路由映射是一项可用于控制虚拟 WAN 虚拟中心的路由播发和路由的功能。 通过路由映射,可以进一步控制进入和离开 Azure 虚拟 WAN 站点到站点 (S2S) VPN 连接、用户 VPN 点到站点 (P2S) 连接、ExpressRoute (ER) 连接以及虚拟网络 (VNet) 连接的路由。 可以使用 Azure 门户来配置路由映射。 有关配置步骤,请参阅 如何配置路线映射。
为什么要使用路由映射?
使用路由映射的一些主要优势包括:
- 如果你拥有通过 ExpressRoute 或 VPN 连接到虚拟 WAN 的本地网络,并且受到可从虚拟中心播发或播发到虚拟中心的路由数量的限制,可以使用路由映射来汇总路由。
- 可以使用路由映射在本地和虚拟网络中控制进入和离开虚拟 WAN 部署的路由。
- 可以通过修改 BGP 属性(如 AS-PATH )来控制虚拟 WAN 部署中路由的优先级,决定路由的更高或更低偏好。 如果存在可通过多个路径访问的目标前缀,并且客户希望使用 AS-PATH 来控制最佳路径选择,则这非常有用。
- 可以使用 BGP 社区属性轻松标记路由,以便管理路由。
在虚拟 WAN 中,虚拟中心路由器充当路由管理器,可简化虚拟中心内和跨虚拟中心的路由操作。 充当与网关(S2S、ER 和 P2S)、Azure 防火墙和网络虚拟设备 (NVA) 进行通信的中央路由引擎,虚拟中心路由器可简化路由管理。
当网关做出路由决策时,虚拟中心路由器将提供中央路由管理,并在虚拟中心内启用高级路由方案,它具有自定义路由表、路由关联和传播等功能。
通过路由映射,你可以执行路由聚合、路由筛选和修改 BGP 属性(例如 AS-PATH 和社区),以便管理路由和路由决策。 路由映射可针对以下资源和设置进行配置:
连接:路由映射可以应用于用户、分支、ExpressRoute 和 VNet 连接。
- ExpressRoute 连接:中心与 ER 线路的连接。
- 站点到站点 VPN 连接:中心与 VPN 站点的连接。
- VNet 连接:中心与虚拟网络的连接。
- 点到站点连接:中心与 P2S 用户的连接。
虚拟中心可以将路由映射应用于任何连接,如下图所示:
路由聚合:使用路由映射,可以通过汇总来减少传入和/或传出连接的路由数。 (示例:10.2.1.0.0/24、10.2.2.0/24 和 10.2.3.0/24 可以汇总为 10.2.0.0/16)。
路由筛选: 路由图允许您排除从 ExpressRoute 连接、站点到站点 VPN 连接、VNet 连接和点到站点连接中播发或接收的路由。
修改 BGP 属性: 通过路由映射可以修改 AS-PATH 和 BGP 社区。 现在可以添加或设置 ASN(自治系统编号)。
注意事项和限制
使用路由映射前,请考虑以下限制:
使用路由映射汇总一组路由时,中心路由器会从这些路由中去除 BGP 社区 和 AS-PATH 属性。 这适用于入站和出站路由。
使用路由映射时,请不要使用专用 ASN 进行 AS 前置(请注意,参考的文章重点介绍 ExpressRoute Microsoft 对等互连,但这同样适用于 ExpressRoute 专用对等互连)。
使用路由映射时,请不要使用 Azure 为 AS 前置保留的 ASN:
- 公用 ASN:8074、8075、12076
- 专用 ASN:65515、65517、65518、65519、65520
使用路由映射时,不要删除 Azure BGP 社区:
- 65517:12001、65517:12002、65517:12003、65517:12005、65517:12006、65518:65518、65517:65517、65517:12076、65518:12076、65515:10000、65515:20000
不能将路由映射应用于虚拟中心内本地与 SD-WAN/防火墙 NVA 之间的连接。 部署虚拟中心内的 NVA 时,仍可以将路由映射应用于其他支持的连接。 这不适用于 Azure 防火墙,因为 Azure 防火墙的路由是通过虚拟 WAN 路由意向功能提供的。
路由映射仅支持 2 字节 ASN 编号。
路由映射目前不支持点到站点 (P2S) 多池功能。
仅当从本地或 NVA 学习默认路由时,才支持修改默认路由。
可以通过路由映射或 NAT 来修改前缀,但不能同时通过两者进行修改。
路由映射不会应用于中心地址空间。
在包含 NVA 的 VNet 上使用路由映射时, 可以在 VNet 地址或 NVA 播发的地址上应用路由映射。
路由映射仅支持路由汇总。 请勿使用路由映射来创建更具体的路由。
配置工作流
可以使用 Azure 门户配置路由映射。 有关配置工作流和综合步骤,请参阅 如何配置路线映射。
什么是路由映射规则?
路由映射是一个或多个路由映射规则的有序排列,这些规则应用于虚拟中心接收或发送的路由。 路线映射规则由 匹配条件和 动作组成。
配置路由映射规则时,可以使用“下一步”设置指定匹配此规则的路由是否将继续由路由映射中的后续规则处理,或停止(终止)。 为路由映射配置路由映射规则后,可以将路由映射应用于连接。
注意事项:
- 路由映射规则可以配置任意数量的路由修改。 可以使用任何规则的路由映射。
- 如果路由映射未在规则中配置任何操作,则路由不会发生改变。
- 如果路由映射在规则中配置了多个修改,则配置的所有操作都将应用于该路由。 操作的顺序无关紧要。
- 如果某个路由与规则中的所有匹配条件都不匹配,则不会将该路由视为与规则匹配。 无论“下一步”设置如何,路由都传递到路由映射下的规则。
- 配置规则以仅匹配用于避免意外流量流的路由。
匹配条件
路由映射允许使用路由前缀、BGP 社区和 AS-Path 来匹配路由。 匹配条件是一组条件,已处理的路由必须满足这些条件才能被视为与规则匹配。
路由映射规则可以具有任意数量的匹配条件。
如果在没有匹配条件的情况下创建路由映射,则将匹配来自所应用连接的所有路由。
例如,站点到站点 VPN 连接具有从 Azure 播发到分支机构的路由 10.2.1.0/24、10.2.2.0/24 和 10.2.3.0/24。 没有匹配条件的路由映射将匹配 10.2.1.0/24、10.2.2.0/24 和 10.2.3.0/24。
如果路由映射具有多个匹配条件,则路由必须满足所有匹配条件,才能被视为与规则匹配。 匹配条件的顺序无关紧要。
例如,站点到站点 VPN 连接具有从 Azure 播发到分支机构的路由 10.2.1.0/24,AS 路径为 65535,并且 BGP 社区为 65535:100。 如果在连接上创建了路由映射规则,其中一个匹配条件用于匹配前缀 10.2.1.0,,另一个匹配条件针对 AS 路径 65535,则需满足这两个条件才能被视为匹配项。
支持多个规则。 如果第一个规则不匹配,则会计算第二个规则。 在“下一步”字段中选择“终止”,以结束路由映射中的规则列表。 如果未匹配任何规则,则默认为允许,而不是拒绝。
操作
匹配条件用于选择一组路由。 选择这些路由后,可以删除或修改它们。 可以配置以下操作:
删除:将从路由播发中删除(即过滤掉)所有匹配的路由。 例如,站点到站点 VPN 连接具有从 Azure 播发到分支机构的路由 10.2.1.0/24、10.2.2.0/24 和 10.2.3.0/24。 可将路由映射配置为删除 10.2.1.0/24、10.2.2.0/24,从而仅将 10.2.3.0/24 从 Azure 播发到分支机构。
修改: 可能的路由修改是聚合路由前缀或修改路由 BGP 属性。 例如,站点到站点 VPN 连接具有从 Azure 播发到分支机构的路由 10.2.1.0/24,AS 路径为 65535,并且 BGP 社区为 65535:100。 可将路由映射配置为添加 AS 路径 [65535, 65005]。
路由映射规则支持的配置
本节显示了路由图功能支持的匹配条件和操作。
匹配条件
| 属性 | 条件 | 值(示例) | 解释 |
|---|---|---|---|
| 路由前缀 | 等于 | 10.1.0.0/16、10.2.0.0/16、10.3.0.0/16、10.4.0.0/16 | 仅匹配这 4 个路由。 这些路由下的特定前缀将不匹配。 |
| 路由前缀 | 包含 | 10.1.0.0/16、10.2.0.0/16、192.168.16.0/24、192.168.17.0/24 | 匹配所有指定的路由和下面的所有前缀。 (示例 10.2.1.0/24 位于 10.2.0.0/16 下方) |
| 社区 | 等于 | 65001:100、65001:200 | 路由的社区属性必须同时具有这两个社区。 顺序无关紧要。 |
| 社区 | 包含 | 65001:100、65001:200 | 路由的社区属性可以具有一个或多个指定的社区。 |
| AS 路径 | 等于 | 65001、65002、65003 | 路由的 AS-PATH 必须按指定顺序列出 ASN。 |
| AS 路径 | 包含 | 65001、65002、65003 | 路由中的 AS-PATH 可以包含一个或多个列出的 ASN。 顺序无关紧要。 |
路由修改
| 属性 | 操作 | 值 | 解释 |
|---|---|---|---|
| 路由前缀 | 删除 | 10.3.0.0/8、10.4.0.0/8 | 将删除规则中指定的路由。 |
| 路由前缀 | 替换 | 10.0.0.0/8、192.168.0.0/16 | 将所有匹配的路由替换为规则中指定的路由。 |
| AS 路径 | 添加 | 64580、64581 | 在 AS-PATH 前面附加规则中指定的 ASN 列表。 这些 ASN 将按照匹配路由的相同顺序进行应用。 |
| AS 路径 | 替换 | 65004、65005 | 对于每个匹配的路由,AS-PATH 将以相同的顺序设置到此列表。 请参阅有关预留的 AS 编号的重要注意事项。 |
| AS 路径 | 替换 | 未指定值 | 删除匹配路由的 AS-PATH 中的所有 ASN。 |
| 社区 | 添加 | 64580:300、64581:300 | 将所有列出的社区添加到所有匹配的路由社区属性。 |
| 社区 | 替换 | 64580:300、64581:300 | 将所有匹配路由的社区属性替换为提供的列表。 |
| 社区 | 替换 | 未指定值 | 从所有匹配的路由中删除社区属性。 |
| 社区 | 删除 | 65001:100、65001:200 | 删除匹配路由的社区属性中列出的任何社区。 |
将路由映射应用于连接
可以在每个连接上为入站、出站或入站和出站方向应用路由映射。 可以选择在入站和出站方向应用相同或不同的路由映射,但每个方向只能应用一个路由映射。 对于 ExpressRoute 连接,无法在 MSEE 设备上应用路由映射。
入站方向:如果已在连接的入站方向配置路由映射,则在进入虚拟中心路由器的路由表 defaultRouteTable 之前,该连接上的所有入口路由播发都将由路由映射处理。
出站方向:如果已在连接的出站方向配置路由映射,则由虚拟中心路由器在连接上进行播发之前,该连接上的所有出口路由播发也将由路由映射处理。 出站路由映射只能修改虚拟 WAN 播发到特定连接的路由,不能将其用于选择连接用于访问特定前缀的路由或路径。 这是因为在应用任何出站路线映射之前,会通过中心路由首选项选择最佳路径。 因此,出站路由不能用于影响 Azure 中的最佳路径选择。
有关将路线映射应用于连接的步骤,请参阅 如何配置路线映射。
使用路由映射仪表板进行监视
将路由映射应用于连接时,可以使用路由映射仪表板监视和查看:
- 线路
- AS 路径
- BGP 社区
有关详细信息和步骤,请参阅 使用路线地图仪表板监视路线地图。