使用第三方NVA的Azure expressroute和VPN

Question

我有一对FortiGate NVA，它们将充当IPSec VPN隧道的终结点，以及使用expressroute的远程站点的备用连接。

Microsoft的在线示例显示了类似的解决方案，但使用的是本地VPN网关。当我不使用本机VPN网关时，我需要一些帮助来理解如何处理路由和故障转移。

parter提供expressroute作为现有MPLS网络的分支。路由将以这种方式与Azure交换。我以前从未使用过expressroute，但我假设如果电路出现故障或远程站点无法访问电路，该特定路由将通过合作伙伴的eBGP关系从Azure中的表中删除。我不完全理解故障转移是如何发生的。

更多关于架构的信息：

两个Vnet。一个One是“网关”One。这将包含FortiGate NVA的所有子网以及expressroute对象的子网。此Vnet将只有一个UDR。然后会有第二个Vnet，共享服务将存在其中。该the将与网关the对等。对Internet的访问将通过NVA退出，远程站点流量将通过expressroute对象退出。在这种情况下，如果expressroute失败，流量将被转移到哪里？在UDR吗？

谢谢!

Answer 1

如果您在VNET中部署了express路由，并且您开始从本地通告路由，则当看到您的NVA的有效路由时，您可以看到本地路由的下一跳为Express route IP。

当电路中断时，这些路由将被撤销。

如果您有VPN网关和Express路由，这是一种共存设置，在Express路由中，您正在通告内部路由，并且使用VPN时，您已在本地网络网关中声明了内部部署的路由，并且如果您在NVA的NIC中看到有效路由，则您将有2个到内部部署的路由，一个使用Express路由，另一个使用VPN。与VPN相比，快速路由将是首选路由。如果Express路由失败，另一条已就位的路由将充当故障转移。

在您的情况下，如果快递路由失败，到本地via快递路由的路由将被撤销，您需要添加一个路由来通过tunnel.Or转发流量，否则流量将在您的NVA中丢弃。