Använd en Azure VMware Solution-design med en enda region som inte har global räckvidd
I den här artikeln beskrivs metodtips för Azure VMware Solution i en enda region när du använder säkert Azure Virtual WAN med routningssyfte. Den ger rekommendationer för anslutningar och trafikflöden för säkert virtuellt WAN med routningssyfte. I den här artikeln beskrivs topologin för design i privata moln i Azure VMware Solution, lokala webbplatser och Azure-inbyggda resurser när du inte använder Azure ExpressRoute Global Reach. Implementeringen och konfigurationen av säkert virtuellt WAN med routnings avsikt ligger utanför omfånget för den här artikeln.
Om du använder en region som inte stöder Global Reach eller om du har ett säkerhetskrav för att inspektera trafik mellan Azure VMware Solution och lokalt i hubbens brandvägg, måste du öppna en supportbegäran för att aktivera ExpressRoute-till-ExpressRoute-transitivitet. Virtual WAN stöder inte ExpressRoute-to-ExpressRoute-transitivitet som standard. Mer information finns i Överföringsanslutning mellan ExpressRoute-kretsar med routningssyfte.
Använda säkert virtuellt WAN utan global räckvidd
Endast Virtual WAN Standard SKU stöder säkert virtuellt WAN med routningssyfte. Använd säkert virtuellt WAN med routnings avsikt att skicka all internettrafik och privat nätverkstrafik (RFC 1918) till en säkerhetslösning, till exempel Azure Firewall, en virtuell nätverksinstallation (NVA) som inte kommer från Microsoft eller en saaS-lösning (programvara som en tjänst).
Det här scenariots hubb har följande konfiguration:
Nätverket för en region har en Virtual WAN-instans och en hubb.
Hubben har en Azure Firewall-instans distribuerad, vilket gör den till en säker Virtual WAN-hubb.
Den säkra Virtual WAN-hubben har routnings avsikt aktiverad.
I det här scenariot finns även följande komponenter:
En enskild region har ett eget privat Azure VMware Solution-moln och ett virtuellt Azure-nätverk.
En lokal plats ansluter tillbaka till hubben.
Kommentar
Om du använder prefix som inte är RFC 1918 i dina anslutna lokala resurser, virtuella nätverk eller Azure VMware Solution anger du dessa prefix i fältet Privata trafikprefix i routnings avsiktsfunktionen. Ange sammanfattade vägar i fältet Privata trafikprefix för att täcka ditt intervall. Ange inte det exakta intervallet som annonserar till Virtual WAN eftersom den här specifikationen kan leda till routningsproblem. Om ExpressRoute-kretsen till exempel annonserar 192.0.2.0/24 lokalt anger du ett /23 CIDR-intervall (Classless Inter-Domain Routing) eller större, till exempel 192.0.2.0/23. Mer information finns i Konfigurera routnings avsikt och principer via Virtual WAN-portalen.
Kommentar
När du konfigurerar Azure VMware Solution med säkra Virtual WAN-hubbar anger du inställningsalternativet för hubbdirigering till AS-sökväg för att säkerställa optimala routningsresultat på hubben. Mer information finns i Routningsinställningar för virtuell hubb.
Följande diagram visar ett exempel på det här scenariot.
I följande tabell beskrivs topologianslutningen i föregående diagram.
| Connection | beskrivning |
|---|---|
| D | Azure VMware Solution privat molnhanterad ExpressRoute-anslutning till hubben |
| E | Lokal ExpressRoute-anslutning till hubben |
Trafikflöden för virtuellt WAN med en region utan global räckvidd
I följande avsnitt beskrivs trafikflöden och anslutningar för Azure VMware Solution, lokalt, virtuella Azure-nätverk och Internet.
Azure VMware Solution– privat molnanslutning och trafikflöden
Följande diagram visar trafikflöden för ett privat Azure VMware Solution-moln.
I följande tabell beskrivs trafikflödet i föregående diagram.
| Trafikflödesnummer | Källa | Mål | Inspekterar den säkra brandväggen för Virtual WAN-hubben den här trafiken? |
|---|---|---|---|
| 1 | Azure VMware Solution Cloud | Virtuellt nätverk | Ja |
| 2 | Azure VMware Solution Cloud | Lokal | Ja |
Det privata Azure VMware Solution-molnet har en ExpressRoute-anslutning till hubben (anslutning D).
När du aktiverar ExpressRoute-till-ExpressRoute-transitivitet på den säkra hubben och aktiverar routnings avsikten skickar den säkra hubben standardadresserna RFC 1918 (10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) till Azure VMware Solution via anslutning D. Utöver standardadresserna för RFC 1918 lär sig Azure VMware Solution mer specifika vägar från virtuella Azure-nätverk och grennätverk, till exempel S2S VPN, P2S VPN och SD-WAN, som ansluter till hubben. Azure VMware Solution lär sig inte specifika vägar från lokala nätverk. För att dirigera trafik tillbaka till lokala nätverk använder Azure VMware Solution standardadresserna för RFC 1918 som den lär sig från anslutning D. Den här trafiken överförs genom hubbens brandvägg. Hubbens brandvägg använder de specifika vägarna för lokala nätverk för att dirigera trafik mot målen via anslutning E. Trafik som går från Azure VMware Solution till virtuella nätverk överför hubbbrandväggen.
Lokal anslutning och trafikflöde
Följande diagram visar trafikflöden för lokal anslutning.
I följande tabell beskrivs trafikflödet i föregående diagram.
| Trafikflödesnummer | Källa | Mål | Inspekterar den säkra brandväggen för Virtual WAN-hubben den här trafiken? |
|---|---|---|---|
| 3 | Lokal | Azure VMware Solution Cloud | Ja |
| 4 | Lokal | Virtuellt nätverk | Ja |
Den lokala platsen ansluter till hubben via ExpressRoute-anslutningen E.
När du aktiverar ExpressRoute till ExpressRoute-transitivitet på den säkra hubben och aktiverar routnings avsikten skickar den säkra hubben standardadresserna RFC 1918 till lokalt via anslutning E. Förutom standardadresserna för RFC 1918 lär sig lokala vägar från virtuella Azure-nätverk och grennätverk som ansluter till hubben. Lokalt lär sig inte specifika vägar från Azure VMware Solution-nätverk. För att dirigera trafik tillbaka till Azure VMware Solution-nätverk använder Azure VMware Solution standardadresserna för RFC 1918 som den lär sig från anslutning E. Den här trafiken överförs genom hubbens brandvägg. Hubbens brandvägg använder de specifika vägarna för Azure VMware Solution-nätverk för att dirigera trafik mot målen via anslutning D. Trafik som går från lokala till virtuella nätverk överförs hubbens brandvägg.
När du aktiverar ExpressRoute-till-ExpressRoute-transitivitet på hubben skickar den standardadresserna för RFC 1918 till ditt lokala nätverk. Därför bör du inte annonsera de exakta RFC 1918-prefixen tillbaka till Azure. Om du annonserar samma vägar skapas routningsproblem i Azure. I stället bör du annonsera mer specifika vägar tillbaka till Azure för dina lokala nätverk.
Kommentar
Om du annonserar standardadresserna för RFC 1918 från en lokal plats till Azure och vill fortsätta med den här metoden måste du dela upp varje RFC 1918-intervall i två lika stora underlager och annonsera dessa underordningar tillbaka till Azure. Underordningarna är 10.0.0.0/9, 10.128.0.0/9, 172.16.0.0/13, 172.24.0.0/13, 192.168.0.0/17 och 192.168.128.0/17.
Anslutning och trafikflöde för virtuella Azure-nätverk
Följande diagram visar trafikflöden för anslutning till virtuella Azure-nätverk.
I följande tabell beskrivs trafikflödet i föregående diagram.
| Trafikflödesnummer | Källa | Mål | Inspekterar den säkra brandväggen för Virtual WAN-hubben den här trafiken? |
|---|---|---|---|
| 5 | Virtuellt nätverk | Azure VMware Solution Cloud | Ja |
| 6 | Virtuellt nätverk | Lokal | Ja |
I det här scenariot peer-datorer för virtuella nätverk direkt till hubben. Diagrammet visar hur Azure-inbyggda resurser i det virtuella nätverket lär sig sina vägar. En säker hubb med routnings avsikt aktiverad skickar standardadresserna för RFC 1918 till peerkopplade virtuella nätverk. Azure-interna resurser i det virtuella nätverket lär sig inte specifika vägar utanför det virtuella nätverket. När du aktiverar routnings avsikten har alla resurser i det virtuella nätverket standardadressen RFC 1918 och använder hubbens brandvägg som nästa hopp. All trafik som kommer in i och avslutar de virtuella nätverken passerar hubbens brandvägg.
Internet-anslutning
I det här avsnittet beskrivs hur du tillhandahåller Internetanslutning för Azure-inbyggda resurser i virtuella nätverk och privata Moln för Azure VMware Solution i en enda region. Mer information finns i Designöverväganden för Internetanslutning. Du kan använda följande alternativ för att tillhandahålla Internetanslutning till Azure VMware Solution.
- Alternativ 1: Azure-värdbaserad Internettjänst
- Alternativ 2: Azure VMware Solution-managed Source Network Address Translation (SNAT)
- Alternativ 3: Offentlig IPv4-adress i Azure till NSX-T Data Center-gränsen
En säker virtual WAN-design med en enda region som har routnings avsikt stöder alla alternativ, men vi rekommenderar alternativ 1. Scenariot senare i den här artikeln använder alternativ 1 för att tillhandahålla internetanslutning. Alternativ 1 fungerar bäst med säkert Virtuellt WAN eftersom det är enkelt att inspektera, distribuera och hantera.
När du aktiverar routnings avsikt på den säkra hubben annonseras RFC 1918 till alla peer-kopplade virtuella nätverk. Men du kan också annonsera en standardväg 0.0.0.0/0 för internetanslutning till underordnade resurser. När du använder routnings avsikt kan du generera en standardväg från hubbens brandvägg. Den här standardvägen annonserar till ditt virtuella nätverk och till Azure VMware Solution.
Azure VMware Solution och internetanslutning för virtuella nätverk
När du aktiverar routningssyfte för Internettrafik annonserar den säkra Virtual WAN-hubben som standard inte standardvägen över ExpressRoute-kretsar. För att säkerställa att standardvägen sprids till Azure VMware Solution från Virtual WAN måste du aktivera standardvägsspridning på Azure VMware Solution ExpressRoute-kretsar. Mer information finns i Annonsera standardväg 0.0.0.0/0 till slutpunkter.
Följande diagram visar trafikflöden för virtuella nätverk och Internetanslutning för Azure VMware Solution.
I följande tabell beskrivs trafikflödet i föregående diagram.
| Trafikflödesnummer | Källa | Mål | Inspekterar den säkra brandväggen för Virtual WAN-hubben den här trafiken? |
|---|---|---|---|
| 7 | Virtuellt nätverk | Internet | Ja |
| 8 | Azure VMware Solution Cloud | Internet | Ja |
När du har aktiverat standardflödesspridning annonserar anslutning D standardvägen 0.0.0.0/0 från hubben. Aktivera inte den här inställningen för lokala ExpressRoute-kretsar. Vi rekommenderar att du implementerar ett BGP-filter (Border Gateway Protocol) på din lokala utrustning. Ett BGP-filter förhindrar att resurser oavsiktligt lär sig standardvägen, lägger till ett extra lager av försiktighet och hjälper till att säkerställa att konfigurationen inte påverkar den lokala Internetanslutningen.
När du aktiverar routningssyfte för Internetåtkomst annonseras den standardväg som genererar från den säkra virtuella WAN-hubben automatiskt till de hubb-peerkopplade virtuella nätverksanslutningarna. Observera att i de virtuella datorernas nätverkskort i det virtuella nätverket är nästa hopp 0.0.0.0/0 hubbens brandvägg. Om du vill hitta nästa hopp väljer du Effektiva vägar i nätverkskortet.
Använda VMware HCX Mobility Optimized Networking (MON) utan global räckvidd
Du kan aktivera HCX Mobility Optimized Networking (MON) när du använder HCX-nätverkstillägget. MON tillhandahåller optimal trafikroutning i vissa scenarier för att förhindra att nätverk överlappar eller loopar mellan lokala och molnbaserade resurser i utökade nätverk.
Utgående trafik från Azure VMware Solution
När du aktiverar MON för ett specifikt utökat nätverk och en virtuell dator ändras trafikflödet. När du har implementerat MON går utgående trafik från den virtuella datorn inte tillbaka till den lokala datorn. I stället kringgås IPSec-tunneln för nätverkstillägget. Trafiken för den virtuella datorn avslutas från Azure VMware Solution NSX-T Tier-1-gatewayen, går till NSX-T Tier-0-gatewayen och går sedan till Virtual WAN.
Inkommande trafik till Azure VMware Solution
När du aktiverar MON för ett specifikt utökat nätverk och en virtuell dator introducerar du följande ändringar. Från Azure VMware Solution NSX-T matar MON in en /32-värdväg tillbaka till Virtual WAN. Virtual WAN annonserar den här /32-vägen tillbaka till lokala, virtuella nätverk och grennätverk. Den här /32-värdvägen säkerställer att trafik från lokala, virtuella nätverk och grennätverk inte använder IPSec-tunneln för nätverkstillägget när trafiken går till den MON-aktiverade virtuella datorn. Trafik från källnätverk går direkt till den MON-aktiverade virtuella datorn eftersom den lär sig /32-vägen.
HCX MON-begränsning för säkert virtuellt WAN utan global räckvidd
När du aktiverar ExpressRoute-till-ExpressRoute-transitivitet på den säkra hubben och aktiverar routnings avsikt, skickar den säkra hubben standardadresserna RFC 1918 till både den lokala lösningen och Azure VMware Solution. Förutom standardadresserna för RFC 1918 kan både den lokala lösningen och Azure VMware Solution lära sig mer specifika vägar från virtuella Azure-nätverk och grennätverk som ansluter till hubben.
Men lokala nätverk lär sig inte specifika vägar från Azure VMware Solution och Azure VMware Solution lär sig inte specifika vägar från lokala nätverk. I stället förlitar sig båda miljöerna på standardadresserna för RFC 1918 för att underlätta routning tillbaka till varandra via hubbens brandvägg. Därför annonserar mer specifika vägar, till exempel MON-värdvägar, inte från Azure VMware Solution ExpressRoute till den lokala ExpressRoute-kretsen. Det omvända är också sant. Oförmågan att lära sig specifika vägar introducerar asymmetriska trafikflöden. Trafiken går ut ur Azure VMware Solution via NSX-T Tier-0-gatewayen, men returnerar trafik från lokala returer via IPSec-tunneln för nätverkstillägget.
Korrigera trafikasymmetrin
För att korrigera trafikasymmetrin måste du justera MON-principvägarna. MON-principvägar avgör vilken trafik som går tillbaka till den lokala gatewayen via ett L2-tillägg. De bestämmer också vilken trafik som går via Azure VMware Solution NSX Tier-0-gatewayen.
Om en mål-IP matchar och du anger att den ska tillåtas i MON-principkonfigurationen utförs två åtgärder. Först identifierar systemet paketet. För det andra skickar systemet paketet till den lokala gatewayen via nätverkstilläggsinstallationen.
Om en mål-IP inte matchar eller om du anger att den ska nekas i MON-principen skickar systemet paketet till Azure VMware Solution Tier-0-gatewayen för routning.
I följande tabell beskrivs HCX-principvägar.
| Nätverk | Omdirigera till peer | Kommentar |
|---|---|---|
| Adressutrymme för virtuellt Azure-nätverk | Neka | Inkludera uttryckligen adressintervallen för alla dina virtuella nätverk. Trafik som är avsedd för Azure dirigerar utgående trafik via Azure VMware Solution och återgår inte till det lokala nätverket. |
| Standardadressutrymmen för RFC 1918 | Tillåt | Lägg till standardadresserna för RFC 1918. Den här konfigurationen säkerställer att all trafik som inte matchar föregående villkor omdirigeras tillbaka till det lokala nätverket. Om den lokala installationen använder adresser som inte ingår i RFC 1918 måste du uttryckligen inkludera dessa intervall. |
| 0.0.0.0/0 adressutrymme | Neka | Adresser som RFC 1918 inte täcker, till exempel internetroutningsbara IP-adresser eller trafik som inte matchar de angivna posterna, avsluta direkt via Azure VMware Solution och omdirigera inte tillbaka till det lokala nätverket. |