Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se proporcionan respuestas a preguntas frecuentes sobre Azure Route Server, que incluyen información general del servicio, funcionalidades de enrutamiento y limitaciones actuales.
General
¿Qué es Azure Route Server?
Azure Route Server es un servicio totalmente administrado que permite administrar fácilmente el enrutamiento entre la aplicación virtual de red (NVA) y la red virtual.
¿Azure Route Server es solo una máquina virtual?
No. Azure Route Server es un servicio diseñado con alta disponibilidad. Route Server tiene redundancia de nivel de zona si la implementa en una región de Azure que admite Availability Zones.
¿Es necesario emparejar cada NVA con ambas instancias de Azure Route Server?
Sí, debe emparejar cada instancia de NVA con ambas instancias de Route Server para asegurarse de que Route Server recibe correctamente las rutas y para configurar la alta disponibilidad. También debe anunciar las mismas rutas a ambas instancias. También se recomienda emparejar al menos dos instancias de NVA con ambas instancias de Route Server.
Nota:
Durante los eventos de mantenimiento de Route Server, el emparejamiento BGP podría bajar entre la aplicación virtual de red y una de las instancias de Route Server. Si configura la aplicación virtual de red para emparejarse con ambas instancias de Route Server, la conectividad permanece disponible durante los eventos de mantenimiento.
¿Puedo recibir notificaciones avanzadas de mantenimiento?
Actualmente, no puede recibir notificaciones avanzadas para el mantenimiento de Azure Route Server.
¿Azure Route Server almacena los datos de los clientes?
No. Azure Route Server solo intercambia rutas de BGP con la aplicación virtual de red (NVA) y, a continuación, las propaga a la red virtual.
¿Admite Azure Route Server el emparejamiento de red virtual?
Sí. Si empareja una red virtual que hospeda Azure Route Server con otra red virtual y habilita la opción Usar la puerta de enlace o el Route Server de la red virtual remota en la segunda red virtual, Azure Route Server aprende los espacios de direcciones de la red virtual emparejada y los envía a todas las appliances virtuales de red (NVA) emparejadas. Route Server también programa las rutas de las NVA en la tabla de enrutamiento de las máquinas virtuales de la red virtual emparejada.
¿Por qué Azure Route Server requiere una dirección IP pública con puertos abiertos?
Estos puntos de conexión públicos son necesarios para que las redes definidas por software (SDN) subyacentes de Azure y la plataforma de administración se comuniquen con Azure Route Server. Dado que Route Server se considera parte de la red privada del cliente, la plataforma subyacente de Azure no puede acceder directamente y administrar Route Server a través de sus puntos de conexión privados debido a los requisitos de cumplimiento. La conectividad a los puntos de conexión públicos de Route Server se autentica a través de certificados y Azure realiza auditorías de seguridad rutinarias de estos puntos de conexión públicos. Como resultado, no constituyen una exposición de seguridad de la red virtual.
Nota:
Azure firma estos certificados con una entidad de certificación interna, por lo que esta cadena de certificados parece no estar firmada por una entidad de confianza conocida. Esto no representa una vulnerabilidad ssl.
¿Azure Route Server admite IPv6?
No. Si implementa una red virtual con un espacio de direcciones IPv6 y posteriormente implementa una instancia de Azure Route Server en la misma red virtual, esto interrumpe la conectividad para el tráfico IPv6.
Puede emparejar una red virtual con un espacio de direcciones IPv6 a la red virtual de Route Server, y la conectividad IPv4 con esta red virtual de pila doble asociada seguirá funcionando. No se admite la conectividad IPv6 con esta red virtual emparejada.
¿Qué son las unidades de infraestructura de enrutamiento?
De forma predeterminada, azure Route Server se implementa con una capacidad de dos unidades de infraestructura de enrutamiento. Esta implementación predeterminada admite 4000 máquinas virtuales conectadas implementadas en la red virtual de Route Server y en todas las redes virtuales emparejadas.
Puede especificar más unidades de infraestructura de enrutamiento para aumentar la capacidad de Route Server en incrementos de 1,000 máquinas virtuales (VMs). Cada unidad de infraestructura de enrutamiento adicional cuesta 0,10 USD por hora en Los Estados Unidos. Los precios de otras regiones pueden variar. Los precios completos, incluidas las diferencias regionales, estarán disponibles a mediados de diciembre en la página oficial de precios de Azure.
Enrutamiento
¿Azure Route Server enruta el tráfico de datos entre la NVA y las máquinas virtuales?
No. Azure Route Server solo intercambia rutas de BGP con la aplicación virtual de red (NVA). El tráfico de datos va directamente desde la NVA a la máquina virtual (VM) de destino y viceversa.
¿Qué protocolos de enrutamiento admite Azure Route Server?
Azure Route Server solo admite el Protocolo de puerta de enlace de borde (BGP). La aplicación virtual de red (NVA) debe admitir el BGP externo de salto múltiple porque tiene que implementar la instancia de Route Server en una subred dedicada de la red virtual. Al configurar BGP en la NVA, el ASN que elija debe ser diferente del ASN del servidor de rutas.
¿Conserva Azure Route Server la ruta de acceso BGP AS de la ruta que recibe?
Sí, Azure Route Server propaga la ruta con la ruta de acceso BGP AS tal y como está.
Si el preprendido de ruta de acceso AS está configurado en una aplicación virtual de red hacia Route Server, ¿el circuito ExpressRoute pasa la información de preprendido de la ruta de acceso de AS al entorno local?
Cuando ExpressRoute anuncia rutas a un entorno local, quita la información privada de ASN de BGP. El entorno local recibe el prefijo con AS 12076.
¿Conserva Azure Route Server las comunidades BGP de la ruta que recibe?
Sí, Azure Route Server propaga la ruta con las comunidades BGP intactas.
¿Cuál es la configuración del temporizador BGP de Azure Route Server?
El temporizador keepalive de Azure Route Server es de 60 segundos y el temporizador de retención es de 180 segundos.
¿Puede Azure Route Server filtrar las rutas de las aplicaciones virtuales de red?
Azure Route Server admite NO_ADVERTISE comunidad de BGP. Si una aplicación virtual de red (NVA) anuncia rutas con esta cadena de comunidad a Route Server, este no las anuncia a otros elementos del mismo nivel, incluida la puerta de enlace de ExpressRoute. Esta característica puede ayudar a reducir el número de rutas que se envían desde Azure Route Server a ExpressRoute.
Cuando se crea un emparejamiento de red virtual entre mis redes virtuales de hub y spoke, ¿esto provoca un restablecimiento suave de BGP entre Azure Route Server y las NVAs emparejadas?
Sí. Si se establece un emparejamiento de red virtual entre su red virtual hub y su red virtual spoke, Azure Route Server realiza un restablecimiento suave de BGP enviando solicitudes de actualización de rutas a todas sus NVA emparejadas. Si las NVA no admiten la actualización de rutas BGP, Azure Route Server realiza un restablecimiento duro de BGP con las NVA emparejadas, lo que podría provocar una interrupción de la conectividad para el tráfico que atraviesa las NVA.
¿Cómo se calcula el límite de rutas 4000 en una sesión de emparejamiento BGP entre una NVA y Azure Route Server?
Actualmente, Route Server puede aceptar un máximo de 4000 rutas desde un único peer BGP. Cuando el Servidor de Rutas procesa las actualizaciones de rutas BGP, este límite se calcula como el número de rutas actuales aprendidas de un vecino BGP más el número de rutas incluidas en la actualización de rutas BGP. Por ejemplo, si una NVA anuncia inicialmente rutas 2001 a Route Server y, posteriormente, vuelve a anunciar estas rutas 2001 en una actualización de rutas BGP, Route Server calcula esto como rutas 4,002 y derriba la sesión BGP.
¿Qué números de sistema autónomo (ASN) puedo usar?
Puede utilizar sus propios ASN públicos o ASN privados en la aplicación virtual de red (NVA). No puede usar los ASN reservados por Azure ni por la Autoridad de Números Asignados de Internet (IANA).
ASN reservados por Azure:
- ASN públicos: 8074, 8075, 12076
- ASN privados: 65515, 65517, 65518, 65519, 65520
ASNs reservados por IANA:
- 23456, 64496-64511, 65535-65551
¿Se pueden usar ASN de 32 bits (4 bytes)?
No, Azure Route Server solo admite ASN de 16 bits (2 bytes).
Si Azure Route Server recibe la misma ruta de más de una aplicación virtual de red, ¿cómo las administra?
Si la ruta tiene la misma longitud de la ruta AS, Azure Route Server programa varias copias de la ruta, cada una con un siguiente salto diferente, a las máquinas virtuales (MV) de la red virtual. Cuando una VM envía tráfico al destino de esta ruta, los hosts de la VM usan un enrutamiento multidireccional de igual costo (ECMP). Sin embargo, si una aplicación virtual de red envía la ruta con una longitud de ruta de acceso de AS más corta que otras aplicaciones virtuales de red, Azure Route Server solo programa la ruta que tenga el próximo salto establecido en esta aplicación virtual de red para las máquinas virtuales de la red virtual.
¿La creación de un servidor de rutas afecta al funcionamiento de las puertas de enlace de red virtual existentes (VPN o ExpressRoute)?
Sí. Cuando cree o elimine un servidor de rutas en una red virtual que contenga una puerta de enlace de red virtual (ExpressRoute o VPN), espere que el tiempo de inactividad dure 10 minutos. La implementación real de Route Server puede tardar entre 30 y 60 minutos en completarse, por lo que se recomienda programar una ventana de mantenimiento de 60 minutos para la implementación. Si tiene un circuito ExpressRoute conectado a la red virtual en la que está creando o eliminando el servidor de rutas, el tiempo de inactividad no afecta a las conexiones del circuito ExpressRoute a otras redes virtuales.
¿Azure Route Server intercambia rutas de forma predeterminada entre las NVA y las puertas de enlace de red virtual (VPN o ExpressRoute)?
No. De forma predeterminada, Azure Route Server no propaga las rutas que recibe de una NVA y una puerta de enlace de red virtual entre sí. Route Server intercambia estas rutas después de habilitar la rama a rama en ella.
¿Las rutas anunciadas por NVA se propagan de un servidor de rutas a otro a través de ExpressRoute MSEE?
No. Si la conexión de sucursal a sucursal está habilitada, las rutas anunciadas por NVA se anunciarán al entorno local conectado a ExpressRoute. Sin embargo, el segundo servidor de rutas (Route Server) eliminará las rutas anunciadas por NVA. Para ilustrarlo, en el diagrama siguiente se muestra la publicidad local de SDWAN 10.3.0.0/16 a la NVA de SDWAN. Esta ruta se aprende en el primer servidor de rutas, por lo que todas las cargas de trabajo de la red virtual 1 (o emparejadas con la red virtual 1) también aprenden esta ruta. Además, la infraestructura local conectada a ExpressRoute aprende la ruta 10.3.0.0/16 si se habilita la opción de conexión entre sucursales. Sin embargo, el segundo servidor de rutas (en la red virtual 2) no aprende la ruta 10.3.0.0/16, por lo que ninguna carga de trabajo de la red virtual 2 no aprenderá esta ruta. Como resultado, la red local 10.3.0.0/16 será inalcanzable desde cualquier carga de trabajo en la red virtual 2 y desde las que estén emparejadas con la red virtual 2.
Cuando se aprende la misma ruta a través de ExpressRoute, VPN o SD-WAN, ¿qué red se prefiere?
De forma predeterminada, las rutas aprendidas sobre ExpressRoute tienen prioridad sobre las aprendidas a través de VPN o SD-WAN. Puede configurar la preferencia de enrutamiento para influir en la selección de rutas de Route Server. Para obtener más información, consulte Preferencia de enrutamiento.
¿Cuáles son los requisitos para que una puerta de enlace de VPN de Azure funcione con Azure Route Server?
Azure VPN Gateway debe estar configurado en modo activo-activo y tener el valor de ASN establecido en 65515.
¿Es necesario habilitar BGP en la puerta de enlace de VPN?
No. No es un requisito tener BGP habilitado en la puerta de enlace de VPN para comunicarse con el servidor de rutas.
¿Puedo emparejar dos servidores de ruta de Azure en dos redes virtuales emparejadas y habilitar los NVA conectados a los servidores de ruta para que se comuniquen entre sí?
Topología: NVA1 -> RouteServer1 -> (a través del emparejamiento de red virtual) -> RouteServer2 -> NVA2
No, Azure Route Server no desvía el tráfico de datos. Para permitir la conectividad de tránsito a través de la NVA, configure una conexión directa (por ejemplo, un túnel IPsec) entre las NVA y use los servidores de rutas para la propagación dinámica de rutas.
¿Se puede usar Azure Route Server para dirigir el tráfico entre subredes de la misma red virtual para que el tráfico entre las subredes fluya por la NVA?
No. Azure Route Server usa el BGP para anunciar rutas. Las rutas de sistema para el tráfico relacionado con la red virtual, los emparejamientos de la red virtual o los puntos de conexión de servicio de red virtual son las rutas preferidas, aunque las rutas BGP sean más específicas. Tendrá que seguir usando rutas definidas por el usuario (UDR) para invalidar las rutas del sistema y no puede utilizar el BGP para conmutarlas por error rápidamente. Tendrá que seguir usando una solución de terceros para actualizar las UDR mediante la API en caso de conmutación por error, o bien usar una instancia de Azure Load Balancer con el modo de puertos de alta disponibilidad para dirigir el tráfico.
Todavía puede usar Route Server para dirigir el tráfico entre subredes de distintas redes virtuales para que fluyan mediante la NVA. Un diseño que podría funcionar es tener una subred para cada red virtual "spoke" y que todas las redes virtuales "spoke" estén conectadas a una red virtual "hub". Este diseño es muy limitado y debe tener en cuenta las consideraciones de escalado y los límites máximos de Azure en las redes virtuales en comparación con las subredes.
¿Puede Azure Route Server proporcionar tránsito entre ExpressRoute y una conexión de puerta de enlace de VPN de punto a sitio (P2S) al habilitar la configuración de rama a rama?
No, Azure Route Server proporciona tránsito solo entre ExpressRoute y conexiones de puerta de enlace de VPN de sitio a sitio (S2S) al habilitar la configuración de rama a rama.
¿Puedo crear un servidor de rutas de Azure en una red virtual de satélite que se conecte a un hub de Virtual WAN?
No. La red virtual de spoke no puede tener un Route Server si está conectado al centro de conectividad de Virtual WAN.
Limitaciones
¿Cuántos servidores de Azure Route Server puedo crear en una red virtual?
Solo puede crear un servidor de rutas en una red virtual. Debe implementar Route Server en una subred dedicada denominada RouteServerSubnet.
¿Puedo asociar una UDR a RouteServerSubnet?
No, Azure Route Server no admite la configuración de una ruta definida por el usuario (UDR) en la subred RouteServerSubnet . Azure Route Server no enruta ningún tráfico de datos entre aplicaciones virtuales de red (NVA) y máquinas virtuales (VM).
¿Puedo asociar un grupo de seguridad de red (NSG) a RouteServerSubnet?
No, Azure Route Server no admite la asociación de grupos de seguridad de red a la subred RouteServerSubnet .
¿Cuáles son los límites de Azure Route Server?
Azure Route Server tiene los límites siguientes (por implementación).
| Recurso | Límite |
|---|---|
| Número de pares BGP | 8 |
| Número de rutas que puede anunciar cada par BGP a Azure Route Server 1 | 4.000 |
| Número de máquinas virtuales de la red virtual (incluidas las redes virtuales emparejadas) que Azure Route Server puede admitir. | 50,000 |
| Número de redes virtuales que admite Azure Route Server | 500 |
| Número total de prefijos locales y de Azure Virtual Network que Azure Route Server puede admitir | 10 000 |
1 Si NVA anuncia más rutas que el límite, la sesión BGP se anula.
Nota:
El número total de rutas anunciadas desde el espacio de direcciones de red virtual y el Servidor de Rutas hacia el circuito ExpressRoute, cuando está habilitada la opción Rama a Rama, no debe exceder de 1 000. Para más información, consulte los límites de anuncios de rutas de ExpressRoute.
Para obtener información sobre cómo solucionar problemas de enrutamiento en una máquina virtual, consulte Diagnóstico de un problema de enrutamiento de máquinas virtuales de Azure.
¿Por qué veo un error sobre el ámbito y la autorización no válidos para realizar operaciones en los recursos de Route Server?
Si ve un error en el formato siguiente, asegúrese de que tiene los permisos siguientes configurados: Roles y permisos de Route Server.
Formato del mensaje de error: "El cliente con el identificador {} de objeto no tiene autorización para realizar acciones {} en el ámbito {} o el ámbito no es válido. Para más información sobre los permisos necesarios, visite {}. Si el acceso se ha concedido recientemente, actualice las credenciales."
Pasos siguientes
Consulte Configuración de una instancia de Azure Route Server.