Acerca do encaminhamento do hub virtual

  • Artigo

As capacidades de encaminhamento num hub virtual são proporcionadas por um router que gere todo o encaminhamento entre gateways através do Protocolo BGP. Um hub virtual pode conter vários gateways, como um gateway de VPN site a site, gateway ExpressRoute, gateway ponto a site e Azure Firewall. Este router também proporcionar conectividade de trânsito entre as redes virtuais que se ligam a um hub virtual e podem suportar até um débito agregado de 50 Gbps. Estas capacidades de encaminhamento aplicam-se aos clientes da WAN Virtual Standard.

Para configurar o roteamento, consulte Como configurar o roteamento de hub virtual.

Conceitos de roteamento

As seções a seguir descrevem os principais conceitos de roteamento de hub virtual.

Tabela de rotas do hub

Uma tabela de rotas de hub virtual pode conter uma ou mais rotas. Uma rota inclui seu nome, um rótulo, um tipo de destino, uma lista de prefixos de destino e informações de próximo salto para um pacote a ser roteado. Uma conexão normalmente tem uma configuração de roteamento que associa ou se propaga a uma tabela de rotas.

Intenção e políticas de roteamento de hub

As políticas de Intenção de Roteamento e Roteamento permitem configurar seu hub WAN Virtual para enviar tráfego vinculado à Internet e Privado (Ponto a Site, Site a Site, Rota Expressa, Dispositivos Virtuais de Rede dentro do Hub WAN Virtual e Rede Virtual) por meio de um Firewall do Azure, NVA de Firewall de Próxima Geração ou solução de software como serviço implantada no hub WAN Virtual. Existem dois tipos de Políticas de Roteamento: Tráfego da Internet e Políticas de Roteamento de Tráfego Privado. Cada Hub WAN Virtual pode ter, no máximo, uma Política de Roteamento de Tráfego da Internet e uma Política de Roteamento de Tráfego Privado, cada uma com um recurso de Próximo Salto.

Enquanto o Tráfego Privado inclui prefixos de endereço de ramificação e Rede Virtual, as Políticas de Roteamento os consideram como uma entidade dentro dos conceitos de Intenção de Roteamento.

  • Política de Roteamento de Tráfego da Internet: Quando uma Política de Roteamento de Tráfego da Internet é configurada em um hub WAN Virtual, todas as ramificações (VPN do Usuário (VPN Ponto a Site), VPN Site a Site e Rota Expressa) e as conexões de Rede Virtual para esse Hub WAN Virtual encaminharão o tráfego vinculado à Internet para o recurso do Firewall do Azure ou provedor de Segurança de Terceiros especificado como parte da Política de Roteamento.

  • Política de Roteamento de Tráfego Privado: Quando uma Política de Roteamento de Tráfego Privado é configurada em um hub WAN Virtual, todo o tráfego de ramificação e Rede Virtual dentro e fora do Hub WAN Virtual, incluindo o tráfego entre hubs, será encaminhado para o recurso Firewall do Azure do Próximo Salto especificado na Política de Roteamento de Tráfego Privado.

Para obter mais informações sobre como configurar a intenção de roteamento e as políticas, consulte o seguinte documento.

Ligações

As conexões são recursos do Gerenciador de Recursos que têm uma configuração de roteamento. Os quatro tipos de conexões são:

  • Conexão VPN: conecta um site VPN a um gateway VPN de hub virtual.
  • Conexão de Rota Expressa: conecta um circuito de Rota Expressa a um gateway de Rota Expressa de hub virtual.
  • Conexão de configuração P2S: conecta uma configuração VPN de usuário (ponto a site) a um gateway VPN de usuário (ponto a site) de hub virtual.
  • Conexão de rede virtual de hub: conecta redes virtuais a um hub virtual.

Você pode configurar a configuração de roteamento para uma conexão de rede virtual durante a instalação. Por padrão, todas as conexões se associam e se propagam para a tabela de rotas Padrão.

Associação

Cada conexão está associada a uma tabela de rotas. Associar uma conexão a uma tabela de rotas permite que o tráfego (dessa conexão) seja enviado para o destino indicado como rotas na tabela de rotas. A configuração de roteamento da conexão mostra a tabela de rotas associada. Várias conexões podem ser associadas à mesma tabela de rotas. Todas as conexões VPN, ExpressRoute e User VPN estão associadas à mesma tabela de rotas (padrão).

Por padrão, todas as conexões são associadas a uma tabela de rotas padrão em um hub virtual. Cada hub virtual tem sua própria tabela de rotas padrão, que pode ser editada para adicionar uma rota estática. As rotas adicionadas estaticamente têm precedência sobre as rotas aprendidas dinamicamente para os mesmos prefixos.

Diagram shows Association.

Propagação

As conexões propagam rotas dinamicamente para uma tabela de rotas. Com uma conexão VPN, conexão ExpressRoute ou conexão de configuração P2S, as rotas são propagadas do hub virtual para o roteador local usando BGP. As rotas podem ser propagadas para uma ou várias tabelas de rotas.

Uma tabela de rotas Nenhum também está disponível para cada hub virtual. A propagação para a tabela de rotas Nenhum implica que nenhuma rota precisa ser propagada a partir da conexão. As conexões VPN, ExpressRoute e User VPN propagam rotas para o mesmo conjunto de tabelas de rotas.

Diagram shows propagation.

Etiquetas

Os rótulos fornecem um mecanismo para agrupar logicamente tabelas de rotas. Isso é especialmente útil durante a propagação de rotas de conexões para várias tabelas de rotas. Por exemplo, a Tabela de Rotas Padrão tem um rótulo interno chamado 'Padrão'. Quando os usuários propagam rotas de conexão para o rótulo 'Padrão', ele se aplica automaticamente a todas as Tabelas de Rotas Padrão em cada hub na WAN Virtual.

Configurando rotas estáticas em uma conexão de rede virtual

A configuração de rotas estáticas fornece um mecanismo para direcionar o tráfego do hub por meio de um IP de salto seguinte, que pode ser de um Network Virtual Appliance (NVA) provisionado em uma VNet Spoke conectada a um hub virtual. A rota estática é composta por um nome de rota, lista de prefixos de destino e um IP de salto seguinte.

Excluindo rotas estáticas

Para excluir uma rota estática, a rota deve ser excluída da tabela de rotas na qual ela foi colocada. Consulte Excluir uma rota para conhecer as etapas.

Tabelas de rotas para rotas pré-existentes

As tabelas de rotas agora têm recursos para associação e propagação. Uma tabela de rotas pré-existente é uma tabela de rotas que não tem esses recursos. Se você tiver rotas pré-existentes no roteamento de hub e quiser usar os novos recursos, considere o seguinte:

  • Clientes de WAN virtual padrão com rotas pré-existentes no hub virtual:

    Se você tiver rotas pré-existentes na seção Roteamento para o hub no portal do Azure, precisará primeiro excluí-las e, em seguida, tentar criar novas tabelas de rotas (disponíveis na seção Tabelas de Rotas para o hub no portal do Azure).

  • Clientes WAN virtuais básicos com rotas pré-existentes no hub virtual:

    Se você tiver rotas pré-existentes na seção Roteamento para o hub no portal do Azure, primeiro precisará excluí-las e, em seguida , atualizar sua WAN Virtual Básica para WAN Virtual Padrão. Consulte Atualizar uma WAN virtual do básico para o padrão.

Redefinição do hub

A Redefinição do hub virtual está disponível apenas no portal do Azure. A redefinição fornece uma maneira de trazer quaisquer recursos com falha, como tabelas de rotas, roteador de hub ou o próprio recurso de hub virtual de volta ao seu estado de provisionamento correto. Considere a reposição do hub antes de contactar a Microsoft para obter suporte. Esta operação não redefine nenhum dos gateways em um hub virtual.

Considerações adicionais

Considere o seguinte ao configurar o roteamento de WAN virtual:

  • Todas as conexões de ramificação (Ponto a site, Site a site e Rota Expressa) precisam ser associadas à tabela de rotas padrão. Dessa forma, todos os ramos aprenderão os mesmos prefixos.
  • Todas as conexões de ramificação precisam propagar suas rotas para o mesmo conjunto de tabelas de rotas. Por exemplo, se você decidir que as ramificações devem se propagar para a tabela de rotas padrão, essa configuração deverá ser consistente em todas as ramificações. Como resultado, todas as conexões associadas à tabela de rotas padrão poderão alcançar todas as ramificações.
  • Quando você usa o Firewall do Azure em várias regiões, todas as redes virtuais spoke devem ser associadas à mesma tabela de rotas. Por exemplo, não é possível ter um subconjunto das redes virtuais passando pelo Firewall do Azure enquanto outras redes virtuais ignoram o Firewall do Azure no mesmo hub virtual.
  • Você pode especificar vários endereços IP do próximo salto em uma única conexão de Rede Virtual. No entanto, a Conexão de Rede Virtual não suporta IP de próximo salto 'múltiplo/exclusivo' para o 'mesmo' dispositivo virtual de rede em uma Rede Virtual SPOKE 'se' uma das rotas com IP de próximo salto for indicada como endereço IP público ou 0.0.0.0/0 (internet)
  • Todas as informações referentes à rota 0.0.0.0/0 estão confinadas à tabela de rotas de um hub local. Essa rota não se propaga entre hubs.
  • Você só pode usar a WAN Virtual para programar rotas em um spoke se o prefixo for mais curto (menos específico) do que o prefixo da rede virtual. Por exemplo, no diagrama acima, a VNET1 raiada tem o prefixo 10.1.0.0/16: neste caso, a WAN Virtual não seria capaz de injetar uma rota que corresponda ao prefixo da rede virtual (10.1.0.0/16) ou qualquer uma das sub-redes (10.1.0.0/24, 10.1.1.0/24). Em outras palavras, a WAN virtual não pode atrair tráfego entre duas sub-redes que estão na mesma rede virtual.
  • Embora seja verdade que 2 hubs na mesma WAN virtual anunciarão rotas entre si (desde que a propagação esteja habilitada para os mesmos rótulos), isso só se aplica ao roteamento dinâmico. Depois de definir uma rota estática, esse não é o caso.

Próximos passos