Внедрение маршрутов в спицевых виртуальных сетях

Azure Route Server упрощает управление сетями в центральных и периферийных архитектурах, автоматически внедряя маршруты в периферийные виртуальные сети. Эта возможность устраняет необходимость вручную создавать и поддерживать определяемые пользователем маршруты в нескольких периферийных сетях, обеспечивая динамическую маршрутизацию через виртуальные сетевые устройства.

В традиционных архитектурах сетевого центра и периферии администраторы должны настраивать маршруты, управляемые пользователем (UDR), в каждой периферийной виртуальной сети, чтобы направлять трафик через общие сетевые устройства в концентратор. Этот ручной подход становится сложным для поддержания по мере увеличения числа спиц. Сервер маршрутизации Azure решает эту сложность, предоставляя централизованное решение маршрутизации, которое автоматически распределяет маршруты, полученные от сетевых виртуальных устройств, ко всем подключенным периферийным сетям.

К ключевым преимуществам внедрения маршрутов route Server относятся следующие преимущества:

• Упрощенное управление: Устранение необходимости ручной настройки UDR в спицевых сетях
• Динамическая маршрутизация: автоматически адаптируется к изменениям топологии сети
• Централизованный элемент управления: предоставляет единую точку для распределения маршрутов из концентратора.
• Масштабируемая архитектура: поддерживает рост числа периферийных сетей без более сложного внедрения в виртуальные сети.

Базовая топология концентратора и периферийной топологии

На следующей схеме показан типичный макет концентратора и периферийных серверов с помощью Сервера маршрутизации Azure. В центральной виртуальной сети размещены как сетевое виртуальное устройство, так и сервер маршрутизации, в то время как две подключенные виртуальные сети содержат нагрузки приложений.

Как работает внедрение маршрутов

В этой конфигурации сетевое виртуальное устройство объявляет префиксы сети серверу маршрутизации через пиринг BGP. Затем сервер маршрутов автоматически внедряет эти маршруты в действующие маршруты виртуальных машин как в концентраторе, так и в периферийных виртуальных сетях.

Ключевые требования для внедрения маршрутов:

• Периферийные виртуальные сети должны находиться в пиринговой связи с центральной виртуальной сетью.
• Пиринг между виртуальными сетями должен включать параметр "Использовать шлюз удаленной виртуальной сети" или "Сервер маршрутизации"
• Виртуальное сетевое устройство должно установить пиринг BGP с помощью сервера маршрутизации

Этот подход устраняет необходимость вручную определяемых пользователем маршрутов в периферийных сетях, так как сервер маршрутов автоматически обрабатывает распределение маршрутов. Например, маршрут по умолчанию (0.0.0.0/0/0), объявленный NVA, направляет весь трафик из периферийных сетей через устройство безопасности для проверки.

Локальное подключение через сетевые виртуальные устройства

Сетевые виртуальные устройства могут обеспечить подключение к локальным сетям с помощью различных технологий, включая виртуальные сети IPsec и решения SD-WAN. Возможности динамической маршрутизации сервера маршрутов повышают эти сценарии, позволяя автоматически обмениваться маршрутами между Azure и локальными сетями.

Двунаправленное изучение маршрута

В этой конфигурации Сервер маршрутов упрощает двунаправленное обучение маршрутов:

Из Azure в локальные сети: NVA получает префиксы сети Azure из Route Server и объявляет их в локальные сети с помощью динамических протоколов маршрутизации.

Локальная среда Azure: NVA получает локальные маршруты и объявляет их серверу маршрутизации, который внедряет их в периферийные виртуальные сети.

Этот динамический подход устраняет необходимость в настройке статического маршрута и автоматически адаптируется к изменениям топологии сети на обеих сторонах подключения.

Стратегии проверки частного трафика

При реализации проверки трафика для связи между запрашивающими узлами и связи между узлами и локальной сетью важно понимать поведение рекламы маршрутов сервера маршрутизации для правильной настройки.

Ограничения рекламы маршрута

Azure Route Server имеет определенное поведение при обработке объявлений маршрутов:

• Равные или более длинные префиксы: сервер маршрутизации не объявляет маршруты с префиксами, равными или длиннее адресного пространства виртуальной сети.
• Короткие префиксы: Route Server объявляет маршруты с короткими префиксами (суперсетями), чем адресное пространство виртуальной сети.

Подход Суперсети для проверки частного трафика

Чтобы проверить частный трафик между спицами, настройте NVA для анонсирования суперсетей, охватывающих адресные пространства вашей виртуальной сети.

Пример конфигурации:

• Адресное пространство виртуальной сети: 10.0.0.0/16
• NVA объявленный маршрут: 10.0.0.0/8 (суперсеть)
• Результат. Сервер маршрутизации внедряет маршрут суперсети, направляет трафик через NVA

Это поведение соответствует принципам рекламы маршрутов BGP с VPN-шлюзом.

Гибридное подключение с шлюзами виртуальной сети

При объединении сервера маршрутизации с VPN-шлюзами или шлюзами ExpressRoute в одной виртуальной сети приоритет маршрутов становится важным для управления потоками трафика.

Поведение приоритета маршрута

Маршруты шлюза виртуальной сети имеют приоритет над маршрутами, внедренными на сервере маршрутизации, из-за их специфики:

• Маршруты шлюза: более конкретные префиксы, полученные из VPN-шлюзов или шлюзов ExpressRoute
• Маршруты сервера маршрутов: менее конкретные маршруты (например, маршруты по умолчанию) из NVAs

Это приоритет означает, что локальные префиксы, полученные шлюзами, переопределяют маршруты по умолчанию, введенные сервером маршрутов, обеспечивая оптимальную маршрутизацию для известных назначений.

Управление распространением маршрутов

Чтобы управлять маршрутами, которые достигают периферийных виртуальных сетей, выполните приведенные ниже действия.

Отключите распространение маршрутов шлюза: Запретите периферийным подсетям изучение маршрутов локальной сети, отключив "Распространение маршрутов шлюза" в таблицах маршрутов периферийной сети.

Используйте определяемые пользователем маршруты по умолчанию: настройте определяемые пользователем маршруты с указанием 0.0.0.0/0, указывая на NVA, чтобы обеспечить проверку трафика.

Управление сообществом BGP: настройте NVAs для объявления маршрутов с no-advertise сообществом BGP (65535:65282), чтобы запретить серверу маршрутов от объявления маршрутов к другим пэерам BGP.

SD-WAN сосуществование с ExpressRoute и брандмауэром Azure

Корпоративные среды часто объединяют SD-WAN, ExpressRoute и Брандмауэр Azure для обеспечения комплексного подключения и безопасности. Сервер маршрутизации обеспечивает простую интеграцию этих технологий при поддержании централизованной проверки трафика.

Компоненты архитектуры

Периферийные сети: настройка с таблицами маршрутов, которые препятствуют обучению маршрутов из ExpressRoute или Сервера маршрутов, используя маршруты по умолчанию (0.0.0.0/0/0), указывающие на брандмауэр Azure.

Брандмауэр Azure: изучает маршруты из ExpressRoute и SD-WAN NVAs через Route Server (сервер маршрутизации), принимая оптимальные решения по маршрутизации для локального трафика.

Управление анонсированием маршрутов: SD-WAN NVAs должны объявлять маршруты с использованием сообщества BGP, чтобы предотвратить внедрение маршрутов обратно в локальную среду через ExpressRoute.

Особенности частной конечной точки

При реализации этой архитектуры с частными конечными точками рассмотрите требования к симметрии маршрутизации:

• Асимметричный риск маршрутизации: трафик из локальной среды в частные конечные точки проходит проверку брандмауэра
• Решение. Включение политик сети таблиц маршрутизации для частных конечных точек в подсетях , где размещаются частные конечные точки

Эта конфигурация обеспечивает симметрию маршрутизации и поддерживает политики безопасности для трафика частной конечной точки.

Рекомендации по симметрии трафика

При развертывании нескольких экземпляров NVA для обеспечения высокой доступности или масштабируемости сохранение симметрии трафика имеет решающее значение для сетевых устройств с отслеживанием состояния, таких как брандмауэры следующего поколения.

Сценарии потока трафика

Трафик, направленный в Интернет: NVAs используют преобразование исходных сетевых адресов (SNAT) для обеспечения возврата трафика к тому же устройству, которое обработало исходящий поток.

Входящий интернет-трафик: NVAs требуют как целевой NAT (DNAT), так и исходящий NAT (SNAT) для обеспечения двунаправленной симметрии трафика.

Трафик Azure на Azure: Поскольку исходные виртуальные машины принимают независимые решения о маршрутизации, SNAT необходим для обеспечения симметрии трафика через несколько экземпляров NVA.

Варианты развертывания с высоким уровнем доступности

Активная и активная конфигурация. Развертывание нескольких экземпляров NVA с одинаковыми объявлениями маршрутов и использование SNAT для симметрии трафика.

Активная/пассивная конфигурация: развёртывание нескольких экземпляров NVA, где вторичный экземпляр объявляет маршруты с более длинными путями AS, обеспечивая предпочтение первичного пути до переключения на резерв.

Ограничения сервера маршрутизации

Сервер маршрутизации работает только в управляющей плоскости и не участвует в пересылке трафика в плоскости данных. При анонсировании маршрутов на сервер маршрутизации NVAs должны указывать назначения следующего узла следующим образом:

• Сам NVA
• Балансировщик нагрузки перед NVA
• Другой NVA или брандмауэр в той же виртуальной сети

Эта конструкция обеспечивает надлежащее перенаправление трафика при сохранении роли сервера маршрутизации в качестве точки управления маршрутизацией.

Связанный контент

• Дополнительные сведения о поддержке Сервера маршрутов Azure для ExpressRoute и VPN Azure.
• Узнайте, как настроить пиринг между сервером маршрутизации Azure и виртуальным сетевым устройством.