Топология сети iPv6 с периферийной сетью

Брандмауэр Azure
Виртуальная сеть Azure
Виртуальная глобальная сеть Azure (WAN)
VPN-шлюз Azure

В этой статье описывается, как перенести топологию сети iPv4 концентратора и периферийной сети в IPv6. Он представляет топологию сети концентратора и периферийной сети в качестве отправной точки и описывает шаги, которые можно предпринять для реализации поддержки IPv6.

В центральной и периферийной сети виртуальная сеть концентратора — это центральная точка подключения для периферийных виртуальных сетей. Периферийные виртуальные сети подключаются к концентратору и могут обеспечить изоляцию ресурсов приложений. Дополнительные сведения см. в разделе "Переход на IPv6".

Архитектура

Схема, показывющая архитектуру концентратора и периферийных компонентов с необходимыми компонентами для поддержки IPv6.

Скачайте файл Visio для этой архитектуры.

Рабочий процесс

  1. Общедоступный Интернет и межсайтовая сеть: пользователи или службы могут получать доступ к ресурсам Azure через общедоступный Интернет. В локальной сети есть локальные виртуальные машины, которые безопасно подключаются к сети Azure через VPN-шлюз.

  2. Диспетчер виртуальная сеть Azure: этот компонент — это уровень управления, который контролирует всю сетевую инфраструктуру в Azure. Она обрабатывает маршрутизацию, политики и общую работоспособность виртуальной сети.

  3. Виртуальная сеть концентратора: концентратор является главной точкой топологии сети. Конфигурация сети поддерживает как IPv4, так и IPv6 (двойной стек).

    • Бастион Azure обеспечивает безопасное и простое подключение протокола удаленного рабочего стола или secure Shell (RDP/SSH) из портал Azure к виртуальным машинам непосредственно через TLS.
    • Брандмауэр Azure проверяет и фильтрует трафик между концентратором и общедоступным Интернетом.
    • ExpressRoute подключает локальную сеть к концентратору.
    • VPN-шлюз также подключает локальную сеть к концентратору и обеспечивает избыточность.
    • Службы в виртуальной сети концентратора отправляют журналы и метрики (диагностика) в Azure Monitor для мониторинга.
  4. Периферийные виртуальные сети: к концентратору подключены четыре периферийных узла. Каждая периферийная сеть — это сеть с двумя стеками, поддерживающая как IPv4, так и IPv6.

    • Определяемые пользователем маршруты IPv6 (UDR) определяют пользовательские маршруты для трафика IPv6 из периферийной сети.
    • Периферийные виртуальные сети подключаются через пиринговые подключения или подключенные группы. Пиринговые подключения и подключенные группы являются нетрансляционными, низкой задержкой подключений между виртуальными сетями. Пиринговые или подключенные виртуальные сети могут обмениваться трафиком через магистраль Azure.
    • Весь исходящий трафик из периферийных виртуальных сетей проходит через концентратор, используя конфигурацию в Брандмауэр Azure называется принудительное туннелирование.
    • В каждой периферии существует три подсети, назначенные как подсети ресурсов, каждый из которых размещает виртуальную машину.
    • Каждая виртуальная машина подключается к внутренней подсистеме балансировки нагрузки, настроенной для поддержки диапазонов адресов IPv4 и IPv6. Подсистема балансировки нагрузки распределяет входящий сетевой трафик между виртуальными машинами.

Компоненты

  • Виртуальная сеть Azure — это фундаментальный стандартный блок для частных сетей в Azure. виртуальная сеть позволяет многим ресурсам Azure, таким как Azure Виртуальные машины, безопасно взаимодействовать друг с другом, между локальными сетями и Интернетом.
  • Для обмена данными между виртуальными машинами требуется интерфейс виртуальной сети. Виртуальные машины и другие ресурсы можно настроить для нескольких сетевых интерфейсов, что позволяет создавать конфигурации с двойным стеком (IPv4 и IPv6).
  • Общедоступный IP-адрес используется для подключения iPv4 и IPv6 к ресурсам Azure.
  • диспетчер виртуальная сеть используется для создания групп сети и управления ими.
  • Брандмауэр Azure — это управляемая облачная служба безопасности сети. Он защищает ресурсы Azure виртуальная сеть. Экземпляр управляемого брандмауэра Брандмауэр Azure находится в собственной подсети.
  • Azure VPN-шлюз или Azure ExpressRoute можно использовать для создания шлюза виртуальной сети для подключения виртуальной сети к устройству виртуальной частной сети (VPN) или каналу ExpressRoute. Шлюз обеспечивает подключение к локальной сети.
  • Azure Load Balancer используется для включения нескольких компьютеров с одной целью совместного использования трафика. В этой архитектуре подсистемы балансировки нагрузки распределяют трафик между несколькими подсетями, поддерживающими IPv6.
  • Таблица маршрутов в Azure — это набор определяемых пользователем типов, которые предоставляют определения пользовательских путей для сетевого трафика.
  • Azure Виртуальные машины — это решение для вычислений как услуга (IaaS), поддерживающее IPv6.
  • Бастион Azure — это полностью управляемая платформа как услуга (PaaS), которую корпорация Майкрософт предоставляет и поддерживает. Он обеспечивает безопасный и простой протокол удаленного рабочего стола и доступ SSH к виртуальным машинам без воздействия общедоступного IP-адреса.
  • Мониторинг — это комплексное решение мониторинга для сбора, анализа и реагирования на данные мониторинга из облачных и локальных сред. Монитор можно использовать для максимальной доступности и производительности приложений и служб.

Переход виртуальной сети концентратора на IPv6

Чтобы перенести виртуальную сеть концентратора для поддержки IPv6, необходимо обновить сетевую инфраструктуру для размещения диапазонов адресов IPv6, чтобы центральная, управляющая частью сети, может обрабатывать IPv6-трафик. Этот подход гарантирует, что центральный концентратор может эффективно маршрутизировать трафик и управлять трафиком между различными сетевыми сегментами (периферийными устройствами) с помощью IPv6. Чтобы реализовать IPv6 в центральной виртуальной сети, выполните следующие действия.

Добавление адресного пространства IPv6 в виртуальную сеть концентратора и подсети концентратора

Сначала необходимо добавить диапазоны адресов IPv6 в виртуальную сеть концентратора, а затем в ее подсети. Используйте блок адресов /56 для виртуальной сети и блок адресов /64 для каждой подсети. В следующей таблице показан пример настройки.

Диапазон адресов виртуальной сети концентратора Диапазон адресов подсети концентратора
Виртуальная сеть концентратора: 2001:db8:1234:0000::/56 Подсеть Бастиона Azure: 2001:db8:1234:0000::/64
подсеть Брандмауэр Azure:2001:db8:1234:0001::/64
подсеть VPN-шлюз:2001:db8:1234:0002::/64
Подсеть ExpressRoute: 2001:db8:1234:0003::/64

Эти IPv6-адреса являются примерами. Необходимо заменить 2001:db8:1234:: блок адресов IPv6 вашей организации. Тщательно спланируйте и задокументируйте выделение адресов IPv6, чтобы избежать перекрытия и обеспечить эффективное использование адресного пространства. Чтобы добавить адресное пространство IPv6 в виртуальную сеть концентратора, можно использовать портал Azure, PowerShell или Azure CLI.

Настройка определяемых пользователем маршрутов (определяемых пользователем) для каждой подсети концентратора

Определяемые пользователем маршруты — это маршруты, настроенные вручную для переопределения системных маршрутов Azure по умолчанию. В Azure определяемые пользователем UDR необходимы для управления потоком сетевого трафика в виртуальной сети. Определяемые пользователем ресурсы можно использовать для направления трафика из одной подсети к определенным устройствам, шлюзам или целевым объектам в Azure или локальным сетям. При добавлении поддержки IPv6 в виртуальную сеть концентратора необходимо:

  • Добавьте маршруты IPv6. Если есть установленная таблица маршрутов, добавьте новые маршруты, указывающие префиксы IPv6-адресов.
  • Измените существующие маршруты. Если для IPv4 уже есть маршруты, их может потребоваться изменить, чтобы убедиться, что они также применяются к трафику IPv6 или создают отдельные маршруты, относящиеся к IPv6.
  • Свяжите таблицу маршрутов с подсетями. После определения маршрутов свяжите таблицу маршрутов с соответствующими подсетями в виртуальной сети. Эта связь определяет, какие подсети используют определенные маршруты.

Вам не нужно добавлять маршрут для каждого ресурса, но вам нужен маршрут для каждой подсети. Каждая подсеть может иметь несколько ресурсов, и все они следуют правилам, определенным в таблице маршрутов, связанной с их подсетью. Дополнительные сведения см. в обзоре маршрута, определяемого пользователем.

Например, в виртуальной сети концентратора есть четыре подсети: Бастион Azure, Брандмауэр Azure, VPN-шлюз и ExpressRoute. В следующей таблице показаны примеры определяемых пользователем пользователей для каждой подсети.

Подсеть концентратора Description Диапазон IPv6-адресов Имя маршрута Назначение Следующий прыжок
Бастион Azure Маршрут к брандмауэру 2001:db8:1234:0000::/64 Интернет-маршрут ::/0 2001:db8:1234:0001::/64(Брандмауэр Azure)
Брандмауэр Azure маршрут по умолчанию. 2001:db8:1234:0001::/64 Интернет-маршрут ::/0 Internet Gateway
VPN-шлюз Локальный маршрут 2001:db8:1234:0002::/64 Локальный маршрут 2001:db8:abcd::/56 VPN-шлюз
ExpressRoute Локальный маршрут 2001:db8:1234:0003::/64 Локальный маршрут 2001:db8:efgh::/56 ExpressRoute

При настройке определяемых пользователем пользователей необходимо согласовать их с политиками сети организации и архитектурой развертывания Azure.

Изменение канала ExpressRoute (если применимо)

Чтобы предоставить канал ExpressRoute с поддержкой IPv6, необходимо:

  • Включите частный пиринг IPv6. Включите частный пиринг IPv6 для канала ExpressRoute. Эта конфигурация обеспечивает трафик IPv6 между локальной сетью и виртуальной сетью концентратора.
  • Выделите адресное пространство IPv6. Укажите подсети IPv6 для первичных и вторичных ссылок ExpressRoute.
  • Обновление таблиц маршрутов. Убедитесь, что вы направляете трафик IPv6 соответствующим образом через канал ExpressRoute.

Эти конфигурации расширяют подключение IPv6 к службам Azure через канал ExpressRoute, чтобы одновременно направлять возможности двойного стека. Чтобы изменить ExpressRoute, можно использовать портал Azure, PowerShell или Azure CLI.

Переход периферийных виртуальных сетей на IPv6

Периферийные виртуальные сети подключены к центральному концентратору. Если вы предоставляете периферийные виртуальные сети с поддержкой IPv6, каждая периферийная сеть может взаимодействовать с помощью более расширенного протокола IPv6, и она расширяет единообразие в сети. Чтобы предоставить периферийные виртуальные сети с поддержкой IPv6, выполните следующие действия.

Добавление адресного пространства IPv6 в периферийные виртуальные сети и периферийные подсети

Как и виртуальная сеть концентратора, необходимо добавить диапазоны адресов IPv6 в каждую периферийную виртуальную сеть, а затем их подсети. Используйте блок адресов /56 для виртуальных сетей и блока адресов /64 для подсетей. В следующей таблице приведен пример диапазонов адресов IPv6 для периферийных виртуальных сетей и их подсетей.

Диапазон адресов периферийной виртуальной сети Диапазон адресов периферийной подсети
Периферийная виртуальная сеть 1: 2001:db8:1234:0100::/56 Подсеть 1. 2001:db8:1234:0100::/64
Подсеть 2. 2001:db8:1234:0101::/64
Подсеть 3: 2001:db8:1234:0102::/64
Периферийная виртуальная сеть 2: 2001:db8:1234:0200::/56 Подсеть 1. 2001:db8:1234:0200::/64
Подсеть 2. 2001:db8:1234:0201::/64
Подсеть 3: 2001:db8:1234:0202::/64
Периферийная виртуальная сеть 3: 2001:db8:1234:0300::/56 Подсеть 1. 2001:db8:1234:0300::/64
Подсеть 2. 2001:db8:1234:0301::/64
Подсеть 3: 2001:db8:1234:0302::/64
Периферийная виртуальная сеть 4: 2001:db8:1234:0400::/56 Подсеть 1. 2001:db8:1234:0400::/64
Подсеть 2. 2001:db8:1234:0401::/64
Подсеть 3: 2001:db8:1234:0402::/64

Для настройки настройте адреса IPv6 в соответствии с выделением и потребностями вашей организации.

Изменение ресурсов периферийной виртуальной сети

Каждая периферийная виртуальная сеть содержит несколько виртуальных машин и внутреннюю подсистему балансировки нагрузки. Внутренняя подсистема балансировки нагрузки позволяет направлять трафик IPv4 и IPv6 на виртуальные машины. Необходимо изменить виртуальные машины и внутренние подсистемы балансировки нагрузки, чтобы они поддерживали IPv6.

Для каждой виртуальной машины необходимо создать сетевой интерфейс IPv6 и связать его с виртуальной машиной, чтобы добавить поддержку IPv6. Дополнительные сведения см. в разделе "Добавление конфигурации IPv6 в виртуальную машину".

Если в каждой периферийной виртуальной сети нет внутренней подсистемы балансировки нагрузки, необходимо создать внутреннюю подсистему балансировки нагрузки с двумя стеками. Дополнительные сведения см. в статье "Создание внутренней подсистемы балансировки нагрузки с двумя стеками". Если есть внутренняя подсистема балансировки нагрузки, можно использовать PowerShell или Azure CLI для добавления поддержки IPv6.

Настройка определяемых пользователем маршрутов (определяемых пользователем) для каждой периферийной подсети

Чтобы настроить UDR, периферийные виртуальные сети используют ту же конфигурацию, что и виртуальные сети концентратора при добавлении поддержки IPv6 в периферийную виртуальную сеть, необходимо:

  • Добавьте маршруты IPv6. Если есть установленная таблица маршрутов, добавьте новые маршруты, указывающие префиксы IPv6-адресов.

  • Измените существующие маршруты. Если для IPv4 уже есть маршруты, их может потребоваться изменить, чтобы убедиться, что они также применяются к трафику IPv6 или создают отдельные маршруты, относящиеся к IPv6.

  • Свяжите таблицу маршрутов с подсетями. После определения маршрутов свяжите таблицу маршрутов с соответствующими подсетями в виртуальной сети. Эта связь определяет, какие подсети используют определенные маршруты.

В следующей таблице показаны примеры определяемых пользователем пользователей для каждой подсети в периферийной виртуальной сети.

Периферийная подсеть Description Диапазон IPv6-адресов Имя маршрута Назначение Следующий прыжок
Подсеть 1 Маршрут к брандмауэру 2001:db8:1234:0100::/64 Интернет-маршрут ::/0 2001:db8:1234:0001::/64(Брандмауэр Azure)
Подсеть 2 Маршрут к VPN-шлюз 2001:db8:1234:0101::/64 VPN-маршрут 2001:db8:abcd::/64 2001:db8:1234:0002::/64(VPN-шлюз)
Подсеть 3 Маршрут к ExpressRoute 2001:db8:1234:0102::/64 Маршрут ExpressRoute 2001:db8:5678::/64 2001:db8:1234:0003::/64 (ExpressRoute)

Для настройки необходимо выровнять UDR с политиками сети организации и архитектурой развертывания Azure.

Соавторы

Корпорация Майкрософт поддерживает эту статью. Следующие участники первоначально написали статью.

Автор субъекта:

  • Вернер Ролл | Старший инженер по разработке облачных решений

Другие участники:

Чтобы просмотреть неопубликованные профили LinkedIn, войдите в LinkedIn.

Следующие шаги