通过

SDWAN 与 Azure 中心辐射型网络拓扑的集成

Azure ExpressRoute
Azure VPN 网关
Azure 虚拟网络

本文适用于希望设计软件定义的广域网 (SD-WAN) 的网络架构师,以相互连接本地设施并与 Azure 连接。 它描述了一种体系结构,通过在 Microsoft 主干之上构建高效的全球 SD-WAN 覆盖,Azure 客户可以利用他们在平台上的现有投资。

适用的场景

本文中的建议与供应商无关,适用于满足两个基本先决条件的任何非 Microsoft SD-WAN 技术:

  • 依赖于使用传输控制协议(TCP)或用户数据报协议(UDP)作为基础传输的隧道协议,例如使用 NAT 遍历的隧道模式 IPsec ESP。
  • 边界网关协议 (BGP) v4 支持与外部实体交换路由。 对于非 Microsoft SD-WAN 设备在相互交换路由信息时使用的路由协议不做任何假设。

遵循这些建议的客户可以使用所选的 SD-WAN 技术来实现以下目标:

  • 通过在 Azure 虚拟网络和 SD-WAN 设备之间自动交换路由,将 SD-WAN 产品集成到现有的 Azure 中心辐射型网络中。
  • 优化分支与本地 Internet 的连接(包括与 Azure 和内部数据中心的连接)。 Microsoft主干的 影响力 ,加上其容量、复原能力和“冷土豆”路由策略,表明它可以用作全球 SD-WAN 的高性能底层。
  • 将 Microsoft 主干用于所有 Azure 到 Azure 的流量(跨地区和跨地理区域)。
  • 将现有的多协议标签交换 (MPLS) 网络用作高性能底层。 它还可用于在分阶段方法中替换现有的 MPLS 网络,最大限度地减少对业务的影响。

以下部分假定读者熟悉 SD-WAN 范例 的基础知识以及 Microsoft主干的体系结构。 Microsoft 主干将 Azure 区域相互连接,并与公共 Internet 互连。

体系结构

在全球开展业务并覆盖多个区域的 Azure 组织通常会结合使用多种连接服务来实施其企业网络并连接到 Microsoft 主干:

  • 数据中心或总部等最大的站点可以使用专用连接服务,如 MPLS Internet 协议虚拟专用网络 (IPVPN)。
  • 大型站点可以使用 受支持的连接模型之一通过 ExpressRoute 线路将专用连接到Microsoft主干。 更具体地说,站点可以使用专用点到点线路连接到最近的 ExpressRoute 对等互连位置。 或者,它也可以使用 MPLS IPVPN 来访问由 MPLS 运营商提供的 ExpressRoute 线路。
  • 只有 Internet 连接的分支机构可能会使用 IPsec VPN 连接到最近的本地数据中心,并使用该数据中心的 ExpressRoute 连接访问 Azure 资源。 或者,他们可能会使用 IPsec VPN 直接连接到 Azure 中心和辐射网络。

SD-WAN 项目在想要取代的传统网络服务方面可以有不同的范围。 某些组织可能想要坚持专用链接或 MPLS 用于大型设施,并部署一个 SD-WAN,以替换小型站点中基于 Internet 的旧 IPsec VPN。 其他组织可能希望将其 SD-WAN 扩展到 MPLS 连接的站点,并将现有的 MPLS 网络用作高性能底层。 最后,某些组织可能想要消除其 MPLS IPVPN 或任何专用连接服务,以采用 SD-WAN 范例。 这样,他们就可以在公共或共享底层(公共 Internet 和 Microsoft 主干)上构建整个公司网络作为逻辑覆盖层。

本文介绍的体系结构支持前面所列的所有范围,并基于以下原则:

  • SD-WAN 设备作为网络虚拟设备 (NVA) 部署在每个 Azure 区域的中心辐射型网络中,并配置为 SD-WAN 中心,以终止来自内部站点的隧道。
  • Azure 中的 SD-WAN 设备会被配置为相互建立隧道,从而创建一个完全网格化的中心到中心覆盖层,可在 Azure 区域之间高效传输流量,并在 Microsoft 主干之上中继地理位置遥远的本地站点之间的流量。
  • 在 SD-WAN 解决方案覆盖的所有本地站点中部署 SD-WAN 设备,并将其配置为与最靠近 Azure 区域的 SD-WAN NVA 建立隧道。 不同的站点可以将不同的传输服务用作隧道的底层,例如公共 Internet、ExpressRoute 连接等。
  • 从站点到任何目标(无论是在 Azure 中还是在其他本地站点中)的流量都会被路由到最靠近 Azure 区域的 SD-WAN NVA。 然后,它会通过中心到中心覆盖进行路由。

SD-WAN 产品可以使用专有协议和功能来检测,在两个站点之间动态建立直接隧道后,可提供比通过 Azure 中的 SD-WAN NVA 中继流量更好的性能。

下图显示了使用 Microsoft 主干、公共 Internet 和专用 ER 连接作为底层的全局 SD-WAN 的高级体系结构。

显示高级 SD-WAN 体系结构的关系图。 图 1:全局 SD-WAN 的高级体系结构,该体系结构使用Microsoft主干、公共 Internet 和专用 ER 连接作为底层。黑色虚线显示两个本地站点之间的流量如何通过部署在靠近站点的 Azure 区域中的 SD-WAN NVA 进行路由。Microsoft主干,由于其覆盖范围、容量和“冷土豆”路由政策,可能导致比公共互联网要好得多/可预测的性能,特别是对于长途连接。

Azure 中心辐射型网络中 SD-WAN 产品

本部分提供有关在现有 Azure 中心辐射型网络中部署非 Microsoft SD-WAN CPE 设备作为 NVA 的建议。

中心虚拟网络中的 SD-WAN NVA

中心辐射型是 Microsoft 建议使用客户管理的虚拟网络在 Azure 区域中构建可缩放网络的拓扑。 中心虚拟网络托管共享组件,例如提供网络功能的非 Microsoft NVA 和本机服务,例如防火墙、负载均衡以及通过站点间 VPN 或 ExpressRoute 与本地站点的连接。 中心虚拟网络是 SD-WAN NVA 的自然位置,而它最终是提供对远程网络的访问权限的非 Microsoft 网关。

在中心虚拟网络中部署 SD-WAN NVA 时应遵循以下原则:

  • 所有 SD-WAN 流量均使用单个网络接口控制器 (NIC)。 还可以添加其他 NIC(例如管理 NIC),以满足安全性和符合性要求,或遵守 Azure 部署的供应商准则。
  • 用于 SD-WAN 流量的 NIC 必须连接到专用子网。 子网的大小必须根据部署的 SD-WAN NVA 数量来确定,以满足高可用性 (HA) 和规模或吞吐量要求(本文稍后讨论)。
  • 网络安全组 (NSG) 必须直接或在子网级别与 SD-WAN 流量 NIC 关联。 此关联允许通过 SD-WAN 解决方案使用的 TCP/UDP 端口从远程本地站点进行连接。
  • 用于 SD-WAN 流量的 NIC 必须启用 IP 转发。

中心虚拟网络中的 Azure 路由服务器

Azure 路由服务器可在 SD-WAN NVA 和 Azure 软件定义网络 (SDN) 堆栈之间自动进行路由交换。 路由服务器支持 BGP 作为动态路由协议。 在路由服务器和 SD-WAN NVA 之间建立 BGP 邻接:

  • 连接到 SD-WAN 的所有本地站点的路由都会注入虚拟网络的路由表中,并被所有 Azure VM 学习。
  • 虚拟网络地址空间中包含的所有 IP 前缀的路由都会传播到所有 SD-WAN 连接的站点。

路由服务器的配置如下。

  • 它必须按照 创建和配置路由服务器,在中心虚拟网络中的专用子网中部署,并使用 Azure 门户。
  • 要为所有分支虚拟网络启用自动路由交换,必须将虚拟网络对等互连配置为允许分支虚拟网络使用中心虚拟网络的网关和路由服务器。 Azure 路由服务器常见问题解答中提供的详细信息。
  • 由于路由服务器和 SD-WAN NVA 连接到不同的子网,因此路由服务器和 SD-WAN NVA 之间的 BGP 会话必须配置 eBGP 多跃点支持。 可以设置 2 到 SD-WAN NVA 支持的最大值之间的任意跃点数。 有关为路由服务器配置 BGP 相邻的详细信息,请参阅使用 Azure 门户创建和配置路由服务器
  • 必须为路由服务器公开的 BGP 终结点在 SD-WAN NVA 上配置两个 /32 静态路由。 此配置可确保 NVA 的路由表始终包含其多跃点(未直接连接)BGP 对等体的路由。

路由服务器不在数据路径中。 它是一个控制平面实体。 它在 SD-WAN NVA 与虚拟网络 SDN 堆栈之间传播路由,但 SD-WAN NVA 与虚拟网络中的虚拟机之间的实际流量转发由 Azure SDN 堆栈完成,如下图所示。 要获取此路由行为,路由服务器会注入它从 SD-WAN NVA 中学习的所有路由,并将下一个跃点设置为 NVA 自己的地址。

路由服务器目前不支持 IPv6。 此体系结构仅适用于 IPv4。

显示路由服务器工作原理的关系图。 图 2.路由服务器支持 SD-WAN CPE 和虚拟网络 SDN 堆栈之间的路由传播,但它不会转发 SD-WAN CPE 与虚拟网络中的虚拟机之间的流量。

利用路由服务器实现 SD-WAN NVA 的高可用性

路由服务器具有内置的 HA。 两个计算节点支持单个路由服务器实例。 它们部署在不同的可用性区域中,用于具有可用性区域支持的区域,或者部署在同一可用性集中。 它们会公开两个 BGP 终结点。 SD-WAN NVA 的 HA 可通过在支持它们的不同可用性区域或在同一可用性集中部署多个实例来实现。 每个 SD-WAN NVA 都与路由服务器公开的两个终结点建立两个 BGP 会话。

本文中所述的体系结构不依赖于Azure 负载均衡器。 更具体说来:

  • 没有公共负载均衡器公开 SD-WAN 隧道终结点。 每个 SD-WAN NVA 都会公开自己的隧道终结点。 远程对等互连建立多个隧道,Azure 中的每个 SD-WAN NVA 都会建立一个隧道。

  • 没有内部负载均衡器将 Azure VM 发起的流量分发到 SD-WAN NVA。 路由服务器和 Azure SDN 堆栈支持等价多路径 (ECMP) 路由。 如果多个 NVA 与路由服务器建立了 BGP 相邻,并使用相同优先级为同一目标(如传入的远程网络和连接到 SD-WAN 的站点)报出路由,则路由服务器:

    • 在虚拟网络的路由表中为这些目标注入多个路由。
    • 将每个路由设置为使用其他 NVA 作为下一个跃点。

然后,SDN 堆栈会将流量分配到所有可用的下一个跃点的目标。

由此产生的 HA 架构如下图所示:

显示路由服务器高可用性的关系图。 图 3.路由服务器支持 Equal-Cost 多路径(ECMP)路由。当多个 SD-WAN NVA 用于可用性和/或可伸缩性目的时,不需要 Azure 负载均衡器。

N-主动与主动备用高可用性

在使用多个 SD-WAN NVA 并将其与路由服务器对等互连时,BGP 会驱动故障转移。 如果 SD-WAN NVA 脱机,它将停止向路由服务器播发路由。 然后,从故障设备学习的路由将从虚拟网络路由表中撤回。 因此,如果 SD-WAN NVA 因设备本身或底层发生故障而不再提供与远程 SD-WAN 站点的连接,它将不再显示为虚拟网络路由表中远程站点的下一个跃点。 所有流量都会流向剩余的正常运行设备。 有关 SD-WAN NVA 与路由服务器之间的路由传播的详细信息,请参阅 BGP 对等方播发到路由服务器的路由

显示路由服务器 BGP 驱动的故障转移的关系图。 图 4.BGP 驱动的故障转移。如果 SD-WAN NVA #0 脱机,则其 BGP 会话与路由服务器关闭。SD-WAN NVA #0 将从虚拟网络的路由表中删除,作为从 Azure 到本地站点的流量的下一跃点。

BGP 驱动的故障切换和 ECMP 路由自然可实现 N 个设备同时处理流量的 N-active HA 体系结构。 但也可以使用 BGP 实现主动和被动 HA 体系结构:配置被动设备向路由服务器通告优先级低于主动对等互连的路由。 如果路由服务器从主动设备接收到的相同目的地路由的优先级更高,则会丢弃从被动设备接收到的路由。 而且,它只会联结虚拟网络路由表中的后一种路由。

如果活动设备发生故障或撤销了部分路由,则路由服务器:

  • 选择被动设备通告的相应路由。
  • 联结虚拟网络路由表中的路由。

SD-WAN NVA 可用于表达其向路由服务器公告路由优先级的唯一 BGP 属性是 AS 路径。

建议使用 N 主动 HA 体系结构,因为它们可实现最佳资源利用(没有备用 SD-WAN NVA)和横向可伸缩性。 为了提高吞吐量,多个 NVA 可以并行运行,最多可达路由服务器支持的 BGP 对等体数。 有关详细信息,请参阅 BGP 对等方。 但是,N 主动 HA 模型要求 SD-WAN NVA 充当无状态的第 3 层路由器。 如果存在多个指向一个站点的隧道,则 TCP 连接可以非对称路由。 也就是说,同一 TCP 连接的 ORIGINALREPLY 流可以通过不同的隧道和不同的 NVA 进行路由。 下图显示了非对称路由 TCP 连接的示例。 对于在虚拟网络或本地站点上启动的 TCP 连接都可能出现这种路由不对称。

显示活动/活动配置中的非对称路由的关系图。 图 5.主动/主动 HA 体系结构中的非对称路由。SD-WAN NVA #0 和 SD-WAN NVA #1 报出目标 192.168.1.0/24(远程 SD-WAN 站点)与路由服务器相同的 AS 路径长度的路由。原始流(从 SD-WAN 远程站点到 Azure,红色路径)通过 Azure 端的隧道路由,SD-WAN NVA #1 终止。本地 SD-WAN CPE 选择此隧道。根据虚拟网络的路由表,Azure SDN 堆栈将 REPLY 流(从 Azure 路由到远程 SD-WAN 站点、绿色路径)路由到 SD-WAN NVA #0,这是 192.168.1.0/24 可能的下一跃点之一。无法保证 Azure SDN 堆栈选择的下一跃点始终与接收原始流的 CPE SD-WAN 相同。

只有在 Azure 中的 SD-WAN NVA 执行其他需要路由对称的网络功能(例如有状态防火墙)时,才应考虑主动和被动 HA 体系结构。 不建议使用此方法,因为它会影响可伸缩性。 在 SD-WAN NVA 上运行更多网络功能会增加资源消耗。 同时,主动和被动 HA 体系结构允许在任何时间点有一个 NVA 处理流量。 也就是说,整个 SD-WAN 层只能扩展到它支持的最大 Azure VM 大小,而不是横向扩展。在独立的 NVA 群集上运行需要路由对称的有状态网络功能,这些群集依靠标准负载平衡器来实现 N 主动 HA。

ExpressRoute 连接注意事项

本文中所述的体系结构使客户能够充分接受 SD-WAN 范例,并在公共 Internet 和 Microsoft 主干之上将其公司网络构建为逻辑覆盖。 它还支持使用专用 Expressroute 线路来解决特定方案,详见下文。

方案 #1:ExpressRoute 和 SD-WAN 共存

仅当 SD-WAN 设备部署在一部分站点中时,SD-WAN 解决方案才可以与 ExpressRoute 连接共存。 例如,某些组织可能会将 SD-WAN 解决方案部署为仅使用 Internet 连接的站点中的传统 IPsec VPN 替代。 然后,他们会在大型站点和数据中心使用 MPLS 服务和 ExpressRoute 线路,如下图所示。

显示 SD-WAN 和 ExpressRoute 共存的关系图。 图 6. 当 SD-WAN CPE 设备仅部署在一部分站点中时,SD-WAN 解决方案可以与 ExpressRoute 连接共存。

这种共存方案要求在 Azure 中部署的 SD-WAN NVA 能够在连接到 SD-WAN 的站点与连接到 ExpressRoute 线路的站点之间路由流量。 可以通过启用 AllowBranchToBranch 此功能,将路由服务器配置为在 ExpressRoute 虚拟网络网关与 Azure 中 SD-WAN NVA 之间传播路由,如 此处所述。 ExpressRoute 虚拟网络网关和 SD-WAN NVA 之间通过 BGP 进行路由传播。 路由服务器会与这两个对等体建立 BGP 会话,并向每个对等体传播从另一个对等体学习到的路由。 该平台管理路由服务器与 ExpressRoute 虚拟网络网关之间的 BGP 会话。 用户无需显式配置它们,只用在部署路由服务器时启用 AllowBranchToBranch 标志即可。

显示使用 AllowBranchToBranch=TRUE 配置路由服务器时路由传播的关系图。 图 7.ExpressRoute 虚拟网络网关与 SD-WAN NVA(s) 之间的路由传播通过 BGP 发生。使用“AllowBranchToBranch=TRUE”配置路由时,路由服务器将建立两者的 BGP 会话,并将路由传播到两个方向。路由服务器充当路由反射器,即它不是数据路径的一部分。

这种 SD-WAN 和 ExpressRoute 共存方案可实现从 MPLS 网络到 SD-WAN 的迁移。 它在传统的 MPLS 站点和新迁移的 SD-WAN 站点之间提供了一条路径,从而消除了通过本地数据中心路由流量的需要。 这种模式不仅可以在迁移过程中使用,还可以在公司并购产生的方案中使用,从而实现不同网络的无缝互联。

方案 #2:将 Expressroute 用作 SD-WAN 下层

如果本地站点具有 ExpressRoute 连接,你可以配置 SD-WAN 设备,以便在一条或多条 ExpressRoute 线路之上建立通往在 Azure 中运行的 SD-WAN 中心 NVA 的隧道。 ExpressRoute 可通过点对点线路或 MPLS 网络来连接。 可以同时使用 ExpressRoute 专用对等互连和 Microsoft 对等互连。

专用对等互连

使用 ExpressRoute 专用对等互连作为底层时,所有本地 SD-WAN 站点都会与 Azure 中的 SD-WAN 中心 NVA 建立隧道。 在这种情况下,不需要 SD-WAN NVA 和 ExpressRoute 虚拟网络网关之间的路由传播(即,必须配置路由服务器,并将 “AllowBranchToBranch” 标志设置为 false)。

这种方法需要在终止 ExpressRoute 连接的客户或提供商端路由器上进行适当的 BGP 配置。 事实上,Microsoft企业边缘路由器(MSE)会宣布连接到线路(直接或通过 虚拟网络对等互连)的虚拟网络的所有路由。 但是,为了通过 SD-WAN 隧道转发指向虚拟网络的流量,本地站点应从 SD-WAN 设备(而不是 ER 线路)学习这些路由。

因此,终止 ExpressRoute 连接的客户端或提供商端路由器必须筛选掉从 Azure 接收到的路由。 底层中配置的唯一路由应该是允许本地 SD-WAN 设备访问 Azure 中的 SD-WAN 中心 NVA 的路由。 想要将 ExpressRoute 专用对等互连用作 SD-WAN 底层的客户应验证是否可以相应地配置路由设备。 这样做尤其适用于无法直接控制 ExpressRoute 的边缘设备的客户。 例如,MPLS 运营商在 IPVPN 服务之上提供 ExpressRoute 线路。

显示 expressRoute 专用对等互连作为 SD-WAN 下层的关系图。 图 8.作为 SD-WAN 底层的 ExpressRoute 专用对等互连。在此方案中,客户和提供程序端路由器在 ER 专用对等互连 BGP 会话和 SD-WAN CPE 中接收终止 ExpressRoute 连接的虚拟网络的路由。只有 SD-WAN CPE 才能将 Azure 路由传播到站点的 LAN。

Microsoft 对等互连

还可以将 ExpressRoute Microsoft 对等互连用作 SD-WAN 隧道的底层。 在此方案中,Azure 中的 SD-WAN 中心 NVA 只会公开公共隧道终结点,Internet 连接的站点中的 SD-WAN CPE(如有)和 Expressroute 连接的站点中的 SD-WAN CPE 都会使用这些终结点。 尽管 ExpressRoute Microsoft 对等互连的先决条件比专用对等互连更为复杂,但我们建议将此选项用作底层,因为它具有这两个优点:

  • 它不需要中心虚拟网络中的 Expressroute 虚拟网络网关。 它消除了复杂性、降低成本,并允许 SD-WAN 解决方案在不使用 ExpressRoute FastPath 时超出网关本身的带宽限制。

  • 它将覆盖层和下层路由清晰地区分开来。 MSEE 仅向客户或提供商边缘通告 Microsoft 网络的公共前缀。 可以在单独的 VRF 中管理这些路由,并且只传播到站点 LAN 的 DMZ 段。 SD-WAN 设备在覆盖层中传播客户的公司网络的路由,包括虚拟网络的路由。 考虑采用这种方法的客户应验证他们是否可以相应地配置路由设备,或者向其 MPLS 运营商申请适当的服务。

MPLS 注意事项

从传统的 MPLS 公司网络迁移到基于 SD-WAN 范例的更现代网络体系结构需要大量精力和相当长的时间。 本文介绍的体系结构支持分阶段 SD-WAN 迁移。 下文将讨论两种典型的迁移方案。

分阶段 MPLS 停用

想要在公共 Internet 和Microsoft主干之上构建 SD-WAN 的客户,并完全解除 MPLS IPVPN 或其他专用连接服务的授权,可以使用迁移期间上一部分中介绍的 ExpressRoute 和 SD-WAN 共存方案 。 这样,与 SD-WAN 连接的站点就能与仍连接到传统 MPLS 的站点相连。 一旦站点迁移到 SD-WAN 并部署了 CPE 设备,其 MPLS 链路就可以停用。 站点可以通过其 SD-WAN 隧道访问整个公司网络,以访问最近的 Azure 区域。

显示 MPLS 解除授权体系结构的关系图。 图 9.“ExpressRoute 和 SD-WAN 共存”方案可实现分阶段 MPLS 解除授权。

在迁移所有站点后,可以停用 MPLS IPVPN 以及连接到 Microsoft 主干的 ExpressRoute 线路。 不再需要 ExpressRoute 虚拟网络网关,可以取消预配。 每个区域中的 SD-WAN 中心 NVA 将成为该区域的中心辐射型网络的唯一入口点。

MPLS 集成

不信任公共网络和共享网络能提供所需性能和可靠性的组织可能会决定使用现有的 MPLS 网络作为企业级底层。 两个选项包括:

  • 数据中心或大型分支机构等站点的子集。
  • 连接子集,通常是延迟敏感或任务关键型流量。

Expressroute 方案用作前面所述的 SD-WAN 下层 ,可实现 SD-WAN 和 MPLS 集成。 与专用对等互连相比,ExpressRoute Microsoft 对等互连更受青睐,原因如前所述。 此外,使用 Microsoft 对等互连时,MPLS 网络和公共 Internet 在功能上等效于底层。 它们提供对 Azure 中 SD-WAN 中心 NVA 公开的所有 SD-WAN 隧道终结点的访问权限。 在具有 Internet 和 MPLS 连接的站点中部署的 SD-WAN CPE 可以在两个底层与 Azure 中的 SD-WAN 中心建立多个隧道。 然后,可以根据 SD-WAN 控制平面管理的应用程序级策略,通过不同的隧道来路由不同的连接。

显示 MPLS 集成体系结构的关系图。 图 10.“ExpressRoute 作为 SD-WAN 底层”方案可实现 SD-WAN 和 MPLS 集成。

路由服务器路由首选项

在前两节介绍的两个 MPLS 方案中,一些分支站点既可以连接到 MPLS IPVPN,也可以连接到 SD-WAN。 因此,在中心虚拟网络中部署的路由服务器实例可以从 ExpressRoute 网关和 SD-WAN NVA 中学习相同的路由。 路由服务器路由首选项允许控制哪条路径应被优先考虑并联结到虚拟网络的路由表中。 当无法使用 AS 路径追加时,路由首选项非常有用。 例如,MPLS IPVPN 服务不支持终止 ExpressRoute 连接的 PE 上的自定义 BGP 配置。

路由服务器限制和设计的注意事项

路由服务器是本文中所述体系结构的基石。 它会在虚拟网络中部署的 SD-WAN NVA 与底层 Azure SDN 堆栈之间传播路由。 它提供了一种基于 BGP 的方法来运行多个 SD-WAN NVA,以实现高可用性和横向可伸缩性。 根据此体系结构设计大型 SD-WANs 时,必须考虑 路由服务器的可伸缩性限制

以下各节将就可伸缩性最大值以及如何处理每个限制提供指导。

BGP 对等体用于向路由服务器播发的路由

在设置了 AllowBranchToBranch 标志,路由服务器并没有显式限制可播发到 ExpressRoute 虚拟网络网关的路由数量。 但是,ExpressRoute 网关会会将从路由服务器学习到的路由进一步传播到其连接的 ExpressRoute 线路。

ExpressRoute 网关可以通过专用对等互连播发到 ExpressRoute 线路的路由数有限制,这些路由记录在 Azure 订阅和服务限制、配额和约束中。 在根据本文的指导设计 SD-WAN 解决方案时,必须确保 SD-WAN 路由不会触及此限制。 如果触及该限制,ExpressRoute 网关和 ExpressRoute 线路之间的 BGP 会话将被丢弃,通过 ExpressRoute 连接的虚拟网络和远程网络之间的连接也将丢失。

ExpressRoute 网关播发到线路的路由总数是路由服务器中学习到的路由数和构成 Azure 中心辐射型网络的地址空间的前缀数之和。 要避免由于丢弃的 BGP 会话而造成中断,建议采取以下缓解措施:

  • 如果该功能可用,请使用本机 SD-WAN 设备的功能来限制通告至路由服务器的路由数。
  • 使用 Azure Monitor 警报 主动检测 ExpressRoute 网关宣布的路由数峰值。 要监视的指标名为“ 播发到对等的路由计数”,如 ExpressRoute 监视中所述。

BGP 对等方

路由服务器可以建立最多 BGP 对等体数的 BGP 会话。 此限制决定了可与路由服务器建立 BGP 相邻的 SD-WAN NVA 的最大数量,因此也决定了所有 SD-WAN 隧道可支持的最大聚合吞吐量。 预计只有大型 SD-WAN 达到此限制。 除了创建多个中心辐射型网络(每个网络都有自己的网关和路由服务器)之外,不存在克服这一问题的变通方法。

参与 VM

虚拟网络网关和路由服务器会为自己的虚拟网络和直接对等互连虚拟网络中的所有 VM 配置从远程对等互连中学习的路由。 为了防止路由服务器因路由更新到 VM 而消耗过多资源,Azure 对单个中心辐射型网络中可存在的 VM 数量定义了限制。 除了在同一区域中创建多个中心辐射型网络(每个网络都有自己的网关和路由服务器)之外,没有其他方法可以克服这一限制。

作者

本文由 Microsoft 维护, 它最初是由以下贡献者撰写的。

主要作者:

若要查看非公共LinkedIn配置文件,请登录到LinkedIn。

后续步骤