Condividi tramite

Informazioni sul routing dell'hub virtuale

  • Articolo

Le funzionalità di routing in un hub virtuale vengono fornite da un router che gestisce tutto il routing tra i gateway usando BGP (Border Gateway Protocol). Un hub virtuale può contenere più gateway, ad esempio un gateway VPN da sito a sito, un gateway ExpressRoute, un gateway da punto a sito e Firewall di Azure. Questo router fornisce anche la connettività di transito tra le reti virtuali che si connettono a un hub virtuale e può supportare una velocità effettiva aggregata massima di 50 Gbps. Queste funzionalità di routing si applicano ai clienti della rete WAN virtuale Standard.

Per configurare il routing, vedere Come configurare il routing dell'hub virtuale.

Concetti relativi al routing

Le sezioni seguenti descrivono i concetti chiave del routing dell'hub virtuale.

Tabella di route dell'hub

Una tabella di route dell'hub virtuale può contenere una o più route. Una route include il nome, un'etichetta, un tipo di destinazione, un elenco di prefissi di destinazione e le informazioni sull'hop successivo per un pacchetto da instradare. Una connessione ha in genere una configurazione di routing che si associa o si propaga una tabella di route.

Finalità e criteri di routing dell'hub

I criteri di routing e finalità di routing consentono di configurare l'hub rete WAN virtuale per l'invio di traffico privato e associato a Internet (da punto a sito, da sito a sito, ExpressRoute, appliance virtuali di rete all'interno dell'hub rete WAN virtuale e della rete virtuale) tramite un'appliance virtuale di rete firewall di Firewall di Azure nuova generazione o un'appliance virtuale di rete firewall di nuova generazione distribuita come servizio nell'hub rete WAN virtuale. Esistono due tipi di criteri di routing: traffico Internet e traffico privato. Ogni hub rete WAN virtuale può avere al massimo un criterio di routing del traffico Internet e un criterio di routing del traffico privato, ognuno con una risorsa hop successivo.

Anche se il traffico privato include prefissi di indirizzi di rete virtuale e di ramo, i criteri di routing li considerano come un'entità all'interno dei concetti relativi alle finalità di routing.

  • Criteri di routing del traffico Internet: quando un criterio di routing del traffico Internet è configurato in un hub rete WAN virtuale, tutti i rami (VPN utente (VPN da punto a sito), VPN da sito a sito ed ExpressRoute) e connessioni di rete virtuale a tale hub rete WAN virtuale inoltrano il traffico associato a Internet al Firewall di Azure risorsa o provider di sicurezza di terze parti specificato come parte dei criteri di routing.

  • Criteri di routing del traffico privato: quando un criterio di routing del traffico privato è configurato in un hub rete WAN virtuale, tutto il traffico di rete virtuale e di ramo all'interno e all'esterno dell'hub rete WAN virtuale incluso il traffico tra hub verrà inoltrato alla risorsa hop successivo Firewall di Azure specificata nei criteri di routing del traffico privato.

Per altre informazioni, vedere Come configurare rete WAN virtuale i criteri di routing e la finalità di routing dell'hub.

Connessioni

Le connessioni sono risorse di Resource Manager con una configurazione di routing. I quattro tipi di connessioni sono:

  • Connessione VPN: connette un sito VPN a un gateway VPN dell'hub virtuale.
  • Connessione ExpressRoute: connette un circuito ExpressRoute a un gateway ExpressRoute dell'hub virtuale.
  • Connessione di configurazione da punto a sito: connette una configurazione VPN utente (da punto a sito) a un gateway VPN utente (da punto a sito) dell'hub virtuale.
  • Connessione di rete virtuale dell'hub: connette le reti virtuali a un hub virtuale.

È possibile configurare la configurazione del routing per una connessione di rete virtuale durante l'installazione. Per impostazione predefinita, tutte le connessioni vengono associate e propagate alla tabella di route predefinita.

Associazione

Ogni connessione è associata a una tabella di route. L'associazione di una connessione a una tabella di route consente l'invio del traffico (da tale connessione) alla destinazione indicata come route nella tabella di route. La configurazione di routing della connessione mostra la tabella di route associata. Più connessioni possono essere associate alla stessa tabella di route. Tutte le connessioni VPN, ExpressRoute e VPN utente sono associate alla stessa tabella di route (predefinita).

Per impostazione predefinita, tutte le connessioni sono associate a una Tabella di route predefinita in un hub virtuale. Ogni hub virtuale ha una propria tabella di route predefinita, che può essere modificata per aggiungere una route statica o route. Le route aggiunte in modo statico hanno la precedenza sulle route apprese in modo dinamico per gli stessi prefissi.

Diagramma che mostra l'associazione.

Propagazione

Le connessioni propagano in modo dinamico le route a una tabella di route. Con una connessione VPN, una connessione ExpressRoute o una connessione di configurazione da punto a sito, le route vengono propagate dall'hub virtuale al router locale usando BGP. Le route possono essere propagate a una o più tabelle di route.

Per ogni hub virtuale è disponibile anche l'opzione Nessuna tabella di route. La propagazione alla tabella di route Nessuno implica che non è necessario propagare alcuna route dalla connessione. Le connessioni VPN, ExpressRoute e VPN utente propagano le route allo stesso set di tabelle di route.

Diagramma mostra la propagazione.

Etichette

Le etichette sono un meccanismo per raggruppare in modo logico le tabelle di route. Ciò è particolarmente utile durante la propagazione delle route dalle connessioni a più tabelle di route. Ad esempio, la Tabella di route predefinita ha un'etichetta predefinita denominata 'Default'. Quando gli utenti propagano le route di connessione all'etichetta "Default", si applica automaticamente a tutte le tabelle di route predefinite in ogni hub della rete WAN virtuale.

Se non viene specificata alcuna etichetta nell'elenco di etichette in cui viene propagata una connessione di rete virtuale, la connessione di rete virtuale verrà propagata automaticamente all'etichetta "Default".

Configurazione di route statiche in una connessione di rete virtuale

La configurazione di route statiche fornisce un meccanismo per gestire il traffico dall'hub tramite un indirizzo IP hop successivo, che potrebbe essere di un'appliance virtuale di rete (NVA) di cui è stato effettuato il provisioning in una rete virtuale spoke collegata a un hub virtuale. La route statica è costituita da un nome di route, da un elenco di prefissi di destinazione e dall'IP di un hop successivo.

Eliminazione delle route statiche

Per eliminare una route statica, deve essere eliminata dalla tabella di route in cui è inserita. Per la procedura, vedere Eliminare una route.

Tabelle di route per le route preesistenti

Le tabelle di route includono ora funzionalità per l'associazione e la propagazione. La tabella di route preesistente non dispone di queste funzionalità. Se sono presenti route preesistenti nel routing dell'hub e si vogliono usare le nuove funzionalità, prendere in considerazione gli elementi seguenti:

  • Rete WAN virtuale Standard con route preesistenti in un hub virtuale:

    Se sono presenti route preesistenti nella sezione Routing per l'hub nella portale di Azure, è necessario prima eliminarle e quindi tentare di creare nuove tabelle di route (disponibili nella sezione Tabelle di route per l'hub in portale di Azure).

  • Rete WAN virtuale di base con route preesistenti in un hub virtuale:

    Se sono presenti route preesistenti nella sezione Routing per l'hub in portale di Azure, è necessario prima eliminarle, quindi aggiornare la rete WAN virtuale Basic a una rete WAN virtuale Standard. Vedere Aggiornare una rete WAN virtuale da Basic a Standard.

Reimpostazione dell'hub

La Reimpostazione dell'hub virtuale è disponibile solo nel portale di Azure. La reimpostazione consente di portare tutte le risorse non riuscite, ad esempio le tabelle di route, il router dell'hub o la risorsa dell'hub virtuale stessa, allo stato di provisioning corretto. Valutare la possibilità di reimpostare l'hub prima di contattare Microsoft per il supporto tecnico. Questa operazione non reimposta nessuno dei gateway nell' hub virtuale.

Considerazioni aggiuntive

Quando si configura rete WAN virtuale routing, considerare gli elementi seguenti:

  • Tutte le connessioni del ramo (da punto a sito, da sito a sito ed ExpressRoute) devono essere associate alla tabella di route predefinita. In questo modo, tutti i rami imparano gli stessi prefissi.
  • Tutte le connessioni del ramo devono propagare le route allo stesso set di tabelle di route. Ad esempio, se si decide che i rami devono essere propagati alla tabella di route predefinita, questa configurazione deve essere coerente in tutti i rami. Di conseguenza, tutte le connessioni associate alla tabella di route predefinita saranno in grado di raggiungere tutti i rami.
  • Quando si usa Firewall di Azure in più aree, tutte le reti virtuali spoke devono essere associate alla stessa tabella di route. Ad esempio, non è possibile la presenza di un subset delle reti virtuali che passano attraverso il Firewall di Azure mentre altre reti virtuali ignorano firewall di Azure nello stesso hub virtuale.
  • È possibile specificare più indirizzi IP hop successivi in una singola connessione di rete virtuale. Tuttavia, una connessione di rete virtuale non supporta l'indirizzo IP hop successivo "multiplo/univoco" all'appliance virtuale di rete "stessa" in una rete virtuale spoke "se" una delle route con indirizzo IP hop successivo è indicata come indirizzo IP pubblico o 0.0.0.0/0 (Internet)
  • Tutte le informazioni relative alla route 0.0.0.0/0 sono limitate alla tabella di route di un hub locale. Questa route non viene propagata tra hub.
  • È possibile usare la rete WAN virtuale solo per programmare le route in uno spoke se il prefisso è più breve (meno specifico) del prefisso della rete virtuale. Ad esempio, nel diagramma precedente la VNET1 spoke ha il prefisso 10.1.0.0/16: in questo caso, la rete WAN virtuale non è in grado di inserire una route corrispondente al prefisso della rete virtuale (10.1.0.0/16) o a una delle subnet (10.1.0.0/24, 10.1.1.0/24). In altre parole, la rete WAN virtuale non può attirare il traffico tra due subnet che si trovano nella stessa rete virtuale.
  • Anche se è vero che due hub nella stessa rete WAN virtuale annunciano le route l'una all'altra (purché la propagazione sia abilitata per le stesse etichette), questo vale solo per il routing dinamico. Dopo aver definito una route statica, questo non è il caso.
  • Quando si configurano route statiche, non usare gli indirizzi IP del router hub come hop successivo.
  • Se si prevede di rimuovere le community BGP di Azure dalle route della rete virtuale e della route definita dall'utente, non annunciare queste route nella rete WAN virtuale. In questo modo verranno creati problemi di routing e interruzioni.

Passaggi successivi