À propos du routage de hub virtuel

Les fonctionnalités de routage d’un hub virtuel sont fournies par un routeur qui gère tout le routage entre les passerelles à l’aide du protocole BGP (Border Gateway Protocol). Un hub virtuel peut contenir plusieurs passerelles, comme une passerelle VPN site à site, une passerelle ExpressRoute, une passerelle point à site ou un pare-feu Azure. Ce routeur fournit également une connectivité de transit entre les réseaux virtuels qui se connectent à un hub virtuel et peut prendre en charge un débit agrégé de 50 Gbits/s. Ces fonctionnalités de routage s’appliquent aux clients de réseau virtuel Standard.

Pour configurer le routage, consultez le guide pratique pour configurer le routage de hub virtuel.

Concepts de routage

Les sections suivantes décrivent les concepts clés du routage de hub virtuel.

Table de routage du hub

Une table de routage de hub virtuel peut contenir une ou plusieurs routes. Une route comprend un nom, une étiquette, un type de destination, une liste de préfixes de destination et des informations de tronçon suivant pour le routage d’un paquet. Une Connexion a généralement une configuration de routage qui s’associe ou se propage à une table de routage.

Intention et stratégies de routage Hub

Les stratégies d’intention de routage et de routage vous permettent de configurer votre hub Virtual WAN. Vous pouvez ainsi envoyer du trafic Internet et privé (point à site, site à site, ExpressRoute, Appliances virtuelles de réseau à l'intérieur du hub Virtual WAN et réseau virtuel) via un Pare-feu Azure, une Appliance virtuelle de réseau de pare-feu de nouvelle génération ou une solution de logiciel en tant que service déployée dans le hub Virtual WAN. Il existe deux types de stratégies de routage : les stratégies de routage du trafic Internet et du trafic privé. Chaque hub Virtual WAN peut avoir, au plus, une stratégie de routage du trafic Internet et une stratégie de routage du trafic privé, chacune ayant une ressource de tronçon suivant.

Bien que le trafic privé comprenne à la fois des préfixes d’adresses de branche et de réseau virtuel, les stratégies de routage les considèrent comme une entité unique au sein des concepts d’intention de routage.

  • Stratégie de routage du trafic Internet : lorsqu’une stratégie de routage du trafic Internet est configurée sur un hub Virtual WAN, toutes les connexions de branche (VPN utilisateur (VPN point à site), VPN site à site et ExpressRoute) et de réseau virtuel vers ce hub Virtual WAN transfèrent le trafic Internet vers la ressource de pare-feu Azure ou un fournisseur de sécurité tiers spécifié dans le cadre de la stratégie de routage.

  • Stratégie de routage du trafic privé : lorsqu’une stratégie de routage du trafic privé est configurée sur un hub Virtual WAN, tout le trafic de la branche et du réseau virtuel entrant et sortant du hub Virtual WAN, y compris le trafic entre hubs, sera transmis à la ressource de pare-feu Azure du tronçon suivant spécifiée dans la stratégie de routage du trafic privé.

Pour plus d’informations, consultez Comment configurer l’intention de routage et les stratégies de routage d’un hub Virtual WAN.

Connexions

Les connexions sont des ressources Resource Manager dotées d’une configuration de routage. Il existe quatre types de connexions :

  • Connexion VPN : connecte un site VPN à une passerelle VPN de hub virtuel.
  • Connexion ExpressRoute : connecte un circuit ExpressRoute à une passerelle ExpressRoute de hub virtuel.
  • Connexion de configuration P2S : connecte une configuration VPN utilisateur (point à site) à une passerelle VPN utilisateur de hub virtuel (point à site).
  • Connexion entre hub et réseau virtuel : connecte des réseaux virtuels à un hub virtuel.

Vous pouvez configurer la configuration de routage pour une connexion de réseau virtuel durant l’installation. Par défaut, toutes les connexions sont liées par association ou propagation à la table de routage par défaut.

Association

Chaque connexion est associée à une table de routage. L’association d’une connexion à une table de routage permet d’envoyer le trafic (à partir de cette connexion) à la destination indiquée sous forme d’itinéraires dans la table de routage. La configuration de routage de la connexion montre la table de routage associée. Plusieurs connexions peuvent être associées à la même table de routage. Toutes les connexions VPN, ExpressRoute et VPN utilisateur sont associées à la même table de routage (celle par défaut).

Par défaut, toutes les connexions sont associées à une table de routage par défaut dans un hub virtuel. Chaque hub virtuel dispose de sa propre table de routage par défaut que vous pouvez modifier pour ajouter un ou plusieurs itinéraires statiques. Les routes ajoutées de manière statique ont priorité sur les routes apprises de manière dynamique pour les mêmes préfixes.

Diagramme montrant Association.

Propagation

Les connexions propagent dynamiquement des routes dans une table de routage. Avec une connexion VPN, une connexion ExpressRoute ou une connexion de configuration P2S, les routes sont propagées du hub virtuel dans le routeur local à l’aide du protocole BGP. Les routes peuvent être propagées dans une ou plusieurs tables de routage.

Une table de routage None est également disponible pour chaque hub virtuel. La propagation dans la table de routage None implique qu’aucune route ne doit être propagée à partir de la connexion. Les connexions VPN, ExpressRoute et VPN utilisateur propagent des routes dans le même ensemble de tables de routage.

Diagramme montrant la propagation.

Étiquettes

Les étiquettes fournissent un mécanisme permettant de regrouper logiquement des tables de routage. Cela est particulièrement utile lors de la propagation d’itinéraires à partir de connexions vers plusieurs tables de routage. Par exemple, la table de routage par défaut a une étiquette intégrée appelée « Par défaut ». Lorsque des utilisateurs propagent des itinéraires de connexion à l’étiquette « Par défaut », ceux-ci s’appliquent automatiquement à toutes les tables de routage par défaut sur chaque hub Virtual WAN.

Si aucune étiquette n’est spécifiée dans la liste des étiquettes vers lesquelles une connexion au réseau virtuel se propage, la connexion au réseau virtuel se propage automatiquement vers l’étiquette « Par défaut ».

Configuration de routes statiques dans une connexion de réseau virtuel

La configuration des itinéraires statiques fournit un mécanisme permettant de diriger le trafic à partir du hub via une adresse IP de tronçon suivant, qui peut être celle d’une Appliance virtuelle de réseau approvisionnée dans un réseau virtuel Spoke attaché à un hub virtuel. La route statique se compose d’un nom de route, d’une liste de préfixes de destination et d’une adresse IP de tronçon suivant.

Suppression de routes statiques

Pour supprimer une route statique, vous devez supprimer la route à partir de la table de routage dans laquelle elle est placée. Consultez Supprimer une route pour découvrir les étapes.

Tables de routage pour les itinéraires préexistants

Les tables de routage disposent désormais de fonctionnalités d’association et de propagation. Une table de routage préexistante est une table de routage qui n’a pas ces fonctionnalités. Si le routage de hub comporte des itinéraires préexistants et que vous souhaitez utiliser ses nouvelles fonctionnalités, veuillez considérer les éléments suivants :

  • Virtual WAN standard utilisant des itinéraires préexistants dans un hub virtuel :

    Si vous utilisez des itinéraires préexistants dans la section Routage du hub dans le portail Azure, veuillez d’abord les supprimer. Ensuite, essayez de créer des tables d’itinéraires (disponibles dans la section Tables d’itinéraires du hub dans le portail Azure).

  • Virtual WAN essentiel utilisant des itinéraires préexistants dans un hub virtuel :

    Si vous utilisez des itinéraires préexistants dans la section Routage du hub dans le portail Azure, veuillez d’abord les supprimer. Ensuite, mettez à niveau votre Virtual WAN essentiel afin d’obtenir un Virtual WAN standard. Consultez Mettre à niveau un réseau étendu virtuel De base vers le type Standard.

Réinitialisation du hub

La réinitialisation du hub virtuel est disponible uniquement dans le portail Azure. La réinitialisation vous offre un moyen de ramener les ressources qui ont échoué, telles que les tables de routage, le routeur de hub ou la ressource de hub virtuel elle-même, à leur état d'approvisionnement légitime. Envisagez de réinitialiser le hub avant de contacter Microsoft pour bénéficier d’une assistance à la clientèle. Cette opération ne réinitialise aucune passerelle d’un hub virtuel.

Considérations supplémentaires

Veuillez considérer les éléments suivants lors de la configuration du routage Virtual WAN :

  • Toutes les connexions de branche (point à site, site à site et ExpressRoute) doivent être associées à la table de routage par défaut. De cette manière, toutes les branches apprennent les mêmes préfixes.
  • Toutes les connexions de branche doivent propager leurs itinéraires vers le même jeu de tables de routage. Par exemple, si vous décidez que les branches doivent propager vers la table de routage par défaut, cette configuration doit être cohérente dans toutes les branches. Par conséquent, toutes les connexions associées à la table de routage par défaut seront en mesure d’atteindre toutes les branches.
  • Lorsque vous utilisez le Pare-feu Azure dans plusieurs régions, tous les réseaux virtuels en étoile doivent être associés à la même table de routage. Par exemple, il n’est pas possible d’avoir un sous-ensemble de réseaux virtuels transitant par le Pare-feu Azure tandis que d’autres réseaux virtuels contournent celui-ci dans le même hub virtuel.
  • Vous pouvez spécifier plusieurs adresses IP de tronçon suivant sur une seule connexion au réseau virtuel. Toutefois, une connexion à un réseau virtuel ne prend pas en charge les adresses IP de tronçon suivant « multiples/uniques » de la « même » appliance virtuelle de réseau dans un réseau virtuel SPOKE « si » l’un des itinéraires ayant une adresse IP de tronçon suivant est indiqué comme étant l’adresse IP publique ou 0.0.0.0/0 (internet)
  • Toutes les informations relatives à l'itinéraire 0.0.0.0/0 sont limitées à la table de routage d'un hub local. Cette route ne se propage pas entre les hubs.
  • Vous pouvez utiliser Virtual WAN pour programmer des routes dans un réseau spoke seulement si le préfixe est plus court (moins spécifique) que le préfixe du réseau virtuel. Par exemple, dans le diagramme ci-dessus, le réseau spoke VNET1 a le préfixe 10.1.0.0/16 : dans ce cas, Virtual WAN ne peut pas injecter une route qui correspond au préfixe de réseau virtuel (10.1.0.0/16) ou à un des sous-réseaux (10.1.0.0/24, 10.1.1.0/24). En d’autres termes, Virtual WAN ne peut pas attirer le trafic entre deux sous-réseaux qui se trouvent dans le même réseau virtuel.
  • S’il est vrai que deux hubs sur le même Virtual WAN communiquent mutuellement leurs itinéraires (à condition que la propagation soit activée sur les mêmes étiquettes), alors ce principe ne s’applique qu’au routage dynamique. Après votre définition de route statique, ce n’est plus le cas.
  • Lorsque vous configurez des itinéraires statiques, n’utilisez pas les adresses IP du routeur hub comme tronçon suivant.
  • Si vous envisagez de supprimer des communautés BGP Azure du réseau virtuel et des itinéraires UDR, ne publiez pas ces itinéraires dans votre réseau étendu virtuel. Cela crée des problèmes de routage et des pannes.

Étapes suivantes