Konfigurace společně existujících připojení ExpressRoute a Site-to-Site pomocí webu Azure Portal

  • Článek

Tento článek vám pomůže nakonfigurovat připojení VPN Typu ExpressRoute a Site-to-Site, která existují společně. Možnost konfigurace VPN typu site-to-site a ExpressRoute má několik výhod. Vpn typu Site-to-Site můžete nakonfigurovat jako zabezpečenou cestu převzetí služeb při selhání pro ExpressRoute nebo použít sítě VPN typu Site-to-Site pro připojení k webům, které nejsou připojené přes ExpressRoute. V tomto článku nabízíme postupy konfigurace pro oba scénáře. Tento článek se týká modelu nasazení Resource Manager.

Konfigurace ExpressRoute a současně existujících připojení VPN typu Site-to-Site má několik výhod.

  • Můžete nakonfigurovat VPN typu Site-to-Site jako bezpečnou cestu převzetí služeb při selhání pro ExpressRoute.
  • Alternativně můžete použít sítě VPN typu Site-to-Site pro připojení k webům, které nejsou připojené přes ExpressRoute.

V tomto článku jsou postupy konfigurace pro oba scénáře. Bránu můžete nejprve nakonfigurovat. Při přidávání nové brány nebo připojení brány obvykle nedochází k žádným výpadkům.

Poznámka:

Pokud chcete vytvořit síť VPN typu Site-to-Site přes připojení ExpressRoute, přečtěte si téma Site-to-Site přes partnerský vztah Microsoftu.

Omezení

  • Podporována je pouze brána VPN na základě tras. Musíte použít bránu VPN založenou na směrování. Můžete také použít bránu VPN založenou na směrování s připojením VPN nakonfigurovaným pro selektory provozu na základě zásad, jak je popsáno v Připojení na několik zařízení VPN založených na zásadách.
  • Konfigurace služby ExpressRoute-VPN Gateway nejsou v základní SKU podporované.
  • Brány ExpressRoute i VPN musí být schopné vzájemně komunikovat přes protokol BGP, aby fungovaly správně. Pokud v podsíti brány používáte trasu definovanou uživatelem, ujistěte se, že neobsahuje trasu pro samotný rozsah podsítě brány, protože to bude rušit provoz protokolu BGP.
  • Pokud chcete použít směrování přenosu mezi ExpressRoute a VPN, musí být ASN služby Azure VPN Gateway nastavená na 65515. Azure VPN Gateway podporuje směrovací protokol BGP. Aby ExpressRoute a Azure VPN fungovaly společně, musíte ponechat číslo autonomního systému brány Azure VPN ve výchozí hodnotě 65515. Pokud jste dříve vybrali jiný název ASN než 65515 a změnili jste nastavení na 65515, musíte bránu VPN resetovat, aby se nastavení projevilo.
  • Podsíť brány musí být /27 nebo kratší předpona, například /26, /25, nebo se při přidání brány virtuální sítě ExpressRoute zobrazí chybová zpráva.
  • Koexistence pouze pro provoz IPv4. Spolu existence ExpressRoute s bránou VPN se podporuje, ale pouze pro provoz IPv4. U bran VPN se nepodporuje provoz IPv6.

Návrhy konfigurace

Konfigurace VPN typu site-to-site jako cesty převzetí služeb při selhání pro ExpressRoute

Můžete nakonfigurovat připojení VPN typu site-to-site jako záložní pro ExpressRoute. Toto připojení platí jenom pro virtuální sítě, které jsou propojené s cestou soukromého partnerského vztahu Azure. Neexistuje žádné řešení převzetí služeb při selhání založené na síti VPN pro služby přístupné prostřednictvím partnerského vztahu Azure Microsoftu. Okruh ExpressRoute je vždy primárním propojením. Data prochází cestou VPN typu Site-to-Site jenom v případě, že okruh ExpressRoute selže. Vaše místní síťová konfigurace by také měla před VPN typu Site-to-Site preferovat okruh ExpressRoute, abyste se vyhnuli asymetrickému směrování. Cestu ExpressRoute můžete preferovat nastavením vyšší místní předvolby pro trasy přijímané přes ExpressRoute.

Poznámka:

Pokud máte povolený partnerský vztah Microsoftu ExpressRoute, můžete na připojení ExpressRoute obdržet veřejnou IP adresu brány Azure VPN. Pokud chcete nastavit připojení VPN typu site-to-site jako zálohu, musíte nakonfigurovat místní síť tak, aby bylo připojení VPN směrováno na internet.

Poznámka:

I když v případě, že jsou obě trasy stejné, je okruh ExpressRoute upřednostněný před VPN typu Site-to-Site, Azure k výběru trasy směrem k cíli paketu použije nejdelší shodu předpony.

Diagram připojení VPN typu site-to-site, které se používá jako zálohování pro ExpressRoute

Konfigurace VPN typu site-to-site pro připojení webů, které nejsou připojené prostřednictvím ExpressRoute

Svoji síť můžete nakonfigurovat tak, že některé weby jsou připojené přímo k Azure prostřednictvím VPN typu site-to-site a některé weby přes ExpressRoute.

Diagram připojení VPN typu site-to-site, které spoluexistuje s připojením ExpressRoute pro dvě různé lokality

Výběr kroků k použití

Existují dvě různé sady postupů, ze kterých si můžete vybrat. Postup konfigurace, který vyberete, závisí na tom, jestli máte existující virtuální síť, ke které se chcete připojit, nebo chcete vytvořit novou virtuální síť.

  • Nemám virtuální síť a potřebuji ji vytvořit.

    Pokud ještě nemáte virtuální síť, tento postup vás provede procesem vytvoření nové virtuální sítě pomocí modelu nasazení Resource Manager a vytvoření nových připojení ExpressRoute a VPN typu Site-to-Site. Pokud chcete konfigurovat virtuální síť, postupujte podle kroků v části Vytvoření nové virtuální sítě a současně existujících připojení.

  • Už mám virtuální síť modelu nasazení Resource Manager.

    Už můžete mít virtuální síť s existujícím připojením VPN typu site-to-site nebo připojením ExpressRoute. Pokud je v tomto scénáři předpona podsítě brány /28 nebo delší (/29, /30 atd.), musíte stávající bránu odstranit. V části Konfigurace současně existujících připojení pro už existující virtuální síť najdete postup odstranění brány a následného vytvoření nových připojení ExpressRoute a VPN typu Site-to-Site.

    Pokud bránu odstraníte a znovu vytvoříte, dojde k výpadkům připojení mezi místními sítěmi. Vaše virtuální počítače a služby ale můžou komunikovat prostřednictvím nástroje pro vyrovnávání zatížení, když nakonfigurujete bránu, pokud jsou nakonfigurované tak.

Vytvoření nové virtuální sítě a současně existujících připojení

Tento postup vás provede vytvořením virtuální sítě a připojení Site-to-Site a ExpressRoute, která existují společně.

  1. Přihlaste se k portálu Azure.

  2. V levém horním rohu obrazovky vyberte + Vytvořit prostředek a vyhledejte virtuální síť.

  3. Výběrem možnosti Vytvořit zahájíte konfiguraci virtuální sítě.

    Snímek obrazovky se stránkou vytvořit virtuální síť

  4. Na kartě Základy vyberte nebo vytvořte novou skupinu prostředků pro uložení virtuální sítě. Pak zadejte název a vyberte oblast pro nasazení virtuální sítě. Vyberte Další: IP adresy > pro konfiguraci adresního prostoru a podsítí.

    Snímek obrazovky s kartou Základy pro vytvoření virtuální sítě

  5. Na kartě IP adresy nakonfigurujte adresní prostor virtuální sítě. Pak definujte podsítě, které chcete vytvořit, včetně podsítě brány. Vyberte Zkontrolovat a vytvořit a pak Vytvořte* a nasaďte virtuální síť. Další informace o vytváření virtuálních sítí najdete v tématu Vytvoření virtuální sítě. Další informace o vytváření podsítí najdete v tématu Vytvoření podsítě.

    Důležité

    Podsíť brány musí být /27 nebo kratší předpona (například /26 nebo /25).

    Snímek obrazovky s kartou IP adres pro vytvoření virtuální sítě

  6. Vytvořte bránu VPN typu site-to-site a bránu místní sítě. Další informace o konfiguraci brány VPN najdete v tématu Konfigurace virtuální sítě s připojením typu site-to-site. GatewaySku podporují pouze následující brány VPN: VpnGw1, VpnGw2, VpnGw3, Standard a HighPerformance. Konfigurace služby ExpressRoute-VPN Gateway nejsou v základní SKU podporované. VpnType musí být RouteBased.

  7. Nakonfigurujte místní zařízení VPN pro připojení k nové bráně Azure VPN. Další informace o konfiguraci zařízení VPN najdete v tématu Konfigurace zařízení VPN.

  8. Pokud se připojujete k existujícímu okruhu ExpressRoute, přeskočte kroky 8 a 9 a přejděte ke kroku 10. Nakonfigurujte okruhy ExpressRoute. Další informace o konfiguraci okruhu ExpressRoute najdete v tématu o vytvoření okruhu ExpressRoute.

  9. Nakonfigurujte soukromý partnerský vztah Azure přes okruh ExpressRoute. Další informace o konfiguraci soukromého partnerského vztahu Azure přes okruh ExpressRoute najdete v tématu o konfiguraci partnerského vztahu.

  10. Vyberte + Vytvořit prostředek a vyhledejte bránu virtuální sítě. Pak vyberte Vytvořit.

  11. Vyberte typ brány ExpressRoute, příslušnou skladovou položku a virtuální síť, do které chcete bránu nasadit.

    Snímek obrazovky s vytvořením brány virtuální sítě pro ExpressRoute

  12. Propojte bránu ExpressRoute s okruhem ExpressRoute. Po dokončení tohoto kroku bude připojení mezi místní sítí a Azure prostřednictvím ExpressRoute vytvořeno. Další informace o operaci propojení najdete v tématu Propojení virtuálních sítí s ExpressRoute.

Konfigurace současně existujících připojení pro už existující virtuální síť

Pokud máte virtuální síť, která má jenom jednu bránu virtuální sítě, například bránu VPN typu Site-to-Site a chcete přidat další bránu jiného typu, například bránu ExpressRoute, zkontrolujte velikost podsítě brány. Pokud je podsíť brány /27 nebo větší, můžete následující kroky přeskočit a podle kroků v předchozí části přidat bránu VPN typu Site-to-Site nebo bránu ExpressRoute. Pokud je podsíť brány /28 nebo /29, musíte nejdřív bránu virtuální sítě odstranit a zvýšit velikost podsítě brány. Postup v této části ukazuje, jak to provést.

  1. Odstraňte existující bránu VPN ExpressRoute nebo site-to-site.

  2. Odstraňte a znovu vytvořte podsíť brány, aby měla předponu /27 nebo kratší.

  3. Nakonfigurujte virtuální síť s připojením typu Site-to-Site a pak nakonfigurujte bránu ExpressRoute.

  4. Po nasazení brány ExpressRoute můžete virtuální síť propojit s okruhem ExpressRoute.

Přidání konfigurace point-to-site k bráně VPN

Konfiguraci point-to-site můžete do existující sady přidat podle pokynů v konfiguraci připojení VPN typu Point-to-Site pomocí ověřování certifikátů Azure.

Povolení směrování přenosu mezi ExpressRoute a Azure VPN

Pokud chcete povolit připojení mezi jednou z vašich místních sítí připojených k ExpressRoute a jinou místní sítí, která je připojená k připojení VPN typu site-to-site, musíte nastavit Azure Route Server.

Další kroky

Další informace o ExpressRoute najdete v tématu ExpressRoute – nejčastější dotazy.