Forgatókönyv: BGP-társviszony-létesítés virtuális központtal

Az Azure Virtual WAN hub útválasztó, más néven virtuális központ útválasztója útvonalkezelőként működik, és egyszerűsíti a virtuális központokon belüli és a virtuális központok közötti útválasztási műveleteket. Más szóval a virtuális központ útválasztója a következőket teszi:

• Leegyszerűsíti az útválasztás kezelését azáltal, hogy a központi útválasztási motor olyan átjárókkal beszél, mint a VPN, az ExpressRoute, a P2S és a Hálózati virtuális berendezések (NVA).
• Lehetővé teszi az egyéni útvonaltáblák, társítások és útvonalak propagálásának előzetes útválasztási forgatókönyveit.
• Útválasztóként működik a virtuális központhoz csatlakoztatott virtuális hálózatok közötti vagy azokba irányuló forgalom átviteléhez.

A virtuális központ útválasztója mostantól lehetővé teszi a társviszony-létesítést is, így az útválasztási információkat közvetlenül a Border Gateway Protocol (BGP) útválasztási protokollon keresztül adja át. A virtuális központhoz csatlakoztatott virtuális hálózatban kiépített NVA- vagy BGP-végpontok közvetlenül társviszonyt létesíthetnek a virtuális központ útválasztójával, ha támogatják a BGP útválasztási protokollt, és biztosítják, hogy az NVA-n az ASN beállítása eltér a virtuális központ ASN-jétől.

Előnyök és szempontok

Fő előnyök

• A virtuális hálózati címek frissítésekor már nem kell manuálisan frissítenie az útválasztási táblát az NVA-n.
• Többé nem kell manuálisan frissítenie a felhasználó által megadott útvonalakat, amikor az NVA új útvonalakat jelent be, vagy visszavonja a régieket.
• A virtuális központhoz csatlakoztatott virtuális hálózatok NVA-jai elsajátíthatják a virtuális központ átjáróinak (VPN, ExpressRoute vagy felügyelt NVA) útvonalait.
• Az NVA több példányát is társviszonyba helyezheti egy virtuális központ útválasztójával. BGP-attribútumokat konfigurálhat az NVA-ban, és a kialakítástól függően (aktív-aktív vagy aktív-passzív) tudathatja a virtuális központ útválasztóval, hogy melyik NVA-példány aktív vagy passzív.

Megfontolások

• A virtuális központ útválasztója csak közvetlenül csatlakoztatott virtuális hálózatokon üzembe helyezett NVA-kkal társítható.

  • A helyszíni NVA és a virtuális központ útválasztója közötti BGP-társviszony konfigurálása nem támogatott.
  • Az Azure Route Server és a virtuális központ útválasztója közötti BGP-társviszony konfigurálása nem támogatott.

• A virtuális központ útválasztója csak a 16 bites (2 bájtos) ASN-t támogatja.

• Az NVA BGP kapcsolati végponttal rendelkező virtuális hálózati kapcsolatot mindig társítani kell, és a defaultRouteTable-ba kell propagálást végezni. Az egyéni útvonaltáblák jelenleg nem támogatottak.

• A virtuális központ útválasztója támogatja a virtuális központokhoz csatlakoztatott virtuális hálózatok közötti tranzitkapcsolatot. Ennek semmi köze ehhez a BGP-társviszony-létesítési funkcióhoz, mivel a Virtual WAN már támogatja az átviteles kapcsolatot. Példák:

  • VNET1: A Virtual Hub 1-hez csatlakoztatott NVA1 –> (átviteli kapcsolat) –> VNET2: NVA2 a Virtual Hub 1-hez csatlakoztatva.
  • VNET1: A Virtual Hub 1-hez csatlakoztatott NVA1 –> (átviteli kapcsolat) –> VNET2: NVA2 a Virtual Hub 2-hez csatlakoztatva.

• A hálózati virtuális berendezésben saját nyilvános ASN-eket vagy privát ASN-eket használhat. Az Azure vagy az IANA által fenntartott tartományok nem használhatók. A következő ASN-eket az Azure vagy az IANA fenntartja:

  • Az Azure által fenntartott ASN-ek:
    • Nyilvános ASN-ek: 8074, 8075, 12076
    • Privát ASN-ek: 65515, 65517, 65518, 65519, 65520
  • AZ IANA által fenntartott ASN-k: 23456, 64496-64511, 65535-65551

• Bár a virtuális központ útválasztója BGP-útvonalakat cserél az NVA-val, és propagálja őket a virtuális hálózatra, közvetlenül megkönnyíti az útvonalak propagálását a helyszíni helyekről a virtuális központ által üzemeltetett átjárókon keresztül (VPN-átjárók/ExpressRoute-átjárók/felügyelt NVA-átjárók).

• A BGP-társviszony-létesítés csak olyan IP-címmel támogatott, amely az NVA egy felületéhez van hozzárendelve. A visszacsatolásokkal való társviszony-létesítés nem támogatott.

  A virtuális központ útválasztója a következő korlátozásokkal rendelkezik:

  Erőforrás	Korlát
  Az egyes BGP-társ által a virtuális központban meghirdethető útvonalak száma.	A központ legfeljebb 10 000 útvonalat (összesen) fogad el a csatlakoztatott erőforrásokból. Ha például egy virtuális központ összesen 6000 útvonallal rendelkezik a csatlakoztatott virtuális hálózatokból, ágakból, virtuális központokból stb., akkor ha egy új BGP-társviszony-létesítést konfigurál egy NVA-val, az NVA csak legfeljebb 4000 útvonalat tud meghirdetni.
  BGP-társviszonyok száma	Egy virtuális WAN-központhoz legfeljebb 8 BGP-társ csatlakoztatható

• Az NVA-ból a virtuális hálózat címterénél pontosabb útvonalakat a rendszer nem propagálja tovább a helyszínire, ha a virtuális központban BGP-n keresztül hirdetik meg.

• Jelenleg csak 4000 útvonalat támogatunk az NVA-tól a virtuális központig.

• A virtuális hálózaton a virtuális központhoz közvetlenül csatlakozó címekre irányuló forgalom nem konfigurálható úgy, hogy az NVA-n keresztül a központ és az NVA közötti BGP-társviszony használatával haladjon át. Ennek az az oka, hogy a virtuális központ automatikusan megismeri a küllős virtuális hálózat címeivel társított rendszerútvonalakat a küllős virtuális hálózatban a küllős virtuális hálózati kapcsolat létrehozásakor. Ezek az automatikusan megtanult rendszerútvonalak előnyben részesítik a központ által a BGP-vel tanult útvonalakat.

• A küllős virtuális hálózaton lévő NVA és egy biztonságos virtuális központ (integrált biztonsági megoldással rendelkező központ) közötti BGP-társviszony akkor támogatott, ha az útválasztási szándék a központban van konfigurálva. A BGP társviszony-létesítési funkció nem támogatott olyan biztonságos virtuális központok esetében, ahol az útválasztási szándék nincs konfigurálva.

• Ahhoz, hogy az NVA vpn- és ER-kapcsolattal rendelkező helyekkel válthasson útvonalakat, be kell kapcsolni az ág-ág-útválasztást.

• A BGP-társviszony központtal való konfigurálásakor két IP-cím jelenik meg. Mindkét címmel társviszony-létesítés szükséges. Ha nem társviszonyt létesít mindkét címmel, az útválasztási problémákat okozhat. Ugyanezeket az útvonalakat mindkét címen meg kell hirdetni. A különböző útvonalak meghirdetése útválasztási problémákat fog okozni.

• Az NVA-ból a virtuális központ útvonalkiszolgálójára meghirdetett útvonalak következő ugrási IP-címének meg kell egyeznie az NVA IP-címével, a BGP-társon konfigurált IP-címmel. A következő ugrásként meghirdetett másik IP-cím jelenleg nem támogatott a Virtual WAN esetében.

BGP-társviszony-létesítési forgatókönyvek

Ez a szakasz azokat a forgatókönyveket ismerteti, amelyekben a BGP társviszony-létesítési funkció használható az útválasztás konfigurálásához.

Átviteli virtuális hálózat kapcsolata

Ebben a forgatókönyvben az "1. központ" nevű virtuális központ több virtuális hálózathoz csatlakozik. A cél a VNET1 és a VNET5 virtuális hálózatok közötti útválasztás létrehozása.

Konfigurációs lépések BGP-társviszony-létesítés nélkül

A következő lépésekre van szükség, ha a BGP-társviszony-létesítést nem használják a virtuális központban:

Virtuális központ konfigurálása

• A Hub 1 defaultRouteTable lapján konfigurálja a VNET5 statikus útvonalát (10.2.1.0/24-es alhálózat) a VNET2-kapcsolatra mutatva.
• A Hub 1 virtuális hálózati kapcsolatán a VNET2-hez konfigurálja a VNET5 statikus útvonalát, amely a VNET2 NVA IP-címre mutat (10.2.0.5 alhálózat).
• Az 1. központban propagálja az útvonalakat a VNET1 és a VNET2 kapcsolatokból az alapértelmezettRouteTable-ba, és társítsa őket az alapértelmezettRouteTable-hoz.

Virtuális hálózati konfiguráció

• A VNET5-ben állítson be egy felhasználó által definiált útvonalat (UDR) a VNET2 NVA IP-címre mutatva.

Konfigurációs lépések a BGP-társviszony-létesítéssel

Az előző konfigurációban a statikus útvonalak és az UDR karbantartása összetettsé válhat, ha a VNET5 konfigurációja gyakran változik. A probléma megoldásához a BGP-társviszony egy virtuális központ funkcióval használható, és az útválasztási konfigurációt a következő lépésekre kell módosítani:

Virtuális központ konfigurálása

• Az 1. központban konfigurálja a VNET2 NVA-t BGP-társként. Emellett konfigurálja a VNET2 NVA-t úgy, hogy BGP-társviszonyt létesítsen az 1. központtal.
• Az 1. központban propagálja az útvonalakat a VNET1 és a VNET2 kapcsolatokból az alapértelmezettRouteTable-ba, és társítsa őket az alapértelmezettRouteTable-hoz.

Virtuális hálózati konfiguráció

• A VNET5-ben állítson be egy felhasználó által definiált útvonalat (UDR) a VNET2 NVA IP-címre mutatva.

Érvényes útvonalak

Az alábbi táblázat néhány bejegyzést mutat be az 1. központ érvényes útvonalaiból az defaultRouteTable alkalmazásban. Figyelje meg, hogy a VNET5 útvonala (10.2.1.0/24 alhálózat), és ez megerősíti, hogy a VNET1 és a VNET5 képes lesz kommunikálni egymással.

Ha így konfigurálja az útválasztást a funkcióval, nincs szükség statikus útvonalbejegyzésekre a virtuális központban. Ezért a konfiguráció egyszerűbb, és az útvonaltáblák dinamikusan frissülnek, amikor a csatlakoztatott virtuális hálózatok (például a VNET5) konfigurációja megváltozik.

Fiók virtuális hálózatának kapcsolata

Ebben a forgatókönyvben az "NVA 1. ág" nevű helyszíni hely rendelkezik egy VPN-sel, amely úgy van konfigurálva, hogy a VNET2 NVA-n leálljon. A cél az 1. NVA-ág és a VNET1 virtuális hálózat közötti útválasztás konfigurálása.

Konfigurációs lépések BGP-társviszony-létesítés nélkül

A következő lépésekre van szükség, ha a BGP-társviszony-létesítést nem használják a virtuális központban:

Virtuális központ konfigurálása

• A Hub 1 defaultRouteTable-ján konfigurálja az NVA 1. ágának statikus útvonalát, amely a VNET2-kapcsolatra mutat.
• A Hub 1 virtuális hálózati kapcsolatán a VNET2-hez konfigurálja az 1. NVA-ág statikus útvonalát, amely a VNET2 NVA IP-címre mutat (10.2.0.5).
• Az 1. központban propagálja az útvonalakat a VNET1 és a VNET2 kapcsolatokból a defaultRouteTable-ba, és társítsa őket a defaultRouteTable-hoz.

Virtuális hálózati konfiguráció

• BGP-társviszony a VNET2 NVA és az NVA 1. ága között, és a VNET1-hez tartozó hirdetések átirányítása a VNET2 NVA-ból az 1. NVA-ágba.

Konfigurációs lépések a BGP-társviszony-létesítéssel

Idővel az 1. NVA-ág célelőtagja megváltozhat, vagy számos olyan hely lehet, mint például az 1. NVA-ág, amelyeknek csatlakozniuk kell a VNET1-hez. Ez azt eredményezné, hogy a Hub 1 és a VNET2 kapcsolat statikus útvonalainak frissítésére lenne szükség, ami nehézkes lehet. Ilyen esetekben használhatjuk a BGP-társviszonyt egy virtuális központ szolgáltatással, és az útválasztási kapcsolat konfigurációs lépései az alábbiak szerint történnek.

Virtuális központ konfigurálása

• Az 1. központban konfigurálja a VNET2 NVA-t BGP-társként. Emellett konfigurálja a VNET2 NVA-t úgy, hogy BGP-társviszonyt létesítsen az 1. központtal.
• Az 1. központban propagálja az útvonalakat a VNET1 és a VNET2 kapcsolatokból a defaultRouteTable-ba, és társítsa őket a defaultRouteTable-hoz.

Virtuális hálózati konfiguráció

• BGP-társviszony a VNET2 NVA és az NVA 1. ága között, és a VNET1-hez tartozó hirdetések átirányítása a VNET2 NVA-ból az 1. NVA-ágba.

Érvényes útvonalak

Az alábbi táblázat néhány bejegyzést mutat be az 1. központ érvényes útvonalaiból az defaultRouteTable alkalmazásban. Figyelje meg, hogy az 1. NVA-ág (192.168.1.0/24 alhálózat) útvonala az NVA-val való BGP-társviszonyon keresztül tanulható meg.

Az 1. NVA-ág hálózati változásainak kezeléséhez vagy az új helyek( például az 1. NVA-ág) közötti kapcsolat kialakításához nincs szükség további konfigurációra az 1. központban, mert az 1. központ és az NVA közötti BGP-társviszony dinamikusan frissíti az útvonaltáblákat. A konfiguráció és a karbantartás tehát egyszerűbb.

Következő lépések

• BGP-társviszony konfigurálása virtuális központtal.