Настройка намерений маршрутизации и политик маршрутизации в Hub Виртуальная глобальная сеть

Намерение маршрутизации Виртуальная глобальная сеть Hub позволяет настроить простые и декларативные политики маршрутизации для отправки трафика в решения безопасности, работающие по принципу вставки в провод, такие как Брандмауэр Azure, сетевые виртуальные устройства или ПО как услуга (SaaS), развернутые в концентраторе Виртуальная глобальная сеть.

Общие сведения

Политики намерения маршрутизации и маршрутизации позволяют настроить концентратор Виртуальная глобальная сеть для пересылки интернет-трафика и частного трафика (VPN «точка-сайт», VPN «сайт-сайт», ExpressRoute, виртуальная сеть и сетевое виртуальное устройство) в Брандмауэр Azure, брандмауэр следующего поколения (NGFW), сетевое виртуальное устройство (NVA) или решение по обеспечению безопасности как услуга (SaaS), развернутое в виртуальном концентраторе.

Существует два типа политик маршрутизации: политики для интернет-трафика и для частного трафика. Каждый центр Виртуальная глобальная сеть может иметь не более чем одну политику маршрутизации интернет-трафика и одну политику маршрутизации частного трафика, каждая из которых имеет один ресурс следующего узла. Несмотря на то, что частный трафик включает как адресные префиксы для филиалов, так и для виртуальных сетей, политики маршрутизации рассматривают их как одну сущность в рамках концепций намерения маршрутизации.

  • <&c0&>Политика маршрутизации интернет-трафика<&/c0&>. Когда политика маршрутизации интернет-трафика настроена в центре Виртуальная глобальная сеть, все соединения (VPN удаленного пользователя (VPN типа 'точка-сайт', VPN типа 'сайт-сайт' и ExpressRoute) и виртуальная сеть подключения к центру Виртуальная глобальная сеть перенаправляют трафик, направленный в Интернет, на Брандмауэр Azure<&c1&>, стороннего поставщика безопасности<&c2&>, сетевой виртуальный модуль<&c3&> или SaaS-решение<&c4&>, указанные как часть политики маршрутизации.

    Другими словами, когда политика маршрутизации интернет-трафика настроена в центре Виртуальная глобальная сеть, Виртуальная глобальная сеть объявляет маршрут по умолчанию (0.0.0.0/0) ко всем спицам, шлюзам и сетевым виртуальным устройствам (развернутым в концентраторе или спице).

    Когда политики маршрутизации Интернета настроены, решение для безопасности следующего узла проверяет и затем направляет трафик непосредственно в Интернет. Этот шаблон доступа называется прямым доступом. Дополнительные сведения о прямых доступах и других шаблонах доступа к Интернету см. в шаблонах доступа к Интернету.

  • Приватная политика маршрутизации трафика. Если политика маршрутизации частного трафика настроена в концентраторе Виртуальная глобальная сеть, весь трафик филиалов и виртуальной сети в и из концентратора Виртуальная глобальная сеть, включая трафик между концентраторами, будет перенаправляться на следующий прыжок Брандмауэр Azure, Network Virtual Appliance или SaaS solution.

    Иными словами, когда Политика маршрутизации частного трафика настроена в концентраторе Виртуальная глобальная сеть, весь трафик ветвь-к-ветви, ветвь-к-виртуальной-сети, виртуальная-сеть-к-ветви и между концентраторами отправляется через Брандмауэр Azure, сетевое виртуальное устройство или решение SaaS, развернутое в концентраторе Виртуальная глобальная сеть.

    При настройке политик частной маршрутизации можно настроить Виртуальная глобальная сеть для маршрутизации трафика, предназначенного для Интернета, через решение для обеспечения безопасности политики частной маршрутизации на следующий узел в концентраторе. Решение по безопасности следующего узла затем перенаправляет трафик на локальное подключение, NVA в концентраторе или NVA в спице Виртуальная глобальная сеть, который объявляет маршрут по умолчанию 0.0.0.0/0 в Виртуальная глобальная сеть. Этот шаблон доступа называется принудительным туннелированием. Дополнительные сведения о принудительном туннелированиях и других шаблонах доступа к Интернету см. в шаблонах доступа к Интернету.

Случаи использования

В следующем разделе описаны два распространенных сценария, в которых политики маршрутизации применяются к защищенным центрам Виртуальная глобальная сеть.

Все центры Виртуальная глобальная сеть защищены (развернуты с помощью решения Брандмауэр Azure, NVA или SaaS)

В этом сценарии все центры Виртуальная глобальная сеть развертываются с помощью решения Брандмауэр Azure, NVA или SaaS. В этом сценарии можно настроить политику маршрутизации интернет-трафика, политику маршрутизации частного трафика или обе политики в каждом Виртуальном WAN-хабе.

Снимок экрана, иллюстрирующий архитектуру с двумя защищенными концентраторами.

Рассмотрим приведенную ниже конфигурацию, где в концентраторах 1 и 2 настроены политики маршрутизации для частного трафика и трафика Интернета.

Конфигурация концентратора 1:

  • Политика частного трафика с решением Next Hop Hub 1 Брандмауэр Azure, NVA или SaaS
  • Политика интернет-трафика с решением Next Hop Hub 1 Брандмауэр Azure, NVA или SaaS

Конфигурация концентратора 2:

  • Политика частного трафика с решением Next Hop Hub 2 Брандмауэр Azure, NVA или SaaS
  • Политика интернет-трафика с решением Next Hop Hub 2 Брандмауэр Azure, NVA или SaaS

Ниже приведены потоки трафика в такой конфигурации.

Примечание.

Интернет-трафик должен выходить через локальное решение безопасности в концентраторе, так как маршрут по умолчанию (0.0.0.0/0) не распространяется между хабами.

От к Виртуальные сети узла 1 Ветви хаба 1 Хаб 2 VNets Узел 2 Интернет
Виртуальные сети узла 1 Хаб 1 AzFW или NVA Хаб 1 AzFW или NVA Узел 1 и 2 AzFW, NVA или SaaS Узел 1 и 2 AzFW, NVA или SaaS Центр 1 AzFW, NVA или SaaS
Филиалы узла 1 Центр 1 AzFW, NVA или SaaS Центр 1 AzFW, NVA или SaaS Узел 1 и 2 AzFW, NVA или SaaS Узел 1 и 2 AzFW, NVA или SaaS Центр 1 AzFW, NVA или SaaS
Хаб 2 VNets Узел 1 и 2 AzFW, NVA или SaaS Узел 1 и 2 AzFW, NVA или SaaS Шлюз 2 AzFW, NVA или SaaS Шлюз 2 AzFW, NVA или SaaS Шлюз 2 AzFW, NVA или SaaS
Ответвления концентратора Hub 2 Узел 1 и 2 AzFW, NVA или SaaS Узел 1 и 2 AzFW, NVA или SaaS Шлюз 2 AzFW, NVA или SaaS Шлюз 2 AzFW, NVA или SaaS Хаб 2AzFW, NVA или SaaS

Развертывание защищенных и обычных центров Виртуальная глобальная сеть

В этом сценарии не все концентраторы в глобальной сети являются защищенными концентраторы Виртуальная глобальная сеть (концентраторы с развернутыми в них решениями безопасности).

Рассмотрим следующую конфигурацию, в которой концентратор 1 (обычный) и Концентратор 2 (защищенный) развертываются в Виртуальная глобальная сеть. В концентраторе 2 настроены политики маршрутизации частного и интернет-трафика.

Конфигурация концентратора 1:

  • N/A (не удается настроить политики маршрутизации, если концентратор не развернут с помощью решения Брандмауэр Azure, NVA или SaaS)

Конфигурация концентратора 2:

  • Политика частного трафика с решением Next Hop Hub 2 Брандмауэр Azure, NVA или SaaS.
  • Политика интернет-трафика с решением Next Hop Hub 2 Брандмауэр Azure, NVA или SaaS.

Снимок экрана, иллюстрирующий архитектуру с одним защищенным и одним обычным концентратором.

Ниже приведены потоки трафика в такой конфигурации. Ветви и виртуальная сеть, подключенные к Концентратору 1, не могут получить доступ к Интернету через решение безопасности, развернутое в Центре, так как маршрут по умолчанию (0.0.0.0/0) не распространяется между центрами.

От к Виртуальные сети узла 1 Ветви хаба 1 Хаб 2 VNets Узел 2 Интернет
Виртуальные сети узла 1 Напрямую Напрямую Шлюз 2 AzFW, NVA или SaaS Шлюз 2 AzFW, NVA или SaaS -
Филиалы узла 1 Напрямую Напрямую Шлюз 2 AzFW, NVA или SaaS Шлюз 2 AzFW, NVA или SaaS -
Хаб 2 VNets Шлюз 2 AzFW, NVA или SaaS Шлюз 2 AzFW, NVA или SaaS Шлюз 2 AzFW, NVA или SaaS Шлюз 2 AzFW, NVA или SaaS Шлюз 2 AzFW, NVA или SaaS
Ответвления концентратора Hub 2 Шлюз 2 AzFW, NVA или SaaS Шлюз 2 AzFW, NVA или SaaS Шлюз 2 AzFW, NVA или SaaS Шлюз 2 AzFW, NVA или SaaS Шлюз 2 AzFW, NVA или SaaS

Известные ограничения

  • В следующей таблице описывается доступность намерения маршрутизации в разных средах Azure.
    • Намерение маршрутизации недоступно в Microsoft Azure, управляемой 21 Vianet.
    • Palo Alto Cloud NGFW доступен только в Azure общедоступной версии. Обратитесь к Palo Alto Networks относительно доступности Cloud NGFW в Azure для государственных организаций и Microsoft Azure под управлением Viacom.
    • Виртуальные сетевые устройства недоступны во всех регионах Azure для государственных организаций. Обратитесь к партнеру NVA относительно доступности в Azure для государственных организаций.
Облачная среда Брандмауэр Azure Сетевой виртуальный модуль Решения SaaS
Общедоступная служба Azure Да Да Да
Azure для государственных организаций Да Ограничено Нет
Microsoft Azure, управляемый 21 Vianet Нет Нет Нет
  • Намерение маршрутизации упрощает маршрутизацию путем управления сопоставлениями таблиц маршрутов и распространением для всех подключений (виртуальная сеть, VPN типа "сеть — сеть", "точка — сеть" и ExpressRoute). Виртуальные WAN с настраиваемыми таблицами маршрутов и политиками нельзя использовать с конструкциями намерений маршрутизации.
  • Зашифрованные туннели ExpressRoute (соединения VPN от точки до точки, работающие через каналы ExpressRoute) поддерживаются в центрах, где настроено намерение маршрутизации, если Брандмауэр Azure настроен для разрешения трафика между конечными точками VPN-туннеля (частные IP-адреса VPN-шлюза и локального VPN-устройства). Дополнительные сведения о необходимых конфигурациях см. в разделе Encrypted ExpressRoute с целью маршрутизации.
  • Для развертываний, где статические маршруты указаны в подключении виртуальной сети с включенным пропагированием статических маршрутов, настройка обхода следующего узла, настроенная для подключения виртуальной сети, игнорируется и считается установленной в bypass/equals. Это означает, что если подключенное адресное пространство виртуальная сеть (соответствующее подключению с настроенным статическим маршрутом) является подсетью в настроенном статическом маршруте подключения виртуальная сеть, трафик, предназначенный для виртуальная сеть, будет проверяться устройством безопасности в виртуальном концентраторе и направляется напрямую на целевой IP-адрес в ответвленной виртуальная сеть. Трафик будет обходить IP-адрес следующего прыжка, настроенный в статическом маршруте. Подробный пример этого поведения маршрутизации см. в разделе поведение трафика с включенным обходом следующего прыжка IP в документе обход следующего прыжка IP.
  • Следующие варианты использования подключения не поддерживаются при использовании намерения маршрутизации.
    • Статические маршруты в defaultRouteTable, указывающие на подключение виртуальная сеть, нельзя использовать в сочетании с намерением маршрутизации. Вместо использования статических маршрутов в defaultRouteTable можно использовать функцию пиринга BGP или применить статические маршруты к подключению виртуальная сеть с включенным "распространением статических маршрутов". Маршруты, получаемые по BGP или указанные как статический маршрут для подключения виртуальной сети, применяются к ресурсу следующего прыжка, указанному в политиках частной маршрутизации.
    • Возможность развертывания подключения SD-WAN и отдельного решения брандмауэра NVA или SaaS в том же центре Виртуальная глобальная сеть находится в планах. После настройки намерения маршрутизации с использованием решения SaaS для следующего перехода или брандмауэра NVA, затрагивается подключение между SD-WAN NVA и Azure. Вместо этого разверните решение SD-WAN NVA и брандмауэра NVA или SaaS в разных виртуальных центрах. Кроме того, можно развернуть SD-WAN NVA в периферийной виртуальной сети, подключенной к концентратору, и использовать возможность пиринга BGP.
    • Виртуальные сетевые устройства (NVAs) можно указать только в качестве следующего узла для маршрутного намерения, если они являются брандмауером следующего поколения или выполняют двойную роль брандмауера следующего поколения и SD-WAN. В настоящее время checkpoint, fortinet-ngfw, fortinet-ngfw-and-sdwan и cisco-tdv-vwan-nva являются единственными NVA, которые могут быть настроены в качестве следующего шага для намерения маршрутизации. Если вы попытаетесь указать другой NVA, это приведет к сбою в создании намерения маршрутизации. Вы можете проверить тип NVA, перейдя к виртуальному концентратору —> сетевые виртуальные устройства, а затем просмотрите поле "Поставщик ". Palo Alto Networks Cloud NGFW также поддерживается в качестве следующего шага при маршрутизации, но рассматривается как следующий шаг типа SaaS-решения.
    • Пользователи с намерением маршрутизации, которые хотят подключить несколько каналов ExpressRoute к Виртуальная глобальная сеть и хотят отправить трафик между ними через решение безопасности, развернутое в концентраторе, может включить открытие варианта поддержки, чтобы включить этот вариант использования. Для ознакомления с дополнительными сведениями см. Включение соединения между каналами ExpressRoute.

ограничения адресного пространства виртуальная сеть

Примечание.

Максимальное количество адресных пространств виртуальная сеть, которое можно подключить к одному концентратору Виртуальная глобальная сеть, равно 600. Ограничение адресного пространства составляло 400 и могло быть изменено через службу поддержки до 600. Ограничение 600 теперь применяется автоматически ко всем центрам и не может быть увеличено дополнительно (не настраивается).

Для клиентов, использующих намерение маршрутизации, максимальное число адресных пространств во всех виртуальных сетях непосредственно подключено к одному концентратору Виртуальная глобальная сеть равно 600. Это ограничение применяется отдельно к каждому концентратору Виртуальная глобальная сеть в развертывании Виртуальная глобальная сеть. Адресные пространства виртуальная сеть, подключенные к удаленным концентраторам (другим центрам Виртуальная глобальная сеть в той же Виртуальная глобальная сеть), не учитываются в этом ограничении.

Если количество напрямую подключенных адресных пространств виртуальная сеть приближается (более чем на 90%) к лимиту в 600, включение или обновление намерения маршрутизации в виртуальном концентраторе может завершиться с ошибкой. Для узлов, уже настроенных с учётом намерения маршрутизации, когда адресные пространства виртуальной сети превышают установленное ограничение в результате операции, такой как обновление адресного пространства виртуальной сети, новое подключенное адресное пространство может оказаться не подлежащим маршрутизации.

В результате, необходимо упреждающе развернуть новый хаб Виртуальная глобальная сеть и подключить к нему новые виртуальные сети, если общее количество адресных пространств во всех локально подключенных виртуальных сетях превышает 90% (540) от задокументированного предела (600), или если у вас запланированы операции по расширению сети или развёртыванию, которые приведут к увеличению числа адресных пространств виртуальной сети за пределы этого лимита.

В следующей таблице приведены примеры вычислений адресного пространства виртуальная сеть. Обратите внимание, что только виртуальные сети непосредственно подключенные к концентратору учитываются в лимит 600. Виртуальные сети, подключенные к удаленным концентраторам, не вносят вклад в число локальных концентраторов.

Виртуальный концентратор число виртуальных сетей Адресные пространства на виртуальная сеть Общее количество адресных пространств виртуальной сети, подключенных к этому виртуальному концентратору this Рекомендуемое действие
Концентратор #1 200 1 200 Никаких действий не требуется, отслеживайте количество адресного пространства.
Узел #2 сто пятьдесят 3 450 Никаких действий не требуется, отслеживайте количество адресного пространства.
Хаб #3 180 3 540 Разверните новый центр Виртуальная глобальная сеть и подключите новые виртуальные сети к новому концентратору.

С помощью следующего скрипта PowerShell можно приблизить количество адресных пространств в виртуальных сетях, подключенных к одному Виртуальная глобальная сеть концентратору. Запустите этот скрипт для всех центров Виртуальная глобальная сеть в вашей виртуальной сети. Метрика Azure Monitor для отслеживания и настройки оповещений в подключенных адресных пространствах виртуальная сеть находится в дорожной карте.

Обязательно измените идентификатор ресурса центра Виртуальная глобальная сеть в скрипте, чтобы он соответствовал вашей среде. Если у вас есть подключения между клиентами виртуальная сеть, убедитесь, что у вас есть достаточные разрешения для чтения объекта подключения Виртуальная глобальная сеть виртуальная сеть, а также подключенного ресурса виртуальная сеть.

$hubVNETconnections = Get-AzVirtualHubVnetConnection -ParentResourceId "/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Network/virtualHubs/<virtual hub name>"
$addressSpaceCount = 0
  
foreach($connection in $hubVNETconnections) {
  try{
    $resourceURI = $connection.RemoteVirtualNetwork.Id
    $RG = ($resourceURI -split "/")[4]
    $name = ($resourceURI -split "/")[8]
    $VNET = Get-AzVirtualNetwork -Name $name -ResourceGroupName $RG -ErrorAction "Stop"
    $addressSpaceCount += $VNET.AddressSpace.AddressPrefixes.Count
  }
  catch{
    Write-Host "An error occurred while processing VNET connected to Virtual WAN hub with resource URI:  " -NoNewline
    Write-Host $resourceURI 
    Write-Host "Error Message: " -ForegroundColor Red
    Write-Host $_.Exception.Message -ForegroundColor Red 
  }
  finally{
  }
}
Write-Host "Total Address Spaces in VNETs connected to this Virtual WAN Hub: " -ForegroundColor Green -NoNewline
Write-Host $addressSpaceCount -ForegroundColor Green

Рекомендации

Клиенты, которые в настоящее время используют Брандмауэр Azure в центре Виртуальная глобальная сеть без намерения маршрутизации, могут включить намерение маршрутизации с помощью Диспетчер брандмауэра Azure, портала маршрутизации концентратора Виртуальная глобальная сеть или с помощью других средств управления Azure (PowerShell, CLI, REST API).

Прежде чем включить намерение маршрутизации, рассмотрите следующее:

  • Намерение маршрутизации можно настроить только в центрах, где нет пользовательских таблиц маршрутов и статических маршрутов в defaultRouteTable с помощью следующего прыжка виртуальная сеть Connection. Дополнительные сведения см. в разделе Предварительные требования.
  • Сохраните копию шлюзов, подключений и таблиц маршрутов перед включением параметров маршрутизации. Система не будет автоматически сохранять и применять предыдущие конфигурации. Дополнительные сведения см. в статье стратегия отката.
  • Намерение маршрутизации изменяет статические маршруты в defaultRouteTable. Из-за оптимизации портала Azure состояние defaultRouteTable после настройки намерения маршрутизации может отличаться, если вы настраиваете намерение маршрутизации с помощью REST, CLI или PowerShell. Дополнительные сведения см. в статических маршрутах.
  • Включение целевой маршрутизации влияет на объявление префиксов во внутреннюю сеть. Дополнительные сведения см. в разделе рекламные объявления префиксов.
  • Вы можете открыть запрос в службу поддержки, чтобы включить подключение через сеть ExpressRoute с помощью устройства брандмауэра в концентраторе. Включение этого паттерна подключения изменяет рекламируемые префиксы в контурах ExpressRoute. Дополнительные сведения см. в разделе "О ExpressRoute ".
  • Замысел маршрутизации — это единственный механизм в Виртуальная глобальная сеть, позволяющий производить инспекцию трафика между концентраторами с помощью устройств безопасности, развернутых в концентраторах. Проверка трафика между концентраторами также требует включения намерения маршрутизации на всех концентраторах, чтобы обеспечить симметричную маршрутизацию трафика между устройствами безопасности, развернутыми в концентраторах Виртуальная глобальная сеть.
  • Намерение маршрутизации отправляет трафик виртуальная сеть и локальный трафик к следующему узлу, указанному в политике маршрутизации. Виртуальная глобальная сеть программирует базовую платформу Azure для маршрутизации локального и виртуальная сеть трафика в соответствии с настроенной политикой маршрутизации и не обрабатывает трафик через маршрутизатор Виртуального концентратора. Это также означает, что обработка данных маршрутизатора Виртуального концентратора не взимается за трафик, перенаправленный с помощью намерения маршрутизации. В результате вам не нужно выделять дополнительные единицы инфраструктуры маршрутизации для пересылки пакетов плоскости передачи данных на концентраторах, настроенных с маршрутизационным намерением. Однако может потребоваться выделить дополнительные единицы инфраструктуры маршрутизации на основе количества Виртуальные машины в виртуальных сетях, подключенных к центру Виртуальная глобальная сеть.
  • Основные параметры маршрутизации позволяют настроить различные ресурсы следующего узла для частных и интернет-политик маршрутизации. Например, можно задать следующий прыжок для политик частной маршрутизации на Брандмауэр Azure в концентраторе и следующий прыжок для политики маршрутизации интернета на решение NVA или SaaS в этом же центре. Так как решения SaaS и NVAs брандмауэра развертываются в той же подсети в Виртуальная глобальная сеть концентраторе, развертывание решений SaaS с NVA брандмауэра в том же концентраторе может повлиять на горизонтальное масштабируемость решений SaaS, так как для горизонтального масштабирования доступны менее IP-адреса. Кроме того, в каждом Виртуальная глобальная сеть концентраторе может быть развернуто не более одного решения SaaS.

Предварительные условия

Чтобы включить намерение и политики маршрутизации, виртуальный концентратор должен соответствовать следующим предварительным требованиям:

  • В виртуальном концентраторе нет настраиваемых таблиц маршрутов. Единственными таблицами маршрутов, которые существуют, являются noneRouteTable и defaultRouteTable.
  • Невозможно иметь статические маршруты со следующим переходом виртуальная сеть Connection. У вас могут быть статические маршруты в "defaultRouteTable" с Брандмауэр Azure в качестве следующего перехода.

Параметр настройки намерения маршрутизации неактивен для концентраторов, которые не соответствуют указанным выше требованиям.

Использование намерения маршрутизации (включение межцентрового параметра) в Диспетчер брандмауэра Azure также требует выполнения дополнительного условия:

  • Маршруты, созданные Диспетчер брандмауэра Azure, соответствуют соглашению об именовании private_traffic, internet_traffic или all_traffic. Поэтому все маршруты в defaultRouteTable должны соответствовать этому соглашению.

Стратегия отката

Примечание.

Если маршрутная конфигурация полностью удалена из концентратора, все подключения к концентратору будут распространяться на метку по умолчанию, которая применяется ко всем таблицам маршрутизации по умолчанию в Виртуальная глобальная сеть. В результате, если вы рассматриваете возможность реализации намерения маршрутизации в Виртуальная глобальная сеть, необходимо сохранить копию существующих конфигураций (шлюзов, подключений, таблиц маршрутов), чтобы применить, если вы хотите вернуться к исходной конфигурации. Система не восстанавливает предыдущую конфигурацию автоматически.

Намерение маршрутизации упрощает маршрутизацию и настройку путем управления сопоставлениями маршрутов и распространением всех подключений в концентраторе.

В следующей таблице описана связанная таблица маршрутов и распространяемые таблицы маршрутов всех подключений после настройки намерения маршрутизации.

Конфигурация намерения маршрутизации Связанная таблица маршрутов Распространяемые таблицы маршрутов
Интернет таблица маршрутов по умолчанию метка по умолчанию (таблица маршрутов по умолчанию всех центров в виртуальной WAN)
Частный таблица маршрутов по умолчанию ОтсутствуетТаблицаМаршрутов
Интернет и конфиденциальность таблица маршрутов по умолчанию ОтсутствуетТаблицаМаршрутов

Статические маршруты в defaultRouteTable

В следующем разделе описывается, как функционал маршрутизации управляет статическими маршрутами в таблице маршрутов по умолчанию при активации маршрутизации в узле концентрации. Изменения, внесенные намерением маршрутизации в значение defaultRouteTable, необратимы.

При удалении намерения маршрутизации необходимо вручную восстановить предыдущую конфигурацию. Поэтому перед включением функции маршрутизации рекомендуется сохранить снимок конфигурации.

портал центра Диспетчер брандмауэра Azure и Виртуальная глобальная сеть

Если намерение маршрутизации включено в концентраторе, статические маршруты, соответствующие настроенным политикам маршрутизации, создаются автоматически в defaultRouteTable. Эти маршруты:

Имя маршрута Префиксы Ресурс следующего прыжка
_политика_ЧастныйТрафик 10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12 Брандмауэр Azure
_политика_ОбщественныйТрафик 0.0.0.0/0 Брандмауэр Azure

Примечание.

Любые статические маршруты в defaultRouteTable, содержащие префиксы, которые не являются точными соответствиями для 0.0.0.0/0 или суперсетей RFC1918 (10.0.0.0/8, 192.168.0.0/16 и 172.16.0.0/12), автоматически объединяются в один статический маршрут с именем private_traffic. Префиксы в defaultRouteTable, соответствующие RFC1918 суперсетям или 0.0.0.0/0, всегда удаляются автоматически после настройки намерения маршрутизации независимо от типа политики.

Например, рассмотрим сценарий, в котором defaultRouteTable имеет следующие маршруты перед настройкой намерения маршрутизации:

Имя маршрута Префиксы Ресурс следующего прыжка
частный трафик 192.168.0.0/16, 172.16.0.0/12, 40.0.0.0/24, 10.0.0.0/24 Брандмауэр Azure
к_интернету 0.0.0.0/0 Брандмауэр Azure
дополнительный_личный 10.0.0.0/8, 50.0.0.0/24 Брандмауэр Azure

Включение маршрутизации в этом концентраторе приведет к следующему конечному состоянию таблицы маршрутизации по умолчанию. Все префиксы, не RFC1918 или 0.0.0.0/0/0, объединяются в один маршрут с именем private_traffic.

Имя маршрута Префиксы Ресурс следующего прыжка
_политика_ЧастныйТрафик 10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12 Брандмауэр Azure
_политика_ОбщественныйТрафик 0.0.0.0/0 Брандмауэр Azure
частный трафик 40.0.0.0/24, 10.0.0.0/24, 50.0.0.0/24 Брандмауэр Azure

Другие методы (PowerShell, REST, CLI)

Создание маршрутизационной политики с использованием методов, не связанных с порталом, автоматически создает соответствующие маршруты политики в defaultRouteTable, а также удаляет любые префиксы в статических маршрутах, которые точно совпадают с 0.0.0.0/0 или суперсетями RFC1918 (10.0.0.0/8, 192.168.0.0/16 или 172.16.0.0/12). Однако другие статические маршруты не объединяются автоматически.

Например, рассмотрим сценарий, в котором defaultRouteTable имеет следующие маршруты перед настройкой намерения маршрутизации:

Имя маршрута Префиксы Ресурс следующего прыжка
маршрут_фаервол_ 1 10.0.0.0/8 Брандмауэр Azure
firewall_route_2 192.168.0.0/16, 10.0.0.0/24 Брандмауэр Azure
маршрут_брандмауэра_3 40.0.0.0/24 Брандмауэр Azure
к_интернету 0.0.0.0/0 Брандмауэр Azure

Следующая таблица представляет окончательное состояние defaultRouteTable после успешного создания намерения маршрутизации. Обратите внимание, что firewall_route_1 и to_internet автоматически удалены в качестве единственного префикса в этих маршрутах: 10.0.0.0/8 и 0.0.0.0/0/0. firewall_route_2 было изменено, чтобы удалить 192.168.0.0/16, так как этот префикс является RFC1918 агрегатным префиксом.

Имя маршрута Префиксы Ресурс следующего прыжка
_политика_ЧастныйТрафик 10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12 Брандмауэр Azure
_политика_ОбщественныйТрафик 0.0.0.0/0 Брандмауэр Azure
firewall_route_2 10.0.0.0/24 Брандмауэр Azure
маршрут_брандмауэра_3 40.0.0.0/24 Брандмауэр Azure

Объявление префикса для локальной инфраструктуры

В следующем разделе описывается, как Виртуальная глобальная сеть объявляет маршруты в локальную среду после настройки намерения маршрутизации в виртуальном концентраторе.

Политика маршрутизации через Интернет

Примечание.

Маршрут по умолчанию 0.0.0.0/0 не распространяется по виртуальным хабам.

Если вы включите политики маршрутизации Интернета в Виртуальном концентраторе, маршрут по умолчанию 0.0.0.0/0 объявляется для всех подключений к концентратору (виртуальная сеть ExpressRoute, VPN типа "сеть — сеть", VPN типа "точка — сеть", NVA в концентраторе и подключениях BGP), где установлен флаг Propagate по умолчанию или Enable internet security имеет значение true. Можно установить этот флаг в значение false для всех подключений, которые не должны учить маршрут по умолчанию.

Политика частной маршрутизации

Если виртуальный концентратор настроен с помощью политики частной маршрутизации, Виртуальная глобальная сеть объявляет маршруты к локальным локальным подключениям следующим образом:

  • Маршруты, соответствующие префиксам, полученным из виртуальных сетей локального концентратора, ExpressRoute, VPN типа "сеть — сеть", VPN типа "точка — сеть", "NVA в концентраторе" или подключений BGP, соединенных с текущим концентратором.
  • Маршруты, соответствующие префиксам, извлеченным из удаленных концентраторов виртуальных сетей, ExpressRoute, VPN типа «сеть-сеть», VPN типа «точка-сеть», NVA в узле или подключений BGP, где настроены политики частной маршрутизации.
  • Маршруты, соответствующие префиксам, извлеченным из удаленных концентраторов виртуальных сетей, ExpressRoute, VPN типа 'сеть-сеть', VPN типа 'точка-сеть', NVA-in-the-hub и подключениям BGP, где намерение маршрутизации не настроено, а удаленные подключения распространяются в таблицу маршрутов по умолчанию локального концентратора.
  • Префиксы, полученные из одного канала ExpressRoute, не объявляются другим каналам ExpressRoute, пока не включена функция Global Reach. Если вы хотите включить транзит через ExpressRoute в ExpressRoute через решение безопасности, развернутое в центре, откройте заявку в поддержку. Дополнительные сведения см. в разделе "Включение подключения через схемы ExpressRoute".

Сценарии ключевой маршрутизации

В следующем разделе описывается несколько ключевых сценариев маршрутизации и поведения маршрутизации при настройке намерения маршрутизации в центре Виртуальная глобальная сеть.

Транзитное подключение между каналами ExpressRoute с намерением маршрутизации

Транзитное подключение между каналами ExpressRoute в Виртуальная глобальная сеть предоставляется с помощью двух разных конфигураций. Так как эти две конфигурации несовместимы, клиенты должны выбрать один вариант конфигурации для поддержки транзитного подключения между двумя каналами ExpressRoute.

Примечание.

Чтобы включить транзитное подключение ExpressRoute к ExpressRoute через брандмауэр в концентраторе с политиками частной маршрутизации, создайте запрос в служба поддержки Майкрософт. Этот параметр не совместим с Global Reach и требует отключения Global Reach, чтобы обеспечить правильную транзитную маршрутизацию между всеми каналами ExpressRoute, подключенными к Виртуальная глобальная сеть.

  • ExpressRoute Global Reach: ExpressRoute Global Reach позволяет двум каналам с поддержкой Global Reach обмениваться трафиком напрямую без прохождения через виртуальный концентратор.
  • Политика частной маршрутизации Routing Intent: Настройка политик частной маршрутизации позволяет двум каналам ExpressRoute отправлять трафик друг другу через средство безопасности, развернутое в хабе.

Подключение между каналами ExpressRoute через устройство брандмауэра в концентраторе с политикой маршрутизации с частным намерением доступно в следующих конфигурациях:

  • Оба канала ExpressRoute подключены к одному концентратору, а политика частной маршрутизации настроена в этом концентраторе.
  • Каналы ExpressRoute подключены к разным концентраторам, а политика частной маршрутизации настроена в обоих центрах. Таким образом, оба центра должны развертывать решение для обеспечения безопасности.

Рекомендации по маршрутизации с помощью ExpressRoute

Примечание.

Приведенные ниже рекомендации по маршрутизации применяются ко всем виртуальным концентраторам в подписках, которые включены благодаря поддержке Microsoft для разрешения подключения ExpressRoute к ExpressRoute через устройство безопасности в концентраторе.

После включения транзитного подключения между каналами ExpressRoute с помощью устройства брандмауэра, развернутого в виртуальном концентраторе, можно ожидать следующие изменения в поведении в том, как маршруты объявляются в локальной среде ExpressRoute:

  • Виртуальная глобальная сеть автоматически объявляет агрегированные префиксы RFC1918 (10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12) в локальные сети, подключенные через ExpressRoute. Эти агрегатные маршруты объявляются в дополнение к маршрутам, описанным в предыдущем разделе.
  • Виртуальная глобальная сеть автоматически объявляет все статические маршруты в defaultRouteTable для локальной сети ExpressRoute. Это означает, что Виртуальная глобальная сеть объявляет маршруты, указанные в текстовом поле префикса частного трафика, в локальную среду.

В результате этих изменений объявления маршрутов, локальные подключения ExpressRoute не могут указывать точные диапазоны адресов для агрегированных диапазонов адресов RFC1918 (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16). Убедитесь, что вы рекламируете более конкретные подсети (в пределах RFC1918 диапазонов) в отличие от агрегатных суперсетей и любых префиксов в текстовом поле "Частный трафик".

Кроме того, если канал ExpressRoute передает в Azure префикс, не относящийся к RFC1918, убедитесь, что диапазоны адресов, которые вы указываете в текстовом поле «Префиксы частного трафика», менее конкретны, чем объявленные маршруты ExpressRoute. Например, если канал ExpressRoute анонсирует 40.0.0.0/24 из локальной среды, поместите диапазон CIDR /23 или больше в текстовое поле префикса частного трафика (например, 40.0.0.0/23).

Маршрутизация объявлений в другие локальные сети (VPN типа "сеть — сеть", VPN типа "точка — сеть", NVA) не оказывает влияния на соединение ExpressRoute к транзитной сети ExpressRoute через устройство безопасности, развернутое в концентраторе.

Защищенное соединение ExpressRoute

Чтобы использовать зашифрованный vpn-туннель ExpressRoute (vpn-туннель типа "сеть — сеть", работающий по каналу ExpressRoute) с политиками частной маршрутизации, настройте правило брандмауэра для allow трафика между частными IP-адресами Виртуальная глобальная сеть VPN-шлюз типа "сеть — сеть" (источник) и локальное VPN-устройство (назначение). Для клиентов, использующих глубокую проверку пакетов на устройстве брандмауэра, рекомендуется не подвергать глубокой проверке пакетов трафик между этими частными IP-адресами.

Вы можете получить частные IP-адреса VPN-шлюза типа "сеть-сеть" Виртуальная глобальная сеть, загрузив конфигурацию VPN и просмотрев vpnSiteConnections -> gatewayConfiguration -> IPAddresses. IP-адреса, перечисленные в поле IPAddresses, являются частными IP-адресами, назначенными каждому экземпляру VPN-шлюз типа "сеть — сеть", который используется для завершения VPN-туннелей через ExpressRoute. В приведенном ниже примере IP-адреса туннеля на шлюзе — 192.168.1.4 и 192.168.1.5.

 "vpnSiteConnections": [
      {
        "hubConfiguration": {
          "AddressSpace": "192.168.1.0/24",
          "Region": "South Central US",
          "ConnectedSubnets": [
            "172.16.1.0/24",
            "172.16.2.0/24",
            "172.16.3.0/24",
            "192.168.50.0/24",
            "192.168.0.0/24"
          ]
        },
        "gatewayConfiguration": {
          "IpAddresses": {
            "Instance0": "192.168.1.4",
            "Instance1": "192.168.1.5"
          },
          "BgpSetting": {
            "Asn": 65515,
            "BgpPeeringAddresses": {
              "Instance0": "192.168.1.15",
              "Instance1": "192.168.1.12"
            },
            "CustomBgpPeeringAddresses": {
              "Instance0": [
                "169.254.21.1"
              ],
              "Instance1": [
                "169.254.21.2"
              ]
            },
            "PeerWeight": 0
          }
        }

Частные IP-адреса локальных устройств, используемые для завершения VPN, — это IP-адреса, указанные в рамках подключения сайта VPN.

Снимок экрана, показывающий IP-адрес туннеля устройства VPN-сайта локальной сети.

Используя пример конфигурации VPN и VPN-сайта, создайте правила брандмауэра, чтобы разрешить следующий трафик. Ip-адреса VPN-шлюз должны быть исходным IP-адресом, а локальное VPN-устройство должно быть конечным IP-адресом в настроенных правилах.

Параметр правила Значение
Исходный IP-адрес 192.168.1.4 и 192.168.1.5
Исходный порт *
IP-адрес назначения 10.100.0.4
Конечный порт *
Протокол ЛЮБОЙ

Производительность зашифрованного ExpressRoute

Настройка политик частной маршрутизации для Encrypted ExpressRoute направляет пакеты VPN ESP через устройство безопасности следующего узла, развернутое в концентраторе. Производительность Зашифрованного ExpressRoute влияет на два основных фактора:

  • Вы можете ожидать, что VPN-туннели ExpressRoute с шифрованием имеют максимальную пропускную способность 1 Гбит/с из-за перенаправления трафика ESP через следующий узел безопасности, развернутый в центре Виртуальная глобальная сеть.
  • На практике на пропускную способность зашифрованного VPN-туннеля в сети ExpressRoute также влияет максимальное число пакетов в секунду (PPS) на туннель, поддерживаемое единицей масштабирования VPN-шлюз. Для небольших размеров пакетов может наблюдаться снижение пропускной способности туннеля. Дополнительные сведения см. в статье о производительности VPN типа "сеть — сеть ".

Чтобы достичь максимальной пропускной способности VPN-туннеля, рассмотрите следующие оптимизации развертывания:

  • Разверните Брандмауэр Azure Premium вместо Брандмауэр Azure уровня "Стандартный" или Брандмауэр Azure "Базовый".
  • Убедитесь, что Брандмауэр Azure обрабатывает правило, которое разрешает трафик между конечными точками VPN-туннеля (192.168.1.4 и 192.168.1.5 в приведенном выше примере), сначала делая правило самым высоким приоритетом в политике Брандмауэр Azure. Для получения дополнительной информации о логике обработки правил Брандмауэр Azure см. в логике обработки правил Брандмауэр Azure.
  • Отключите глубокий пакет для трафика между конечными точками VPN-туннеля. Для получения информации о настройке Брандмауэр Azure для исключения трафика из глубокой проверки пакетов обратитесь к документации по списку обхода IDPS.
  • Настройте VPN-устройства для использования GCMAES256 для шифрования и целостности IPSEC для повышения производительности.

Чтобы достичь максимальной статистической пропускной способности, рассмотрим следующую оптимизацию:

  • Чтобы увеличить пропускную способность между одним локальным сайтом и Azure, создайте несколько туннелей между локальными устройствами и VPN-шлюз типа "сеть — сеть" в Виртуальная глобальная сеть. Убедитесь, что локальное VPN-устройство настроено для балансировки нагрузки трафика во всех активных туннелях.

Прямая маршрутизация к экземплярам NVA для двойной роли подключения и брандмауэрных NVA.

Примечание.

Прямая маршрутизация к NVA двойной роли, используемой с политиками частной маршрутизации в Виртуальная глобальная сеть, применяется только к трафику между виртуальными сетями и маршрутами, полученными через BGP от NVA, развернутой в узле Виртуальная глобальная сеть. Подключение ExpressRoute и VPN для транзитного подключения к локальной сети, связанной с NVA, не направляется напрямую к экземплярам NVA, а направляется через балансировщик нагрузки NVA двойного назначения.

Некоторые сетевые виртуальные устройства могут иметь возможности подключения (SD-WAN) и безопасности (NGFW) на одном устройстве. Эти NVAs считаются устройствами с двойной ролью. Проверьте, является ли ваш NVA двойной функцией NVA среди партнёров NVA.

Если политики частной маршрутизации настроены для NVAs с двойными ролями, Виртуальная глобальная сеть автоматически объявляет маршруты, полученные от этого устройства NVA центра Виртуальная глобальная сеть, как для прямого подключения к локальным виртуальным сетям, так и к другим виртуальным центрам в Виртуальная глобальная сеть, причём следующим прыжком будет экземпляр NVA, а не внутренний балансировщик нагрузки NVA.

Для конфигураций активно-пассивной NVA, где только один экземпляр NVA анонсирует маршрут для определенного префикса в Виртуальная глобальная сеть (или длина AS-PATH маршрутов, полученных из одного из экземпляров, всегда является самой короткой), Виртуальная глобальная сеть гарантирует, что весь исходящий трафик из Azure Virtual Network направляется к активному (или предпочтительному) экземпляру NVA.

Снимок экрана: шаблоны маршрутизации для активных и пассивных NVAs.

Для активно-активных конфигураций NVA (несколько экземпляров NVA объявляют один и тот же префикс с одной и той же длиной AS-PATH), Azure автоматически выполняет ECMP для маршрутизации трафика из Azure в локальную инфраструктуру. программная сетевая платформа Azure не гарантирует симметрию уровня потока, то есть поток входящего трафика для Azure и исходящий поток из Azure может приземлиться на разных экземплярах NVA. Это приводит к асимметричной маршрутизации, которая блокируется проверкой брандмауэра с учетом состояния. Поэтому не рекомендуется использовать шаблоны подключения active-active, при которых NVA выполняет двойную роль, если NVA не может поддерживать асимметричное перенаправление или совместное использование и синхронизацию сеансов. Дополнительные сведения о том, поддерживает ли NVA асимметричное перенаправление или синхронизацию состояния сеанса, можно получить, обратившись к поставщику NVA.

Снимок экрана, показывающий маршрутизацию для активных-активных сетевых виртуальных устройств.

Настройка намерения маршрутизации с помощью портала Azure

Политики маршрутизации и предпочтения маршрутизации можно настроить через портал Azure с использованием Диспетчер брандмауэра Azure или Виртуальная глобальная сеть portal. Портал Диспетчер брандмауэра Azure позволяет настроить политики маршрутизации с использованием ресурса следующего прыжка Брандмауэр Azure. Портал Виртуальная глобальная сеть позволяет настраивать политики маршрутизации с помощью ресурсов, таких как "Брандмауэр Azure", сетевые виртуальные устройства, развернутые в виртуальном концентраторе, или решения SaaS.

Клиенты, использующие Брандмауэр Azure в защищенном центре Виртуальная глобальная сеть, могут установить в Диспетчер брандмауэра Azure значение параметра "Включить межцентровое взаимодействие" на "Включено", чтобы использовать намерение маршрутизации, или воспользоваться порталом Виртуальная глобальная сеть для непосредственной настройки Брандмауэр Azure в качестве ресурса следующего узла для намерения маршрутизации. Конфигурации в любом интерфейсе портала эквивалентны и изменения в Диспетчер брандмауэра Azure автоматически отражаются на портале Виртуальная глобальная сеть и наоборот.

Настройка намерения маршрутизации и политик с помощью Диспетчер брандмауэра Azure

Ниже описано, как настроить намерения маршрутизации и политики маршрутизации в виртуальном концентраторе с помощью Диспетчер брандмауэра Azure. Диспетчер брандмауэра Azure поддерживает только ресурсы следующего прыжка типа Брандмауэр Azure.

  1. Перейдите к центру Виртуальная глобальная сеть, на который необходимо настроить политики маршрутизации.

  2. В разделе «Безопасность» выберите настройки защищенного виртуального узла (Secured Virtual Hub settings), и затем управляйте параметрами провайдера безопасности и маршрута для этого защищенного виртуального узла через Диспетчер брандмауэра Azure (Manage security provider and route settings for this Secured Virtual Hub in Диспетчер брандмауэра Azure). Снимок экрана: изменение защищенных параметров концентратора.

  3. Выберите в меню концентратор, в котором нужно настроить политики маршрутизации.

  4. Выберите пункт Конфигурация безопасности в разделе Параметры.

  5. Если вы хотите настроить политику маршрутизации трафика в Интернете, выберите Брандмауэр Azure или соответствующий поставщик интернет-безопасности в раскрывающемся списке для Internet Traffic. В противном случае выберите Нет.

  6. Если вы хотите настроить политику маршрутизации частного трафика (для ветви и трафика виртуальная сеть) через Брандмауэр Azure, выберите Брандмауэр Azure в раскрывающемся списке для Private Traffic. Если нет, выберите Bypass Брандмауэр Azure.

    Снимок экрана, иллюстрирующий настройку политик маршрутизации.

  7. Если вам нужно настроить политику маршрутизации частного трафика и у вас есть ветви или частные сети с несовместимыми с IANA RFC1918 префиксами, выберите Префиксы частного трафика и укажите диапазоны несовместимых с IANA RFC1918 префиксов в появившемся текстовом поле. Нажмите кнопку Готово. Кроме того, добавьте все диапазоны адресов, соответствующие делегированным подсетям для аппаратных служб (Azure NetApp Files, Oracle Database @ Azure или Nutanix NC2 cloud clusters), которые подключаются к Виртуальная глобальная сеть.

    Снимок экрана, иллюстрирующий редактирование префиксов частного трафика.

  8. Выберите для параметра Между концентраторами значение Включено. Включение этого параметра гарантирует применение политик маршрутизации к намерению маршрутизации этого центра Виртуальная глобальная сеть.

  9. Выберите Сохранить.

  10. Повторите шаги 2-8 для других защищенных Виртуальная глобальная сеть концентраторов, для которого требуется настроить политики маршрутизации.

  11. Теперь все готово для отправки тестового трафика. Убедитесь, что политики брандмауэра настроены соответствующим образом, чтобы разрешить или запретить трафик на основе нужных конфигураций безопасности.

Настройка намерений и политик маршрутизации с помощью портала Виртуальная глобальная сеть

Ниже описано, как настроить намерения маршрутизации и политики маршрутизации на виртуальном концентраторе с помощью портала Виртуальная глобальная сеть.

  1. На пользовательском портале, предоставленном в сообщении с подтверждением на шаге 3, в разделе Prerequisites перейдите к центру Виртуальная глобальная сеть, на который необходимо настроить политики маршрутизации.

  2. В разделе "Маршрутизация" выберите Политики маршрутизации.

    Снимок экрана: переход к политикам маршрутизации.

  3. Если вы хотите настроить политику маршрутизации частного трафика (для ветви и трафика виртуальная сеть), выберите Брандмауэр Azure, Network Virtual Appliance или SaaS в Private Traffic. В разделе "Ресурс следующего прыжка" выберите соответствующий ресурс следующего прыжка.

    Снимок экрана: настройка политик частной маршрутизации NVA.

  4. Если вам нужно настроить политику маршрутизации частного трафика и у вас есть ветви или частные сети с несовместимыми с IANA RFC1918 префиксами, выберите Дополнительные префиксы и укажите диапазоны несовместимых с IANA RFC1918 префиксов в появившемся текстовом поле. Нажмите кнопку Готово. Убедитесь, что вы добавили один и тот же префикс в текстовое поле префикса частного трафика во всех виртуальных концентраторах, настроенных с помощью политик частной маршрутизации, чтобы убедиться, что правильные маршруты объявляются всем концентраторам.

    Снимок экрана: настройка дополнительных частных префиксов для политик маршрутизации NVA.

  5. Если вы хотите настроить политику маршрутизации Интернет-трафика, выберите Брандмауэр Azure, Network Virtual Appliance или SaaS решение. В разделе "Ресурс следующего прыжка" выберите соответствующий ресурс следующего прыжка.

    Снимок экрана: настройка политик общедоступной маршрутизации для NVA.

  6. Чтобы применить конфигурацию намерений маршрутизации и политик маршрутизации, щелкните Сохранить.

    Снимок экрана: сохранение конфигураций политик маршрутизации.

  7. Повторите для всех концентраторов, для которых вы хотите настроить политики маршрутизации.

  8. Теперь все готово для отправки тестового трафика. Убедитесь, что политики брандмауэра настроены соответствующим образом, чтобы разрешить или запретить трафик на основе требуемых конфигураций безопасности.

Настройка намерения маршрутизации с помощью файла Bicep

Дополнительные сведения о шаблоне и шагах см. в файле Bicep.

Устранение неполадок

В следующем разделе описаны распространенные способы устранения неполадок при настройке намерения маршрутизации и политик в центре Виртуальная глобальная сеть.

Фактические маршруты

Примечание.

Получение эффективных маршрутов, применяемых к ресурсам следующего перехода в рамках намерения маршрутизации Виртуальная глобальная сеть, поддерживается только для ресурса следующего перехода, указанного в политике частной маршрутизации. Если вы используете политики частной и интернет-маршрутизации, проверьте действующие маршруты на ресурсе следующего перехода, указанном в политике частной маршрутизации, для эффективных маршрутов, определяемых программой Виртуальная глобальная сеть в рамках политики интернет-маршрутизации на ресурсе следующего перехода. Если вы используете только политики интернет-маршрутизации, проверьте эффективные маршруты в таблице маршрутов по умолчанию, чтобы просмотреть маршруты, запрограммированные на ресурс следующего узла маршрутизации в Интернете.

При настройке политик частной маршрутизации в Виртуальном концентраторе все трафик между локальными и виртуальными сетями проверяются Брандмауэр Azure, сетевым виртуальным устройством или решением SaaS в виртуальном концентраторе.

Таким образом, эффективные маршруты таблицы маршрутов по умолчанию показывают RFC1918 агрегированные префиксы (10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12) со следующим переходом через Брандмауэр Azure или сетевой виртуальной аплансы. Это отражает, что весь трафик между виртуальными сетями и ветвями направляется в Брандмауэр Azure, NVA или решение SaaS в центре для проверки.

Снимок экрана: действующие маршруты для defaultRouteTable.

После того как брандмауэр проверит пакет и его пропуск будет разрешен согласно конфигурации правила брандмауэра, Виртуальная глобальная сеть перенаправит пакет в его конечное место назначения. Чтобы узнать, какие маршруты Виртуальная глобальная сеть используются для пересылки проверенных пакетов, просмотрите эффективную таблицу маршрутов брандмауэра или виртуального сетевого устройства.

Снимок экрана с эффективными маршрутами для Брандмауэр Azure.

Таблица эффективных маршрутов брандмауэра помогает сузить и изолировать проблемы в сети, такие как неправильные настройки или проблемы с определенными ветвями и виртуальными сетями.

Устранение проблем с конфигурацией

Если вы устраняете неполадки конфигурации, рассмотрите следующие моменты:

  • Убедитесь, что у вас нет пользовательских таблиц маршрутов или статических маршрутов в "defaultRouteTable" с подключением через виртуальная сеть в качестве следующего прыжка.
    • Параметр настройки намерения маршрутизации неактивен на портале Azure, если развертывание не соответствует приведенным выше требованиям.
    • Если вы используете CLI, PowerShell или REST, операция создания намерения маршрутизации завершается сбоем. Удалите неудачное намерение маршрутизации, удалите пользовательские таблицы маршрутов и статические маршруты, а затем попробуйте создать их заново.
    • Если вы используете Диспетчер брандмауэра Azure, убедитесь, что существующие маршруты в defaultRouteTable называются private_traffic, internet_traffic или all_traffic. Опция настройки маршрутизации (включение взаимодействия между узлами) неактивна, если маршруты названы по-разному.
  • После настройки намерения маршрутизации в концентраторе убедитесь, что все обновления существующих подключений или новые подключения к концентратору создаются с пустыми необязательными полями ассоциированной и распространяемой таблицы маршрутов. Настройка необязательных связей и распространения как пустых выполняется автоматически для всех операций, выполняемых с помощью портала Azure.
  • Намерение маршрутизации поддерживает два разных режима доступа к Интернету. Проверьте правильную конфигурацию, чтобы использовать режим принудительного туннеля , если требуется, чтобы решение для безопасности перенаправляло интернет-трафик в локальную среду для проверки.

Устранение неполадок в передаче данных

Если вы уже ознакомились с разделом "Известные ограничения", ниже приведены некоторые способы устранения неполадок с подключениями и передачей данных.

  • Устранение неполадок с действующими маршрутами:
    • Если политики частной маршрутизации настроены, вы должны увидеть маршруты с брандмауэром следующего прыжка в эффективных маршрутах defaultRouteTable для агрегатов RFC1918 (10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12), а также любые префиксы, указанные в текстовом поле частного трафика. Убедитесь, что все префиксы виртуальной сети и локальных сетей являются подсетями в статических маршрутах в defaultRouteTable. Если локальная сеть или виртуальная сеть использует адресное пространство, которое не является подсетью в таблице маршрутов defaultRouteTable, добавьте префикс в поле ввода для частного трафика.
    • Если политики маршрутизации интернет-трафика настроены, в эффективных маршрутах таблицы маршрутов по умолчанию должен отображаться маршрут (0.0.0.0/0).
    • Убедившись, что действующие маршруты defaultRouteTable имеют правильные префиксы, просмотрите эффективные маршруты сетевого виртуального устройства или Брандмауэр Azure. Действующие маршруты брандмауэра показывают, какие маршруты Виртуальная глобальная сеть выбраны и определяют, в какие назначения брандмауэр может пересылать пакеты. Определение отсутствующих или находящихся в неправильном состоянии префиксов помогает сузить проблемы с путем к данным и указать на правильное подключение VPN, ExpressRoute, NVA или BGP для устранения неполадок.
  • Устранение неполадок, связанных с сценарием:
    • Если у вас есть незащищенный концентратор (концентратор без Брандмауэр Azure или NVA) в Виртуальная глобальная сеть, убедитесь, что подключения к незащищенным концентраторам распространяются в таблицу маршрутов по умолчанию концентраторов с настроенной маршрутизацией. Если для распространения не задано значение defaultRouteTable, подключения к защищенному концентратору не смогут отправлять пакеты в незащищенный концентратор.
    • Если у вас настроены политики маршрутизации Интернета, убедитесь, что параметр "Распространение маршрута по умолчанию" или параметр "Включить интернет-безопасность" имеет значение true для всех подключений, которые должны узнать маршрут по умолчанию 0.0.0.0/0. Подключения, в которых этот параметр имеет значение false, не изучат маршрут 0.0.0.0/0, даже если настроены политики маршрутизации Интернета.
    • Если вы используете частные конечные точки, развернутые в виртуальных сетях, подключенных к виртуальному концентратору, то трафик из локальной сети, направляемый к частным конечным точкам, развернутым в виртуальных сетях, подключенных к концентратору виртуальной WAN-сети, по умолчанию обходит следующую заданную точку маршрутизации, такую как Брандмауэр Azure, NVA или SaaS. Однако это приводит к асимметричной маршрутизации (из-за которой возможен разрыв связи между локальными и частными конечными точками), поскольку частные конечные точки в периферийных виртуальных сетях направляют локальный трафик к брандмауэру. Чтобы обеспечить симметричную маршрутизацию, включите политики сети таблицы маршрутизации для частных конечных точек в подсетях, где развертываются частные конечные точки. Настройка маршрутов /32, соответствующих частным IP-адресам частной конечной точки в текстовом поле "Частный трафик", не гарантирует симметрию трафика при настройке политик частной маршрутизации в концентраторе.
    • Если вы используете Encrypted ExpressRoute с политиками частной маршрутизации, убедитесь, что ваше устройство брандмауэра имеет правило, настроенное для разрешения трафика между конечной точкой частного IP-туннеля шлюза Site-to-Site VPN в Виртуальная глобальная сеть и локальным VPN-устройством. Пакеты ESP (зашифрованные внешние) должны регистрироваться в журналах Брандмауэр Azure. Дополнительные сведения о Encrypted ExpressRoute с маршрутизацией по назначению см. в документации по Encrypted ExpressRoute.
    • Если вы используете пользовательские таблицы маршрутов в периферийных виртуальных сетях, убедитесь, что параметр "Распространение маршрутов шлюза" имеет значение "Да" в таблице маршрутов. Необходимо включить "Распространение маршрутов шлюза" в Виртуальная глобальная сеть, чтобы анонсировать маршруты для рабочих нагрузок, развернутых в периферийных виртуальных сетях, подключенных к Виртуальная глобальная сеть. Для получения дополнительной информации о параметрах таблицы маршрутов, определяемых пользователем, см. документацию по маршрутизации в виртуальная сеть.
    • Если вы используете услуги без программного обеспечения, например, Azure NetApp Files, Nutanix Cloud Clusters (NC2) или Oracle Database@Azure, убедитесь, что точный (или более конкретный) диапазон CIDR, соответствующий делегированным подсетям bare-metal, добавлен как дополнительные поля текстового ввода для префиксов частного трафика. Эта конфигурация необходима для локального трафика, предназначенного для делегированных подсетей bare-metal, которые будут проверяться ресурсом следующего хопа, указанным в частной политике маршрутизации намерения маршрутизации.

Устранение неполадок с маршрутизацией Брандмауэр Azure

  • Убедитесь, что состояние развертывания Брандмауэр Azure успешно перед попыткой настроить маршрутизацию.
  • Если вы используете отличные от IANA RFC1918 префиксы в ветвях или виртуальных сетях, убедитесь, что вы указали эти префиксы в текстовом поле «Частные префиксы». Настроенные "Частные префиксы" не распространяются автоматически на другие узлы в Виртуальная глобальная сеть, который был настроен с намерением маршрутизации. Чтобы обеспечить подключение, добавьте эти префиксы в текстовое поле "Частные префиксы" в каждом отдельном концентраторе с намерением маршрутизации.
  • Если в текстовом поле Префиксы частного трафика в Диспетчере брандмауэра указаны адреса, отличные от RFC1918, может потребоваться настроить в брандмауэре политики SNAT, которые отключают SNAT для частного трафика с адресами, несовместимыми с RFC1918. Для получения дополнительной информации см. диапазоны SNAT Брандмауэр Azure.
  • Настройте и просмотрите журналы Брандмауэр Azure для устранения неполадок и анализа сетевого трафика. Дополнительные сведения о настройке мониторинга для Брандмауэр Azure см. в разделе Диагностика Брандмауэр Azure. Общие сведения о различных типах журналов брандмауэра см. в разделе Брандмауэр Azure журналы и метрики.
  • Дополнительные сведения о Брандмауэр Azure см. в документации Брандмауэр Azure.

Устранение неполадок с виртуальными сетевыми модулями

  • Убедитесь, что состояние развертывания сетевого виртуального устройства успешно завершено прежде чем пытаться настроить направленность маршрутизации.
  • Если вы используете префиксы, отличные от префиксов IANA RFC1918 в подключенных локальных или виртуальных сетях, убедитесь, что эти префиксы указаны в поле "Частные префиксы". Настроенные "Частные префиксы" не распространяются автоматически на другие узлы в Виртуальная глобальная сеть, который был настроен с намерением маршрутизации. Чтобы обеспечить подключение, добавьте эти префиксы в текстовое поле "Частные префиксы" в каждом отдельном концентраторе с намерением маршрутизации.
  • Если вы указали адреса, не являющиеся RFC1918, в текстовом поле префиксов частного трафика, может потребоваться настроить политики SNAT в NVA, чтобы отключить SNAT для определенного частного трафика, не являющегося RFC1918.
  • Проверьте журналы брандмауэра NVA, чтобы узнать, блокируется или отклоняется ли трафик вашими правилами брандмауэра.
  • Обратитесь к поставщику NVA для получения дополнительной поддержки и рекомендаций по устранению неполадок.

Устранение неполадок программного обеспечения как службы

  • Убедитесь, что состояние подготовки решения SaaS выполнено успешно, прежде чем пытаться настроить параметры маршрутизации.
  • Дополнительные советы по устранению неполадок см. в разделе об устранении неполадок в документации Виртуальная глобальная сеть или см. в документации Palo Alto Networks Cloud NGFW.

Следующие шаги

Дополнительные сведения см. в статье Сведения о маршрутизации виртуальных концентраторов. Дополнительные сведения о Виртуальная глобальная сеть см. в разделе FAQ.