Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här artikeln beskriver hur du använder Virtual WAN statiska vägar för att skicka trafik till en nätverksvirtuell apparat i ett spoke-nätverk för indirekt anslutning via spoke-nätverk, internetutgång eller VPN/SD-WAN-tunnlar.
Scenarioöversikt
Det här routningsscenariot förklarar hur du konfigurerar Azure Virtual WAN för att dirigera trafik till en nätverksvirtuell enhet (NVA) som distribuerats i ett spetsnätverk för Virtual WAN. I den här designen inspekterar NVA trafiken och vidarebefordrar den antingen till Internet, virtuella nätverk som indirekt är anslutna till den virtuella hubben (men som är peerkopplade med det virtuella NVA-nätverket) eller VPN/SDWAN-tunnlar som avslutas på NVA.
Nätverksdiagram
Trafikflöden
I följande avsnitt beskrivs hur trafik dirigeras till indirekta ekrar och Internet med hjälp av Virtual WAN statiska vägar.
Indirekta ekermönster
Följande anslutningsmatris sammanfattar om trafiken flödar direkt via Virtual WAN eller passerar en NVA i det här scenariot.
| Källa/mål | Hub 1 Indirekta Ekrar | Hub 1-direkt ekrar | Hub 1 grenar | Hub 2 Indirekta Tal | Hub 2-direkt ekrar | Hub 2 avdelningar |
|---|---|---|---|---|---|---|
| Hubb 1: Indirekta ekrar | Via Hub 1 NVA | Via Hub 1 NVA | Via Hub 1 NVA | Via Hubb 1,2 NVA | Via Hub 1 NVA | Via Hub 1 NVA |
| Hub 1-direkt ekrar | Via Hub 1 NVA | Direkt | Direkt | Via Hub 2 NVA | Direkt | Direkt |
| Hub 1 grenar | Via Hub 1 NVA | Direkt | Direkt | Via Hub 2 NVA | Direkt | Direkt |
| Indirekta ekrar för Hub 2 | Via Hub 1 och Hub 2 NVA | Via Hub 2 NVA | Via Hub 2 NVA | Via Hub 2 NVA | Via Hub 2 NVA | Via Hub 2 NVA |
| Hub 2-direkt ekrar | Via Hub 1 NVA | Direkt | Direkt | Via Hub 2 NVA | Direkt | Direkt |
| Hub 2 avdelningar | Via Hub 1 NVA | Direkt | Direkt | Via Hub 2 NVA | Direkt | Direkt |
Internetåtkomstmönster
Note
Routingen 0.0.0.0/0 propageras inte i Virtual WAN-hubbar. Varje anslutning måste använda den lokala hubbens NVA för Internetutgång.
Följande anslutningsmatris sammanfattar Internetåtkomst i det här scenariot.
| Source | Internet |
|---|---|
| Hub 1-direkt ekrar | Via Hub 1 NVA |
| Hub 1 grenar | Via Hub 1 NVA |
| Hub 2-direkt ekrar | Via Hub 2 NVA |
| Hub 2 avdelningar | Via Hub 2 NVA |
Configuration
Konfigurationen i det här avsnittet använder alternativ 1 konfiguration av statisk väg. Alternativ 2 kan också användas, men kräver ytterligare konfiguration för att lägga till statisk routning med nästa hopp NVA Virtual Network-anslutningar i alla standardroutetabeller över hela Virtual WAN.
Statiska vägar för indirekta ekrar
Följande statiska vägar konfigureras genom att lägga till de statiska vägarna på den virtuella NVA-nätverksanslutningen direkt, med Sprid statisk väg inställd på true.
| Nav | Connection | Prefix | Nästa hopp-IP-adress |
|---|---|---|---|
| Hubb 1 | NVA Virtual Network-anslutning (Hub1) | 10.2.0.0/16 | 10.3.10.5 |
| Hubb 2 | NVA Virtual Network-anslutning (Hub2) | 10.4.0.0/16 | 10.4.10.5 |
Statiska vägar för utgående internet
Följande statiska vägar konfigureras genom att lägga till de statiska vägarna på den virtuella nätverksanslutningen direkt, med Sprid statisk väg inställd på sant (statisk ruttningsmodell alternativ 1).
| Nav | Connection | Prefix | Nästa hopp-IP-adress |
|---|---|---|---|
| Hubb 1 | NVA Virtual Network-anslutning (hubb 1) | 0.0.0.0/0 | 10.3.10.5 |
| Hubb 2 | NVA Virtual Network-anslutning (hubb 2) | 0.0.0.0/0 | 10.4.10.5 |
Virtual WAN Routningskonfiguration
För båda Virtual WAN hubbar bör alla anslutningar spridas till alla defaultRouteTables i Virtual WAN. Den här konfigurationen säkerställer att alla direktanslutna spoke-arbetsbelastningar och statiska vägar sprids till alla anslutningar, vilket ger fullständig mesh-nåbarhet.
I följande tabell beskrivs routningskonfigurationen för Virtual WAN anslutningar till Hub 1:
| Nav | Anslutningstyp | Associerad routningstabell | Distribuerade routningstabeller | Propagerad etikett |
|---|---|---|---|---|
| Hubb 1 | Grenar (ExpressRoute och VPN) | defaultRouteTable (Hub 1) | defaultRouteTable (Hub 1, Hub 2) | standardetikett (alla defaultRouteTable i Virtual WAN) |
| Hubb 1 | Virtuella nätverk | defaultRouteTable (Hub 1) | defaultRouteTable (Hub 1, Hub 2) | standardetikett (alla defaultRouteTable i Virtual WAN) |
I följande tabell beskrivs routningskonfigurationen för Virtual WAN-anslutningar till Hub 2:
| Nav | Anslutningstyp | Associerad routningstabell | Distribuerade routningstabeller | Propagerad etikett |
|---|---|---|---|---|
| Hubb 2 | Grenar (ExpressRoute och VPN) | defaultRouteTable (Hub 2) | defaultRouteTable (Hub 1, Hub 2) | standardetikett (alla defaultRouteTable i Virtual WAN) |
| Hubb 2 | Virtuella nätverk | defaultRouteTable (Hub 2) | defaultRouteTable (Hub 1, Hub 2) | standardetikett (alla defaultRouteTable i Virtual WAN) |
Ytterligare konfiguration av indirekt ekerroutning
Virtual WAN konfigurerar endast vägar i virtuella nätverk som är direkt anslutna till Virtual WAN hubben. Lägg till användardefinierade rutter i de indirekta virtuella spoke-nätverken för att dirigera trafik till rätt NVA IP-adress.
Den här användardefinierade vägen krävs så att arbetsbelastningar i de indirekta virtuella spoke-nätverken har en sökväg tillbaka till NVA och därför till resten av det virtuella WAN-nätverket.
I exemplet ovan skulle virtuella indirekta spokanätverk på Hub 1 kräva följande poster:
| Prefix | Ip-adress för nästa hopp | Purpose |
|---|---|---|
| 0.0.0.0/0 | 10.3.10.5 | Dirigera Internettrafik för inspektion |
| 192.168.0.0/16 | 10.3.10.5 | Routa till lokal installation |
| 10.1.0.0/16 | 10.3.10.5 | Dirigera till andra indirekta ekrar på Hub 1 |
| 10.2.0.0/16 | 10.3.10.5 | Routa till indirekta noder på Hub 2 |
| 10.3.0.0/24 | 10.3.10.5 | Routa till direktanslutna noder på Hub 1 |
| 10.4.0.0/24 | 10.3.10.5 | Routa till direkta anslutningar på Hub 2 |
Du kan också konfigurera aggregerade vägar som 10.0.0.0/8.
Ytterligare överväganden
- Om statiska vägar överlappar adressutrymmet för det virtuella NVA-nätverket kontrollerar du att kringgå nästa hopp-IP för arbetsbelastningar i den här VNet-inställningen är korrekt konfigurerad på den virtuella nätverksanslutningen. Att växla den här inställningen till "true" krävs ofta för scenarier där direkt åtkomst till hanteringsgränssnittet för NVA krävs. Mer information finns i Kringgå nästa hop-IP-adress för arbetsuppgifter inom detta virtuella nätverk.
- Kontrollera att inställningen Sprid standardväg eller Aktivera InternetSäkerhet är inställd på Av för den virtuella nätverksanslutningen med NVA. Detta säkerställer att
0.0.0.0/0rutten inte distribueras till NVA och förebygger routningsloopar. Du kan också lägga till en användardefinierad väg för0.0.0.0/0med nästa hopp Internet i undernätet där det offentliga NVA-gränssnittet distribueras.