Azure 用户自定义路由 (User Defined Route)

在公有云环境中，用户创建了一个Vnet，添加了若干个网段后，这几个网段是全联通的状态。

如果希望在Vnet中添加一些功能性的设备，比如防火墙、IPS、负载均衡设备等，就需要进行用户自定义路由的配置。

下图就是UDR的一个应用场景：

被保护网络的所有流量需要经过中间的防火墙、IPS等设备。

本文设定的一个简单场景是两个网段，Subnet-1和Subnet-2。有一台设备VM1有两个网卡，跨接了两个网段。另外两台设备VM2和VM3各在一个网段。如下图：

如果不设置UDR，10.1.1.5访问10.1.2.5的流量都通过10.1.1.1->10.1.2.1，不会经过VM1设备。

对每个网段设置一条UDR:

1. 在Subnet-1定义UDR：到10.1.2.0/24的流量都发给10.1.1.4
2. 在Subnet-2定义UDR：到10.1.1.0/24的流量都发给10.1.2.4

定义好这两条路由后，这两个网段间互相访问的流量都会经过VM1了。

具体配置如下：

1. 创建VM。

VM2和VM3的创建就是普通的创建方式，在Portal页面上操作即可，这里就不描述了。

VM1的创建需要考虑到双网卡，设置静态内网地址等，需要通过PowerShell创建，其命令为：

New-AzureVMConfig -Name hwudr01 -InstanceSize Large -ImageName $vmimage.ImageName | Add-AzureProvisioningConfig -Linux -LinuxUser hengwei -Password password | Set-AzureSubnet -SubnetNames Subnet-1 | Set-AzureStaticVNetIP -IPAddress 10.1.1.4 | Add-AzureNetworkInterfaceConfig -Name nic2 -SubnetName Subnet-2 -StaticVNetIPAddress 10.1.2.4 -IPForwarding Enabled | New-AzureVM -ServiceName hwudr01 -Location "China North" -VNetName hwudr

2. 创建UDR

a. 创建路由表

New-AzureRouteTable -Name hwudrvlan01 -Location "China North" -Label hwudrvlan01

New-AzureRouteTable -Name hwudrvlan02 -Location "China North" -Label hwudrvlan02

b. 设置路由

Get-AzureRouteTable -Name hwudrvlan01 | Set-AzureRoute -RouteName hwudrvlan01 -AddressPrefix 10.1.1.0/24 -NextHopType VirtualAppliance -NextHopIpAddress 10.1.2.4

Get-AzureRouteTable -Name hwudrvlan02 | Set-AzureRoute -RouteName hwudrvlan02 -AddressPrefix 10.1.2.0/24 -NextHopType VirtualAppliance -NextHopIpAddress 10.1.1.4

c. 把路由表关联到网段上

Set-AzureSubnetRouteTable -VirtualNetworkName hwudr -SubnetName Subnet-1 -RouteTableName hwudrvlan02

Set-AzureSubnetRouteTable -VirtualNetworkName hwudr -SubnetName Subnet-2 -RouteTableName hwudrvlan01

d. Enable IP Forwarding

只有开启了IP Forwarding模式，被配置的虚拟机才能进行数据包的转发，否则只能接受目标地址是自己的IP包。

开启的命令如下：

Get-AzureVM -Name hwudr01 -ServiceName hwudr01 | Set-AzureIPForwarding -Enable

配置工作完成。此时在10.1.1.5中ping 10.1.2.5，同时在VM1上抓包，可以看到ICMP的双向数据包都经过了VM1。