Azure 中的互操作性 - 控制平面分析

本文介绍了测试设置的控制平面分析。 你也可以查看测试设置的测试设置配置数据平面分析

从本质上讲,控制平面分析的作用是检查拓扑中网络之间交换的路由。 控制平面分析有助于了解不同网络如何查看拓扑。

中心和辐射型虚拟网络透视图

下图说明了中心虚拟网络和辐射型虚拟网络(以蓝色突出显示)中的网络。 该图还显示了不同网络的自治系统编号 (ASN),以及在不同网络之间交换的路由:

Diagram of hub and spoke virtual network perspective of the topology.

虚拟网络的 Azure ExpressRoute 网关的 ASN 不同于 Microsoft 企业边缘路由器 (MSEE) 的 ASN。 ExpressRoute 网关使用专用 ASN(值为 65515),而 MSEE 全局使用公共 ASN(值为 12076) 。 配置 ExpressRoute 对等互连时,由于 MSEE 是对等方,因此,需要将 12076 用作对等 ASN 。 在 Azure 端,MSEE 与 ExpressRoute 网关建立 eBGP 对等互连。 MSEE 为每个 ExpressRoute 对等互连建立的双重 eBGP 对等互连在控制平面级别是透明的。 因此,在查看 ExpressRoute 路由表时,会看到虚拟网络的 ExpressRoute 网关 ASN 是 VNet 的前缀。

下图显示了 ExpressRoute 路由表示例:

Diagram of ExpressRoute 1 route table.

在 Azure 中,仅从对等互连角度来看,ASN 才有意义。 默认情况下,Azure VPN 网关中 ExpressRoute 网关和 VPN 网关的 ASN 均为 65515 。

本地位置 1 和远程虚拟网络透视图(通过 ExpressRoute 1 建立连接)

本地位置 1 和远程虚拟网络都通过 ExpressRoute 1 连接到中心虚拟网络。 它们共享同一个拓扑透视图,如下图所示:

Diagram of location 1 and remote virtual network perspective of the topology via ExpressRoute 1.

本地位置 1 和分支虚拟网络透视图(通过站点到站点 VPN 建立连接)

本地位置 1 和分支虚拟网络都通过站点到站点 VPN 连接连接到中心虚拟网络的 VPN 网关。 它们共享同一个拓扑透视图,如下图所示:

Diagram of location 1 and branch virtual network perspective of the topology via a site-to-site VPN.

本地位置 2 透视图

本地位置 2 通过 ExpressRoute 2 的专用对等互连连接到中心虚拟网络:

Diagram of location 2 perspective of the topology.

串联 ExpressRoute 和站点到站点 VPN 连接

基于 ExpressRoute 的站点到站点 VPN

可以使用 ExpressRoute Azure 对等互连配置站点到站点 VPN,以在本地网络与 Azure 虚拟网络之间以私密方式交换数据。 使用此配置可以在确保保密性、真实性和完整性的基础上交换数据。 这种数据交换还可以防重播。

配置使用 Azure 对等互连的站点到站点 VPN 的主要限制是吞吐量。 基于 IPsec 隧道的吞吐量受限于 VPN 网关容量。 VPN 网关吞吐量低于 ExpressRoute 吞吐量。 在这种情况下,对高安全性流量使用 IPsec 隧道,并对其他所有流量使用专用对等互连,将有助于优化 ExpressRoute 带宽利用率。

将站点到站点 VPN 用作 ExpressRoute 的安全故障转移路径

ExpressRoute 充当冗余的线路对,可确保高可用性。 可在不同的 Azure 区域配置异地冗余的 ExpressRoute 连接。 另外,如测试设置中所示,在 Azure 区域中,可以使用站点到站点 VPN 为 ExpressRoute 连接创建故障转移路径。 通过 ExpressRoute 和站点到站点 VPN 播发相同的前缀时,Azure 会优先使用 ExpressRoute。 为了避免 ExpressRoute 与站点到站点 VPN 之间的非对称路由,本地网络配置同样应该优先使用 ExpressRoute 连接,然后再使用站点到站点 VPN 连接。

有关如何配置 ExpressRoute 和站点到站点 VPN 共存连接的详细信息,请参阅 ExpressRoute 和站点到站点共存

将后端连接扩展到辐射型虚拟网络和分支位置

使用虚拟网络对等互连的辐射型虚拟网络连接

中心和辐射型虚拟网络体系结构的使用非常广泛。 中心是 Azure 中的一个虚拟网络,充当辐射型虚拟网络与本地网络之间的连接中心点。 辐射型网络是与中心对等互连的虚拟网络,可用于隔离工作负载。 流量通过 ExpressRoute 或 VPN 连接在本地数据中心与中心之间流动。 有关体系结构的详细信息,请参阅在 Azure 中实现中心辐射型网络拓扑

在区域内的虚拟网络对等互连中,辐射型虚拟网络可以使用中心虚拟网络网关(VPN 和 ExpressRoute 网关)来与远程网络通信。

使用站点到站点 VPN 建立分支虚拟网络连接

你可能想让位于不同区域的分支虚拟网络和本地网络通过中心虚拟网络相互通信。 此配置的本机 Azure 解决方案是使用 VPN 建立站点到站点 VPN 连接。 替代方案是对中心内部的路由使用网络虚拟设备 (NVA)。

有关详细信息,请参阅什么是 VPN 网关?部署高度可用的 NVA

后续步骤

了解测试设置的数据平面分析,以及 Azure 网络监视功能视图。

请参阅 ExpressRoute 常见问题解答

  • 了解可将多少条 ExpressRoute 线路连接到一个 ExpressRoute 网关。

  • 了解可将多少个 ExpressRoute 网关连接到一条 ExpressRoute 线路。

  • 了解 ExpressRoute 的其他缩放限制。