Konfigurace protokolu BGP pro Azure VPN Gateway

  • Článek

Tento článek vám pomůže povolit protokol BGP pro připojení site-to-site (S2S) a připojení typu VNet-to-VNet pomocí Azure Portal. Tuto konfiguraci můžete také vytvořit pomocí postupu Azure CLI nebo PowerShellu .

BGP je standardní směrovací protokol, na internetu běžně používaný k výměně informací o směrování a dostupnosti mezi dvěma nebo více sítěmi. Protokol BGP umožňuje branám VPN a místním zařízením VPN, kterým se říká partnerské uzly protokolu BGP nebo sousedé, vyměňovat si "trasy", které budou obě brány informovat o dostupnosti a dostupnosti těchto předpon, aby mohly procházet příslušné brány nebo směrovače. Protokol BGP také umožňuje směrování přenosu mezi více sítěmi pomocí šíření tras, které brána s protokolem BGP zjistí od jednoho partnerského uzlu protokolu BGP, do všech dalších partnerských uzlů protokolu BGP.

Další informace o výhodách protokolu BGP a vysvětlení technických požadavků a aspektů používání protokolu BGP najdete v tématu Informace o protokolu BGP a Azure VPN Gateway.

Začínáme

Každá část tohoto článku vám pomůže vytvořit základní stavební blok pro povolení protokolu BGP v síťovém připojení. Pokud dokončíte všechny tři části (nakonfigurujete protokol BGP pro bránu, připojení S2S a připojení VNet-to-VNet), vytvoříte topologii, jak je znázorněno v diagramu 1. Pokud chcete vytvořit složitější tranzitní síť s více segmenty směrování, která bude vyhovovat vašim potřebám, můžete zkombinovat části dohromady.

Diagram 1

Diagram znázorňující architekturu a nastavení sítě

Pokud by se protokol BGP zakázal mezi virtuálními sítěmi TestVNet2 a TestVNet1, odkazující na diagram 1, testVNet2 by se nenaučí trasy pro místní síť Site5, a proto nemohl komunikovat s webem 5. Jakmile povolíte protokol BGP, všechny tři sítě budou moci komunikovat přes připojení S2S IPsec a VNet-to-VNet.

Požadavky

Ověřte, že máte předplatné Azure. Pokud ještě nemáte předplatné Azure, můžete si aktivovat výhody pro předplatitele MSDN nebo si zaregistrovat bezplatný účet.

Povolení protokolu BGP pro bránu VPN

Tato část je vyžadována před provedením některého z kroků v dalších dvou částech konfigurace. Následující kroky konfigurace nastaví parametry protokolu BGP brány VPN, jak je znázorněno v diagramu 2.

Diagram 2

Diagram znázorňující nastavení brány virtuální sítě

1. Vytvoření virtuální sítě TestVNet1

V tomto kroku vytvoříte a nakonfigurujete virtuální síť TestVNet1. Pomocí kroků v kurzu Vytvoření brány vytvořte a nakonfigurujte virtuální síť Azure a bránu VPN.

Ukázkové hodnoty virtuální sítě:

  • Skupina prostředků: TestRG1
  • Virtuální síť: TestVNet1
  • Umístění/oblast: EastUS
  • Adresní prostor: 10.11.0.0/16, 10.12.0.0/16
  • Podsítě:
    • FrontEnd: 10.11.0.0/24
    • BackEnd: 10.12.0.0/24
    • GatewaySubnet: 10.12.255.0/27

2. Vytvoření brány TestVNet1 pomocí protokolu BGP

V tomto kroku vytvoříte bránu VPN s odpovídajícími parametry protokolu BGP.

  1. Pomocí kroků v tématu Vytvoření a správa brány VPN vytvořte bránu s následujícími parametry:

    • Podrobnosti o instanci:

      • Název: VNet1GW
      • Oblast: EastUS
      • Typ brány: Síť VPN
      • Typ sítě VPN: Založená na trasách
      • Skladová položka: VpnGW1 nebo vyšší
      • Generování: vyberte generaci.
      • Virtuální síť: TestVNet1

    • Veřejná IP adresa

      • Typ veřejné IP adresy: Basic nebo Standard
      • Veřejná IP adresa: Vytvořit novou
      • Název veřejné IP adresy: VNet1GWIP
      • Povolit aktivní-aktivní: Zakázáno
      • Konfigurace protokolu BGP: Povoleno

  2. Ve zvýrazněné části Konfigurace protokolu BGP na stránce nakonfigurujte následující nastavení:

    • Vyberte Konfigurovat protokol BGP - povoleno, aby se zobrazil oddíl konfigurace protokolu BGP.

    • Vyplňte číslo ASN (číslo autonomního systému).

    • Pole IP adresa BGP protokolu Azure APIPA je volitelné. Pokud vaše místní zařízení VPN používají adresu APIPA pro protokol BGP, musíte vybrat adresu z rozsahu adres apipa rezervovaných pro Azure pro VPN, který je od 169.254.21.0 do 169.254.22.255.

    • Pokud vytváříte bránu VPN typu aktivní-aktivní, v části protokolu BGP se zobrazí další ip adresa BGP druhé vlastní služby Azure APIPA. Každá vybraná adresa musí být jedinečná a musí být v povoleném rozsahu APIPA (169.254.21.0169.254.22.255). Brány typu aktivní-aktivní také podporují více adres pro IP adresu BGP Azure APIPA i druhou vlastní IP adresu BGP azure APIPA. Další vstupy se zobrazí až po zadání první IP adresy PROTOKOLU APIPA BGP.

      Důležité

      • Ve výchozím nastavení Azure přiřadí privátní IP adresu z rozsahu předpon GatewaySubnet automaticky jako IP adresu Azure BGP v bráně VPN. Vlastní adresa azure APIPA BGP je potřebná, když vaše místní zařízení VPN používají adresu APIPA (169.254.0.1 až 169.254.255.254) jako IP adresu protokolu BGP. VPN Gateway zvolí vlastní adresu APIPA, pokud má odpovídající prostředek brány místní sítě (místní síť) adresu APIPA jako IP adresu partnerského vztahu protokolu BGP. Pokud brána místní sítě používá běžnou IP adresu (ne APIPA), VPN Gateway se vrátí k privátní IP adrese z rozsahu GatewaySubnet.

      • Adresy protokolu APIPA BGP se nesmí překrývat mezi místními zařízeními VPN a všemi připojenými bránami VPN.

      • Pokud se na branách VPN používají adresy APIPA, neiniciují brány relace partnerského vztahu protokolu BGP se zdrojovými IP adresami APIPA. Místní zařízení VPN musí iniciovat připojení peeringu protokolu BGP.

  3. Vyberte Zkontrolovat a vytvořit a spusťte ověření. Po ověření vyberte Vytvořit a nasaďte bránu VPN Gateway. Vytvoření brány může obvykle trvat 45 minut nebo déle, a to v závislosti na vybrané skladové jednotce (SKU) brány. Stav nasazení můžete zobrazit na stránce Přehled pro vaši bránu.

3. Získání IP adres partnerského uzlu Azure BGP

Po vytvoření brány můžete v bráně VPN získat IP adresy partnerského uzlu protokolu BGP. Tyto adresy jsou potřeba ke konfiguraci místních zařízení VPN pro vytváření relací protokolu BGP s bránou VPN.

Na stránce Konfigurace brány virtuální sítě můžete zobrazit informace o konfiguraci protokolu BGP ve vaší bráně VPN: ASN, veřejná IP adresa a odpovídající IP adresy partnerského vztahu protokolu BGP na straně Azure (výchozí a APIPA). Můžete také provést následující změny konfigurace:

  • V případě potřeby můžete aktualizovat IP adresu ASN nebo BGP protokolu APIPA.
  • Pokud máte bránu VPN typu aktivní-aktivní, zobrazí se na této stránce veřejná IP adresa, výchozí ip adresa a IP adresy BGP protokolu APIPA druhé instance brány VPN.

Získání IP adresy partnerského uzlu Azure BGP:

  1. Přejděte k prostředku brány virtuální sítě a výběrem stránky Konfigurace zobrazte informace o konfiguraci protokolu BGP.
  2. Poznamenejte si IP adresu partnerského uzlu protokolu BGP.

Konfigurace protokolu BGP pro připojení S2S mezi různými místy

Pokyny v této části platí pro konfigurace site-to-site mezi různými místy.

Pokud chcete navázat připojení mezi různými místy, musíte vytvořit bránu místní sítě , která bude představovat vaše místní zařízení VPN, a připojení pro připojení brány VPN k bráně místní sítě, jak je vysvětleno v tématu Vytvoření připojení typu site-to-site. Následující části obsahují další vlastnosti potřebné k zadání parametrů konfigurace protokolu BGP, jak je znázorněno v diagramu 3.

Diagram 3

Diagram znázorňující konfiguraci protokolu IPsec

Než budete pokračovat, ujistěte se, že jste pro bránu VPN povolili protokol BGP.

1. Vytvoření brány místní sítě

Nakonfigurujte bránu místní sítě s nastavením protokolu BGP.

  • Informace a postup najdete v části Brána místní sítě v článku připojení site-to-site.
  • Pokud už bránu místní sítě máte, můžete ji upravit. Pokud chcete upravit bránu místní sítě, přejděte na stránku Konfigurace prostředku brány místní sítě a proveďte potřebné změny.

  1. Při vytváření brány místní sítě použijte pro účely tohoto cvičení následující hodnoty:

    • Název: Site5
    • IP adresa: IP adresa koncového bodu brány, ke kterému se chcete připojit. Příklad: 128.9.9.9
    • Adresní prostory: Pokud je protokol BGP povolený, nevyžaduje se žádný adresní prostor.

  2. Pokud chcete nakonfigurovat nastavení protokolu BGP, přejděte na stránku Upřesnit . Použijte následující ukázkové hodnoty (znázorněné v diagramu 3). Upravte všechny hodnoty, které jsou nezbytné, aby odpovídaly vašemu prostředí.

    • Konfigurace nastavení protokolu BGP: Ano
    • Číslo autonomního systému (ASN): 65050
    • IP adresa partnerského vztahu protokolu BGP: Adresa místního zařízení VPN. Příklad: 10.51.255.254

  3. Kliknutím na Zkontrolovat a vytvořit vytvořte bránu místní sítě.

Důležité aspekty konfigurace

  • IP adresa partnerského partnera protokolu BGP a ASN se musí shodovat s konfigurací místního směrovače VPN.
  • Adresní prostor můžete nechat prázdný jenom v případě, že pro připojení k této síti používáte protokol BGP. Azure VPN Gateway interně přidá trasu IP adresy partnerského partnera protokolu BGP do odpovídajícího tunelu IPsec. Pokud nepoužíváte protokol BGP mezi bránou VPN Gateway a touto konkrétní sítí, musíte zadat seznam platných předpon adres pro adresní prostor.
  • Volitelně můžete jako IP adresu místního partnerského vztahu protokolu BGP použít IP adresu APIPA (169.254.x.x). Budete ale také muset zadat IP adresu APIPA, jak je popsáno výše v tomto článku pro bránu VPN, jinak se relace protokolu BGP pro toto připojení nenaváže.
  • Informace o konfiguraci protokolu BGP můžete zadat při vytváření brány místní sítě nebo můžete přidat nebo změnit konfiguraci protokolu BGP ze stránky Konfigurace prostředku brány místní sítě.

2. Konfigurace připojení S2S s povoleným protokolem BGP

V tomto kroku vytvoříte nové připojení s povoleným protokolem BGP. Pokud už připojení máte a chcete pro něj povolit protokol BGP, můžete ho aktualizovat.

Vytvoření připojení

  1. Pokud chcete vytvořit nové připojení, přejděte na stránku Připojení brány virtuální sítě.
  2. Výběrem +Přidat otevřete stránku Přidat připojení.
  3. Vyplňte potřebné hodnoty.
  4. Výběrem možnosti Povolit protokol BGP povolte protokol BGP pro toto připojení.
  5. Vyberte OK a uložte změny.

Aktualizace existujícího připojení

  1. Přejděte na stránku Připojení brány virtuální sítě.
  2. Vyberte připojení, které chcete upravit.
  3. Přejděte na stránku Konfigurace připojení.
  4. Změňte nastavení protokolu BGP na Povoleno.
  5. Uložte změny.

Konfigurace místního zařízení

Následující příklad uvádí parametry, které zadáte v části konfigurace protokolu BGP na místním zařízení VPN pro účely tohoto cvičení:

- Site5 ASN            : 65050
- Site5 BGP IP         : 10.51.255.254
- Prefixes to announce : (for example) 10.51.0.0/16
- Azure VNet ASN       : 65010
- Azure VNet BGP IP    : 10.12.255.30
- Static route         : Add a route for 10.12.255.30/32, with nexthop being the VPN tunnel interface on your device
- eBGP Multihop        : Ensure the "multihop" option for eBGP is enabled on your device if needed

Povolení protokolu BGP pro připojení VNet-to-VNet

Postup v této části platí pro připojení typu VNet-to-VNet.

Pokud chcete povolit nebo zakázat protokol BGP pro připojení VNet-to-VNet, použijte stejný postup jako kroky S2S mezi různými místy v předchozí části. Protokol BGP můžete povolit při vytváření připojení nebo aktualizovat konfiguraci existujícího připojení VNet-to-VNet.

Poznámka

Připojení typu VNet-to-VNet bez protokolu BGP omezí komunikaci pouze na dvě připojené virtuální sítě. Povolte protokol BGP, abyste umožnili směrování přenosu do jiných připojení S2S nebo VNet-to-VNet těchto dvou virtuálních sítí.

Další kroky

Další informace o protokolu BGP najdete v tématu Informace o protokolu BGP a VPN Gateway.