Scenario: Dirigera trafik via NVA
När du arbetar Virtual WAN routning av virtuella hubbar finns det ganska många tillgängliga scenarier. I det här NVA-scenariot är målet att dirigera trafik via en NVA (Network Virtual Appliance) för gren till VNet och VNet till gren. Information om routning av virtuella hubbar finns i Om routning av virtuella hubbar.
Anteckning
Om du redan har en konfiguration med vägar som är före de nya funktionerna Så här konfigurerar du virtuell hubbroutning blir tillgänglig, använder du stegen i de här versionerna av artiklarna:
Design
I det här scenariot använder vi namngivningskonventionen:
- "NVA VNets" för virtuella nätverk där användare har distribuerat en NVA och har anslutit andra virtuella nätverk som ekrar (VNet 2 och VNet 4 i bild 2 längre ned i artikeln).
- "NVA Spokes" för virtuella nätverk som är anslutna till ett virtuellt NVA-nätverk (VNet 5, VNet 6, VNet 7 och VNet 8 i bild 2 längre ned i artikeln).
- "Virtuella icke-NVA-nätverk" för virtuella nätverk som är anslutna till Virtual WAN som inte har en NVA eller andra virtuella nätverk peerkopplade (VNet 1 och VNet 3 i bild 2 längre ned i artikeln).
- "Hubs" för Microsoft-hanterade Virtual WAN Hubs, där virtuella NVA-nätverk är anslutna till. Virtuella NVA-ekernätverk behöver inte vara anslutna Virtual WAN virtuella hubbar, endast till virtuella NVA-nätverk.
I följande anslutningsmatris sammanfattas de flöden som stöds i det här scenariot:
Anslutningsmatris
| Från | Till: | NVA-ekrar | Virtuella NVA-nätverk | Virtuella nätverk som inte är NVA | Grenar |
|---|---|---|---|---|---|
| NVA-ekrar | → | Över NVA VNet | Peering | Över NVA VNet | Över NVA VNet |
| Virtuella NVA-nätverk | → | Peering | Direct | Direct | Direct |
| Virtuella nätverk som inte är NVA | → | Över NVA VNet | Direct | Direct | Direct |
| Grenar | → | Över NVA VNet | Direct | Direct | Direct |
Var och en av cellerna i anslutningsmatrisen beskriver hur ett VNet eller en gren (från-sidan av flödet, radrubrikerna i tabellen) kommunicerar med ett mål-VNet eller en gren (till-sidan av flödet, kolumnrubrikerna i italik i tabellen). "Direkt" innebär att anslutningen tillhandahålls inbyggt av Virtual WAN, "Peering" innebär att anslutningen tillhandahålls av en User-Defined-väg i det virtuella nätverket. "Over NVA VNet" innebär att anslutningen passerar den NVA som distribueras i det virtuella NVA-nätverket. Tänk också på följande:
- NVA-ekrar hanteras inte av Virtual WAN. Det innebär att de mekanismer som de kommunicerar med till andra virtuella nätverk eller grenar underhålls av användaren. Anslutning till det virtuella NVA-nätverket tillhandahålls av en VNet-peering och en standardväg till 0.0.0.0/0 som pekar på NVA som nästa hopp ska omfatta anslutning till Internet, till andra ekrar och till grenar
- Virtuella NVA-nätverk känner till sina egna NVA-ekrar, men inte om NVA-ekrar som är anslutna till andra virtuella NVA-nätverk. I bild 2 längre ned i den här artikeln känner till exempel VNet 2 om VNet 5 och VNet 6, men inte om andra ekrar som VNet 7 och VNet 8. En statisk väg krävs för att mata in andra ekerprefix i virtuella NVA-nätverk
- Grenar och virtuella icke-NVA-nätverk känner inte heller till några NVA-ekrar, eftersom NVA-ekrar inte är anslutna till Virtual WAN hubbar. Därför behövs även statiska vägar här.
Med tanke på att NVA-ekrarna inte hanteras av Virtual WAN visar alla andra rader samma anslutningsmönster. Därför kommer en enda vägtabell (standardtabellen) att göra följande:
- Virtuella nätverk (virtuella nätverk som inte är hubbar och användarhubbens virtuella nätverk):
- Associerad vägtabell: Standard
- Spridning till flödestabeller: Standard
- Grenar:
- Associerad vägtabell: Standard
- Spridning till flödestabeller: Standard
I det här scenariot måste vi dock tänka på vilka statiska vägar som ska konfigureras. Varje statisk väg har två komponenter, en del i Virtual WAN-hubben som talar om för Virtual WAN-komponenterna vilken anslutning som ska användas för varje eker och en annan i den specifika anslutningen som pekar på den konkreta IP-adress som tilldelats NVA (eller till en lastbalanserare framför flera NVA:er), som bild 1 visar:
Bild 1
Med det är de statiska vägar som vi behöver i standardtabellen för att skicka trafik till NVA-ekrarna bakom det virtuella NVA-nätverket följande:
| Beskrivning | Routningstabell | Statisk väg |
|---|---|---|
| VNet 2 | Standardvärde | 10.2.0.0/16 -> eastusconn |
| VNet 4 | Standardvärde | 10.4.0.0/16 -> weconn |
Nu vet virtual WAN vilken anslutning paketen ska skickas till, men anslutningen måste veta vad som ska göras när paketen tas emot: Det är här anslutningsvägtabellerna används. Här använder vi de kortare prefixen (/24 i stället för den längre /16) för att se till att dessa vägar har företräde framför vägar som importeras från de virtuella NVA-nätverken (VNet 2 och VNet 4):
| Beskrivning | Anslutning | Statisk väg |
|---|---|---|
| VNet 5 | eastusconn | 10.2.1.0/24 -> 10.2.0.5 |
| VNet 6 | eastusconn | 10.2.2.0/24 -> 10.2.0.5 |
| VNet 7 | weconn | 10.4.1.0/24 -> 10.4.0.5 |
| VNet 8 | weconn | 10.4.2.0/24 -> 10.4.0.5 |
Nu vet virtuella NVA-nätverk, virtuella icke-NVA-nätverk och grenar hur de ska nå alla NVA-ekrar. Mer information om routning av virtuella hubbar finns i Om routning av virtuella hubbar.
Arkitektur
I bild 2 finns det två hubbar: Hub1 och Hub2.
Hub1 och Hub2 är direkt anslutna till de virtuella NVA-nätverken VNet 2 och VNet 4.
VNet 5 och VNet 6 peer-peeras med VNet 2.
VNet 7 och VNet 8 peer-peeras med VNet 4.
VNets 5,6,7,8 är indirekta ekrar som inte är direkt anslutna till en virtuell hubb.
Bild 2
Arbetsflöde för scenario
Om du vill konfigurera routning via NVA kan du överväga följande steg:
Identifiera VNet-anslutningen för NVA-eker. I bild 2 är de VNet 2-anslutning (eastusconn) och VNet 4-anslutning (weconn).
Kontrollera att det finns UDR:er konfigurerade:
- Från VNet 5 och VNet 6 till VNet 2 NVA IP
- Från VNet 7 och VNet 8 till VNet 4 NVA IP
Du behöver inte ansluta VNets 5,6,7,8 till de virtuella hubbarna direkt. Se till att NSG:er i VNets 5,6,7,8 tillåter trafik för gren (VPN/ER/P2S) eller virtuella nätverk som är anslutna till deras fjärranslutna virtuella nätverk. Till exempel måste VNets 5,6 se till att NSG:er tillåter trafik för lokala adressprefix och VNets 7,8 som är anslutna till fjärrhubben 2.
Virtual WAN stöder inte ett scenario där VNets 5,6 ansluter till en virtuell hubb och kommunicerar via VNet 2 NVA IP. därför behovet av att ansluta VNets 5,6 till VNet2 och på liknande sätt VNet 7,8 till VNet 4.
Lägg till en aggregerad post för statisk väg för VNets 2,5,6 till standardvägtabellen för Hub 1.
Konfigurera en statisk väg för VNets 5,6 i VNet 2:s virtuella nätverksanslutning. Om du vill konfigurera routningskonfiguration för en virtuell nätverksanslutning kan du gå till dirigering av virtuella hubbar.
Lägg till en aggregerad post för statisk väg för VNets 4,7,8 till Standardvägtabell för hubb 1.
Upprepa steg 2, 3 och 4 för Standardvägtabell för hubb 2.
Detta resulterar i ändringar i routningskonfigurationen, som du ser i bild 3 nedan.
Bild 3
Nästa steg
- Mer information om Virtual WAN finns i Vanliga frågor och svar.
- Mer information om routning av virtuella hubbar finns i Om routning av virtuella hubbar.