RAS 閘道部署架構

適用於：Windows Server 2022、Windows Server 2019、Windows Server 2016、Azure Stack HCI，版本 21H2 和 20H2

您可以使用本主題來了解 RAS 閘道的雲端服務提供者 (CSP) 部署，包括 RAS 閘道集區、路由反射程式，以及為個別租用戶部署多個閘道。

下列各節將提供一些 RAS 閘道新功能的簡短概觀，讓您了解如何在閘道部署的設計中使用這些功能。

此外，還會提供範例部署，包括新增租用戶的程序、路由同步和資料平面路由、閘道和路由反射程式容錯移轉等相關資訊。

本主題包含下列各節。

• 使用 RAS 閘道新功能來設計部署

• 範例部署

• 新增租用戶和客戶位址 (CA) 空間 EBGP 對等互連

• 路由同步和資料平面路由

• 網路控制卡如何回應 RAS 閘道和路由反射程式容錯移轉

• 使用新 RAS 閘道功能的優點

使用 RAS 閘道新功能來設計部署

RAS 閘道包含多個新功能，可變更和改善您在資料中心內部署閘道基礎結構的方式。

BGP 路由反射程式

邊界閘道協定 (BGP) 路由反射程式功能現在隨附於 RAS 閘道，並可替代通常在路由器之間進行路由同步所需的 BGP 完整網狀拓撲。 達成完整網狀同步後，每個 BGP 路由器都必須與路由拓撲中所有其他路由器連線。 不過，當您使用路由反射程式時，路由反射程式是唯一與所有其他路由器 (稱為 BGP 路由反射程式用戶端) 連線的路由器，可藉此簡化路由同步並減少網路流量。 路由反射程式會學習所有路由、計算最佳路由，並將最佳路由轉散布給其 BGP 用戶端。

如需詳細資訊，請參閱 RAS 閘道的新功能。

閘道集區

在 Windows Server 2016 中，您可以建立許多不同類型的閘道集區。 閘道集區包含許多 RAS 閘道執行個體，並且會在實體和虛擬網路之間路由網路流量。

如需詳細資訊，請參閱 RAS 閘道的新功能和 RAS 閘道高可用性。

閘道集區可擴縮性

您可以藉由在集區中新增或移除閘道 VM，輕鬆地擴大或縮小閘道集區。 移除或新增閘道並不會中斷集區所提供的服務。 您也可以新增和移除整個閘道集區。

如需詳細資訊，請參閱 RAS 閘道的新功能和 RAS 閘道高可用性。

M+N 閘道集區備援

每個閘道集區都是 M+N 備援。 這表示 'M' 個使用中閘道 VM 會有 'N' 個待命閘道 VM 提供支援。 M+N 備援可讓您更有彈性地判斷部署 RAS 閘道時所需的可靠性層級。

如需詳細資訊，請參閱 RAS 閘道的新功能和 RAS 閘道高可用性。

範例部署

下圖提供在兩個租用戶 (Contoso 和 Woodgrove) 和 Fabrikam CSP 資料中心之間設定以站對站 VPN 連線進行 eBGP 對等互連的範例。

在此範例中，由於 Contoso 需要額外的閘道頻寬，導致閘道基礎結構設計決策要終止 GW3 (不是 GW2) 上的 Contoso Los Angeles 網站。 因此，來自不同網站的 Contoso VPN 連線會在兩個不同閘道上的 CSP 資料中心內終止。

當 CSP 將 Contoso 和 Woodgrove 租用戶新增至其基礎結構時，這兩個閘道 (GW2 和 GW3) 都是網路控制卡所設定的第一個 RAS 閘道。 因此，這兩個閘道會設定為這些對應客戶 (或租用戶) 的路由反射程式。 GW2 是 Contoso 路由反射程式，而 GW3 是 Woodgrove 路由反射程式 (也是與 Contoso Los Angeles HQ 網站之間 VPN 連線的 CSP RAS 閘道終止點)。

注意

根據每個租用戶的頻寬需求，一個 RAS 閘道可以將虛擬和實體網路流量路由至最多一百個不同租用戶。

作為路由反射程式，GW2 會將 Contoso CA 空間路由傳送至網路控制卡，而 GW3 會將 Woodgrove CA 空間路由至網路控制卡。

網路控制卡會將 Hyper-V 網路虛擬化原則推送至 Contoso 和 Woodgrove 虛擬網路，並將 RAS 原則推送至 RAS 閘道，以及將負載平衡原則推送至設定為軟體負載平衡集區的多工器 (MUX)。

新增租用戶和客戶位址 (CA) 空間 EBGP 對等互連

當您簽署新客戶並將客戶新增為資料中心的新租用戶時，您可以使用下列程序，其中大部分內容會由網路控制卡和 RAS 閘道 eBGP 路由器自動執行。

1. 根據租用戶的需求佈建新的虛擬網路和工作負載。

2. 如有需要，請在遠端租用戶企業網站與他們在您資料中心上的虛擬網路之間設定遠端連線。 當您為租用戶部署站對站 VPN 連線時，網路控制卡會自動從可用的閘道集區選取可用的 RAS 閘道 VM，並設定連線。

3. 在為新租用戶設定 RAS 閘道 VM 時，網路控制卡也會將 RAS 閘道設定為 BGP 路由器，並將其指定為租用戶的路由反射程式。 即使在 RAS 閘道作為其他租用戶的閘道 (或作為閘道和路由反射程式) 使用的情況下也是如此。

4. 根據 CA 空間路由是設定為使用靜態設定的網路還是動態 BGP 路由，網路控制卡會在 RAS 閘道 VM 和路由反射程式上設定對應的靜態路由或 BGP 鄰居，或兩者皆設定。

   注意

   • 網路控制卡為租用戶設定 RAS 閘道和路由反射程式之後，每當相同的租用戶需要新的站對站 VPN 連線時，網路控制卡就會檢查此 RAS 閘道 VM 上的可用容量。 如果原始閘道可以處理所需的容量，則相同的 RAS 閘道 VM 上也會設定新的網路連線。 如果 RAS 閘道 VM 無法處理額外的容量，網路控制卡就會選取新的可用 RAS 閘道 VM，並在其中設定新的連線。 這一個與租用戶相關聯的新 RAS 閘道 VM 會成為原始租用戶 RAS 閘道路由反射程式的路由反射程式用戶端。

   • 由於 RAS 閘道集區位於軟體負載平衡器 (SLB) 後方，因此租用戶的站對站 VPN 位址會分別使用單一公用 IP 位址 (稱為虛擬 IP 位址 (VIP))，該位址會由 SLA 轉譯為資料中心內部 IP 位址 (稱為動態 IP 位址 (DIP))，以使用可路由企業租用戶流量的 RAS 閘道。 SLB 的此公用對私人 IP 位址對應可確保在企業網站與 CSP RAS 閘道和路由反射程式之間正確建立站對站 VPN 通道。

     如需 SLB、VIP 和 DIP 的詳細資訊，請參閱 SDN 的軟體負載平衡 (SLB)。

5. 在針對新租用戶建立企業網站與 CSP 資料中心 RAS 閘道之間的站對站 VPN 通道之後，與通道相關聯的靜態路由就會自動在通道的企業和 CSP 端上自動佈建。

6. 若透過 CA 空間 BGP 路由，則也會建立企業網站與 CSP RAS 閘道路由反射程式之間的 eBGP 對等互連。

路由同步和資料平面路由

在企業網站與 CSP RAS 閘道路由反射程式之間建立 eBGP 對等互連之後，路由反射程式會使用動態 BGP 路由來了解所有企業路由。 路由反射程式會同步所有路由反射程式用戶端之間的這些路由，讓其全都以相同的一組路由進行設定。

路由反射程式也會使用路由同步對網路控制卡更新這些合併路由。 網路控制卡接著會將路由轉譯成 Hyper-V 網路虛擬化原則，並設定網狀架構網路，以確保會佈建端對端資料路徑路由。 此程序會讓租用戶虛擬網路可從租用戶企業網站進行存取。

針對資料平面路由，到達 RAS 閘道 VM 的封包會直接路由至租用戶的虛擬網路，因為所有參與的 RAS 閘道 VM 現在都可使用必要的路由。

同樣地，若使用 Hyper-V 網路虛擬化原則，則租用戶虛擬網路會將封包直接路由至 RAS 閘道 VM (不需要知道路由反射程式)，然後透過站對站 VPN 通道將封包傳送至企業網站。

此外。 將來自租用戶虛擬網路的流量傳回至遠端租用戶企業網站會略過 SLA，也就是稱為「直接伺服器回傳 (DSR)」的程序。

網路控制卡如何回應 RAS 閘道和路由反射程式容錯移轉

以下是兩個可能的容錯移轉案例 (一個用於 RAS 閘道路由反射程式用戶端，另一個用於 RAS 閘道路由反射程式)，其中包括網路控制卡如何處理任一設定中 VM 容錯移轉的相關資訊。

RAS 閘道 BGP 路由反射程式用戶端的 VM 失敗

當 RAS 閘道路由反射程式用戶端失敗時，網路控制卡會採取下列動作。

注意

當 RAS 閘道不是租用戶 BGP 基礎結構的路由反射程式時，其就會是租用戶 BGP 基礎結構中的路由反射程式用戶端。

• 網路控制卡會選取可用的待命 RAS 閘道 VM，並使用失敗 RAS 閘道 VM 的設定佈建新的 RAS 閘道 VM。

• 網路控制卡會更新對應的 SLB 設定，以確保使用新的 RAS 閘道正確建立從租用戶網站到失敗 RAS 閘道的站對站 VPN 通道。

• 網路控制卡會在新的閘道上設定 BGP 路由反射程式用戶端。

• 網路控制卡會將新的 RAS 閘道 BGP 路由反射程式用戶端設定為作用中。 RAS 閘道會立即啟動與租用戶路由反射程式之間的對等互連，以共用路由資訊，並針對對應的企業網站啟用 eBGP 對等互連。

RAS 閘道 BGP 路由反射程式的 VM 失敗

當 RAS 閘道 BGP 路由反射程式失敗時，網路控制卡會採取下列動作。

• 網路控制卡會選取可用的待命 RAS 閘道 VM，並使用失敗 RAS 閘道 VM 的設定佈建新的 RAS 閘道 VM。

• 網路控制卡會在新的 RAS 閘道 VM 上設定路由反射程式，並將失敗 VM 所使用的相同 IP 位址指派給新的 VM，因此即使 VM 失敗時，仍可提供路由完整性。

• 網路控制卡會更新對應的 SLB 設定，以確保使用新的 RAS 閘道正確建立從租用戶網站到失敗 RAS 閘道的站對站 VPN 通道。

• 網路控制卡會將新的 RAS 閘道 BGP 路由反射程式 VM 設定為作用中。

• 路由反射程式會立即變成作用中。 企業對站 VPN 通道會隨即建立，而路由反射程式會使用 eBGP 對等互連，並與企業網站路由器交換路由。

• 選取 BGP 路由之後，RAS 閘道 BGP 路由反射程式會更新資料中心內的租用戶路由反射程式用戶端，並將路由與網路控制卡同步，讓端對端資料路徑可供租用戶流量使用。

使用新 RAS 閘道功能的優點

以下是設計 RAS 閘道部署時，使用這些新 RAS 閘道功能的一些優點。

RAS 閘道可擴縮性

由於您可以將所需的 RAS 閘道 VM 數量新增至 RAS 閘道集區，因此您可以輕鬆地調整 RAS 閘道部署來最佳化效能和容量。 將 VM 新增至集區時，您可以使用任何類型的站對站 VPN 連線 (IKEv2、L3、GRE) 來設定這些 RAS 閘道，以消除容量瓶頸，且不需要停機時間。

簡化的企業網站閘道管理

當租用戶有多個企業網站時，租用戶可以為所有網站設定一個遠端站對站 VPN IP 位址和單一遠端鄰近 IP 位址 - 您用於該租用戶的 CSP 資料中心 RAS 閘道 BGP 路由反射程式 VIP。 這可簡化租用戶的閘道管理。

閘道失敗的快速補救

若要確保快速的容錯移轉回應，您可以將邊緣路由與控制路由器之間的 BGP Keepalive 參數時間設定為短時間間隔，例如小於或等於十秒。 使用這個簡短的保持運作間隔時，如果 RAS 閘道 BGP 邊緣路由器失敗，則可快速偵測到失敗，而且網路控制卡會遵循先前各節中提供的步驟。 這項優點可減少個別失敗偵測通訊協定的需求，例如雙向轉送偵測 (BFD) 通訊協定。