Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo descrive come usare le route statiche della rete WAN virtuale per inviare il traffico a un'appliance virtuale di rete in una rete virtuale spoke per connettività spoke indiretta, uscita Internet o tunnel VPN o SD-WAN.
Panoramica dello scenario
Questo scenario di routing illustra come configurare rete WAN virtuale di Azure per instradare il traffico verso un'appliance di rete virtuale distribuita in una rete spoke di una rete WAN virtuale. In questa progettazione, l'NVA controlla il traffico e quindi lo inoltra a Internet, alle reti virtuali connesse indirettamente all'hub virtuale (ma collegate in peering alla rete virtuale dell'NVA) o ai tunnel VPN/SDWAN che terminano sull'NVA.
Diagramma di rete
Flussi di traffico
Le sezioni seguenti illustrano come il traffico viene instradato a spoke indiretti e a Internet usando le route statiche della rete WAN virtuale.
Modelli spoke indiretti
La matrice di connettività seguente riepiloga se il traffico passa direttamente attraverso rete WAN virtuale o attraversa un'appliance virtuale di rete in questo scenario.
| Origine/Destinazione | Hub 1 Spoke indiretti | Hub 1 Spoke diretti | Rami hub 1 | Hub 2 Spoke indiretti | Hub 2 Spoke diretti | Rami Hub 2 |
|---|---|---|---|---|---|---|
| Hub 1 Spoke indiretti | Tramite Hub 1 NVA | Tramite Hub 1 NVA | Via Hub 1 NVA | Tramite Hub 1,2 NVA | Attraverso Hub 1 NVA | Tramite Hub 1 NVA |
| Hub 1 Spoke diretti | Via Hub 1 NVA | Diretto | Diretto | Tramite Hub 2 NVA | Diretto | Diretto |
| Rami hub 1 | Tramite Hub 1 NVA | Diretto | Diretto | Tramite Hub 2 NVA | Diretto | Diretto |
| Hub 2 Spoke indiretti | Tramite Hub 1 e Hub 2 NVA | Tramite Hub 2 NVA | Tramite Hub 2 NVA | Tramite Hub 2 NVA | Tramite Hub 2 NVA | Tramite Hub 2 NVA |
| Hub 2 Spoke diretti | Attraverso Hub 1 NVA | Diretto | Diretto | Tramite Hub 2 NVA | Diretto | Diretto |
| Rami Hub 2 | Tramite Hub 1 NVA | Diretto | Diretto | Tramite Hub 2 NVA | Diretto | Diretto |
Modelli di accesso a Internet
Note
La route 0.0.0.0/0 non viene propagata negli hub rete WAN virtuale. Ogni connessione deve usare l'appliance virtuale di rete (NVA) dell'hub locale per l'uscita Internet.
La matrice di connettività seguente riepiloga l'accesso a Internet in questo scenario.
| origine | Internet |
|---|---|
| Hub 1 Spoke diretti | Via Hub 1 NVA |
| Rami hub 1 | Tramite Hub 1 NVA |
| Hub 2 Spoke diretti | Tramite Hub 2 NVA |
| Rami Hub 2 | Tramite Hub 2 NVA |
Configuration
La configurazione in questa sezione usa la configurazione dell'opzione 1 della route statica. L'opzione 2 può essere anche usata, ma richiede una configurazione aggiuntiva per aggiungere route statiche con hop NVA con connessioni di rete virtuali in tutte le tabelle di routing predefinite nella rete WAN virtuale.
Route statiche per collegamenti spoke indiretti
Le seguenti route statiche sono configurate aggiungendo direttamente le route statiche nella connessione di rete virtuale NVA, con Propagate static route impostato su true.
| Hub | Connessione | Prefisso | Indirizzo IP hop successivo |
|---|---|---|---|
| Hub 1 | Connessione di Rete Virtuale NVA (Hub1) | 10.2.0.0/16 | 10.3.10.5 |
| Hub 2 | Connessione di rete virtuale NVA (Hub2) | 10.4.0.0/16 | 10.4.10.5 |
Route statiche per uscita verso internet
Le route statiche seguenti vengono configurate aggiungendo le route statiche direttamente nella connessione della rete virtuale del Network Virtual Appliance (NVA), con Propaga route statiche impostato su true (opzione 1 modello di routing statico).
| Hub | Connessione | Prefisso | Indirizzo IP hop successivo |
|---|---|---|---|
| Hub 1 | Connessione di Rete Virtuale NVA (Hub 1) | 0.0.0.0/0 | 10.3.10.5 |
| Hub 2 | Connessione di Rete Virtuale NVA (Hub 2) | 0.0.0.0/0 | 10.4.10.5 |
Configurazione routing della rete WAN virtuale
Per entrambi gli hub rete WAN virtuale, tutte le connessioni devono essere propagate a tutte le tabelleRouteTable predefinite nell'rete WAN virtuale. Questa configurazione garantisce che tutti i workload spoke direttamente connessi e le route statiche vengano propagati a tutte le connessioni, fornendo la raggiungibilità della rete mesh completa.
La tabella seguente descrive la configurazione di routing delle connessioni rete WAN virtuale all'hub 1:
| Hub | Tipo di connessione | Tabella di route associata | Tabelle di route propagate | Etichetta propagata |
|---|---|---|---|---|
| Hub 1 | Rami (ExpressRoute e VPN) | defaultRouteTable (Hub 1) | defaultRouteTable (Hub 1, Hub 2) | etichetta predefinita (tutte defaultRouteTable nel rete WAN virtuale) |
| Hub 1 | Reti virtuali | defaultRouteTable (Hub 1) | defaultRouteTable (Hub 1, Hub 2) | etichetta predefinita (tutte defaultRouteTable nel rete WAN virtuale) |
La tabella seguente descrive la configurazione del routing delle connessioni rete WAN virtuale all'hub 2:
| Hub | Tipo di connessione | Tabella di route associata | Tabelle di route propagate | Etichetta propagata |
|---|---|---|---|---|
| Hub 2 | Filiali (ExpressRoute e VPN) | defaultRouteTable (Hub 2) | defaultRouteTable (Hub 1, Hub 2) | etichetta predefinita (tutte defaultRouteTable nel rete WAN virtuale) |
| Hub 2 | Reti virtuali | defaultRouteTable (Hub 2) | defaultRouteTable (Hub 1, Hub 2) | etichetta predefinita (tutte defaultRouteTable nel rete WAN virtuale) |
Configurazione aggiuntiva del routing spoke indiretto
rete WAN virtuale configura solo le route nelle reti virtuali connesse direttamente all'hub rete WAN virtuale. Aggiungere route definite dall'utente nelle reti virtuali spoke indirette per instradare il traffico all'indirizzo IP corretto dell'NVA (appliance virtuale di rete).
Questa route definita dall'utente è necessaria affinché i carichi di lavoro nelle reti virtuali spoke indirette abbiano un percorso di ritorno verso l'NVA e, quindi, al resto del rete WAN virtuale.
Nell'esempio precedente, le reti virtuali spoke indirette in Hub 1 richiederebbero le seguenti voci:
| Prefisso | Indirizzo IP hop successivo | Purpose |
|---|---|---|
| 0.0.0.0/0 | 10.3.10.5 | Instradare il traffico Internet per l'ispezione |
| 192.168.0.0/16 | 10.3.10.5 | Instradare a on-premises |
| 10.1.0.0/16 | 10.3.10.5 | Instradare verso altri spoke indiretti su Hub 1 |
| 10.2.0.0/16 | 10.3.10.5 | Instradare verso spoke indiretti su Hub 2 |
| 10.3.0.0/24 | 10.3.10.5 | Instradare verso spoke diretti su Hub 1 |
| 10.4.0.0/24 | 10.3.10.5 | Instradare verso spoke diretti su Hub 2 |
In alternativa, configurare le route di aggregazione, ad esempio 10.0.0.0/8.
Considerazioni aggiuntive
- Se le route statiche si sovrappongono allo spazio indirizzi della rete virtuale dell'appliance virtuale di rete, assicurarsi che l'impostazione Aggira indirizzo IP hop successivo per i carichi di lavoro all'interno di questa VNet sia configurata correttamente sulla connessione di rete virtuale. Per gli scenari in cui è richiesto l'accesso diretto all'interfaccia di gestione dell'appliance virtuale di rete (NVA), è spesso necessario impostare questa opzione su "true". Per ulteriori informazioni, vedere Aggira l'IP dell'hop successivo per i carichi di lavoro all'interno di questa rete virtuale (VNet).
- Verificare che l'impostazione Propaga route predefinita o Abilita sicurezza Internet sia impostata su Off per la connessione di rete virtuale con l'appliance virtuale di rete. In questo modo si garantisce che la route
0.0.0.0/0non sia pubblicizzata all'appliance di rete virtuale e non crei cicli di routing. In alternativa, è possibile aggiungere una route definita dall'utente per0.0.0.0/0con hop successivo Internet nella subnet in cui viene distribuita l'interfaccia pubblica dell'appliance virtuale di rete.