Cenário: emparelhamento BGP com um hub virtual
O roteador do hub do WAN Virtual do Azure, também chamado de roteador de hub virtual, atua como um gerenciador de rotas e simplifica a operação de roteamento dentro e entre hubs virtuais. Em outras palavras, um roteador de hub virtual faz o seguinte:
- Simplifica o gerenciamento de roteamento, sendo o mecanismo de roteamento central que se comunica com gateways como VPN, ExpressRoute, P2S e solução de virtualização de rede (NVA).
- Habilita cenários de roteamento avançado de tabelas de rotas personalizadas, associação e propagação de rotas.
- Atua como o roteador do tráfego que transita entre/para redes virtuais conectadas a um hub virtual.
O roteador do hub virtual agora também expõe a capacidade de parear com ele, trocando informações de roteamento diretamente por meio do protocolo de roteamento Border Gateway Protocol (BGP). A NVA ou um ponto de extremidade BGP provisionado em uma rede virtual conectada a um hub virtual pode ser pareado diretamente com o roteador do hub virtual se ele oferecer suporte ao protocolo de roteamento BGP e garantir que o ASN na NVA seja configurado para ser diferente do ASN do hub virtual.
Benefícios e considerações
Principais benefícios
- Você não precisa mais atualizar manualmente a tabela de roteamento na NVA sempre que os endereços de rede virtual forem atualizados.
- Você não precisa mais atualizar as rotas definidas pelo usuário manualmente sempre que a NVA anunciar novas rotas ou retirar as antigas.
- NVA em redes virtuais conectadas a um hub virtual pode aprender rotas de gateway de hub virtual (VPN, ExpressRoute ou NVA gerenciada).
- Você pode parear várias instâncias da NVA com o roteador de hub virtual. Você pode configurar atributos de BGP na sua NVA e, dependendo do design (ativo-ativo ou ativo-passivo), permitir que o roteador de hub virtual saiba qual instância de NVA é ativa ou passiva.
Considerações
Não é possível parear um roteador de hub virtual com o Servidor de Rota do Azure provisionado em uma rede virtual.
O roteador do hub virtual permite apenas a ASN de 16 bits (2 bytes).
A conexão de rede virtual que tem o ponto de extremidade de conexão BGP da NVA sempre precisa estar associada a defaultRouteTable e propagada para ela. Não há compatibilidade de tabelas de roteamento personalizadas no momento.
O roteador do hub virtual permite conectividade de trânsito entre redes virtuais conectadas a hubs virtuais. Isso não tem nada a ver com esse recurso para a capacidade de emparelhamento via protocolo BGP, pois a WAN Virtual já permite conectividade de trânsito. Exemplos:
- VNET1: NVA1 conectado ao Hub Virtual 1 –> (conectividade de trânsito) –> VNET2: NVA2 conectado ao Hub Virtual 1.
- VNET1: NVA1 conectado ao Hub Virtual 1 –> (conectividade de trânsito) –> VNET2: NVA2 conectado ao Hub Virtual 2.
Você pode os próprios ASNs públicos ou privados no seu dispositivo de rede virtual. Não é possível usar os intervalos reservados pelo Azure nem pela IANA. Os seguintes ASNs são reservados pelo Azure ou pela IANA:
- ASNs reservados pelo Azure:
- ASNs públicos: 8074, 8075, 12076
- ASNs privados: 65515, 65517, 65518, 65519, 65520
- ASNs reservados pelo IANA: 23456, 64496-64511, 65535-65551
- ASNs reservados pelo Azure:
Embora o roteador do hub virtual troque rotas BGP com a NVA e as propague à rede virtual, ele facilita diretamente a propagação de rotas do ambiente local por meio dos gateways hospedados do hub virtual (Gateway de VPN/Gateway do ExpressRoute/Gateways da NVA gerenciados).
O emparelhamento BGP só é suportado com um endereço IP atribuído a uma interface do NVA. O peering com loopbacks não é compatível.
O roteador do hub virtual tem os seguintes limites:
Recurso Limite Número de rotas que cada par de BGP pode anunciar para o hub virtual. O hub só pode aceitar um número máximo de 10.000 rotas (total) dos seus recursos conectados. Por exemplo, se um hub virtual tiver um total de 6.000 rotas de redes virtuais conectadas, ramificações, hubs virtuais, etc., quando um novo emparelhamento de BGP for configurado com uma NVA, a NVA só poderá anunciar até 4.000 rotas. Número de pares de BGP Um máximo de 8 pares BGP podem ser conectados a um único Virtual WAN Hub As rotas da NVA em uma rede virtual que são mais específicas do que o espaço de endereço da rede virtual, quando anunciadas para o hub virtual por meio do BGP, não são mais propagadas para o local.
Atualmente, só damos suporte a 4 mil rotas da NVA para o hub virtual.
O tráfego destinado a endereços na rede virtual conectado diretamente ao hub virtual não pode ser configurado para roteamento por meio da NVA usando o emparelhamento BGP entre o hub e NVA. Isso acontece porque o hub virtual aprende automaticamente sobre as rotas do sistema associadas aos endereços na rede virtual spoke quando a conexão de rede virtual spoke é criada. Essas rotas de sistema aprendidas automaticamente são preferenciais em relação às rotas aprendidas pelo hub por meio do BGP.
O emparelhamento BGP entre uma NVA em uma VNet spoke e um hub virtual seguro (hub com uma solução de segurança integrada) terá suporte se a Intenção de Roteamento estiver configurada no hub. Não há suporte para o recurso de emparelhamento BGP para hubs virtuais seguros em que a intenção de roteamento não estiver configurada.
Para que a NVA troque rotas com sites conectados à VPN e ao ER, o roteamento de branch a branch precisa ser ativado.
Ao configurar o emparelhamento via protocolo BGP com o hub, você verá dois endereços IP. O emparelhamento com esses dois endereços é necessário. O não emparelhamento com os dois endereços poderá causar problemas de roteamento. As mesmas rotas devem ser anunciadas para ambos os endereços. Anunciar rotas diferentes causará problemas de roteamento.
O endereço IP de próximo salto nas rotas que estão sendo anunciadas da NVA para o servidor de rotas do Hub virtual deve ser o mesmo endereço IP da NVA, o endereço IP configurado no par BGP. No momento, NÃO há suporte para um endereço IP diferente anunciado como o próximo salto na WAN virtual.
Cenários de emparelhamento de BGP
Esta seção descreve os cenários em que o recurso de emparelhamento de BGP pode ser utilizado para configurar o roteamento.
Conectividade de VNet em trânsito
Nesse cenário, o hub virtual denominado "hub 1" está conectado a várias redes virtuais. A meta é estabelecer o roteamento entre as redes virtuais VNET1 e VNET5.
Etapas de configuração sem emparelhamento de BGP
As etapas a seguir são necessárias quando o emparelhamento via protocolo BGP não é usado no hub virtual:
Configuração de hub virtual
- Em defaultRouteTable do hub 1, configure a rota estática para a VNET5 (sub-rede 10.2.1.0/24) apontando para a conexão do VNET2.
- Na conexão de rede virtual do hub 1 para VNET2, configure a rota estática para VNET5 apontando para o IP da NVA do VNET2 (sub-rede 10.2.0.5).
- No Hub 1, propague rotas das conexões de VNET1 e VNET2 para defaultRouteTable e associe-as a defaultRouteTable.
Configuração da rede virtual
- Em VNET5, configure uma rota definida pelo usuário (UDR) para apontar para o IP da NVA do VNET2.
Etapas de configuração com emparelhamento de BGP
Na configuração anterior, a manutenção das rotas estáticas e UDR poderá se tornar complexa se a configuração do VNET5 for alterada com frequência. Para resolver esse desafio, o emparelhamento de BGP com um recurso de hub virtual pode ser usado e a configuração de roteamento precisa ser alterada para as seguintes etapas:
Configuração de hub virtual
- No Hub 1, configure VNET2 NVA como um par de BGP. Configure também VNET2 NVA para ter um emparelhamento de BGP com o hub 1.
- No Hub 1, propague rotas das conexões de VNET1 e VNET2 para defaultRouteTable e associe-as a defaultRouteTable.
Configuração da rede virtual
- Em VNET5, configure uma rota definida pelo usuário (UDR) para apontar para o IP da NVA do VNET2.
Rotas efetivas
A tabela a seguir mostra algumas entradas das rotas efetivas do hub 1 em defaultRouteTable. Observe que a rota para VNET5 (sub-rede 10.2.1.0/24) e isso confirma que as VNET1 e VNET5 poderão se comunicar entre si.
| Prefixo do destino | Próximo salto | Origem | Caminho do ASN |
|---|---|---|---|
| 10.2.0.0/24 | eastusconn | ID da conexão VNet | - |
| 10.2.1.0/24 | ID de conexão do par BGP para NVA | ID de conexão do par BGP para NVA | 65510 |
| 10.4.1.0/24 | Hub 2 | Hub 2 | - |
Configurar o roteamento dessa maneira com o recurso elimina a necessidade de entradas de rotas estáticas no hub virtual. Assim, a configuração é mais simples e as tabelas de rotas são atualizadas dinamicamente quando a configuração é alterada em redes virtuais conectadas (como VNET5).
Conectividade de VNet de ramificação
Nesse cenário, o site local denominado “Ramificação 1 da NVA” tem uma VPN configurada para terminar na NVA do VNET2. A meta é configurar o roteamento entre a Ramificação 1 da NVA e a rede virtual VNET1.
Etapas de configuração sem emparelhamento de BGP
As etapas a seguir são necessárias quando o emparelhamento via protocolo BGP não é usado no hub virtual:
Configuração de hub virtual
- Em defaultRouteTable do hub 1, configure a rota estática para Ramificação 1 da NVA apontando para a conexão do VNET2.
- Na conexão de rede virtual do hub 1 para VNET2, configure a rota estática para Ramificação 1 da NVA apontando para o IP da NVA do VNET2 (10.2.0.5).
- No Hub 1, propague rotas das conexões de VNET1 e VNET2 para defaultRouteTable e associe-as a defaultRouteTable.
Configuração da rede virtual
- Emparelhamento de BGP entre VNET2 NVA e NVA Branch 1 e anúncio de rota para VNET1 de VNET2 NVA para NVA Branch 1.
Etapas de configuração com emparelhamento de BGP
Com o tempo, os prefixos de destino na Ramificação 1 da NVA podem mudar ou pode haver muitos sites, como a Ramificação 1 da NVA, que precisam de conectividade com a VNET1. O resultado seria a necessidade de atualizações nas rotas estáticas no hub 1 e na conexão da VNET2, o que pode ser complicado. Nesses casos, podemos usar o emparelhamento de BGP com um recurso de hub virtual. As etapas de configuração para conectividade de roteamento seriam conforme indicado abaixo.
Configuração de hub virtual
- No Hub 1, configure VNET2 NVA como um par de BGP. Configure também VNET2 NVA para ter um emparelhamento de BGP com o hub 1.
- No Hub 1, propague rotas das conexões de VNET1 e VNET2 para defaultRouteTable e associe-as a defaultRouteTable.
Configuração da rede virtual
- Emparelhamento de BGP entre VNET2 NVA e NVA Branch 1 e anúncio de rota para VNET1 de VNET2 NVA para NVA Branch 1.
Rotas efetivas
A tabela a seguir mostra algumas entradas das rotas efetivas do hub 1 em defaultRouteTable. Observe que a rota para a Ramificação 1 da NVA (sub-rede 192.168.1.0/24) é aprendida sobre o emparelhamento de BGP com a NVA.
| Prefixo do destino | Próximo salto | Origem | Caminho do ASN |
|---|---|---|---|
| 10.2.0.0/24 | eastusconn | ID da conexão VNet | - |
| 192.168.1.0/24 | ID de conexão do par BGP para NVA | ID de conexão do par BGP para NVA | 65510 |
Para gerenciar as alterações de rede na Ramificação 1 da NVA ou estabelecer a conectividade entre novos sites, como a Ramificação 1 da NVA, não há nenhuma configuração adicional necessária no hub 1 porque o emparelhamento de BGP entre o Hub 1 e a NVA atualizará dinamicamente as tabelas de rotas. A configuração e a manutenção são, portanto, simplificadas.