规则中指定的路由。
路由前缀 替换 10.0.0.0/8、192.168.0.0/16 将所有匹配的路由替换为规则中指定的路由。
AS 路径 添加 64580、64581 在 AS-PATH 前面附加规则中指定的 ASN 列表。 这些 ASN 将按照匹配路由的相同顺序进行应用。
AS 路径 替换 65004、65005 对于每个匹配的路由,AS-PATH 将以相同的顺序设置到此列表。 请参阅有关预留的 AS 编号的重要注意事项。
AS 路径 替换 未指定值 删除匹配路由的 AS-PATH 中的所有 ASN。
社区 添加 64580:300、64581:300 将所有列出的社区添加到所有匹配的路由社区属性。
社区 Replace 64580:300、64581:300 将所有匹配路由的社区属性替换为提供的列表。
社区 Replace 未指定值 从所有匹配的路由中删除社区属性。
社区 删除 65001:100、65001:200 删除匹配路由的社区属性中列出的任何社区。

将路由映射应用于连接

可以在每个连接上为入站、出站或入站和出站方向应用路由映射。 可以选择在入站和出站方向应用相同或不同的路由映射,但每个方向只能应用一个路由映射。 对于 ExpressRoute 连接,无法在 MSEE 设备上应用路由映射。

  • 入站方向:如果已在连接的入站方向配置路由映射,则在进入虚拟中心路由器的路由表 defaultRouteTable 之前,该连接上的所有入口路由播发都将由路由映射处理

  • 出站方向:如果已在连接的出站方向配置路由映射,则由虚拟中心路由器在连接上进行播发之前,该连接上的所有出口路由播发也将由路由映射处理

有关将路由映射应用于连接的步骤,请参阅如何配置路由映射

使用路由映射仪表板进行监视

将路由映射应用于连接时,可以使用路由映射仪表板监视和查看:

  • Routes
  • AS 路径
  • BGP 社区

有关详细信息和步骤,请参阅使用路由映射仪表板监视路由映射

后续步骤