Cenário: emparelhamento BGP com um hub virtual
O roteador de hub WAN Virtual do Azure, também chamado de roteador de hub virtual, atua como um gerenciador de rotas e fornece simplificação na operação de roteamento dentro e entre hubs virtuais. Em outras palavras, um roteador de hub virtual faz o seguinte:
- Simplifica o gerenciamento de roteamento sendo o mecanismo de roteamento central que conversa com gateways como VPN, ExpressRoute, P2S e Network Virtual Appliances (NVA).
- Permite cenários de roteamento avançado de tabelas de rotas personalizadas, associação e propagação de rotas.
- Atua como o roteador para o tráfego que transita entre/para redes virtuais conectadas a um hub virtual.
O router do hub virtual agora também expõe a capacidade de se ligar em modo de peering, ao trocar assim informações de encaminhamento diretamente através do protocolo de encaminhamento BGP. O NVA ou um ponto final do BGP aprovisionado numa rede virtual ligada a um hub virtual poderá ligar-se diretamente em modo de peering ao router do hub virtual se suportar o protocolo de encaminhamento BGP e assegurar que o ASN no NVA está configurado para ser diferente do ASN no hub virtual.
Benefícios e considerações
Principais vantagens
- Você não precisa mais atualizar manualmente a tabela de roteamento em seu NVA sempre que seus endereços de rede virtual são atualizados.
- Você não precisa mais atualizar rotas definidas pelo usuário manualmente sempre que seu NVA anunciar novas rotas ou retirar as antigas.
- O NVA em redes virtuais conectadas a um hub virtual pode aprender rotas de gateway de hub virtual (VPN, Rota Expressa ou NVA gerenciado).
- Você pode emparelhar várias instâncias do seu NVA com um roteador de hub virtual. Você pode configurar atributos BGP em seu NVA e, dependendo do seu design (ativo-ativo ou ativo-passivo), informar o roteador de hub virtual qual instância de NVA está ativa ou passiva.
Considerações
Não é possível emparelhar um roteador de hub virtual com o Azure Route Server provisionado em uma rede virtual.
O roteador de hub virtual suporta apenas ASN de 16 bits (2 bytes).
A conexão de rede virtual que tem o ponto de extremidade de conexão NVA BGP deve estar sempre associada e propagando para defaultRouteTable. No momento, não há suporte para tabelas de rotas personalizadas.
O roteador de hub virtual suporta conectividade de trânsito entre redes virtuais conectadas a hubs virtuais. Isso não tem nada a ver com esse recurso para a capacidade de emparelhamento BGP, pois a WAN Virtual já suporta conectividade de trânsito. Exemplos:
- VNET1: NVA1 conectado ao Hub Virtual 1 -> (conectividade de trânsito) -> VNET2: NVA2 conectado ao Hub Virtual 1.
- VNET1: NVA1 conectado ao Hub Virtual 1 -> (conectividade de trânsito) -> VNET2: NVA2 conectado ao Hub Virtual 2.
Você pode usar seus próprios ASNs públicos ou privados em seu dispositivo virtual de rede. Não é possível usar os intervalos reservados pelo Azure ou IANA. Os seguintes ASNs são reservados pelo Azure ou IANA:
- ASNs reservados pelo Azure:
- ASNs públicos: 8074, 8075, 12076
- ASNs privados: 65515, 65517, 65518, 65519, 65520
- ASNs reservados pela IANA: 23456, 64496-64511, 65535-65551
- ASNs reservados pelo Azure:
Enquanto o roteador de hub virtual troca rotas BGP com seu NVA e as propaga para sua rede virtual, ele facilita diretamente a propagação de rotas locais por meio dos gateways hospedados no hub virtual (gateway VPN/gateway ExpressRoute/gateways NVA gerenciados).
O emparelhamento BGP só é suportado com um endereço IP atribuído a uma interface do NVA. Não há suporte para emparelhamento com loopbacks.
O roteador de hub virtual tem os seguintes limites:
Recurso Limite Número de rotas que cada par BGP pode anunciar para o hub virtual. O hub só pode aceitar um número máximo de 10.000 rotas (total) de seus recursos conectados. Por exemplo, se um hub virtual tiver um total de 6000 rotas das redes virtuais conectadas, filiais, hubs virtuais, etc., quando um novo emparelhamento BGP for configurado com um NVA, o NVA só poderá anunciar até 4000 rotas. Número de pares BGP Um máximo de 8 pares BGP podem ser conectados a um único Hub WAN Virtual As rotas do NVA em uma rede virtual que são mais específicas do que o espaço de endereçamento da rede virtual, quando anunciadas para o hub virtual por meio do BGP, não são propagadas para o local.
Atualmente, suportamos apenas 4.000 rotas do NVA para o hub virtual.
O tráfego destinado a endereços na rede virtual diretamente conectado ao hub virtual não pode ser configurado para rotear através do NVA usando o emparelhamento BGP entre o hub e o NVA. Isso ocorre porque o hub virtual aprende automaticamente sobre as rotas do sistema associadas aos endereços na rede virtual spoke quando a conexão de rede virtual spoke é criada. Essas rotas do sistema aprendidas automaticamente são preferidas em relação às rotas aprendidas pelo hub por meio do BGP.
O emparelhamento BGP entre um NVA em uma VNet spoke e um hub virtual seguro (hub com uma solução de segurança integrada) é suportado se a intenção de roteamento estiver configurada no hub. O recurso de emparelhamento BGP não é suportado para hubs virtuais seguros em que a intenção de roteamento não está configurada.
Para que o NVA troque rotas com sites conectados por VPN e ER, o roteamento de ramificação para filial deve ser ativado.
Ao configurar o emparelhamento BGP com o hub, você verá dois endereços IP. É necessário emparelhar com ambos os endereços. Não emparelhar com ambos os endereços pode causar problemas de roteamento. As mesmas rotas devem ser anunciadas para ambos os endereços. Anunciar rotas diferentes causará problemas de roteamento.
O endereço IP do próximo salto nas rotas que estão sendo anunciadas do NVA para o servidor de rota HUB virtual deve ser o mesmo que o endereço IP do NVA, o endereço IP configurado no par BGP. Ter um endereço IP diferente anunciado como próximo salto NÃO é suportado na WAN virtual no momento.
Cenários de emparelhamento BGP
Esta seção descreve cenários em que o recurso de emparelhamento BGP pode ser utilizado para configurar o roteamento.
Conectividade VNet de trânsito
Nesse cenário, o hub virtual chamado "Hub 1" está conectado a várias redes virtuais. O objetivo é estabelecer o roteamento entre redes virtuais VNET1 e VNET5.
Etapas de configuração sem emparelhamento BGP
As etapas a seguir são necessárias quando o emparelhamento BGP não é usado no hub virtual:
Configuração de hub virtual
- No defaultRouteTable do Hub 1, configure a rota estática para VNET5 (sub-rede 10.2.1.0/24) apontando para a conexão VNET2.
- Na conexão de rede virtual do Hub 1 para VNET2, configure a rota estática para VNET5 apontando para VNET2 NVA IP (sub-rede 10.2.0.5).
- No Hub 1, propague rotas de conexões para VNET1 e VNET2 para o defaultRouteTable e associe-as ao defaultRouteTable.
Configuração da rede virtual
- Na VNET5, configure uma rota definida pelo usuário (UDR) para apontar para VNET2 NVA IP.
Etapas de configuração com emparelhamento BGP
Na configuração anterior, a manutenção das rotas estáticas e UDR pode se tornar complexa se a configuração VNET5 mudar com freqüência. Para enfrentar esse desafio, o emparelhamento BGP com um recurso de hub virtual pode ser usado e a configuração de roteamento deve ser alterada para as seguintes etapas:
Configuração de hub virtual
- No Hub 1, configure o VNET2 NVA como um par BGP. Além disso, configure o VNET2 NVA, para ter um emparelhamento BGP com o Hub 1.
- No Hub 1, propague rotas de conexões para VNET1 e VNET2 para o defaultRouteTable e associe-as ao defaultRouteTable.
Configuração da rede virtual
- Na VNET5, configure uma rota definida pelo usuário (UDR) para apontar para VNET2 NVA IP.
Rotas efetivas
A tabela a seguir mostra algumas entradas das rotas efetivas do Hub 1 no defaultRouteTable. Observe que a rota para VNET5 (sub-rede 10.2.1.0/24) e isso confirma que VNET1 e VNET5 serão capazes de se comunicar entre si.
| Prefixo de destino | Próximo salto | Origem | Caminho ASN |
|---|---|---|---|
| 10.2.0.0/24 | Eastusconn | ID de conexão VNet | - |
| 10.2.1.0/24 | ID de conexão de par BGP para NVA | ID de conexão de par BGP para NVA | 65510 |
| 10.4.1.0/24 | Hub 2 | Hub 2 | - |
Configurar o roteamento dessa maneira usando o recurso elimina a necessidade de entradas de rota estáticas no hub virtual. Portanto, a configuração é mais simples e as tabelas de rotas são atualizadas dinamicamente quando a configuração em redes virtuais conectadas (como VNET5) muda.
Conectividade de rede virtual de filial
Nesse cenário, o site local chamado "NVA Branch 1" tem uma VPN configurada para encerrar no VNET2 NVA. O objetivo é configurar o roteamento entre NVA Branch 1 e VNET1 de rede virtual.
Etapas de configuração sem emparelhamento BGP
As etapas a seguir são necessárias quando o emparelhamento BGP não é usado no hub virtual:
Configuração de hub virtual
- No defaultRouteTable do Hub 1, configure a rota estática para a ramificação NVA 1 apontando para a conexão VNET2.
- Na conexão de rede virtual do Hub 1 para VNET2, configure a rota estática para NVA Branch 1 apontando para VNET2 NVA IP (10.2.0.5).
- No Hub 1, propague rotas de conexões para VNET1 e VNET2 para defaultRouteTable e associe-as ao defaultRouteTable.
Configuração da rede virtual
- Emparelhamento BGP entre VNET2 NVA e NVA Branch 1 e anúncios de roteamento para VNET1 de VNET2 NVA para NVA Branch 1.
Etapas de configuração com emparelhamento BGP
Com o tempo, os prefixos de destino no NVA Branch 1 podem mudar, ou pode haver muitos sites como NVA Branch 1, que precisam de conectividade com VNET1. Isso resultaria na necessidade de atualizações para as rotas estáticas no Hub 1 e na conexão VNET2, o que pode ficar complicado. Nesses casos, podemos usar o emparelhamento BGP com um recurso de hub virtual e as etapas de configuração para roteamento de conectividade seriam as indicadas abaixo.
Configuração de hub virtual
- No Hub 1, configure o VNET2 NVA como um par BGP. Além disso, configure o VNET2 NVA, para ter um emparelhamento BGP com o Hub 1.
- No Hub 1, propague rotas de conexões para VNET1 e VNET2 para defaultRouteTable e associe-as ao defaultRouteTable.
Configuração da rede virtual
- Emparelhamento BGP entre VNET2 NVA e NVA Branch 1 e anúncios de roteamento para VNET1 de VNET2 NVA para NVA Branch 1.
Rotas efetivas
A tabela abaixo mostra algumas entradas das rotas efetivas do Hub 1 no defaultRouteTable. Observe que a rota para NVA Branch 1 (sub-rede 192.168.1.0/24) é aprendida através do emparelhamento BGP com o NVA.
| Prefixo de destino | Próximo salto | Origem | Caminho ASN |
|---|---|---|---|
| 10.2.0.0/24 | Eastusconn | ID de conexão VNet | - |
| 192.168.1.0/24 | ID de conexão de par BGP para NVA | ID de conexão de par BGP para NVA | 65510 |
Para gerenciar alterações de rede no NVA Branch 1 ou estabelecer conectividade entre novos sites como o NVA Branch 1, não é necessária nenhuma configuração adicional no Hub 1 porque o emparelhamento BGP entre o Hub 1 e o NVA atualizará dinamicamente as tabelas de rotas. A configuração e manutenção são, portanto, simplificadas.