Informace o protokolu BGP a Azure VPN Gateway

Tento článek obsahuje přehled podpory protokolu BGP (Border Gateway Protocol) v Azure VPN Gateway.

BGP je standardní směrovací protokol, na internetu běžně používaný k výměně informací o směrování a dostupnosti mezi dvěma nebo více sítěmi. Při použití v kontextu virtuálních sítí Azure umožňuje protokol BGP branám Vpn Azure a místním zařízením VPN, kterým se říká partnerské uzly protokolu BGP nebo sousedé, vyměňovat si "trasy", které obě brány informují o dostupnosti a dostupnosti těchto předpon, aby procházely těmito bránami nebo směrovači. Protokol BGP také umožňuje směrování přenosu mezi více sítěmi pomocí šíření tras, které brána s protokolem BGP zjistí od jednoho partnerského uzlu protokolu BGP, do všech dalších partnerských uzlů protokolu BGP.

Proč používat protokol BGP?

Protokol BGP je volitelná funkce, kterou můžete použít s trasovými bránami Azure VPN. Dříve než povolíte tuto funkci byste se měli ujistit, že vaše místní zařízení VPN podporuje protokol BGP. Brány Azure VPN a místní zařízení VPN můžete nadále používat i bez protokolu BGP. Je to stejné jako používání statických tras (bez protokolu BGP) oproti používání dynamického směrování s protokolem BGP mezi vaší sítí a Azure.

Existuje několik výhod a nových schopností při použití protokolu BGP:

Podpora automatických a flexibilních aktualizací předpon

U protokolu BGP musíte pouze deklarovat minimální předponu určitému partnerskému uzlu protokolu BGP přes tunel S2S VPN s protokolem IPsec. Ta může být malá jako předpona hostitele (/32) IP adresy partnerského uzlu protokolu BGP vašeho místního zařízení VPN. Můžete určit, které předpony místní sítě chcete inzerovat do Azure pro umožnění přístupu službě Azure Virtual Network.

Můžete také inzerovat větší předpony, které můžou obsahovat některé předpony adres virtuální sítě, například velký adresní prostor privátních IP adres (například 10.0.0.0/8). Všimněte si, že předpony nemohou být stejné jako předpony virtuální sítě. Trasy shodné s předponami vaší virtuální sítě budou odmítnuty.

Podpora více tunelů mezi virtuální sítí a místním webem s automatickým převzetím služeb při selhání na základě protokolu BGP

Můžete vytvořit více připojení mezi virtuální sítí Azure a místními zařízeními VPN ve stejném umístění. Tato schopnost poskytuje více tunelů (cest) mezi těmito dvěma sítěmi v konfiguraci aktivní-aktivní. Pokud se jeden z tunelů odpojí, odpovídající trasy se stáhnou přes protokol BGP a provoz se automaticky přesune do zbývajících tunelů.

Následující diagram ukazuje jednoduchý příklad tohoto vysoce dostupného nastavení:

Více aktivních cest

Podpora směrování přenosu mezi místními sítěmi a více virtuálními sítěmi Azure

Protokol BGP umožňuje více branám zjišťovat a šířit předpony z různých sítí, ať jsou připojeny přímo nebo nepřímo. To umožňuje směrování přenosu pomocí bran Azure VPN mezi vašimi místními weby nebo napříč více službami Azure Virtual Network.

Následující diagram ukazuje příklad topologie vícenásobného předávání s více cestami, které mohou přenášet provoz mezi dvěma místními sítěmi přes brány Azure VPN v rámci služby MSN:

Vícenásobné předávání přenosu

Nejčastější dotazy k protokolu BGP

Je protokol BGP podporován ve všech SKU služby Azure VPN Gateway?

Protokol BGP se podporuje u všech skladových položek Azure VPN Gateway kromě skladových položek Basic.

Můžu protokol BGP používat se Azure Policy branami VPN?

Ne, protokol BGP se podporuje pouze u bran VPN založených na trasách.

Jaká čísla ASN (autonomního systému) můžu použít?

Pro místní sítě i virtuální sítě Azure můžete použít vlastní veřejná asnová nebo privátní asn. Nemůžete použít rozsahy rezervované službou Azure nebo IANA.

Azure nebo IANA si vyhrazuje následující asn:

  • POČET ASN rezervovaný v Azure:

    • Veřejná ASN: 8074, 8075, 12076
    • Soukromá ASN: 65515, 65517, 65518, 65519, 65520
  • ASN rezervovaná společností IANA:

    • 23456, 64496–64511, 65535–65551 a 429496729

Tato asnová připojení nemůžete zadat pro místní zařízení VPN, když se připojujete k branám Azure VPN.

Můžu použít 32bitové (4 bajtové) sítě ASN?

Ano, VPN Gateway teď podporuje 32bitové (4 bajtové) sítě ASN. Pokud chcete provést konfiguraci pomocí ASN v desítkovém formátu, použijte PowerShell, Azure CLI nebo Sadu Azure SDK.

Jaká privátní ASN můžu použít?

Použitelné rozsahy privátních asn jsou:

  • 64512-65514 a 65521-65534

Tato ASN nejsou vyhrazená pro použití IANA ani Azure, a proto je možné je použít k přiřazení k bráně Azure VPN.

Jakou adresu VPN Gateway používat pro IP adresu partnerského uzlu protokolu BGP?

Ve výchozím nastavení VPN Gateway přidělí jednu IP adresu z rozsahu GatewaySubnet pro brány VPN v aktivním a pohotovostním režimu, nebo dvě IP adresy pro brány VPN v režimu aktivní-aktivní. Tyto adresy se přidělují automaticky při vytváření brány VPN. Skutečnou PŘIDĚLENou IP adresu protokolu BGP můžete získat pomocí PowerShellu nebo tak, že ji najdete v Azure Portal. V PowerShellu použijte rutinu Get-AzVirtualNetworkGateway a vyhledejte vlastnost bgpPeeringAddress . V Azure Portal na stránce Konfigurace brányvyhledejte vlastnost Konfigurace ASN protokolu BGP.

Pokud vaše místní směrovače VPN používají JAKO IP adresy protokolu BGP IP adresy APIPA (169.254.x.x), musíte v bráně Azure VPN zadat jednu nebo několik IP adres Azure APIPA BGP . Azure VPN Gateway vybere adresy APIPA, které se mají použít s místním partnerským uzly PROTOKOLU BGP APIPA zadaným v bráně místní sítě, nebo privátní IP adresu místního partnerského vztahu protokolu BGP, který není rozhraní APIPA. Další informace najdete v tématu Konfigurace protokolu BGP.

Jaké jsou požadavky na IP adresy partnerských uzlů protokolu BGP na zařízení VPN?

Vaše místní adresa partnerského uzlu protokolu BGP nesmí být stejná jako veřejná IP adresa vašeho zařízení VPN nebo z adresního prostoru virtuální sítě brány VPN. Jako místní adresu partnera BGP v zařízení VPN použijte jinou IP adresu. Může to být adresa přiřazená rozhraní zpětné smyčky na zařízení (buď běžná IP adresa, nebo adresa APIPA). Pokud vaše zařízení používá adresu APIPA pro protokol BGP, musíte v bráně Azure VPN zadat jednu nebo více IP adres APIPA BGP, jak je popsáno v tématu Konfigurace protokolu BGP. Zadejte tyto adresy v odpovídající bráně místní sítě představující umístění.

Co mám zadat jako předpony adresy pro bránu místní sítě, když používám protokol BGP?

Důležité

Jedná se o změnu oproti dříve zdokumentovaným požadavkům. Pokud pro připojení používáte protokol BGP, ponechte pole Adresní prostor pro odpovídající prostředek brány místní sítě prázdné. Azure VPN Gateway přidá trasu hostitele interně do místní IP adresy partnerského uzlu protokolu BGP přes tunel IPsec. Do pole Adresní prostor nepřidávejte trasu /32. Je redundantní, a pokud jako IP adresu protokolu BGP místního zařízení VPN použijete adresu APIPA, nedá se do tohoto pole přidat. Pokud do pole Adresní prostor přidáte nějaké další předpony, přidají se kromě tras naučených prostřednictvím protokolu BGP jako statické trasy v bráně Azure VPN.

Můžu použít stejné ASN pro místní sítě VPN i pro virtuální sítě Azure?

Ne, pokud je propojujete pomocí protokolu BGP, musíte přiřadit různá čísla ASN mezi vašimi místními sítěmi a virtuálními sítěmi Azure. Brány Azure VPN mají přiřazené výchozí číslo ASN 65515 bez ohledu na to, jestli je pro připojení mezi různými místy povolený protokol BGP, nebo ne. Toto výchozí nastavení můžete přepsat přiřazením jiného ASN při vytváření brány VPN, nebo můžete toto asn změnit po vytvoření brány. Místní sítě ASN budete muset přiřadit odpovídajícím branám místní sítě Azure.

Které předpony adres budou služby Azure VPN gateway prezentovat?

Brány inzerují do místních zařízení protokolu BGP následující trasy:

  • Předpony adres virtuální sítě.
  • Předpony adres pro každou bránu místní sítě připojenou k bráně Azure VPN.
  • Trasy získané z jiných relací peeringu protokolu BGP připojených k bráně Azure VPN s výjimkou výchozí trasy nebo tras, které se překrývají s předponou virtuální sítě.

Kolik předpon můžu inzerovat do Azure VPN Gateway?

Azure VPN Gateway podporuje až 4 000 předpon. Pokud počet předpon překročí toto omezení, relace BGP se ukončí.

Mohu inzerovat výchozí cestu (0.0.0.0/0) do bran Azure VPN Gateway?

Ano. Upozorňujeme, že se tím vynutí, aby veškerý výchozí provoz virtuální sítě směřoval k vaší místní lokalitě. Virtuální počítače virtuální sítě také nemůžou přijímat veřejnou komunikaci z internetu přímo, jako je protokol RDP nebo SSH z internetu s virtuálními počítači.

Můžu inzerovat přesné předpony jako předpony virtuální sítě?

Ne, inzerování stejných předpon jako kterákoli z předpon adres virtuální sítě bude službou Azure blokována nebo filtrována. Můžete ale inzerovat předponu, která je nadmnožinou toho, co máte ve virtuální síti.

Pokud například vaše virtuální síť používala adresní prostor 10.0.0.0/16, můžete inzerovat 10.0.0.0/8. Nemůžete ale inzerovat 10.0.0.0/16 nebo 10.0.0.0/24.

Můžu u připojení mezi virtuálními sítěmi používat protokol BGP?

Ano, protokol BGP můžete použít pro připojení mezi různými místy i pro připojení mezi virtuálními sítěmi.

Lze u služeb Azure VPN Gateway používat kombinaci připojení pomocí protokolu BGP a bez protokolu BGP?

Ano, u stejné služby Azure VPN Gateway je možné kombinovat připojení pomocí protokolu BGP i bez protokolu BGP.

Podporuje Azure VPN Gateway směrování přenosu protokolu BGP?

Ano, směrování přenosu protokolu BGP se podporuje s výjimkou, že brány Azure VPN Gateway neinzerují výchozí trasy jiným partnerským uzlům protokolu BGP. Pokud chcete povolit směrování přenosu mezi několika bránami Azure VPN, musíte povolit protokol BGP pro všechna zprostředkující připojení mezi virtuálními sítěmi. Další informace najdete v tématu O protokolu BGP.

Můžu mít více než jeden tunel mezi službou Azure VPN Gateway a místní sítí?

Ano, mezi bránou Azure VPN a místní sítí můžete vytvořit více tunelů site-to-site (S2S). Mějte na paměti, že všechna tato tunelová propojení se započítávají do celkového počtu tunelů pro brány Azure VPN Gateway a v obou tunelech musíte povolit protokol BGP.

Pokud máte například dva redundantní tunely mezi bránou Azure VPN Gateway a jednou z místních sítí, spotřebovávají 2 tunely z celkové kvóty pro vaši bránu Azure VPN.

Můžu mít více tunelů mezi dvěma virtuálními sítěmi Azure s protokolem BGP?

Ano, ale alespoň jedna z bran virtuální sítě musí být v konfiguraci aktivní–aktivní.

Můžu použít protokol BGP pro síť VPN S2S v konfiguraci koexistence Azure ExpressRoute a S2S VPN?

Ano.

Co je třeba přidat do místního zařízení VPN pro relaci partnerského vztahu protokolu BGP?

Přidejte na zařízení VPN trasu hostitele s IP adresou partnerského uzlu Azure BGP. Tato trasa odkazuje na tunel VPN IPsec S2S. Pokud je například IP adresa partnerského vztahu Azure VPN 10.12.255.30, přidáte na zařízení VPN trasu hostitele pro 10.12.255.30 s rozhraním dalšího směrování odpovídajícího tunelového rozhraní IPsec.

Podporuje brána virtuální sítě BFD pro připojení S2S s protokolem BGP?

Ne. Bidirectional Forwarding Detection (BFD) je protokol, který můžete použít s protokolem BGP k rychlejší detekci výpadků sousedů, než je možné pomocí standardního příkazu BGP keepalives. BFD používá podsekundové časovače navržené tak, aby fungovaly v prostředích LAN, ale ne přes veřejný internet nebo připojení k síti Wide Area Network.

U připojení přes veřejný internet není zpoždění nebo dokonce vyřazení některých paketů neobvyklé, takže zavedení těchto agresivních časovačů může přidat nestabilitu. Tato nestabilita může způsobit tlumení tras protokolem BGP. Alternativně můžete nakonfigurovat místní zařízení s časovači nižšími než výchozí, 60sekundovým intervalem "keepalive" a 180sekundovým časovačem blokování. Výsledkem je rychlejší čas konvergence.

Iniciují brány Azure VPN Gateway relace nebo připojení partnerského vztahu protokolu BGP?

Brána zahájí relace partnerského vztahu protokolu BGP s místními IP adresami partnerského vztahu protokolu BGP zadanými v prostředcích brány místní sítě pomocí privátních IP adres na branách VPN. Je to bez ohledu na to, jestli jsou místní IP adresy protokolu BGP v rozsahu APIPA nebo v běžných privátních IP adresách. Pokud vaše místní zařízení VPN používají adresy APIPA jako IP adresu protokolu BGP, musíte nakonfigurovat reproduktor protokolu BGP tak, aby inicioval připojení.

Další kroky

Postup konfigurace protokolu BGP pro připojení mezi různými místy a připojení typu VNet-to-VNet najdete v tématu Konfigurace protokolu BGP pro Azure VPN Gateway.