Informatie over virtuele hubroutering
De routeringsmogelijkheden in een virtuele hub worden geleverd door een router die alle routeringen tussen gateways beheert met behulp van Border Gateway Protocol (BGP). Een virtuele hub kan meerdere gateways bevatten, zoals een site-naar-site-VPN-gateway, ExpressRoute-gateway, punt-naar-site-gateway Azure Firewall. Deze router biedt ook transitconnectiviteit tussen virtuele netwerken die verbinding maken met een virtuele hub en ondersteuning bieden voor een geaggregeerde doorvoer van 50 Gbps. Deze routeringsmogelijkheden zijn van toepassing op Standard Virtual WAN-klanten.
Als u routering wilt configureren, raadpleegt u Routering van virtuele hubs configureren.
Routeringsconcepten
In de volgende secties worden de belangrijkste concepten in routering van virtuele hubs beschreven.
Hubroutetabel
Een routetabel van een virtuele hub kan een of meer routes bevatten. Een route bevat de naam, een label, een doeltype, een lijst met bestemmingsvoorvoegsels en informatie over de volgende hop voor een pakket dat moet worden gerouteerd. Een Verbinding maken ion heeft doorgaans een routeringsconfiguratie die wordt gekoppeld aan of doorgegeven aan een routetabel.
Hub-routeringsintentie en -beleid
Met beleidsregels voor routeringsintentie en routering kunt u uw Virtual WAN-hub configureren voor het verzenden van internetgebonden en privéverkeer (punt-naar-site, site-naar-site, ExpressRoute, virtuele netwerkapparaten in de Virtuele WAN-hub en virtueel netwerk) verkeer via een Azure Firewall,NVA van de volgende generatie firewall of software-as-a-service-oplossing die is geïmplementeerd in de Virtual WAN-hub. Er zijn twee soorten routeringsbeleid: internetverkeer en beleidsregels voor privéverkeerroutering. Elke Virtual WAN-hub kan maximaal één internetverkeersrouteringsbeleid en één beleid voor privéverkeerroutering hebben, elk met een Next Hop-resource.
Privéverkeer bevat zowel vertakkings- als adresvoorvoegsels van het virtuele netwerk, maar routeringsbeleid beschouwt deze als één entiteit binnen de concepten van de routeringsintentie.
Routeringsbeleid voor internetverkeer: wanneer een routeringsbeleid voor internetverkeer is geconfigureerd op een Virtual WAN-hub, worden alle vertakkingen (gebruikers-VPN (punt-naar-site-VPN), site-naar-site-VPN en ExpressRoute) en virtuele netwerkverbindingen naar die Virtual WAN-hub doorgestuurd naar de Azure Firewall-resource of externe beveiligingsprovider die is opgegeven als onderdeel van het routeringsbeleid.
Beleid voor routering van privéverkeer: wanneer een routeringsbeleid voor privéverkeer is geconfigureerd op een Virtual WAN-hub, worden alle vertakkings- en virtueel netwerkverkeer in en uit de Virtual WAN-hub, inclusief verkeer tussen hubs, doorgestuurd naar de Next Hop Azure Firewall-resource die is opgegeven in het beleid voor routering van privéverkeer.
Raadpleeg het volgende document voor meer informatie over het configureren van de intentie en beleidsregels voor routering.
Connecties
Verbinding maken ionen zijn Resource Manager-resources met een routeringsconfiguratie. De vier typen verbindingen zijn:
- VPN-verbinding: Verbinding maken een VPN-site naar een VPN-gateway van een virtuele hub.
- ExpressRoute-verbinding: Verbinding maken een ExpressRoute-circuit naar een ExpressRoute-gateway van een virtuele hub.
- P2S-configuratieverbinding: Verbinding maken een gebruikers-VPN-configuratie (punt-naar-site) naar een vpn-gateway voor virtuele hubgebruikers (punt-naar-site).
- Virtuele hubnetwerkverbinding: Verbinding maken virtuele netwerken naar een virtuele hub.
U kunt tijdens de installatie de routeringsconfiguratie voor een virtuele netwerkverbinding instellen. Standaard worden alle verbindingen gekoppeld aan en doorgegeven aan de standaardroutetabel.
Koppeling
Elke verbinding is gekoppeld aan één routetabel. Door een verbinding met een routetabel te koppelen, kan het verkeer (van die verbinding) worden verzonden naar het doel dat wordt aangegeven als routes in de routetabel. De routeringsconfiguratie van de verbinding toont de bijbehorende routetabel. Er kunnen meerdere verbindingen aan dezelfde routetabel worden gekoppeld. Alle VPN-, ExpressRoute- en Gebruikers-VPN-verbindingen zijn gekoppeld aan dezelfde (standaard) routetabel.
Standaard zijn alle verbindingen gekoppeld aan een standaardroutetabel in een virtuele hub. Elke virtuele hub heeft een eigen standaardroutetabel, die kan worden bewerkt om een statische route(s) toe te voegen. Routes die statisch worden toegevoegd, hebben voorrang op dynamisch geleerde routes voor dezelfde voorvoegsels.
Voortplanting
Verbinding maken ions dynamisch routes doorgeven aan een routetabel. Met een VPN-verbinding, ExpressRoute-verbinding of P2S-configuratieverbinding worden routes van de virtuele hub doorgegeven aan de on-premises router met behulp van BGP. Routes kunnen worden doorgegeven aan een of meerdere routetabellen.
Er is ook een routetabel None beschikbaar voor elke virtuele hub. Doorgeven aan de routetabel Geen houdt in dat er geen routes moeten worden doorgegeven vanuit de verbinding. VPN-, ExpressRoute- en Gebruikers-VPN-verbindingen geven routes door aan dezelfde set routetabellen.
Etiketten
Labels bieden een mechanisme voor het logisch groeperen van routetabellen. Dit is vooral handig tijdens het doorgeven van routes van verbindingen met meerdere routetabellen. De standaardroutetabel heeft bijvoorbeeld een ingebouwd label met de naam 'Standaard'. Wanneer gebruikers verbindingsroutes doorgeven aan het label Standaard, wordt deze automatisch toegepast op alle standaardroutetabellen op elke hub in virtual WAN.
Statische routes configureren in een virtuele netwerkverbinding
Het configureren van statische routes biedt een mechanisme voor het sturen van verkeer van de hub via een IP-adres van de volgende hop. Dit kan een NVA (Network Virtual Appliance) zijn die is ingericht in een spoke-VNet dat is gekoppeld aan een virtuele hub. De statische route bestaat uit een routenaam, een lijst met doelvoorvoegsels en een IP-adres van de volgende hop.
Statische routes verwijderen
Als u een statische route wilt verwijderen, moet de route worden verwijderd uit de routetabel waarin deze is geplaatst. Zie Een route verwijderen voor stappen.
Routetabellen voor bestaande routes
Routeringstabellen hebben nu functies voor koppeling en doorgifte. Een bestaande routetabel is een routetabel die niet over deze functies beschikt. Als u al bestaande routes in hubroutering hebt en u de nieuwe mogelijkheden wilt gebruiken, moet u rekening houden met het volgende:
Standard Virtual WAN-klanten met vooraf bestaande routes in virtuele hub:
Als u al bestaande routes hebt in de sectie Routering voor de hub in Azure Portal, moet u deze eerst verwijderen en vervolgens nieuwe routetabellen maken (beschikbaar in de sectie Routetabellen voor de hub in Azure Portal).
Basic Virtual WAN-klanten met vooraf bestaande routes in virtuele hub:
Als u al bestaande routes hebt in de sectie Routering voor de hub in Azure Portal, moet u deze eerst verwijderen en vervolgens uw Basic Virtual WAN upgraden naar Standard Virtual WAN. Zie Een virtueel WAN upgraden van Basic naar Standard.
Hub opnieuw instellen
Het opnieuw instellen van virtuele hubs is alleen beschikbaar in Azure Portal. Opnieuw instellen biedt u een manier om mislukte resources, zoals routetabellen, hubrouter of de virtuele hubresource zelf, terug te brengen naar de juiste inrichtingsstatus. Overweeg de hub opnieuw in te stellen voordat u contact opneemt met Microsoft voor ondersteuning. Met deze bewerking worden de gateways in een virtuele hub niet opnieuw ingesteld.
Aanvullende overwegingen
Houd rekening met het volgende bij het configureren van Virtual WAN-routering:
- Alle vertakkingsverbindingen (punt-naar-site, site-naar-site en ExpressRoute) moeten worden gekoppeld aan de standaardroutetabel. Op die manier leren alle vertakkingen dezelfde voorvoegsels.
- Alle vertakkingsverbindingen moeten hun routes doorgeven aan dezelfde set routetabellen. Als u bijvoorbeeld besluit dat vertakkingen moeten worden doorgegeven aan de standaardroutetabel, moet deze configuratie consistent zijn voor alle vertakkingen. Als gevolg hiervan kunnen alle verbindingen die zijn gekoppeld aan de standaardroutetabel alle vertakkingen bereiken.
- Wanneer u Azure Firewall in meerdere regio's gebruikt, moeten alle virtuele spoke-netwerken zijn gekoppeld aan dezelfde routetabel. Het is bijvoorbeeld niet mogelijk om een subset van de VNets door de Azure Firewall te laten lopen terwijl andere VNets de Azure Firewall in dezelfde virtuele hub omzeilen.
- U kunt meerdere IP-adressen voor de volgende hop opgeven voor één virtuele netwerkverbinding. Virtual Network Verbinding maken ion biedt echter geen ondersteuning voor 'multiple/unique' next hop IP to the 'same' network virtual appliance in a SPOKE Virtual Network 'if' (indien) een van de routes met het volgende hop-IP-adres openbaar IP-adres of 0.0.0.0/0 (internet)
- Alle informatie met betrekking tot de route 0.0.0.0/0 is beperkt tot de routetabel van een lokale hub. Deze route wordt niet doorgegeven aan hubs.
- U kunt Virtual WAN alleen gebruiken om routes in een spoke te programmeren als het voorvoegsel korter is (minder specifiek) dan het voorvoegsel van het virtuele netwerk. In het bovenstaande diagram heeft het spoke-VNET1 bijvoorbeeld het voorvoegsel 10.1.0.0/16: in dit geval, Virtual WAN kan geen route invoeren die overeenkomt met het voorvoegsel van het virtuele netwerk (10.1.0.0/16) of een van de subnetten (10.1.0.0/24, 10.1.1.0/24). Met andere woorden, Virtual WAN kan geen verkeer aantrekken tussen twee subnetten die zich in hetzelfde virtuele netwerk bevinden.
- Hoewel het waar is dat twee hubs op hetzelfde virtuele WAN routes naar elkaar aankondigen (zolang de doorgifte is ingeschakeld voor dezelfde labels), is dit alleen van toepassing op dynamische routering. Zodra u een statische route hebt gedefinieerd, is dit niet het geval.
Volgende stappen
- Als u routering wilt configureren, raadpleegt u Routering van virtuele hubs configureren.
- Zie de veelgestelde vragen voor meer informatie over Virtual WAN.