Scenario: peering BGP con un hub virtuale

Un router hub della rete WAN virtuale di Azure, chiamato anche router dell'hub virtuale, funge da gestore di route e offre semplificazioni nell'operazione di routing all'interno degli hub virtuali e tra di essi. In altre parole, un router hub virtuale esegue le operazioni seguenti:

  • Semplifica la gestione del routing tramite il motore di routing centrale che comunica con i gateway, ad esempio VPN, ExpressRoute, P2S e Appliance virtuali di rete.
  • Consente scenari di routing anticipato di tabelle di route personalizzate, associazione e propagazione delle route.
  • Funge da router per il traffico che transita tra/verso reti virtuali connesse a un hub virtuale.

Il router dell'hub virtuale ora espone anche la possibilità di eseguire il peering, scambiando quindi le informazioni di routing direttamente tramite il protocollo di routing Border Gateway Protocol (BGP). Un'appliance virtuale di rete o un endpoint BGP di cui è stato effettuato il provisioning in una rete virtuale connessa a un hub virtuale può eseguire direttamente il peering con il router dell'hub virtuale, se supporta il protocollo di routing BGP e assicura che l'ASN nell'appliance virtuale di rete sia configurato in modo da essere diverso dall'ASN dell'hub virtuale.

Vantaggi e considerazioni

Vantaggi principali

  • Non è più necessario aggiornare manualmente la tabella di routing nell'appliance virtuale di rete ogni volta che vengono aggiornati gli indirizzi di rete virtuale.
  • Non è più necessario aggiornare manualmente le route definite dall'utente ogni volta che l'appliance virtuale di rete annuncia nuove route o ritira quelle precedenti.
  • L'appliance virtuale di rete nelle reti virtuali connesse a un hub virtuale può apprendere le route del gateway hub virtuale (VPN, ExpressRoute o Appliance virtuale di rete gestita).
  • È possibile eseguire il peering di più istanze dell'appliance virtuale di rete con un router hub virtuale. È possibile configurare gli attributi BGP nell'appliance virtuale di rete e, a seconda della progettazione (attiva-attiva o attiva-passiva), informare il router dell'hub virtuale che l'istanza dell'appliance virtuale di rete è attiva o passiva.

Considerazioni

  • È possibile eseguire il peering del router dell'hub virtuale solo con appliance virtuali di rete distribuite in reti virtuali connesse direttamente.

    • La configurazione del peering BGP tra un'appliance virtuale di rete locale e il router dell'hub virtuale non è supportata.
    • La configurazione del peering BGP tra un server di route di Azure e il router dell'hub virtuale non è supportata.
  • Il router dell'hub virtuale supporta solo ASN a 16 bit (2 byte).

  • La connessione di rete virtuale con l'endpoint di connessione BGP dell'appliance virtuale di rete deve essere sempre associata e propagata a defaultRouteTable. Le tabelle di route personalizzate non sono attualmente supportate.

  • Il router dell'hub virtuale supporta la connettività di transito tra reti virtuali connesse agli hub virtuali. Ciò non ha nulla a che fare con questa funzionalità di peering BGP perché la rete WAN virtuale supporta già la connettività di transito. Esempi:

    • VNET1: appliance virtuale di rete 1 connessa all'hub virtuale 1 -> (connettività di transito) -> VNET2: appliance virtuale di rete 2 connessa all'hub virtuale 1.
    • VNET1: appliance virtuale di rete 1 connessa all'hub virtuale 1 -> (connettività di transito) -> VNET2: appliance virtuale di rete 2 connessa all'hub virtuale 2.
  • È possibile usare ASN pubblici o ASN privati nell'appliance virtuale di rete. Non è possibile usare gli intervalli riservati da Azure o IANA. I seguenti numeri ASN sono riservati da Azure o da IANA:

    • Numeri ASN riservati da Azure:
      • ASN pubblici: 8074, 8075, 12076
      • ASN privati: 65515, 65517, 65518, 65519, 65520
    • ASN riservati da IANA: 23456, 64496-64511, 65535-65551
  • Mentre il router dell'hub virtuale scambia le route BGP con l'appliance virtuale di rete e le propaga alla rete virtuale, facilita direttamente la propagazione di route dall'ambiente locale tramite i gateway ospitati dall'hub virtuale (gateway VPN/gateway ExpressRoute/gateway appliance virtuale di rete gestita).

  • Il peering BGP è supportato solo con un indirizzo IP assegnato a un'interfaccia dell'appliance virtuale di rete. Il peering con loopback non è supportato.

    Il router dell'hub virtuale presenta i limiti seguenti:

    Conto risorse Limite
    Numero di route che ogni peer BGP può annunciare all'hub virtuale. L'hub può accettare solo un numero massimo di 10.000 route (totale) dalle risorse connesse. Ad esempio, se un hub virtuale ha un totale di 6000 route dalle reti virtuali connesse, rami, hub virtuali e così via, quando un nuovo peering BGP è configurato con un'appliance virtuale di rete, l'appliance virtuale di rete può annunciare solo fino a 4000 route.
    Numero di peer BGP È possibile connettere un massimo di 8 peer BGP a un singolo hub della rete WAN virtuale
  • Le route dall'appliance virtuale di rete in una rete virtuale più specifiche dello spazio di indirizzi della rete virtuale, quando annunciate all'hub virtuale tramite BGP, non vengono propagate ulteriormente in locale.

  • Attualmente sono supportate solo 4.000 route dall'appliance virtuale di rete all'hub virtuale.

  • Il traffico destinato agli indirizzi nella rete virtuale direttamente connessa all'hub virtuale non può essere configurato per il routing tramite l'appliance virtuale di rete usando il peering BGP tra l'hub e l'appliance virtuale di rete. Ciò è dovuto al fatto che l'hub virtuale apprende automaticamente le route di sistema associate agli indirizzi nella rete virtuale spoke quando viene creata la connessione di quest'ultima. Queste route di sistema apprese automaticamente sono preferite rispetto alle route apprese dall'hub tramite BGP.

  • Il peering BGP tra un'appliance virtuale di rete in una rete virtuale spoke e un hub virtuale protetto (hub con una soluzione di sicurezza integrata) è supportato se la finalità di routing è configurata nell'hub. La funzionalità di peering BGP non è supportata per gli hub virtuali protetti in cui la finalità di routing non è configurata.

  • Per consentire all'appliance virtuale di rete di scambiare route con siti connessi VPN e ER, è necessario attivare il routing da ramo a ramo.

  • Quando si configura il peering BGP con l'hub, verranno visualizzati due indirizzi IP. È necessario eseguire il peering con entrambi questi indirizzi. Il peering non su entrambi gli indirizzi può causare problemi di routing. Le stesse route devono essere annunciate a entrambi gli indirizzi. L'annuncio di route diverse causerà problemi di routing.

  • L'indirizzo IP hop successivo nelle route annunciate dall'appliance virtuale di rete al server di route hub virtuale deve corrispondere all'indirizzo IP dell'appliance virtuale di rete, l'indirizzo IP configurato nel peer BGP. La presenza di un indirizzo IP diverso annunciato come hop successivo NON è supportata per rete WAN virtuale al momento.

Scenari di peering BGP

Questa sezione descrive gli scenari in cui è possibile usare la funzionalità di peering BGP per configurare il routing.

Connettività di rete virtuale di transito

Immagine con routing da rete virtuale a rete virtuale.

In questo scenario, l'hub virtuale denominato "Hub 1" è connesso a diverse reti virtuali. L'obiettivo è stabilire il routing tra le reti virtuali VNET1 e VNET5.

Passaggi di configurazione senza peering BGP

I passaggi seguenti sono necessari quando il peering BGP non viene usato nell'hub virtuale:

Configurazione hub virtuale

  • Nella tabella predefinita di Hub 1, configurare la route statica per VNET5 (subnet 10.2.1.0/24) che punta alla connessione VNET2.
  • Nella connessione di rete virtuale dell'hub 1 per VNET2 configurare la route statica per VNET5 che punta all'indirizzo IP dell'appliance virtuale di rete VNET2 (subnet 10.2.0.5).
  • Nell'hub 1 propagare le route dalle connessioni per VNET1 e VNET2 alla tabella defaultRouteTable e associarle alla tabella defaultRouteTable.

Configurazione della rete virtuale

  • In VNET5 configurare una route definita dall'utente (UDR) in modo che punti all'IP dell'appliance virtuale di rete VNET2.

Passaggi di configurazione con il peering BGP

Nella configurazione precedente, la manutenzione delle route statiche e della route definita dall'utente può diventare complessa se la configurazione di VNET5 cambia frequentemente. Per risolvere questo problema, è possibile usare il peering BGP con una funzionalità dell'hub virtuale, modificando la configurazione del routing nei passaggi seguenti:

Configurazione hub virtuale

  • Nell'hub 1 configurare l'appliance virtuale di rete VNET2 come peer BGP. Configurare anche l'appliance virtuale di rete VNET2 per avere un peering BGP con l'hub 1.
  • Nell'hub 1 propagare le route dalle connessioni per VNET1 e VNET2 alla tabella defaultRouteTable e associarle alla tabella defaultRouteTable.

Configurazione della rete virtuale

  • In VNET5 configurare una route definita dall'utente (UDR) in modo che punti all'IP dell'appliance virtuale di rete VNET2.

Route valide

La tabella seguente mostra alcune voci delle route valide dell'hub 1 nella tabella defaultRouteTable. Si noti che la route per VNET5 (subnet 10.2.1.0/24) conferma che VNET1 e VNET5 saranno in grado di comunicare tra loro.

Prefisso di destinazione Hop successivo Origine Percorso ASN
10.2.0.0/24 eastusconn ID connessione rete virtuale -
10.2.1.0/24 ID connessione peer BGP per NVA ID connessione peer BGP per NVA 65510
10.4.1.0/24 Hub 2 Hub 2 -

La configurazione del routing in questo modo tramite la funzionalità elimina la necessità di voci di route statiche nell'hub virtuale. Pertanto, la configurazione è più semplice e le tabelle di route vengono aggiornate dinamicamente quando cambia la configurazione nelle reti virtuali connesse (ad esempio VNET5).

Connettività della rete virtuale del ramo

Immagine con routing da ramo a rete virtuale.

In questo scenario, il sito locale denominato "NVA Branch 1" ha una VPN configurata per terminare nell'appliance virtuale di rete VNET2. L'obiettivo è configurare il routing tra NVA Branch 1 e la rete virtuale VNET1.

Passaggi di configurazione senza peering BGP

I passaggi seguenti sono necessari quando il peering BGP non viene usato nell'hub virtuale:

Configurazione hub virtuale

  • Nella tabella predefinita di Hub 1, configurare la route statica per NVA Branch 1 che punta alla connessione VNET2.
  • Nella connessione di rete virtuale dell'hub 1 per VNET2 configurare la route statica per NVA Branch 1 che punta all'IP dell'appliance virtuale di rete VNET2 (10.2.0.5).
  • Nell'hub 1 propagare le route dalle connessioni per VNET1 e VNET2 alla tabella defaultRouteTable e associarle alla tabella defaultRouteTable.

Configurazione della rete virtuale

  • Peering BGP tra appliance virtuali di rete VNET2 e NVA Branch 1 e annunci di route per VNET1 da appliance virtuale di rete VNET2 a NVA Branch 1.

Passaggi di configurazione con il peering BGP

Nel corso del tempo, i prefissi di destinazione in NVA Branch 1 possono cambiare o potrebbero esserci molti siti che, come NVA Branch 1, necessitano di connettività a VNET1. Ciò comporta la necessità di aggiornamenti per le route statiche nell'hub 1 e la connessione VNET2, cosa che può diventare complicata. In questi casi, è possibile usare il peering BGP con una funzionalità dell'hub virtuale. I passaggi di configurazione per la connettività di routing sono indicati di seguito.

Configurazione hub virtuale

  • Nell'hub 1 configurare l'appliance virtuale di rete VNET2 come peer BGP. Configurare anche l'appliance virtuale di rete VNET2 per avere un peering BGP con l'hub 1.
  • Nell'hub 1 propagare le route dalle connessioni per VNET1 e VNET2 alla tabella defaultRouteTable e associarle alla tabella defaultRouteTable.

Configurazione della rete virtuale

  • Peering BGP tra appliance virtuali di rete VNET2 e NVA Branch 1 e annunci di route per VNET1 da appliance virtuale di rete VNET2 a NVA Branch 1.

Route valide

La tabella seguente mostra alcune voci delle route valide dell'hub 1 nella tabella defaultRouteTable. Si noti che la route per NVA Branch 1 (subnet 192.168.1.0/24) viene appresa tramite il peering BGP con l'appliance virtuale di rete.

Prefisso di destinazione Hop successivo Origine Percorso ASN
10.2.0.0/24 eastusconn ID connessione rete virtuale -
192.168.1.0/24 ID connessione peer BGP per NVA ID connessione peer BGP per NVA 65510

Per gestire le modifiche di rete in NVA Branch 1 o stabilire la connettività tra nuovi siti come NVA Branch 1, non è necessaria alcuna configurazione aggiuntiva nell'hub 1 perché il peering BGP tra l'hub 1 e l'appliance virtuale di rete aggiornerà dinamicamente le tabelle di route. La configurazione e la manutenzione risultano quindi semplificate.

Passaggi successivi