Sdílet prostřednictvím

Konfigurace protokolu BGP pro službu Azure VPN Gateway

  • Článek

Tento článek vám pomůže povolit připojení BGP mezi místními připojeními site-to-site (S2S) VPN a připojení typu VNet-to-VNet pomocí webu Azure Portal. Tuto konfiguraci můžete vytvořit také pomocí Azure CLI nebo kroků PowerShellu .

BGP je standardní směrovací protokol, na internetu běžně používaný k výměně informací o směrování a dostupnosti mezi dvěma nebo více sítěmi. Protokol BGP umožňuje službám VPN Gateway a místním zařízením VPN, která se nazývají partnerské uzly protokolu BGP nebo sousedé BGP, výměnu „tras“ informujících obě brány o dostupnosti a dosažitelnosti předpon, které procházejí těmito bránami nebo trasami. Protokol BGP také umožňuje směrování přenosu mezi více sítěmi pomocí šíření tras, které brána s protokolem BGP zjistí od jednoho partnerského uzlu protokolu BGP, do všech dalších partnerských uzlů protokolu BGP.

Další informace o výhodách protokolu BGP a pochopení technických požadavků a aspektů používání protokolu BGP najdete v tématu O protokolu BGP a službě Azure VPN Gateway.

Začínáme

Každá část tohoto článku vám pomůže vytvořit základní stavební blok pro povolení protokolu BGP v síťovém připojení. Pokud dokončíte všechny tři části (nakonfigurujete protokol BGP pro bránu, připojení S2S a připojení VNet-to-VNet), sestavíte topologii, jak je znázorněno v diagramu 1. Části můžete kombinovat, abyste vytvořili složitější tranzitní síť s více segmenty směrování, která vyhovuje vašim potřebám.

Diagram 1

Diagram znázorňující architekturu a nastavení sítě

V kontextu, který odkazuje na diagram 1, pokud by se mezi virtuální sítí TestVNet2 a TestVNet1 zakázal protokol BGP, testVNet2 nezjisťoval trasy pro místní síť, Site5, a proto nemohl komunikovat s webem 5. Jakmile povolíte protokol BGP, budou moci všechny tři sítě komunikovat přes protokol IPsec S2S a připojení typu VNet-to-VNet.

Požadavky

Ověřte, že máte předplatné Azure. Pokud ještě nemáte předplatné Azure, můžete si aktivovat výhody pro předplatitele MSDN nebo si zaregistrovat bezplatný účet.

Povolení protokolu BGP pro bránu VPN

Tato část se vyžaduje před provedením některého z kroků v dalších dvou oddílech konfigurace. Následující kroky konfigurace nastaví parametry protokolu BGP brány VPN, jak je znázorněno v diagramu 2.

Diagram 2

Diagram znázorňující nastavení brány virtuální sítě

1. Vytvoření virtuální sítě TestVNet1

V tomto kroku vytvoříte a nakonfigurujete virtuální síť TestVNet1. Pomocí kroků v kurzu Vytvoření brány vytvořte a nakonfigurujte virtuální síť Azure a bránu VPN.

Ukázkové hodnoty virtuální sítě:

  • Skupina prostředků: TestRG1
  • Virtuální síť: TestVNet1
  • Umístění/oblast: EastUS
  • Adresní prostor: 10.11.0.0/16, 10.12.0.0/16
  • Podsítí:
    • FrontEnd: 10.11.0.0/24
    • BackEnd: 10.12.0.0/24
    • GatewaySubnet: 10.12.255.0/27

2. Vytvoření brány Virtuální sítě TestVNet1 pomocí protokolu BGP

V tomto kroku vytvoříte bránu VPN s odpovídajícími parametry protokolu BGP.

  1. Pomocí kroků v části Vytvoření a správa brány VPN vytvořte bránu s následujícími parametry:

    • Podrobnosti o instanci:

      • Název: VNet1GW
      • Oblast: EastUS
      • Typ brány: Síť VPN
      • Typ sítě VPN: Založená na trasách
      • Skladová položka: VpnGW1 nebo vyšší
      • Generování: výběr generace
      • Virtuální síť: TestVNet1

    • Veřejná IP adresa

      • Typ veřejné IP adresy: Basic nebo Standard
      • Veřejná IP adresa: Vytvoření nové
      • Název veřejné IP adresy: VNet1GWIP
      • Povolit aktivní-aktivní: Zakázáno
      • Konfigurace protokolu BGP: Povoleno

  2. Ve zvýrazněné části Konfigurovat protokol BGP na stránce nakonfigurujte následující nastavení:

    • Výběrem možnosti Konfigurovat protokol BGP - Povoleno zobrazíte oddíl konfigurace protokolu BGP.

    • Vyplňte číslo ASN (autonomní systém).

    • Pole IP adresy protokolu BGP v Azure APIPA je volitelné. Pokud vaše místní zařízení VPN používají adresu APIPA pro protokol BGP, musíte vybrat adresu z rozsahu adres ROZHRANÍ APIPA rezervovaných pro Azure, což je od 169.254.21.0 do 169.254.22.2555.

    • Pokud vytváříte bránu VPN typu aktivní-aktivní, v části BGP se zobrazí další ip adresa BGP druhé vlastní služby Azure APIPA. Každá zvolená adresa musí být jedinečná a musí být v povoleném rozsahu rozhraní APIPA (169.254.21.0169.254.22.255). Brány typu Aktivní-aktivní podporují také více adres pro IP adresu protokolu BGP protokolu BGP azure APIPA i druhou vlastní IP adresu protokolu BGP protokolu AZURE APIPA. Další vstupy se zobrazí až po zadání první IP adresy protokolu APIPA BGP.

      Důležité

      • Azure ve výchozím nastavení přiřadí privátní IP adresu z rozsahu předpon GatewaySubnet automaticky jako IP adresu protokolu Azure BGP v bráně VPN. Pokud vaše místní zařízení VPN používají adresu APIPA (169.254.0.1 až 169.254.254.255.254) jako IP adresu protokolu BGP, je potřeba vlastní adresa protokolu AZURE APIPA BGP. Služba VPN Gateway zvolí vlastní adresu APIPA, pokud odpovídající prostředek brány místní sítě (místní síť) má jako IP adresu partnerského uzlu protokolu BGP adresu APIPA. Pokud brána místní sítě používá běžnou IP adresu (nikoli rozhraní APIPA), služba VPN Gateway se vrátí k privátní IP adrese z rozsahu GatewaySubnet.

      • Adresy protokolu BGP protokolu APIPA se nesmí překrývat mezi místními zařízeními VPN a všemi připojenými bránami VPN.

      • Pokud se adresy APIPA používají u bran VPN, brány neshají relace partnerského vztahu protokolu BGP se zdrojovými IP adresami rozhraní APIPA. Místní zařízení VPN musí iniciovat připojení peeringu protokolu BGP.

  3. Pokud chcete spustit ověření, vyberte Zkontrolovat a vytvořit . Jakmile ověření projde, vyberte Vytvořit a nasaďte bránu VPN. Vytvoření brány může obvykle trvat 45 minut nebo déle, a to v závislosti na vybrané skladové jednotce (SKU) brány. Stav nasazení můžete zobrazit na stránce Přehled vaší brány.

3. Získání IP adres partnerského uzlu Azure BGP

Po vytvoření brány můžete získat IP adresy partnerského vztahu protokolu BGP v bráně VPN. Tyto adresy jsou potřeba ke konfiguraci místních zařízení VPN pro navázání relací protokolu BGP s bránou VPN.

Na stránce Konfigurace brány virtuální sítě můžete zobrazit informace o konfiguraci protokolu BGP ve vaší bráně VPN: ASN, veřejná IP adresa a odpovídající IP adresy partnerského vztahu protokolu BGP na straně Azure (výchozí nastavení a rozhraní APIPA). Můžete také provést následující změny konfigurace:

  • V případě potřeby můžete ip adresu protokolu BGP protokolu APIPA aktualizovat.
  • Pokud máte bránu VPN typu aktivní-aktivní, zobrazí se na této stránce veřejná IP adresa, výchozí IP adresa a IP adresy protokolu BGP protokolu APIPA druhé instance brány VPN.

Získání IP adresy partnerského uzlu Azure BGP:

  1. Přejděte k prostředku brány virtuální sítě a výběrem stránky Konfigurace zobrazte informace o konfiguraci protokolu BGP.
  2. Poznamenejte si IP adresu partnerského uzlu protokolu BGP.

Konfigurace protokolu BGP pro připojení S2S mezi místními sítěmi

Pokyny v této části platí pro konfigurace site-to-site mezi místními lokalitami.

Pokud chcete vytvořit připojení mezi místními sítěmi, musíte vytvořit bránu místní sítě, která bude představovat vaše místní zařízení VPN, a připojení pro připojení brány VPN s bránou místní sítě, jak je vysvětleno v tématu Vytvoření připojení typu site-to-site. Následující části obsahují další vlastnosti potřebné k zadání parametrů konfigurace protokolu BGP, jak je znázorněno v diagramu 3.

Diagram 3

Diagram znázorňující konfiguraci protokolu IPsec

Než budete pokračovat, ujistěte se, že jste pro bránu VPN povolili protokol BGP.

1. Vytvoření brány místní sítě

Nakonfigurujte bránu místní sítě s nastavením protokolu BGP.

  • Informace a kroky najdete v části brána místní sítě v článku o připojení typu site-to-site.
  • Pokud už máte bránu místní sítě, můžete ji upravit. Pokud chcete upravit bránu místní sítě, přejděte na stránku Konfigurace prostředku místní sítě a proveďte potřebné změny.

  1. Při vytváření brány místní sítě použijte pro toto cvičení následující hodnoty:

    • Název: Site5
    • IP adresa: IP adresa koncového bodu brány, ke kterému se chcete připojit. Příklad: 128.9.9.9
    • Adresní prostory: Pokud je povolený protokol BGP, není potřeba žádný adresní prostor.

  2. Pokud chcete nakonfigurovat nastavení protokolu BGP, přejděte na stránku Upřesnit . Použijte následující ukázkové hodnoty (znázorněné v diagramu 3). Upravte všechny hodnoty potřebné tak, aby odpovídaly vašemu prostředí.

    • Konfigurace nastavení protokolu BGP: Ano
    • Číslo autonomního systému (ASN): 65050
    • IP adresa partnerského uzlu protokolu BGP: Adresa místního zařízení VPN. Příklad: 10.51.255.254

  3. Kliknutím na Zkontrolovat a vytvořit bránu místní sítě

Důležité aspekty konfigurace

  • IP adresa partnerského uzlu BGP a ASN se musí shodovat s vaší místní konfigurací směrovače VPN.
  • Adresní prostor můžete ponechat prázdný jenom v případě, že pro připojení k této síti používáte protokol BGP. Azure VPN Gateway interně přidá trasu IP adresy partnerského uzlu protokolu BGP do odpovídajícího tunelu IPsec. Pokud nepoužíváte protokol BGP mezi bránou VPN a touto konkrétní sítí, musíte zadat seznam platných předpon adresního prostoru.
  • Volitelně můžete jako místní IP adresu partnerského uzlu protokolu BGP v případě potřeby použít IP adresu apiPA (169.254.x.x). Budete ale také muset zadat IP adresu APIPA, jak je popsáno výše v tomto článku pro vaši bránu VPN, jinak se relace protokolu BGP nemůže pro toto připojení navázat.
  • Během vytváření brány místní sítě můžete zadat informace o konfiguraci protokolu BGP nebo můžete přidat nebo změnit konfiguraci protokolu BGP ze stránky Konfigurace prostředku brány místní sítě.

2. Konfigurace připojení S2S s povoleným protokolem BGP

V tomto kroku vytvoříte nové připojení s povoleným protokolem BGP. Pokud už máte připojení a chcete na něm povolit protokol BGP, můžete ho aktualizovat.

Vytvoření propojení

  1. Pokud chcete vytvořit nové připojení, přejděte na stránku Připojení brány virtuální sítě.
  2. Výběrem +Přidat otevřete stránku Přidat připojení.
  3. Vyplňte potřebné hodnoty.
  4. Pokud chcete pro toto připojení povolit protokol BGP, vyberte Povolit protokol BGP .
  5. Výběrem možnosti OK změny uložte.

Aktualizace existujícího připojení

  1. Přejděte na stránku Připojení brány virtuální sítě.
  2. Vyberte připojení, které chcete upravit.
  3. Přejděte na stránku Konfigurace připojení.
  4. Změňte nastavení protokolu BGP na Povoleno.
  5. Uloží změny.

Konfigurace místního zařízení

Následující příklad uvádí parametry, které zadáte do oddílu konfigurace protokolu BGP na místním zařízení VPN pro toto cvičení:

- Site5 ASN            : 65050
- Site5 BGP IP         : 10.51.255.254
- Prefixes to announce : (for example) 10.51.0.0/16
- Azure VNet ASN       : 65010
- Azure VNet BGP IP    : 10.12.255.30
- Static route         : Add a route for 10.12.255.30/32, with nexthop being the VPN tunnel interface on your device
- eBGP Multihop        : Ensure the "multihop" option for eBGP is enabled on your device if needed

Povolení protokolu BGP u připojení typu VNet-to-VNet

Kroky v této části platí pro připojení typu VNet-to-VNet.

Pokud chcete povolit nebo zakázat protokol BGP u připojení typu VNet-to-VNet, použijte stejný postup jako kroky křížového serveru S2S v předchozí části. Protokol BGP můžete povolit při vytváření připojení nebo aktualizovat konfiguraci u existujícího připojení typu VNet-to-VNet.

Poznámka:

Připojení typu VNet-to-VNet bez protokolu BGP omezí komunikaci pouze na dvě připojené virtuální sítě. Povolte protokol BGP, aby umožňoval směrování přenosu do jiných připojení typu S2S nebo VNet-to-VNet těchto dvou virtuálních sítí.

Další kroky

Další informace o protokolu BGP naleznete v tématu O protokolu BGP a bráně VPN Gateway.