Hálózatok közötti forgalomirányítás az SDN-infrastruktúrábanRoute traffic across networks in the SDN infrastructure

Fontos

A Virtual Machine Manager (VMM) ezen verziója elérte a támogatás végét, javasoljuk, hogy frissítsen a VMM 2019-re.This version of Virtual Machine Manager (VMM) has reached the end of support, we recommend you to upgrade to VMM 2019.

Ez a cikk azt ismerteti, hogyan irányíthatja át a forgalmat a hálózatokon a System Center Virtual Machine Manager (VMM) hálóban beállított, szoftveres hálózati (SDN) infrastruktúrában.This article describes how to route traffic across networks in a software-defined network (SDN) infrastructure set up in the System Center Virtual Machine Manager (VMM) fabric.

Az SDN RAS-átjáró lehetővé teszi a hálózati forgalom továbbítását a fizikai és a virtuális hálózatok között, függetlenül attól, hogy hol találhatók az erőforrások.An SDN RAS gateway enables you to route network traffic between physical and virtual networks, regardless of where the resources are located. Az SDN RAS-átjáró több-bérlős, a Boarder Gateway Protocol (BGP) képes és támogatja a kapcsolódást a helyek közötti virtuális magánhálózat (VPN) használatával az IPsec vagy az általános útválasztási beágyazás (GRE) vagy a 3. réteg továbbításának használatával.SDN RAS gateway is multitenant, Boarder Gateway Protocol (BGP) capable and supports connectivity using Site-to-Site virtual private network (VPN) using IPsec or Generic Routing Encapsulation (GRE) or Layer 3 Forwarding. További információ.Learn more.

Megjegyzés

  • A VMM 2019 UR1 az egyik csatlakoztatott hálózati típust csatlakoztatott hálózatként változtatja meg.From VMM 2019 UR1, One Connected network type is changed as Connected Network.
  • A VMM 2019 UR2 és újabb verziója támogatja az IPv6 protokollt.VMM 2019 UR2 and later supports IPv6.

ElőkészületekBefore you start

Ellenőrizze a következőket:Ensure the following:

Helyek közötti VPN-kapcsolatok konfigurálása a VMM használatávalConfigure Site-to-Site VPN connections using VMM

A helyek közötti VPN-kapcsolat lehetővé teszi, hogy az Internet használatával biztonságosan összekapcsolja a különböző fizikai helyeken található két hálózatot.A site-to-site VPN connection allows you to securely connect two networks at different physical locations by using Internet.

A számos bérlőt üzemeltető felhőalapú szolgáltatók (CSP-EK) esetében az SDN RAS Gateway egy több-bérlős átjárót biztosít, amely lehetővé teszi a bérlők számára, hogy a távoli helyekről származó, helyek közötti VPN-kapcsolatokon keresztül hozzáférjenek és kezelhesse erőforrásaikat, ami viszont lehetővé teszi a hálózati forgalmat az adatközpontban és a fizikai hálózatban lévő virtuális erőforrások között.For Cloud Service Providers (CSPs) that host many tenants in their datacenter, SDN RAS gateway provides a multi-tenant gateway solution that allows your tenants to access and manage their resources over Site-to-Site VPN connections from remote sites, which in turn allows network traffic between virtual resources in your datacenter and their physical network.

A helyek közötti VPN-kapcsolat IPv6-ának engedélyezéséhez az útválasztási alhálózatnak IPv4-és IPv6-alapúnak kell lennie.To enable IPv6 for site-to-site VPN connection, routing subnet must be both IPv4 and IPv6. Az átjáró IPv6-ban való működéséhez adjon meg egy pontosvesszővel (;) elválasztott IPv4-és IPv6-címeket, és adjon meg IPv6-címet a távoli végponton.For gateway to work in IPv6, provide IPv4 and IPv6 addresses separated by semicolon (;) and provide IPv6 address in the remote endpoint. Például 192.0.2.1/23; 2001:0db8:85a3:0000:0000:8a2e: 0370::/64.For example, 192.0.2.1/23;2001:0db8:85a3:0000:0000:8a2e:0370::/64.

IPv6 engedélyezése

IPSec-kapcsolatok konfigurálásaConfigure IPSec connection

Kövesse az alábbi eljárást:Use the following procedure:

  1. Válassza ki azt a virtuálisgép-hálózatot, amelyhez a helyek közötti IPSec-kapcsolatot konfigurálni szeretné, majd kattintson a kapcsolat elemre.Select the VM Network that you want to configure a Site-to-Site IPSec connection, and click Connectivity.
  2. Válassza a Csatlakozás másik hálózathoz egy VPN-alagúton keresztül lehetőséget.Select Connect to another network through a VPN tunnel. Ha engedélyezni szeretné a BGP-társviszonyt az adatközpontjában, válassza ki A Border Gateway Protocol (BGP) engedélyezése beállítást.Optionally, to enable BGP peering in your datacenter, select Enable Border Gateway Protocol (BGP).
  3. Válassza ki a hálózatvezérlő szolgáltatást az átjáróeszköz számára.Select the network controller service for the gateway device.
  4. Válassza a VPN-kapcsolatok > Hozzáadás > IPsec-alagút hozzáadása lehetőséget.Select the VPN Connections > Add > Add IPSec Tunnel.
  5. Adjon meg egy alhálózatot az alábbi ábrán látható módon.Type a subnet as shown in the following diagram. Ez az alhálózat végzi a virtuálisgép-hálózatot elhagyó adatcsomagok útválasztását.This subnet is used to route packets out of the VM Network. Ezt az alhálózatot nem szükséges előzetesen konfigurálni az adatközpontban.You do not need to pre-configure this subnet in your datacenter. helyek közötti VPNsite to site VPN
  6. Adja meg a kapcsolatok nevét és a távoli végpont IP-címét.Type a name for the connection, and the IP address of the remote endpoint. Igény szerint állítsa be a sávszélességet.Optionally, configure the bandwidth.
  7. A Hitelesítés területen válassza ki a használni kívánt hitelesítés típusát.In Authentication, select the type of authentication you want to use. Ha a hitelesítést egy futtató fiókkal szeretné végezni, hozzon létre egy felhasználói fiókot egy felhasználónévvel, és a fiók jelszavaként használja az IPSec-kulcsot.If you choose to authenticate by using a Run as account, create a user account with a user name, and the IPSec key as the password for the account.
  8. Az Útvonalak területen írja be az összes távoli alhálózatot, amelyhez csatlakozni kíván.In Routes, type all the remote subnets that you want to connect to. Ha a kapcsolat lapon a BORDER Gateway Protocol engedélyezése (BGP) lehetőséget választotta, az útvonalak nem szükségesek.If you have selected Enable Border Gateway Protocol (BGP) in the Connectivity page, routes are not required.
  9. A Speciális lapon fogadja el az alapértelmezett beállításokat.On the Advanced tab, accept the default settings.
  10. Ha a kapcsolat lapon a Border Gateway Protocol engedélyezése (BGP) lehetőséget választotta, akkor kitöltheti az ASN, társ BGP IP-címét és az ASN-t a Border Gateway Protocol varázsló lapján az alábbi ábrán látható módon:  BGP engedélyezéseIf you have selected Enable Border Gateway Protocol (BGP) in the Connectivity page, then you can fill out your ASN, peer BGP IP, and its ASN on the Border Gateway Protocol wizard page as shown below: enable bgp
  11. A kapcsolódás ellenőrzéséhez próbálja pingelni a távoli végpont IP-címét a virtuálisgép-hálózat egyik virtuális gépén.To validate the connection, try to ping the remote endpoint IP address from one of the virtual machines on your VM network.

GRE-bújtatás konfigurálásaConfigure GRE tunneling

A GRE-alagutak lehetővé teszik a bérlői virtuális hálózatok és a külső hálózatok közötti kapcsolatot.GRE tunnels enable connectivity between tenant virtual networks and external networks. Mivel a GRE protokoll egyszerűsített és a GRE támogatása a legtöbb hálózati eszközön elérhető, ideális választás az olyan bújtatáshoz, ahol nem szükséges az adattitkosítás.Since the GRE protocol is lightweight and support for GRE is available on most of the network devices, it becomes an ideal choice for tunneling where encryption of data is not required. A S2S-alagutakban a GRE-támogatás a bérlői virtuális hálózatok és a bérlői külső hálózatok közötti forgalom továbbítását teszi lehetővé.GRE support in Sit-to-Site (S2S) tunnels facilitates traffic forwarding between tenant virtual networks and tenant external networks.

Kövesse az alábbi eljárást:Use the following procedure:

  1. Válassza ki azt a virtuálisgép-hálózatot, ahol a S2S GRE-kapcsolatot konfigurálni szeretné, majd kattintson a kapcsolat elemre.Select the VM network where you want to configure a S2S GRE connection, and click Connectivity.
  2. Válassza a Csatlakozás másik hálózathoz egy VPN-alagúton keresztül lehetőséget.Select Connect to another network through a VPN tunnel. Ha engedélyezni szeretné a BGP-társviszonyt az adatközpontjában, válassza ki A Border Gateway Protocol (BGP) engedélyezése beállítást.Optionally, to enable BGP peering in your datacenter, select Enable Border Gateway Protocol (BGP).
  3. Válassza ki a hálózatvezérlő szolgáltatást az átjáróeszköz számára.Select the Network Controller Service for the Gateway Device.
  4. Válassza a VPN-kapcsolatok > Hozzáadás > gre-alagút hozzáadása lehetőséget.Select VPN Connections > Add > Add GRE Tunnel.
  5. Adjon meg egy alhálózatot az alábbi ábrán látható módon.Type a subnet as shown in the following diagram. Ez az alhálózat végzi a virtuálisgép-hálózatot elhagyó adatcsomagok útválasztását.This subnet is used to route packets out of the VM network. Ezt az alhálózatot nem szükséges előzetesen konfigurálni az adatközpontban.This subnet doesn't need to be preconfigured in your datacenter. GRE-bújtatásGRE tunneling
  6. Írja be a kapcsolat nevét, és adja meg a távoli végpont IP-címét.Type a connection name, and specify the IP address of the remote endpoint.
  7. Írja be a gre-kulcsot.Type the GRE key.
  8. A képernyőn megjelenő további mezőket is elvégezheti, ezek az értékek nem szükségesek a kapcsolatok beállításához.Optionally, you can complete the other fields on this screen, these values aren't needed to set up a connection.
  9. Az Útvonalak területen adja meg az összes távoli alhálózatot, amelyhez csatlakozni kíván.In Routes, add all the remote subnets that you want to connect to. Ha a kapcsolatban a BORDER Gateway Protocol engedélyezése (BGP) lehetőséget választotta, akkor a képernyőt üresen hagyhatja, és az ASN, társ BGP IP-címét és az asn-mezőket a Border Gateway Protocol lapon hajthatja végre.If you selected Enable Border Gateway Protocol (BGP) in Connectivity, you can leave this screen blank and instead complete your ASN, peer BGP IP, and ASN fields on the Border Gateway Protocol tab.
  10. A hátralévő beállításoknál használhatja az alapértelmezett értékeket.You can use the defaults for the remaining settings.
  11. A kapcsolat ellenőrzéséhez próbálja meg megpingelni a távoli végpont IP-címét virtuálisgép-hálózatának egyik virtuális gépéről.To validate the connection, try to ping the remote endpoint IP address from one of the virtual machines on the VM network.

IPsec-és GRE-kapcsolatok konfigurálása a távoli helyenConfigure IPsec and GRE connections on the remote site

A távoli társ eszközön használja a virtuálisgép -hálózat végpontjának IP-címét a VMM felhasználói felületéről célként megadott címként a IPSec\GRE-kapcsolatok beállítása során.On the remote peer device, use the VM network endpoint IP address from the VMM UI as destination Address while setting up the IPSec\GRE connection.

távoli hely

Az L3-továbbítás konfigurálásaConfigure L3 forwarding

Az L3-továbbítás lehetővé teszi a kapcsolódást az adatközpontban található fizikai infrastruktúra és a Hyper-V hálózati virtualizálási felhőben található virtualizált infrastruktúra között.L3 forwarding enables connectivity between the physical infrastructure in the datacenter and the virtualized infrastructure in the Hyper-V network virtualization cloud.

Az L3-továbbítás használatával a bérlői hálózati virtuális gépek a Windows Server 2016 SDN-átjárón keresztül csatlakozhatnak egy fizikai hálózathoz, amely már konfigurálva van egy SDN-környezetben.Using L3 forwarding, tenant network virtual machines can connect to a physical network through the Windows Server 2016 SDN Gateway, which is already configured in an SDN environment. Ebben az esetben az SDN-átjáró útválasztóként működik a virtualizált hálózat és a fizikai hálózat között.In this case, the SDN gateway acts as a router between the virtualized network and the physical network.

További információkat ezekben a cikkekben talál: A Windows-kiszolgáló átjárója mint továbbító átjáró és RAS-átjáró magas rendelkezésre állással.To learn more, check these articles: Windows server gateway as a forwarding gateway and RAS gateway high availability.

Az L3 konfigurálásának megkísérlése előtt győződjön meg a következőkről:Ensure the following before you attempt to configure L3:

  • A VMM-kiszolgálón rendszergazdaként kell bejelentkeznie.Ensure you're logged on as an administrator on the VMM server.
  • Minden olyan bérlői virtuálisgép-hálózat esetében, amelynek az L3-továbbítást be kell állítania, egyedi VLAN-AZONOSÍTÓval kell konfigurálnia egy egyedi, Next-hop logikai hálózatot.You must configure a unique next-hop logical network, with unique VLAN ID, for each Tenant VM network for which L3 forwarding needs to be set up. A bérlői hálózat és a hozzá tartozó fizikai hálózat (egyedi VLAN-AZONOSÍTÓval) esetében 1:1-es megfeleltetésnek kell lennie.There must be 1:1 mapping between a tenant network and corresponding physical network (with unique VLAN ID).

A következő lépések végrehajtásával hozza létre a következő ugrást használó logikai hálózatot a SCVMM-ben:Use the following steps to create the next-hop logical network in SCVMM:

  1. A VMM-konzolon válassza a logikai hálózatok lehetőséget, kattintson a jobb gombbal, majd válassza a logikai hálózat létrehozása elemet.On the VMM console, select Logical Networks, right-click, and select Create Logical Network.

  2. A Beállítások lapon válassza az egy csatlakoztatott hálózat lehetőséget, majd jelölje be az azonos nevű virtuálisgép-hálózat létrehozása jelölőnégyzetet annak engedélyezéséhez, hogy a virtuális gépek közvetlenül elérhessék ezt a logikai hálózatot , és hogy azokat a Microsoft hálózati vezérlője felügyelje .In the Settings page, choose One connected network and select the checkbox for Create a VM network with the same name to allow virtual machines to access this logical network directly and Managed by Microsoft Network Controller

  3. Hozzon létre egy IP-címkészletet ehhez az új logikai hálózathoz.Create an IP Pool for this new logical network.

    A készletben található IP-címet az L3-továbbítás beállításához szükséges parancsfájlban kell megadni.IP address from this pool is required in the script for setting up L3 forwarding.

A következő táblázat példákat tartalmaz a dinamikus és a statikus L3-kapcsolatokra.The following table provides examples of dynamic and static L3 connections.

ParaméterParameter Részletek/példa értékekDetails/example values
L3VPNConnectionNameL3VPNConnectionName Felhasználó által definiált név az L3-továbbítású hálózati kapcsolat számára.User-defined name for the L3 forwarding network connection. Példa: Contoso_L3_GWExample: Contoso_L3_GW
VmNetworkNameVmNetworkName L3 hálózati kapcsolaton keresztül elérhető bérlői virtuális hálózat neve.Name of the tenant virtual network that's reachable over L3 network connection. A hálózatnak léteznie kell a parancsfájl futtatásakor.This network must exist when running the script. Példa: ContosoVMNetworkExample: ContosoVMNetwork
NextHopVMNetworkNameNextHopVMNetworkName Az előfeltételként létrehozott következő ugrású virtuálisgép-hálózat felhasználó által definiált neve.User-defined name for the next hop VM network, which was created as a prerequisite. Ez azt a fizikai hálózatot jelenti, amely kommunikálni szeretne a bérlői virtuálisgép-hálózattal.This represents the physical network that wants to communicate with the tenant VM network. Ennek a hálózatnak léteznie kell a parancsfájl futtatásakor.This network must exist when running this script. Példa: Contoso_L3_NetworkExample: Contoso_L3_Network
LocalIPAddressesLocalIPAddresses Az SDN Gateway L3 hálózati adapteren konfigurálandó IP-címek.IP addresses to be configured on the SDN gateway L3 network interface. Ennek az IP-címnek a létrehozott következő ugrás logikai hálózathoz kell tartoznia.This IP address must belong to the next hop logical network you created. Meg kell adnia az alhálózati maszkot is.You must also provide the subnet mask. Példa: 10.127.134.55/25Example: 10.127.134.55/25
PeerIPAddressesPeerIPAddresses Az L3 logikai hálózaton keresztül elérhető fizikai hálózati átjáró IP-címe.IP address of the physical network gateway, reachable over L3 logical network. Ennek az IP-címnek az előfeltételekben létrehozott következő ugrás logikai hálózathoz kell tartoznia.This IP address must belong to the next hop logical network you created in the prerequisites. Ez az IP-cím a következő ugrásként szolgál majd, ha a bérlői virtuálisgép-hálózatból a fizikai hálózatra irányuló forgalom eléri az SDN-átjárót.This IP will serve as the next hop once traffic destined to the physical network from the tenant VM network reaches the SDN gateway. Példa: 10.127.134.65Example: 10.127.134.65
GatewaySubnetGatewaySubnet A HNV-átjáró és a bérlői virtuális hálózat közötti útválasztáshoz használandó alhálózat.Subnet to be used for routing between HNV gateway and tenant virtual network. Bármilyen alhálózatot használhat, gondoskodjon arról, hogy ne legyen átfedésben a következő ugrás logikai hálózattal.You can use any subnet, ensure that it does not overlap with the next hop logical network. Példa: 192.168.2.0/24Example:192.168.2.0/24
RoutingSubnetsRoutingSubnets Statikus útvonalak, amelyeknek a HNV-átjáró L3-felületén kell lenniük.Static routes that need to be on the L3 interface of the HNV gateway. Ezek az útvonalak a fizikai hálózati alhálózatokhoz tartoznak, amelyeknek elérhetőnek kell lenniük a bérlői virtuálisgép-hálózatról az L3-kapcsolaton keresztül.These routes are for the physical network subnets, which should be reachable from the tenant VM network over the L3 connection.
EnableBGPEnableBGP A BGP-t engedélyező beállítás.Option to enable BGP. Alapértelmezett: false.Default: false.
TenantASNRoutingSubnetsTenantASNRoutingSubnets A bérlői átjáró ASN-száma, csak akkor, ha a BGP engedélyezve van.ASN number of the tenant gateway, only if BGP is enabled.

Futtassa az alábbi szkriptet az L3-továbbítás beállításához.Run the following script to set up L3 forwarding. A fenti táblázatban megtekintheti, hogy az egyes parancsfájl-paraméterek milyen módon azonosíthatók.Refer to the table above to check what each script parameter identifies.

  param (
      [Parameter(Mandatory=$true)]
      # Name of the L3 VPN connection
      $L3VPNConnectionName,
      [Parameter(Mandatory=$true)]
      # Name of the VM network to create gateway
      $VmNetworkName,
      [Parameter(Mandatory=$true)]
      # Name of the Next Hop one connected VM network
      # used for forwarding
      $NextHopVmNetworkName,
      [Parameter(Mandatory=$true)]
      # IPAddresses on the local side that will be used
      # for forwarding
      # Format should be @("10.10.10.100/24")
      $LocalIPAddresses,
      [Parameter(Mandatory=$true)]
      # IPAddresses on the remote side that will be used
      # for forwarding
      # Format should be @("10.10.10.200")
      $PeerIPAddresses,
      [Parameter(Mandatory=$false)]
      # Subnet for the L3 gateway
      # default value 10.254.254.0/29
      $GatewaySubnet = "10.254.254.0/29",
      [Parameter(Mandatory=$false)]
      # List of subnets for remote tenants to add routes for static routing
      # Format should be @("14.1.20.0/24","14.1.20.0/24");
      $RoutingSubnets = @(),
      [Parameter(Mandatory=$false)]
      # Enable BGP in the tenant space
      $EnableBGP = $false,
      [Parameter(Mandatory=$false)]
      # ASN number for the tenant gateway
      # Only applicable when EnableBGP is true
      $TenantASN = "0"
  )

  # Import SC-VMM PowerShell module
  Import-Module virtualmachinemanager

  # Retrieve Tenant VNET info and exit if VM Network not available
  $vmNetwork = Get-SCVMNetwork -Name $VmNetworkName;
  if ($vmNetwork -eq $null)
  {
      Write-Verbose "VM Network $VmNetworkName not found, quitting"
      return
  }

  # Retrieve L3 Network info and exit if VM Network not available
  $nextHopVmNetwork = Get-SCVMNetwork -Name $NextHopVmNetworkName;
  if ($nextHopVmNetwork -eq $null)
  {
      Write-Verbose "Next Hop L3 VM Network $NextHopVmNetworkName not found, quitting"
      return
  }

  # Retrieve gateway Service and exit if not available
  $gatewayDevice = Get-SCNetworkGateway | Where {$_.Model -Match "Microsoft Network Controller"};
  if ($gatewayDevice -eq $null)
  {
      Write-Verbose "Gateway Service not found, quitting"
      return
  }

  # Retrieve Tenant Virtual Gateway info
  $vmNetworkGatewayName = $VmNetwork.Name + "_Gateway";
  $VmNetworkGateway = Get-SCVMNetworkGateway -Name $vmNetworkGatewayName -VMNetwork $vmNetwork

  # Create a new Tenant Virtual Gateway if not configured
  if($VmNetworkGateway -eq $null)
  {
      if($EnableBGP -eq $false)
      {
          # Create a new Virtual Gateway for tenant
          $VmNetworkGateway = Add-SCVMNetworkGateway -Name $vmNetworkGatewayName -EnableBGP $false -NetworkGateway $gatewayDevice -VMNetwork $vmNetwork -RoutingIPSubnet $GatewaySubnet;
      }
      else
      {
          if($TenantASN -eq "0")
          {
              Write-Verbose "Please specify valid ASN when using BGP"
              return
          }

          # Create a new Virtual Gateway for tenant
          $VmNetworkGateway = Add-SCVMNetworkGateway -Name $vmNetworkGatewayName -EnableBGP $true -NetworkGateway $gatewayDevice -VMNetwork $vmNetwork -RoutingIPSubnet $GatewaySubnet -AutonomousSystemNumber $TenantASN;
      }

  }

  if ($VmNetworkGateway -eq $null)
  {
      Write-Verbose "Could not Find / Create Virtual Gateway for $($VmNetwork.Name), quitting"
      return
  }

  # Check if the network connection already exists
  $vpnConnection = Get-SCVPNConnection -VMNetworkGateway $VmNetworkGateway -Name $L3VPNConnectionName
  if ($vpnConnection -ne $null)
  {
      Write-Verbose "L3 Network Connection for $($VmNetwork.Name) already configured, skipping"
  }
  else
  {
      # Create a new L3 Network connection for tenant
      $vpnConnection = Add-SCVPNConnection  -NextHopNetwork $nexthopvmNetwork  -Name $L3VPNConnectionName -IPAddresses $LocalIPAddresses -PeerIPAddresses $PeerIPAddresses -VMNetworkGateway $VmNetworkGateway -protocol L3;

      if ($vpnConnection -eq $null)
      {
          Write-Verbose "Could not add network connection for $($VmNetwork.Name), quitting"
          return
      }
      Write-Output "Created VPN Connection " $vpnConnection;
  }

  # Add all the required static routes to the newly created network connection interface
  foreach($route in $RoutingSubnets)
  {
      Add-SCNetworkRoute -IPSubnet $route -RunAsynchronously -VPNConnection $vpnConnection -VMNetworkGateway $VmNetworkGateway
  }

Az L3-továbbítás konfigurálásaConfigure L3 forwarding

Az L3-továbbítás lehetővé teszi a kapcsolódást az adatközpontban található fizikai infrastruktúra és a Hyper-V hálózati virtualizálási felhőben található virtualizált infrastruktúra között.L3 forwarding enables connectivity between the physical infrastructure in the datacenter and the virtualized infrastructure in the Hyper-V network virtualization cloud.

Az L3-továbbító kapcsolat használatával a bérlői hálózati virtuális gépek a Windows Server 2016/2019 SDN-átjárón keresztül kapcsolódhatnak a fizikai hálózathoz, amely már konfigurálva van egy SDN-környezetben.Using L3 forwarding connection, tenant network virtual machines can connect to a physical network through the Windows Server 2016/2019 SDN Gateway, which is already configured in an SDN environment. Ebben az esetben az SDN-átjáró útválasztóként működik a virtualizált hálózat és a fizikai hálózat között.In this case, the SDN gateway acts as a router between the virtualized network and the physical network.

További információkat ezekben a cikkekben talál: A Windows-kiszolgáló átjárója mint továbbító átjáró és RAS-átjáró magas rendelkezésre állással.To learn more, check these articles: Windows server gateway as a forwarding gateway and RAS gateway high availability.

Az L3-kapcsolatok konfigurálásának megkísérlése előtt győződjön meg a következőkről:Ensure the following before you attempt to configure L3 connection:

  • A VMM-kiszolgálón rendszergazdaként kell bejelentkeznie.Ensure you're logged on as an administrator on the VMM server.
  • Minden olyan bérlői virtuálisgép-hálózat esetében, amelynek az L3-továbbítást be kell állítania, egyedi VLAN-AZONOSÍTÓval kell konfigurálnia egy egyedi, Next-hop logikai hálózatot.You must configure a unique next-hop logical network, with unique VLAN ID, for each Tenant VM network for which L3 forwarding needs to be set up. A bérlői hálózat és a hozzá tartozó fizikai hálózat (egyedi VLAN-AZONOSÍTÓval) esetében 1:1-es megfeleltetésnek kell lennie.There must be 1:1 mapping between a tenant network and corresponding physical network (with unique VLAN ID).

A következő lépések végrehajtásával hozza létre a következő ugrást használó logikai hálózatot a VMM-ben:Use the following steps to create the next-hop logical network in VMM:

  1. A VMM-konzolon válassza a logikai hálózatok lehetőséget, kattintson a jobb gombbal, majd válassza a logikai hálózat létrehozása elemet.On the VMM console, select Logical Networks, right-click, and select Create Logical Network.

  2. A Beállítások lapon válassza az egy csatlakoztatott hálózat lehetőséget, majd válassza az azonos nevű virtuálisgép-hálózat létrehozása lehetőséget annak engedélyezéséhez, hogy a virtuális gépek közvetlenül elérhessék ezt a logikai hálózatot , és azokat a Microsoft hálózati vezérlője felügyelje.In the Settings page, choose One connected network and select Create a VM network with the same name to allow virtual machines to access this logical network directly and Managed by Microsoft Network Controller.

    egy csatlakoztatott hálózat

    Megjegyzés

    A VMM 2019 UR1 az egyik csatlakoztatott hálózati típust csatlakoztatott hálózatként változtatja meg.From VMM 2019 UR1, One Connected network type is changed as Connected Network.

  3. Hozzon létre egy IP-címkészletet ehhez az új logikai hálózathoz.Create an IP Pool for this new logical network. Az L3-továbbítás beállításához a készletből származó IP-címet kell megadni.IP address from this pool is required for setting up L3 forwarding.

Az L3-továbbítás konfigurálásához kövesse az alábbi lépéseket:Use the following steps to configure L3 forwarding:

Megjegyzés

Az L3-as VPN-kapcsolat sávszélessége nem korlátozható.You cannot limit bandwidth in L3 VPN connection.

  1. A VMM-konzolon válassza ki azt a bérlői virtuális hálózatot, amelyet a fizikai hálózathoz szeretne kapcsolni az L3-átjárón keresztül.In the VMM console, select the tenant virtual network that you want to connect to the physical network, through L3 gateway.

  2. Kattintson a jobb gombbal a kiválasztott bérlői virtuális hálózatra, majd válassza a Tulajdonságok > kapcsolat lehetőséget.Right-click the selected tenant virtual network, select Properties > Connectivity.

  3. Válassza a Csatlakozás másik hálózathoz egy VPN-alagúton keresztül lehetőséget.Select Connect to another network through a VPN tunnel. Ha szeretné engedélyezni a BGP-társat az adatközpontban, válassza a Border Gateway Protocol engedélyezése (BGP) lehetőséget.Optionally, to enable BGP peering in your datacenter, select Enable Border Gateway Protocol (BGP). L3-konfiguráció felhasználói felületrőlL3 configuration from ui

  4. Válassza ki a hálózatvezérlő szolgáltatást az átjáróeszköz számára.Select the network controller service for the gateway device.

  5. A VPN-kapcsolatok lapon kattintson a Hozzáadás > 3. rétegbeli alagút hozzáadása lehetőségre.In the VPN Connections page, click Add> Add Layer 3 tunnel.

    Layer3-alagút hozzáadása

  6. Adjon meg egy alhálózatot az útválasztási ALHÁLÓZAT CIDR-jelölési formátumában.Provide a subnet in the CIDR notation format for Routing Subnet. Ez az alhálózat végzi a virtuálisgép-hálózatot elhagyó adatcsomagok útválasztását.This subnet is used to route packets out of the VM network. Ezt az alhálózatot nem szükséges előzetesen konfigurálni az adatközpontban.You do not need to pre-configure this subnet in your datacenter.

    L3-alhálózat

  7. Használja az alábbi információkat, és konfigurálja az L3-as-kapcsolatokat:Use the following information and configure the L3 connection:

ParaméterParameter RészletekDetails
NameName Felhasználó által definiált név az L3-továbbítású hálózati kapcsolat számára.User-defined name for the L3 forwarding network connection.
Virtuálisgép (NextHop)VMNetwork (NextHop) Az előfeltételként létrehozott következő ugrású virtuálisgép-hálózat felhasználó által definiált neve.User-defined name for the next hop VM network, which was created as a prerequisite. Ez azt a fizikai hálózatot jelenti, amely kommunikálni szeretne a bérlői virtuálisgép-hálózattal.This represents the physical network that wants to communicate with the tenant VM network. Ha a Tallózás gombra kattint, csak a hálózati szolgáltatás által felügyelt egyetlen csatlakoztatott virtuálisgép-hálózat lesz elérhető a kiválasztáshoz.When you click Browse, only the One Connected VM Networks managed by Network service will be available for selection.
Társ IP-címePeer IP Address Az L3 logikai hálózaton keresztül elérhető fizikai hálózati átjáró IP-címe.IP address of the physical network gateway, reachable over L3 logical network. Ennek az IP-címnek az előfeltételként létrehozott következő ugrás logikai hálózathoz kell tartoznia.This IP address must belong to the next hop logical network that you created as the prerequisite. Ez az IP-cím a következő ugrásként fog szolgálni, amint a bérlői virtuálisgép-hálózatból a fizikai hálózatra irányuló forgalom eléri az SDN-átjárót.This IP will serve as the next hop, once the traffic destined to the physical network from the tenant VM network reaches the SDN gateway. Ennek IPv4-címnek kell lennie.This must be an IPv4 address. Több társ IP-címe is lehet, vesszővel kell elválasztani egymástól.There can be multiple peer IP addresses, must be separated by comma.
Helyi IP-címekLocal IP Addresses Az SDN Gateway L3 hálózati adapteren konfigurálandó IP-címek.IP addresses to be configured on the SDN gateway L3 network interface. Ezeknek az IP-címeknek az előfeltételként létrehozott következő ugrás logikai hálózathoz kell tartozniuk.These IP addresses must belong to the next hop logical network that you created as prerequisite. Meg kell adnia az alhálózati maszkot is.You must also provide the subnet mask. Példa: 10.127.134.55/25.Example: 10.127.134.55/25. Ennek IPv4-címnek kell lennie, és CIDR formátumúnak kell lennie.This must be an IPv4 address and should be in CIDR notation format. A társ IP-címének és a helyi IP-címnek ugyanabból a készletből kell származnia.Peer IP address and Local IP addresses should be from the same Pool. Ezeknek az IP-címeknek a virtuálisgép-hálózat logikai hálózat definíciójában definiált alhálózathoz kell tartoznia.These IP addresses should belong to the subnet defined in Logical Network Definition of VM Network.
  • Ha statikus útvonalakat használ, írja be az összes távoli alhálózatot, amelyhez csatlakozni szeretne, az útvonalakban.If you are using static routes, type all the remote subnets that you want to connect to, in Routes.

    távoli alhálózatok

    Megjegyzés

    Az útvonalakat a fizikai hálózatban kell konfigurálnia a bérlői virtuális hálózati alhálózatok esetében, a következő ugrásként pedig az SDN-átjárón található L3 felület IP-címét (az L3-kapcsolat létrehozásához használt helyi IP-cím).You must configure routes in your physical network, for the tenant virtual network subnets, with the next hop as the IP address of the L3 interface on the SDN gateway (Local IP address used in the creation of L3 connection). Ennek célja, hogy a bérlői virtuális hálózatra irányuló visszaküldött forgalom megfelelően legyen irányítva az SDN-átjárón keresztül.This is to ensure that the return traffic to the tenant virtual network is routed correctly through the SDN gateway.

  • Ha BGP-t használ, győződjön meg arról, hogy a BGP-társítás létrejött az SDN Gateway belső csatoló IP-címe között (amely az átjáró virtuális gép egy másik rekeszében található, nem az alapértelmezett rekesz) és a fizikai hálózaton lévő társ-eszköz.If you are using BGP, ensure that BGP peering is established between the SDN gateway internal interface IP address, (which is present in a different compartment on the gateway VM, not the default compartment) and the peer device on the physical network.

    A BGP működéséhez a következő lépéseket kell elvégeznie:For BGP to work, you must do the following steps:

    1. BGP-társ hozzáadása az L3-beli kapcsolatban.Add BGP peer for the L3 connection. Adja meg az ASN, a társ BGP IP-címét és az ASN-t a Border Gateway Protocol   oldalon.Enter your ASN, peer BGP IP, and its ASN on the Border Gateway Protocol  page.

      BGP hozzáadása

    2. Az SDN-átjáró belső címe az alábbi szakaszbanrészletezett módon határozható meg.Determine the SDN gateway internal address as detailed in the following section.

    3. Hozzon létre BGP-társat a távoli végponton (fizikai hálózati átjáró).Create BGP peer on the remote end (physical network gateway). A BGP-társ létrehozásakor a társ IP-címként használja az SDN-átjáró belső címét (az előző lépésben meghatározottak szerint).While creating the BGP peer, use the SDN gateway internal address (as determined in the previous step ) as the peer IP address.

    4. Konfiguráljon egy útvonalat a fizikai hálózaton a célhelyként az SDN Gateway belső címével és a következő ugrással, amely az L3 Interface IP-címe (az L3-kapcsolat létrehozásakor használt helyi IP-cím érték).Configure a route on the physical network with the destination as the SDN gateway internal address and the next hop as the L3 interface IP address (Local IP address value used when creating L3 connection).

Megjegyzés

Az L3-kapcsolat konfigurálása után konfigurálnia kell az útvonalakat a bérlői virtuális hálózati alhálózatok fizikai hálózatában, a következő ugrásként pedig az SDN-átjárón található L3 felület IP-címét (a parancsfájlban LocalIpAddresses paraméter).After configuring the L3 connection, you must configure routes in your physical network for the tenant virtual network subnets, with the next hop as the IP address of the L3 interface on the SDN gateway (parameter LocalIpAddresses in the script). Ennek célja, hogy a bérlői virtuális hálózatra irányuló visszaküldött forgalom megfelelően legyen irányítva az SDN-átjárón keresztül.This is to ensure that the return traffic to the tenant virtual network is routed correctly through the SDN gateway.

Dönthet úgy, hogy statikus útvonalakat vagy dinamikus útvonalakat (BGP-t) konfigurál az L3-kapcsolattal.You can choose to configure static routes or dynamic routes (over BGP) with the L3 connection. Ha statikus útvonalakat használ, ezeket az Add-SCNetworkRoute használatával adhatja hozzá az alábbi szkriptben leírtak szerint.If you are using static routes, you can add them using Add-SCNetworkRoute as described in the script below.

Ha a BGP-t az L3-as bújtatási kapcsolattal használja, akkor a BGP-társítást az SDN Gateway belső csatoló IP-címe között kell létrehozni, amely az átjáróként működő virtuális gép (nem az alapértelmezett rekesz) és a fizikai hálózatban található társ-eszköz között szerepel.If you use BGP with L3 tunnel connection, BGP peering must be established between the SDN gateway internal interface IP address, which is present in a different compartment on the gateway VM (not the default compartment) and the peer device on the physical network.

A BGP működéséhez a következő lépéseket kell elvégeznie:For BGP to work, you must do the following steps:

  1. Az Add-SCBGPPeer parancsmaggal vegyen fel BGP-társat az L3-alapú kapcsolatok számára.Add BGP peer for the L3 connection using the Add-SCBGPPeer cmdlet.

    Példa: Add-SCBGPPeer-Name "peer1"-PeerIPAddress "12.13.14.15"-PeerASN 15-VMNetworkGateway $VmNetworkGatewayExample: Add-SCBGPPeer -Name "peer1" -PeerIPAddress "12.13.14.15" -PeerASN 15 -VMNetworkGateway $VmNetworkGateway

  2. Az SDN-átjáró belső címe az alábbi szakaszbanrészletezett módon határozható meg.Determine the SDN gateway internal address as detailed in the following section.

  3. Hozzon létre BGP-társat a távoli végponton (fizikai hálózati átjáró).Create BGP peer on the remote end (physical network gateway). A BGP-társ létrehozásakor a társ IP-címként használja az SDN-átjáró belső címét (a fenti 2. lépésben meghatározva).While creating the BGP peer, use the SDN gateway internal address (determined in Step 2 above) as the peer IP address.

  4. Konfiguráljon egy útvonalat a fizikai hálózaton a célhelyként az SDN Gateway belső címével és a következő ugrással, amely az L3 Interface IP-címe (LocalIPAddresses paraméter a parancsfájlban).Configure a route on the physical network with the destination as the SDN gateway internal address and the next hop as the L3 interface IP address (LocalIPAddresses parameter in the script).

Az SDN-átjáró belső címeinek meghatározásaDetermine the SDN gateway internal address

Kövesse az alábbi eljárást:Use the following procedure:

Futtassa a következő PowerShell-parancsmagokat egy telepített hálózati vezérlőn vagy egy hálózati vezérlőként konfigurált számítógépen:Run the following PowerShell cmdlets on a network controller installed computer or a computer that was configured as a network controller client:

$gateway = Get-NetworkControllerVirtualGateway -ConnectionUri <REST uri of your deployment>
$gateway.Properties.NetworkConnections.Properties.IPAddresses

A parancs eredményei több virtuális átjárót is megjeleníthetnek attól függően, hogy hány bérlő konfigurált átjáró-kapcsolatot.The results of this command can display multiple virtual gateways, depending on how many tenants have configured gateway connections. Minden virtuális átjáró több kapcsolattal is rendelkezhet (IPSec, GRE, L3).Each virtual gateway can have multiple connections (IPSec, GRE, L3).

Amint már ismeri a kapcsolat L3 Interface IP-címét (LocalIPAddresses), az adott IP-cím alapján azonosíthatja a megfelelő kapcsolatot.As you already know the L3 interface IP address (LocalIPAddresses) of the connection, you can identify the correct connection based on that IP address. A megfelelő hálózati kapcsolatban futtassa a következő parancsot (a megfelelő virtuális átjárón) a virtuális átjáró BGP-útválasztó IP-címének lekéréséhez.After you have the correct network connection, run the following command (on the corresponding virtual gateway) to get the BGP router IP address of the virtual gateway

$gateway.Properties.BgpRouters.Properties.RouterIp

A parancs eredménye azt az IP-címet adja meg, amelyet a távoli útválasztón a társ IP-címként kell konfigurálni.The result of this command provides the IP address that you must configure on the remote router as the peer IP Address.

A forgalmi választó beállítása a VMM PowerShellbőlSet up the traffic selector from VMM PowerShell

Kövesse az alábbi eljárást:Use the following procedure:

Megjegyzés

A használt értékek csak példák.Values used are examples only.

  1. Hozza létre a forgalomválasztót a következő paraméterekkel.Create the traffic selector by using the following parameters.

    $t= new-object Microsoft.VirtualManager.Remoting.TrafficSelector
    
    $t.Type=7 // IPV4=7, IPV6=8
    
    $t.ProtocolId=6 // TCP =6, reference: https://en.wikipedia.org/wiki/List_of_IP_protocol_numbers
    
    $t.PortEnd=5090
    
    $t.PortStart=5080
    
    $t.IpAddressStart=10.100.101.10
    
    $t.IpAddressEnd=10.100.101.100
    
  2. Konfigurálja a fenti forgalomválasztót az Add-SCVPNConnection vagy a Set-SCVPNConnection parancsmag -LocalTrafficSelectors paraméterével.Configure the above traffic selector by using -LocalTrafficSelectors parameter of Add-SCVPNConnection or Set-SCVPNConnection.