À propos de la fonctionnalité Mappages d’itinéraires pour les hubs virtuels (préversion)

La fonctionnalité Mappages d’itinéraires est une fonctionnalité puissante qui vous permet de contrôler les publications de routage et le routage pour les hubs virtuels Virtual WAN. La fonctionnalité Mappages d’itinéraires vous permet d’avoir plus de contrôle sur le routage qui accède aux connexions VPN de site à site (S2S) Azure Virtual WAN, aux connexions VPN utilisateur point à site (P2S), aux connexions ExpressRoute (ER) et aux connexions de réseau virtuel (VNet), puis quitte ces connexions. Route-maps peut être configuré à l’aide du Portail Azure. Pour connaître les étapes de configuration, veuillez consulter la rubrique Comment configurer les mappages d’itinéraires.

Important

La fonctionnalité Mappages d’itinéraires est actuellement en préversion publique et est fournie sans contrat de niveau de service. Les mappages d’itinéraires ne doivent pas être utilisés pour des charges de travail en production. Il est possible que certaines fonctionnalités ne soient pas prises en charge, disposent de capacités limitées ou ne soient pas accessibles à tous les emplacements Azure. Pour connaître les conditions juridiques qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou plus généralement non encore en disponibilité générale, consultez l’Avenant aux conditions d’utilisation des préversions de Microsoft Azure.

Pourquoi utiliser les mappages d’itinéraires ?

Les principaux avantages de l’utilisation des mappages d’itinéraires sont les suivants :

  • Les mappages d’itinéraires vous permettent de résumer des itinéraires quand vous avez des réseaux locaux connectés à Virtual WAN via ExpressRoute ou VPN et que vous êtes limité par le nombre d’itinéraires qui peuvent être publiés depuis/vers le hub virtuel.
  • Vous pouvez utiliser des mappages d’itinéraires pour contrôler les itinéraires à destination et en provenance de votre déploiement Virtual WAN entre des réseaux locaux et virtuels.
  • Vous pouvez contrôler les décisions de routage dans votre déploiement Virtual WAN en modifiant un attribut BGP comme AS-PATH pour rendre un itinéraire plus ou moins préférable. Cette fonction est utile lorsque des préfixes de destination sont accessibles via plusieurs chemins d’accès et que les clients souhaitent utiliser AS-PATH pour contrôler la meilleure sélection de chemin d’accès.
  • Vous pouvez facilement baliser des itinéraires à l’aide de l’attribut BGP Community pour gérer les itinéraires.

Dans Virtual WAN, le routeur de hub virtuel agit en tant que manager d’itinéraires, permettant de simplifier les opérations de routage dans et entre hubs virtuels. Le routeur de hub virtuel simplifie la gestion du routage en étant le moteur de routage central qui s’adresse aux passerelles (S2S, ER et P2S), au Pare-feu Azure et aux appliances virtuelles réseau (NVA).

Pendant que les passerelles prennent leurs décisions de routage, le routeur de hub virtuel fournit une gestion centralisée des itinéraires, puis active des scénarios de routage avancés dans le hub virtuel avec des fonctionnalités telles que les tables de routage personnalisées, l’association d’itinéraires et la propagation.

Les mappages d’itinéraires vous permettent d’effectuer l’agrégation des itinéraires et le filtrage des itinéraires, et vous donnent la possibilité de modifier des attributs BGP tels que AS-PATH et Community pour gérer les itinéraires et les décisions de routage. Les mappages d’itinéraires sont configurables pour les ressources et les paramètres suivants :

  • Connexions : un mappage d’itinéraire peut être appliqué aux connexions d’utilisateur, de branche, ExpressRoute et VNet.

    • Connexion ExpressRoute : connexion du hub à un circuit ER.
    • Connexion VPN de site à site : connexion du hub à un site VPN.
    • Connexion VNet : connexion du hub à un réseau virtuel.
    • Connexion point à site : connexion du hub à un utilisateur P2S.

    Un hub virtuel peut avoir un mappage d’itinéraire appliqué à l’une des connexions, comme illustré dans le diagramme suivant :

    Une capture d’écran montre un diagramme de l’architecture Virtual WAN à l’aide de la fonctionnalité Mappages d’itinéraires.

  • Agrégation de routes : la fonctionnalité Mappages d’itinéraires vous permet de réduire le nombre d’itinéraires entrants dans une connexion et/ou sortants d’une connexion en récapitulant. (Exemple : 10.2.1.0.0/24, 10.2.2.0/24 et 10.2.3.0/24 peuvent être résumés en 10.2.0.0/16).

  • Filtrage des itinéraires : la fonctionnalité Mappages d’itinéraires vous permet d’exclure les itinéraires publiés ou reçus des connexions ExpressRoute, des connexions VPN de site à site, des connexions VNet et des connexions point à site.

  • Modifier les attributs BGP : la fonctionnalité Mappages d’itinéraires vous permet de modifier les communautés AS-PATH et BGP. Vous pouvez maintenant ajouter ou définir des ASN (numéros système autonomes).

Observations et limitations

Avant d’utiliser des mappages d’itinéraires, tenez compte des limitations suivantes :

  • Pendant la durée de la préversion, les hubs utilisant des mappages d’itinéraires doivent être déployés dans leurs propres WAN virtuels.
  • La fonctionnalité Mappages d’itinéraires est uniquement disponible pour les hubs virtuels s’exécutant sur l’infrastructure Virtual Machine Scale Sets. Pour plus d’informations, visitez le FAQ.
  • Lorsque vous utilisez des mappages d’itinéraires pour résumer un ensemble d’itinéraires, le routeur hub supprime les attributs BGP Community et AS-PATH de ces itinéraires. Cela s’applique aux itinéraires entrants et sortants.
  • Lors de l’ajout d’ASN à l’AS-PATH, utilisez seulement la plage d’ASN privés 64 512 – 65 535, mais n’utilisez pas les ASN réservés par Azure :
    • ASN publics : 8074, 8075, 12076
    • ASN privés : 65515, 65517, 65518, 65519, 65520
  • Lorsque vous utilisez des cartes d’itinéraire, ne supprimez pas les communautés Azure BGP :
    • 65517:12001, 65517:12002, 65517:12003, 65517:12005, 65517:12006, 65518:65518, 65517:65517, 65517:12076, 65518:12076, 65515:10000, 65515:20000
  • Vous ne pouvez pas appliquer les mappages d’itinéraires aux connexions entre des NVA locaux et SD-WAN/Pare-feu dans le hub virtuel. Ces connexions ne sont pas prises en charge pendant la durée de la préversion. Vous pouvez toujours appliquer des mappages d’itinéraires à d’autres connexions prises en charge lorsqu’un NVA du hub virtuel est déployé. Cela ne s’applique pas au Pare-feu Azure, car le routage pour le Pare-feu Azure est fourni via les fonctionnalités d’intention de routage de Virtual WAN.
  • Les mappages d’itinéraires prennent uniquement en charge les numéros ASN sur 2 octets.
  • La fonctionnalité Multipool point à site (P2S) n’est actuellement pas prise en charge avec la fonctionnalité Mappages d’itinéraires.
  • La modification de l’itinéraire par défaut n’est prise en charge que lorsque l’itinéraire par défaut est appris depuis un appliance virtuel réseau (NVA) ou local.
  • Un préfixe peut être modifié par des mappages d’itinéraires ou par NAT, mais non par les deux.
  • Les mappages d’itinéraires ne seront pas appliqués à un espace d’adressage hub.
  • L’application de cartes d’itinéraire sur des appliances virtuelles réseau dans un réseau virtuel spoke n’est pas prise en charge.

Workflow de configuration

Vous pouvez configurer des mappages d’itinéraires à l’aide du Portail Azure. Pour connaître le flux de travail de configuration et les étapes complètes, veuillez consulter la rubrique Comment configurer les mappages d’itinéraires.

Que sont les règles de mappage d’itinéraire ?

Un mappage d’itinéraire est une séquence ordonnée d’une ou plusieurs règles de mappage d’itinéraire appliquée aux itinéraires reçus ou envoyés par le hub virtuel. Les règles de mappage d’itinéraire se composent de conditions de correspondance et d’actions.

Lorsque vous configurez une règle de mappage d’itinéraire, vous utilisez le paramètre Étape suivante pour spécifier si les itinéraires correspondant à cette règle vont continuer d’être traités par les règles ultérieures dans le mappage d’itinéraire ou vont s’arrêter (se terminer). Une fois les règles de mappage d’itinéraire configurées pour le mappage d’itinéraire, vous pouvez l’appliquer aux connexions.

Points importants à prendre en compte :

  • Une règle de mappage d’itinéraire peut avoir n’importe quel nombre de modifications d’itinéraires configurées. Il est possible d’avoir un mappage d’itinéraire sans aucune règle.
  • Si un mappage d’itinéraires n’a aucune action configurée dans une règle, les itinéraires restent inchangés.
  • Si un mappage d’itinéraire a plusieurs modifications configurées dans une règle, toutes les actions configurées sont appliquées à l’itinéraire. L’ordre des actions n’est pas pertinent.
  • Si un itinéraire n’est pas mis en correspondance avec toutes les conditions de correspondance d’une règle, cet itinéraire n’est pas considéré comme une correspondance pour la règle. L’itinéraire est transmis à la règle sous le mappage d’itinéraire, quel que soit le paramètre Étape suivante.
  • Configurez des règles pour qu’elles correspondent uniquement aux itinéraires destinés à éviter les flux de trafic involontaires.

Conditions de correspondance

La fonctionnalité Mappages d’itinéraires vous permet de faire correspondre des itinéraires à l’aide de Route-prefix, de BGP Community et d’AS-Path. Les conditions de correspondance sont l’ensemble des conditions qu’un itinéraire traité doit respecter pour être considéré comme une correspondance pour la règle.

  • Une règle de mappage d’itinéraire peut avoir n’importe quel nombre de conditions de correspondance.

  • Si un mappage d’itinéraire est créé sans condition de correspondance, tous les itinéraires de la connexion appliquée seront mis en correspondance.

    Par exemple, une connexion VPN site à site a des itinéraires 10.2.1.0/24, 10.2.2.0/24 et 10.2.3.0/24 publiés d’Azure vers une filiale. Un mappage d’itinéraires sans condition de correspondance correspondra à 10.2.1.0/24, 10.2.2.0/24 et 10.2.3.0/24.

  • Si un mappage d’itinéraire a plusieurs conditions de correspondance, un itinéraire doit répondre à toutes les conditions de correspondance pour être considéré comme une correspondance pour la règle. L’ordre des conditions de correspondance n’est pas pertinent.

    Par exemple, une connexion VPN de site à site a des itinéraires 10.2.1.0/24 avec un chemin d’accès AS de 65535 et une communauté BGP de 65535:100 publiés d’Azure vers une filiale. Si une règle de mappage de routage est créée sur la connexion avec une condition de correspondance pour le préfixe 10.2.1.0 et avec une autre condition de correspondance pour le chemin d’accès AS 65535, les deux conditions doivent être remplies pour être considérées comme une correspondance.

  • Plusieurs règles sont prises en charge. Si la première règle n’est pas mise en correspondance, la deuxième règle est évaluée. Sélectionnez Terminer dans le champ Étape suivante pour mettre fin à la liste des règles dans le mappage d’itinéraire. Lorsqu’aucune règle n’est mise en correspondance, la valeur par défaut est d’autoriser, et non de refuser.

Actions

Les conditions de correspondance servent à sélectionner un ensemble d’itinéraires. Une fois ces itinéraires sélectionnés, ils peuvent être supprimés ou modifiés. Vous pouvez configurer les actions suivantes :

  • Annuler : tous les itinéraires correspondants sont supprimés (c’est-à-dire filtrés) de la publication d’itinéraires. Par exemple, une connexion VPN site à site a des itinéraires 10.2.1.0/24, 10.2.2.0/24 et 10.2.3.0/24 publiés d’Azure vers une filiale. Vous pouvez configurer un mappage d’itinéraire pour supprimer 10.2.1.0/24, 10.2.2.0/24, auquel cas seul 10.2.3.0/24 sera publié d’Azure vers une filiale.

  • Modifier : les modifications d’itinéraires possibles sont l’agrégation des préfixes d’itinéraires ou la modification des attributs BGP d’itinéraires. Par exemple, une connexion VPN de site à site a des itinéraires 10.2.1.0/24 avec un chemin d’accès AS de 65535 et une communauté BGP de 65535:100 publiés d’Azure vers une filiale. Vous pouvez configurer un mappage d’itinéraires pour ajouter le chemin AS de [65535, 65005].

Configurations prises en charge pour les règles de mappage d’itinéraires

Cette section décrit toutes les conditions de correspondance et actions prises en charge pour la préversion des mappages d’itinéraires.

Conditions de correspondance

Propriété Critère Valeur (exemple) Interprétation
Route-prefix equals 10.1.0.0/16,10.2.0.0/16,10.3.0.0/16,10.4.0.0/16 Correspond à ces 4 itinéraires uniquement. Les préfixes spécifiques sous ces itinéraires ne sont pas mis en correspondance.
Route-prefix contains 10.1.0.0/16,10.2.0.0/16, 192.168.16.0/24, 192.168.17.0/24 Correspond à tous les itinéraires spécifiés et à tous les préfixes au-dessous. (Par exemple, 10.2.1.0/24 est sous 10.2.0.0/16)
Communauté equals 65001:100,65001:200 La propriété Community de l’itinéraire doit avoir les deux communautés. L’ordre n’est pas pertinent.
Communauté contains 65001:100,65001:200 La propriété Community de l’itinéraire peut avoir une ou plusieurs des communautés spécifiées.
AS-Path equals 65001,65002,65003 Le chemin d’accès AS-PATH des itinéraires doit avoir des ASN répertoriés dans l’ordre spécifié.
AS-Path contains 65001,65002,65003 Le chemin d’accès AS des itinéraires peut contenir un ou plusieurs des ASN répertoriés. L’ordre n’est pas pertinent.

Modifications d’itinéraire

Propriété Action Valeur Interprétation
Route-prefix supprimer 10.3.0.0/8,10.4.0.0/8 Les routes spécifiées dans la règle sont abandonnées.
Route-prefix Replace 10.0.0.0/8,192.168.0.0/16 Remplacez tous les itinéraires correspondants par les itinéraires spécifiés dans la règle.
As-Path Ajouter 64580,64581 Ajoutez AS-PATH à la liste des ASN spécifiés dans la règle. Ces ASN sont appliqués dans le même ordre pour les itinéraires mis en correspondance.
As-Path Replace 65004,65005 Le chemin d’accès AS-PATH sera défini sur cette liste dans le même ordre, pour chaque itinéraire mis en correspondance. Veuillez consulter les considérations clés si vous souhaitez en savoir plus sur les numéros AS réservés.
As-Path Replace Aucune valeur spécifiée Supprimez tous les ASN du chemin d’accès AS-PATH dans les itinéraires correspondants.
Communauté Ajouter 64580:300,64581:300 Ajoutez toutes les communautés répertoriées à tous les attributs Community des itinéraires mis en correspondance.
Communauté Replace 64580:300,64581:300 Remplacez l’attribut Community de tous les itinéraires mis en correspondance par la liste fournie.
Communauté Replace Aucune valeur spécifiée Supprimez l’attribut Community de tous les itinéraires mis en correspondance.
Communauté Supprimer 65001:100,65001:200 Supprimez toutes les communautés répertoriées présentes dans l’attribut Community des itinéraires mis en correspondance.

Appliquer les mappages d’itinéraires aux connexions

Vous pouvez appliquer des mappages d’itinéraires sur chaque connexion pour les directions entrantes, sortantes ou entrantes et sortantes. Vous pouvez choisir d’appliquer des mappages d’itinéraires identiques ou différents dans les directions entrantes et sortantes, mais un seul mappage d’itinéraire peut être appliqué dans chaque direction. Pour les connexions ExpressRoute, aucun mappage d’itinéraire ne peut être appliqué sur les appareils MSEE.

  • Direction entrante : lorsqu’un mappage d’itinéraire est configuré sur une connexion dans la direction entrante, toutes les publications d’itinéraire d’entrée sur cette connexion sont traitées par le mappage d’itinéraires avant d’être entrées dans la table de routage du routeur de hub virtuel, defaultRouteTable.

  • Direction sortante : lorsqu’un mappage d’itinéraire est configuré sur une connexion dans la direction sortante, le mappage d’itinéraire traite toutes les publications d’itinéraire d’entrée sur cette connexion avant que le routeur de hub virtuel les publie dans toute la connexion.

Pour connaître les étapes d’application des mappages de routage aux connexions, veuillez consulter la rubrique Comment configurer les mappages d’itinéraires.

Surveillance à l’aide du tableau de bord Mappage d’itinéraire

Lorsqu’un mappage d’itinéraire est appliqué à une connexion, vous pouvez utiliser le tableau de bord Mappage d’itinéraire pour surveiller, puis afficher ce qui suit :

  • Itinéraires
  • Chemin AS
  • Communautés BGP

Si vous souhaitez en savoir plus, notamment sur les étapes à suivre, veuillez consulter la rubrique Surveiller les mappages d’itinéraires à l’aide du tableau de bord Mappage d’itinéraire.

Étapes suivantes