Statiska vägar i Virtual WAN

Det här dokumentet beskriver de olika typerna av statiska vägar i Virtual WAN, vanliga användningsfall och de viktigaste metodtipsen och begränsningarna att tänka på under nätverksdesign och implementering.

Översikt över statiska vägar

Note

Statiska vägar i Virtual WAN kan inte användas för att dirigera trafik till en nva-lösning (Network Virtual Appliance) eller saaS-lösning (software-as-a-service) som distribueras i Virtual WAN hubben. För NVA- och SaaS-lösningar är den enda metod som stöds för att dirigera trafik via routningssyfte och principer. Mer information finns i dokumentationen om routning av avsikter och principer.

Virtual WAN statiska vägar används för att dirigera trafik till ett specifikt nästa hopp. Statiska vägar ger två huvudsakliga användningsfall för routning:

  • Dirigera trafik via en Azure Firewall distribuerad i Virtual WAN hubben.
  • Dirigera trafik till en angiven IP-adress (ofta en lastbalanserare framför en nätverksvirtuell enhet) som distribueras i ett virtuellt satellitnätverk anslutet till Virtual WAN-hubben.

På hög nivå behövs följande konfigurationer av statisk väg för de två huvudsakliga användningsfallen som nämns ovan.

Användningsfall Configuration Detaljerad dokumentation om användningsfall
Dirigera trafik genom Azure Firewall som distribuerats i Virtual WAN-hubb Statiska vägar i Virtual WAN routningstabell med nästa hopp Azure Firewall resurs-ID. Dirigera trafik till säker hubb Azure Firewall med Virtual WAN statiska rutter.
Dirigera trafik till den angivna IP-adressen i ett gren virtuellt nätverk Option 1: Statisk vägar på den virtuella nätverksanslutningen med nästa hopp inställt på IP-adressen för NVA eller lastbalanseraren i spoke-virtuella nätverket. Sprid statisk väg inställd på true.
Option 2: Konfigurera en statisk väg i Virtual WAN-routetabell med nästa hopp motanslutning i spoke-Virtual Network. Konfigurera motsvarande statisk väg på Virtual Network-anslutningen med nästa hopp inställt på IP-adressen för NVA eller lastbalanseraren i ekernätverket i Virtual Network.		 Routea trafik till spoke Virtual Networks med hjälp av Virtual WAN statiska rutter

Användningsfall för routning

Dirigera trafik till Azure Firewall

Note

Det finns två olika sätt att dirigera trafik till Azure Firewall: statiska vägar i Virtual WAN hubbrutttabeller eller ruttavsikt och policys. Det går inte att blanda de två konfigurationsalternativen. I den här artikeln avser det statiska ruttmönstret för Azure Firewall en säker virtuell hubb med Azure Firewall där routningens avsikt inte är aktiverad.

Configuration

Konfigurera Virtual WAN för att dirigera trafik till Azure Firewall i en säker hubb med hjälp av statiska vägar. Den här konfigurationen gäller för skyddade virtuella hubbar med Azure Firewall där routningsavsikten inte är aktiverad. Den här konfigurationen innebär att du lägger till två separata konfigurationer i din Virtual WAN distribution:

  • Lägg till statiska vägar i Virtual WAN hubbroutningstabeller med nästa hopp angivet som din Azure Firewall resursidentifierare.
  • Konfigurera associerade och propagerade routningstabeller för dina Virtual WAN hubbanslutningar.

Använd följande metodtips för att konfigurera statiska vägar och associerade/spridade routningstabeller i säkra hubbscenarier:

  • Metodtips för konfigurationer av statiska vägar och routningstabeller:
    • Minimera antalet anpassade routningstabeller (förutom defaultRouteTable och noneRouteTable). Anpassade routningstabeller bör användas för mer anpassade routningsscenarier, till exempel olika routningsmönster för virtuella nätverk.
    • Använd aggregerade intervall i stället för specifika intervall i statiska vägar när det är möjligt. Detta minimerar antalet konfigurerade statiska vägar.
    • Utvärdera noggrant flerhubsdesign och använd routningsintention när det är möjligt. Arkitekturer som använder statiska vägar för att skicka trafik till Azure Firewall kan bli komplexa att köra över flera hubbar och kontroll mellan regioner via Azure Firewall stöds inte med konfigurationer för statiska vägar.
  • Metodtips för att konfigurera associationer och spridningar:
    • Alla grenar (VPN/ExpressRoute) måste associeras med defaultRouteTable och spridas till samma uppsättning routningstabeller och routningstabelletiketter.
    • Att sprida en anslutnings vägar till en routningstabell innebär att alla anslutningar som är kopplade till routningstabellen kan komma åt de spridningsvägarna direkt. Kontrollera att routningskonfigurationen är konsekvent och resulterar i routningssymmetri. Om grenarna till exempel sprids till en virtuell nätverksroutningstabell kontrollerar du att samma virtuella nätverk sprids till defaultRouteTable. Detsamma gäller om en anslutning inte sprids till en annan anslutnings routningstabell.
    • På samma sätt innebär inte spridning av en anslutning till en routningstabell vanligtvis att anslutningar som är associerade med samma routningstabell inte kommer att kunna komma åt den anslutningen. En statisk väg krävs.

Vanliga användningsfall

Diagram som visar statiska vägar som skickar samma hubbgren, virtuellt nätverk och Internettrafik via Azure Firewall i en Virtual WAN hub.

Ett vanligt användningsfall för statiska vägar i Virtual WAN är att skicka privat trafik med samma hubb via en Azure Firewall som distribueras i den virtuella hubben. I den här designen fungerar brandväggen som nästa steg för trafik som annars skulle flöda direkt till slutdestinationen.

Det här mönstret används för att leverera Azure Firewall inspektion för följande högnivåanvändningsfall:

Diagram trafikflöde Description
1 Trafik mellan lokala grenar och virtuella nätverk som är anslutna till samma virtuella hubb.
2 Trafik mellan virtuella nätverk som är anslutna till samma virtuella hubb.
3 Trafik mellan den virtuella hubbens lokalt anslutna lokala grenar och virtuella nätverk och Internet.

Ytterligare, mer komplexa användningsfall är:

Diagram som visar vald Virtual WAN trafik som kringgår Azure Firewall medan annan trafik inspekteras av Azure Firewall.

Diagram trafikflöde Description
1 Trafik mellan vissa virtuella nätverk bör kringgå inspektionen (dirigeras via Virtual Hub-routern).
2 Trafik mellan vissa virtuella nätverk och lokala nätverk bör kringgå inspektionen.
3 Lokal trafik till Virtual WAN-hub inspekteras via Azure Firewall, medan trafik mellan hubar kringgår inspektion.

Andra vanliga användningsfall som kräver alternativa metoder eller som inte stöds med statiska vägar:

Användningsfall Alternativt angreppssätt
Dirigera trafik till en NVA som är distribuerad i Virtual WAN-hubben. Att inspektera trafik med en NVA som distribueras i hubben kräver att du använder routnings avsikt och principer.
Inspektera trafik mellan hubbar Använd routnings avsikt och principer.
Inspektera gren-till-gren-trafik (ExpressRoute, plats-till-plats-VPN och punkt-till-plats-VPN) Trafikkontroll för gren-till-gren kräver användning av routnings avsikt och principer.
Virtual Network isolering med säkra hubbar. Använd Azure Firewall nätverksregler för att blockera trafik mellan virtuella nätverk som inte ska kunna kommunicera. Virtual WAN-routning, även när propageringar och associationer är korrekt konfigurerade, kan inte garantera att två virtuella nätverk är isolerade sett ur ett routningsperspektiv. Två virtuella nätverk som inte sprids till varandra kan till exempel fortfarande kommunicera via Azure Firewall om en aggregerad väg (till exempel en 10.0.0.0/8 eller 0.0.0.0/0) har konfigurerats som en statisk väg som pekar på Azure Firewall i hubben på Virtual Network associerade Virtual WAN routningstabell.

Dirigera trafik till en NVA i ett spoke-virtuellt nätverk

Konfigurationsalternativ

Du kan konfigurera routning till en IP-adress i ett virtuellt spetssnätverk på två olika sätt:

  • Alternativ 1: Ange den statiska vägen för den virtuella nätverksanslutningen. Ange Sprid statisk väg till Sant. I den här modellen sprids den statiska rutten på den virtuella nätverksanslutningen automatiskt till Virtual WAN utan behov av en separat post för statiska vägar i Virtual WAN-routetabeller. Den här konfigurationen har bättre skalningsegenskaper eftersom Virtual WAN automatiskt sprider de statiska vägarna enligt Virtual Network sprids routningstabeller och etiketter.
  • Option 2: Ange en statisk väg i en Virtual WAN routningstabell med nästa hopp inställt på den virtuella nätverksanslutningen Hub. I den här modellen måste det också finnas en motsvarande statisk väg på den virtuella nätverksanslutningen som anger nästa hopp-IP-adress för prefixet. Dessutom måste du lägga till en statisk väg i varje Virtual WAN-routetabell (inklusive fjärranslutna Virtual WAN-hubbar) som pekar mot hubbens virtuella nätverksanslutning som behöver använda sig av den statiska vägen.

De två konfigurationsalternativen stöder olika routningsmönster och har olika tillgängliga användningsfall:

Option Overview Användningsfall som stöds Exempelarkitekturer Användningsfall som inte stöds
1 Statisk väg på den virtuella nätverksanslutningen med Sprid statisk väg inställd på True Använd eker-NVA som en källa till vägar för indirekta ekrar, VPN-tunnlar som avslutas på NVA-enheten eller som en Internet-kant. Kompatibel med routnings avsiktshubbar. Indirekta spoke-arkitekturer och dirigera trafik som är riktad mot internet till spoke-NVA för utgående trafik, ett hybridscenarier Det här konfigurationsalternativet kan inte användas för inspektionsscenarier mellan en virtuellt WAN-anslutning på plats och spoke Virtual Network.
2 Statisk väg i en Virtual WAN-routningstabell där nästa hopp är inställt på att ansluta till hubbens virtuella nätverk, plus en matchande IP-adress för nästa hopp på den virtuella nätverksanslutningen. Använd eker-NVA som en källa till vägar för indirekta ekrar, VPN-tunnlar som avslutas på NVA-enheten eller som en Internet-kant. Använd för inspektionsscenarier mellan två Virtual WAN anslutningar (lokalt till Virtual Network). Indirekt ekerarkitekturer, routar internetbunden trafik till eker NVA för utgående, Hybrid scenarier, Inspektion från lokal miljö till virtuellt nätverk. Inte kompatibel med hubbar som har routningsavsikt.

Observera följande metodtips och överväganden när du använder statiska vägar för att dirigera trafik till en Virtual Network anslutning i Virtual WAN:

  • Använd konfigurationen option 1 över konfigurationen option 2 när det är möjligt, som option 1 säkerställer att statiska vägar annonseras automatiskt till relevanta Virtual WAN routningstabeller. Detta minskar avsevärt driftkostnaderna för hantering av statiska vägar över flera Virtual WAN routningstabeller och hubbar.
  • Inställningen bypass next-hop IP-adress avgör hur trafik som är avsedd för IP-adresser i samma Virtual Network som NVA dirigeras. Justera den här inställningen med ditt avsedda nätverksmönster. Ofta är det viktigt att ställa in värdet på true för att dirigera NVA-hanteringstrafiken korrekt till det förväntade NVA-gränssnittet eller -instansen.
  • Om det finns flera statiska vägar som konfigurerats där mål-CIDR inte finns i IANA-RFC1918, måste alla statiska vägar med icke-RFC1918 mål använda samma IP-adress för nästa hopp.
  • För scenarier där NVA används för att inspektera trafik mellan lokala och andra virtuella nätverk, NVA:s Virtual Network associeras vanligtvis med en anpassad routningstabell som skiljer sig från grenarna eller andra virtuella nätverk, medan alla andra anslutningar sprids till NVA-Virtual Network anpassad routningstabell. Ett exempel finns i avsnittet vanliga användningsfall nedan.

Vanliga användningsfall

Diagram som visar Virtual WAN statiska vägar som skickar trafik till en virtuell nätverksinstallation i ett virtuellt ekernätverk.

Diagram trafikflöde Description
1 Dirigera trafik till indirekta anslutningar. Indirekta ekrar är virtuella nätverk som är sammanslutna med Virtual WAN-ekrar, men som inte är direkt anslutna till Virtual WAN-hubben..
2 Routa lokal trafik som är avsedd för ett spoke Virtual Network till en NVA som distribueras i ett annat spoke Virtual Network för inspektion.
3 Dirigera internet-riktad trafik till en spoke NVA för inspektion och utträde. Används ofta i scenarier där du inte vill använda en brandväggslösning som distribueras direkt i Virtual WAN hubben.

Några vanliga användningsfall som kräver alternativa metoder eller som inte stöds i Virtual WAN:

Användningsfall Alternativa metoder
Använd en NVA för att inspektera Virtual Network-till-Virtual Network-trafik via en NVA som distribueras i en tredje Virtual WAN-spoke. Stöds inte. Använd en indirekt ekerarkitektur där virtuella ekernätverk ansluts till NVA-ekern och inte Virtual WAN-hubben. Du kan också distribuera en NVA i Virtual WAN-hubben, ansluta alla virtuella ekernätverk till Virtual WAN-hubben och använda routningsintention.
Använd en NVA i ekern för att inspektera trafik från gren till gren. Stöds inte. Distribuera en NVA i Virtual WAN hub och använd rutteringsavsikt.

Kombinera två typer av statiska vägar

Du kan också kombinera statiska vägar som pekar på Azure Firewall i den virtuella hubben med statiska vägar som pekar på en virtuell nätverksanslutning. Den här designen är användbar när du vill ha olika nästa hopp för olika trafikklasser inom samma Virtual WAN distribution.

Vanliga användningsfall är:

Diagram som visar Azure Firewall som inspekterar lokal trafik medan en spoke nätverksvirtuell enhet hanterar vald trafik, till exempel utgående trafik till internet.

Diagram trafikflöde Description
1 och 2 Använd Azure Firewall i den virtuella hubben för att inspektera intern trafik mellan filialer och virtuella nätverk (1) eller mellan virtuella nätverk som är anslutna till samma hubb (1), när du använder en NVA i ett spoke-nätverk för trafik riktad mot internet (2).

Andra vanliga användningsfall som kräver alternativa metoder eller som inte stöds med statiska vägar:

Användningsfall Alternativt tillvägagångssätt
Scenarier med dubbel inspektion: inspektion av trafik som är avsedd för indirekt nav eller Internet med Azure Firewall distribuerad i en säker hub. Skicka sedan vidare trafik till NVA i spok för att bryta ut eller få åtkomst till en indirekt spok. Använd routningsintentioner och policyer och statiska vägar i anslutning till virtuella nätverk med Propagera statiska rutter inställt på true.
  • Last updated on