Konfigurieren von parallel bestehenden ExpressRoute- und Standort-zu-Standort-Verbindungen (klassisch)

• PowerShell – Resource Manager
• PowerShell – klassisch

In diesem Artikel wird beschrieben, wie Sie parallel bestehende ExpressRoute- und Site-to-Site-VPN-Verbindungen konfigurieren. Die Möglichkeit zum Konfigurieren von Standort-zu-Standort-VPN und ExpressRoute bietet mehrere Vorteile. Sie können ein Site-to-Site-VPN als sicheren Failoverpfad für ExpressRoute konfigurieren oder für Verbindungen mit Websites nutzen, die nicht über ExpressRoute verbunden sind. In diesem Artikel werden die Konfigurationsschritte für beide Szenarien behandelt. Dieser Artikel gilt für das klassische Bereitstellungsmodell. Diese Konfiguration steht im Portal nicht zur Verfügung.

Wichtig

Das Erstellen neuer ExpressRoute-Verbindungen im klassischen Bereitstellungsmodell ist ab dem 1. März 2017 nicht mehr möglich.

• Sie können eine vorhandene ExpressRoute-Verbindung vom klassischen Bereitstellungsmodell ohne Konnektivitätsausfallzeiten auf das Resource Manager-Bereitstellungsmodell umstellen. Weitere Informationen finden Sie unter Verschieben einer vorhandenen Verbindung.
• Sie können im klassischen Bereitstellungsmodell Verbindungen mit virtuellen Netzwerken herstellen, indem Sie allowClassicOperations auf TRUE festlegen.

Verwenden Sie die folgenden Links zum Erstellen und Verwalten von ExpressRoute-Verbindungen im Resource Manager-Bereitstellungsmodell:

• Erstellen und Verwalten von ExpressRoute-Verbindungen
  
• Konfigurieren des Routings (Peering) für ExpressRoute-Verbindungen

Informationen zu Azure-Bereitstellungsmodellen

In Azure können derzeit zwei Bereitstellungsmodelle verwendet werden: Resource Manager-Bereitstellung und klassische Bereitstellung. Die beiden Modelle sind nicht vollständig kompatibel. Bevor Sie beginnen, müssen Sie wissen, in welchem Modell Sie arbeiten möchten. Informationen zu den Bereitstellungsmodellen finden Sie unter Understanding deployment models (Grundlagen von Bereitstellungsmodellen). Wenn Sie noch nicht mit Azure vertraut sind, wird die Verwendung des Resource Manager-Modells empfohlen.

Wichtig

ExpressRoute-Verbindungen müssen bereits konfiguriert sein, bevor Sie die in diesem Artikel erörterten Schritte ausführen. Vergewissern Sie sich, dass Sie die Schritte zum Erstellen einer ExpressRoute-Verbindung und zum Konfigurieren des Routings ausgeführt haben, bevor Sie den Vorgang fortsetzen.

Grenzwerte und Einschränkungen

• Transitrouting wird nicht unterstützt. Ein Routing (über Azure) zwischen Ihrem lokalen Netzwerk mit Site-to-Site-VPN-Verbindung und Ihrem lokalen Netzwerk mit ExpressRoute-Verbindung ist nicht möglich.
• Eine Punkt-zu-Standort-Verbindung wird nicht unterstützt. Sie können keine Punkt-zu-Standort-VPN-Verbindungen mit einem VNET herstellen, für das eine Verbindung mit ExpressRoute besteht. Point-to-Site-VPN- und ExpressRoute-Verbindungen können für ein VNet nicht gleichzeitig vorhanden sein.
• Die Tunnelerzwingung kann auf dem Standort-zu-Standort-VPN-Gateway nicht aktiviert werden. Sie können nur „erzwingen“, dass der gesamte Internetdatenverkehr per ExpressRoute zurück in Ihr lokales Netzwerk geleitet wird.
• Das einfache SKU-Gateway wird nicht unterstützt. Sie müssen für das ExpressRoute-Gateway und das VPN-Gateway jeweils ein anderes Gateway als ein einfaches SKU-Gateway verwenden.
• Nur das routenbasierte VPN-Gateway wird unterstützt. Sie müssen ein routenbasiertes VPN-Gateway verwenden.
• Für das VPN-Gateway sollte eine statische Route konfiguriert werden. Wenn Ihr lokales Netzwerk mit ExpressRoute und einem Standort-zu-Standort-VPN verbunden ist, müssen Sie eine statische Route in Ihrem lokalen Netzwerk konfiguriert haben, um die Standort-zu-Standort-VPN-Verbindung an das öffentliche Internet weiterzuleiten.

Konfigurationsentwürfe

Konfigurieren eines Standort-zu-Standort-VPN als Failoverpfad für ExpressRoute

Sie können eine Standort-zu-Standort-VPN-Verbindung als Sicherung für ExpressRoute konfigurieren. Diese Einrichtung gilt nur für virtuelle Netzwerke, die mit dem privaten Azure-Peeringpfad verknüpft sind. Es gibt keine VPN-basierte Failoverlösung für Dienste, auf die über öffentliche Azure- und Microsoft-Peerings zugegriffen wird. Die ExpressRoute-Verbindung ist immer der primäre Link. Daten durchlaufen den Pfad des Site-to-Site-VPNs nur, wenn bei der ExpressRoute-Verbindung ein Fehler auftritt.

Hinweis

Die ExpressRoute-Verbindung wird dem Site-to-Site-VPN vorgezogen, doch wenn beide Verbindungen identisch sind, verwendet Azure die längste Präfixübereinstimmung, um die Route zum Ziel des Pakets auszuwählen.

Konfigurieren einer Standort-zu-Standort-VPN zum Herstellen einer Verbindung mit Websites, die nicht über ExpressRoute verbunden sind

Sie können Ihr Netzwerk so konfigurieren, dass einige Sites direkt mit Azure über ein Standort-zu-Standort-VPN und andere über ExpressRoute verbunden sind.

Hinweis

Sie können ein virtuelles Netzwerk nicht als Transitrouter konfigurieren.

Auswählen der zu verwendenden Schritte

Es stehen zwei unterschiedliche Verfahren für die Konfiguration von Verbindungen zur Auswahl, die gleichzeitig bestehen können. Welches Konfigurationsverfahren Sie wählen, hängt davon ab, ob Sie über ein vorhandenes virtuelles Netzwerk verfügen, mit dem Sie eine Verbindung herstellen möchten, oder ob Sie ein neues virtuelles Netzwerk erstellen möchten.

• Ich verfüge nicht über ein VNET und muss eines erstellen.

  Wenn Sie noch nicht über ein virtuelles Netzwerk verfügen, führt Sie dieses Verfahren durch die Schritte zum Erstellen eines neuen virtuellen Netzwerks mithilfe des klassischen Bereitstellungsmodells und zum Erstellen neuer ExpressRoute- sowie Site-to-Site-VPN-Verbindungen. Führen Sie für die Konfiguration die Schritte im Artikel So erstellen Sie ein neues virtuelles Netzwerk und parallele Verbindungendurch.

• Ich verfüge bereits über ein VNET nach klassischem Bereitstellungsmodell.

  Möglicherweise haben Sie bereits ein virtuelles Netzwerk mit einer vorhandenen Standort-zu-Standort-VPN-Verbindung oder einer ExpressRoute-Verbindung. Der Artikelabschnitt So konfigurieren Sie parallele Verbindungen für ein bereits vorhandenes VNet enthält die Schritte zum Löschen des Gateways und anschließenden Erstellen neuer ExpressRoute- und Site-to-Site-VPN-Verbindungen. Die Schritte zum Erstellen neuer Verbindungen müssen in einer ganz bestimmten Reihenfolge ausgeführt werden. Verwenden Sie die Anweisungen nicht in anderen Artikeln, um Ihre Gateways und Verbindungen zu erstellen.

  In diesem Verfahren müssen Sie zum Erstellen paralleler Verbindungen Ihr Gateway löschen und anschließend neue Gateways konfigurieren. Während der Löschung und Neuerstellung Ihres Gateways und Ihrer Verbindungen kommt es zwar zu Ausfällen bei Ihren standortübergreifenden Verbindungen, Sie müssen jedoch keine Ihrer virtuellen Computer oder Dienste in ein neues virtuelles Netzwerk migrieren. Die VMs und Dienste sind immer noch in der Lage, über den Load Balancer zu kommunizieren, während Sie Ihr Gateway konfigurieren, wenn sie dafür konfiguriert sind.

Installieren von PowerShell-Cmdlets

Installieren Sie die aktuellen Versionen der PowerShell-Module für die Azure-Dienstverwaltung und das ExpressRoute-Modul. Sie können die Azure Cloud Shell-Umgebung nicht zum Ausführen von SM-Modulen verwenden.

1. Befolgen Sie die Anweisungen im Artikel Installieren des Azure PowerShell-Dienstverwaltungsmoduls, um das Azure-Dienstverwaltungsmodul zu installieren. Wenn Sie das Az- oder RM-Modul bereits installiert haben, achten Sie darauf, „-AllowClobber“ zu verwenden.

2. Importieren Sie die installierten Module. Wenn Sie das folgende Beispiel verwenden, passen Sie den Pfad an, um den Speicherort und die Version der installierten PowerShell-Module widerzuspiegeln.

   Import-Module 'C:\Program Files\WindowsPowerShell\Modules\Azure\5.3.0\Azure.psd1'
   Import-Module 'C:\Program Files\WindowsPowerShell\Modules\Azure\5.3.0\ExpressRoute\ExpressRoute.psd1'
   

3. Melden Sie sich bei Ihrem Azure-Konto an, öffnen Sie die PowerShell-Konsole mit erhöhten Rechten, und stellen Sie eine Verbindung mit Ihrem Konto her. Verwenden Sie das folgende Beispiel, um eine Verbindung mit dem Dienstverwaltungsmodul herzustellen:

   Add-AzureAccount
   

So erstellen Sie ein neues virtuelles Netzwerk und parallele Verbindungen

Dieses Verfahren führt Sie durch das Erstellen eines VNets sowie durch das Erstellen paralleler Site-to-Site- und ExpressRoute-Verbindungen.

1. Sie müssen die aktuelle Version der Azure PowerShell-Cmdlets installieren. Für diese Konfiguration werden unter Umständen Cmdlets verwendet, mit denen Sie nicht so vertraut sind. Achten Sie darauf, die in dieser Anleitung angegebenen Cmdlets zu verwenden.

2. Geben Sie Ihrem Virtual Network einen Namen. Weitere Informationen zum Konfigurationsschema finden Sie unter Konfigurationsschema für Azure Virtual Network.

   Wenn Sie Ihr Schema erstellen, stellen Sie sicher, dass Sie die folgenden Werte verwenden:

   • Das Gateway-Subnetz für das virtuelle Virtual Network muss /27 sein oder ein kürzeres Präfix (wie z. B. /26 oder /25).
   • Der Gateway-Verbindungstyp ist Dediziert.

   <VirtualNetworkSite name="MyAzureVNET" Location="Central US">
     <AddressSpace>
       <AddressPrefix>10.17.159.192/26</AddressPrefix>
     </AddressSpace>
     <Subnets>
       <Subnet name="Subnet-1">
         <AddressPrefix>10.17.159.192/27</AddressPrefix>
       </Subnet>
       <Subnet name="GatewaySubnet">
         <AddressPrefix>10.17.159.224/27</AddressPrefix>
         /Subnet>
     </Subnets>
     <Gateway>
       <ConnectionsToLocalNetwork>
         <LocalNetworkSiteRef name="MyLocalNetwork">
           <Connection type="Dedicated" />
         </LocalNetworkSiteRef>
       </ConnectionsToLocalNetwork>
     </Gateway>
   </VirtualNetworkSite>
   

3. Nachdem Sie Ihre XML-Schemadatei erstellt und konfiguriert haben, laden Sie die Datei hoch, um Ihr virtuelles Netzwerk zu erstellen.

   Verwenden Sie das folgende Cmdlet zum Hochladen Ihrer Datei und um den Wert mit Ihrem eigenen zu ersetzen.

   Set-AzureVNetConfig -ConfigurationPath 'C:\NetworkConfig.xml'
   

4. Erstellen Sie ein ExpressRoute-Gateway. Achten Sie darauf, dass Sie die GatewaySKU als Standard, HighPerformance oder UltraPerformance und den GatewayType als DynamicRouting angeben.

   Verwenden Sie das folgende Beispiel, um die Werte durch Ihre eigenen zu ersetzen.

   New-AzureVNetGateway -VNetName MyAzureVNET -GatewayType DynamicRouting -GatewaySKU HighPerformance
   

5. Verknüpfen Sie das ExpressRoute-Gateway mit dem ExpressRoute-Schaltkreis. Nachdem dieser Schritt abgeschlossen ist, wird die Verbindung zwischen dem lokalen Netzwerk und Azure durch ExpressRoute eingerichtet.

   New-AzureDedicatedCircuitLink -ServiceKey <service-key> -VNetName MyAzureVNET
   

6. Erstellen Sie als Nächstes Ihr Standort-zu-Standort-VPN Gateway. GatewaySKU muss Standard, HighPerformance oder UltraPerformance und GatewayType muss DynamicRouting lauten.

   New-AzureVirtualNetworkGateway -VNetName MyAzureVNET -GatewayName S2SVPN -GatewayType DynamicRouting -GatewaySKU  HighPerformance
   

   Verwenden Sie zum Abrufen der Einstellungen des Virtual Network-Gateway, einschließlich der Gateway-ID und der öffentlichen IP, dasGet-AzureVirtualNetworkGateway Cmdlet.

   Get-AzureVirtualNetworkGateway
   
   GatewayId            : 348ae011-ffa9-4add-b530-7cb30010565e
   GatewayName          : S2SVPN
   LastEventData        :
   GatewayType          : DynamicRouting
   LastEventTimeStamp   : 5/29/2015 4:41:41 PM
   LastEventMessage     : Successfully created a gateway for the following virtual network: GNSDesMoines
   LastEventID          : 23002
   State                : Provisioned
   VIPAddress           : 104.43.x.y
   DefaultSite          :
   GatewaySKU           : HighPerformance
   Location             :
   VnetId               : 979aabcf-e47f-4136-ab9b-b4780c1e1bd5
   SubnetId             :
   EnableBgp            : False
   OperationDescription : Get-AzureVirtualNetworkGateway
   OperationId          : 42773656-85e1-a6b6-8705-35473f1e6f6a
   OperationStatus      : Succeeded
   

7. Erstellen Sie eine VPN-Gateway-Entität für einen lokalen Standort. Mit diesem Befehl wird das lokale VPN-Gateway nicht konfiguriert. Stattdessen können Sie mit ihm die Einstellungen des lokalen Gateway bereitstellen, wie z. B. die öffentliche IP-Adresse und der lokale Adressraum, sodass eine Verbindung mit dem Azure-VPN-Gateway hergestellt werden kann.

   Wichtig

   Der lokale Standort für das Standort-zu-Standort-VPN ist nicht in der netcfg-Datei definiert. Stattdessen müssen Sie dieses Cmdlet verwenden, um die lokalen Standort-Parameter anzugeben. Sie können sie nicht über das Verwaltungsportal oder die netcfg-Datei definieren.

   Ersetzen Sie anhand des folgenden Beispiels die Werte mit Ihren eigenen.

   New-AzureLocalNetworkGateway -GatewayName MyLocalNetwork -IpAddress <MyLocalGatewayIp> -AddressSpace <MyLocalNetworkAddress>
   

   Hinweis

   Wenn Ihr lokales Netzwerk mehrere Routen hat, können Sie diese als ein Array übergeben. $MyLocalNetworkAddress = @("10.1.2.0/24","10.1.3.0/24","10.2.1.0/24")

   Verwenden Sie zum Abrufen der Einstellungen des Virtual Network-Gateway, einschließlich der Gateway-ID und der öffentlichen IP, dasGet-AzureVirtualNetworkGateway Cmdlet. Siehe folgendes Beispiel.

   Get-AzureLocalNetworkGateway
   
   GatewayId            : 532cb428-8c8c-4596-9a4f-7ae3a9fcd01b
   GatewayName          : MyLocalNetwork
   IpAddress            : 23.39.x.y
   AddressSpace         : {10.1.2.0/24}
   OperationDescription : Get-AzureLocalNetworkGateway
   OperationId          : ddc4bfae-502c-adc7-bd7d-1efbc00b3fe5
   OperationStatus      : Succeeded
   

8. Konfigurieren Sie Ihr lokales VPN-Gerät für die Verbindung zum neuen Gateway. Verwenden Sie die Informationen, die Sie in Schritt 6 abgerufen haben, wenn Sie Ihr VPN-Gerät konfigurieren. Weitere Informationen zu VPN-Gerätekonfiguration finden Sie unter VPN-Gerätekonfiguration.

9. Verknüpfen Sie das Standort-zu-Standort-VPN-Gateway in Azure mit dem lokalen Gateway.

   In diesem Beispiel ist ConnectedEntityId die lokale Gateway-ID, die sich beim Ausführen finden können Get-AzureLocalNetworkGateway. Die VirtualNetworkGatewayId können Sie unter Verwendung des Get-AzureVirtualNetworkGateway Cmdlet finden. Nach diesem Schritt wird die Verbindung zwischen Ihrem lokalen Netzwerk und Azure über die Standort-zu-Standort-VPN-Verbindung hergestellt.

   New-AzureVirtualNetworkGatewayConnection -connectedEntityId <local-network-gateway-id> -gatewayConnectionName Azure2Local -gatewayConnectionType IPsec -sharedKey abc123 -virtualNetworkGatewayId <azure-s2s-vpn-gateway-id>
   

So konfigurieren Sie parallele Verbindungen für ein bereits vorhandenes VNET

Wenn Sie über ein vorhandenes virtuelles Netzwerk verfügen, prüfen Sie die Größe des Gateway-Subnetzes. Wenn das Gateway-Subnet /28 oder /29 ist, müssen Sie zunächst das Gateway des virtuellen Netzwerks löschen, um die Größe des Gateway-Subnetzes zu erhöhen. Führen Sie dazu die in diesem Abschnitt beschriebenen Schritte aus.

Wenn das Gatewaysubnetz /27 oder größer ist und das virtuelle Netzwerk über ExpressRoute verbunden ist, können Sie diese Schritte überspringen und direkt mit „Schritt 6: Erstellen eines Site-to-Site-VPN-Gateways“ (siehe vorheriger Abschnitt) fortfahren.

Hinweis

Wenn Sie ein vorhandenes Gateway löschen, geht Ihre lokale Verbindung mit Ihrem virtuellen Netzwerk verloren, während Sie an dieser Konfiguration arbeiten.

1. Sie müssen die aktuelle Version der PowerShell-Cmdlets für Azure Resource Manager installieren. Für diese Konfiguration werden unter Umständen Cmdlets verwendet, mit denen Sie nicht so vertraut sind. Achten Sie darauf, die in dieser Anleitung angegebenen Cmdlets zu verwenden.

2. Löschen Sie das vorhandene ExpressRoute- oder Standort-zu-Standort-VPN Gateway. Nutzen Sie das folgende Cmdlet, um die Werte mit Ihren eigenen auszutauschen.

   Remove-AzureVNetGateway –VnetName MyAzureVNET
   

3. Exportieren Sie das Virtual Network-Schema. Nutzen Sie das folgende PowerShell-Cmdlet, um die Werte mit Ihren eigenen auszutauschen.

   Get-AzureVNetConfig –ExportToFile "C:\NetworkConfig.xml"
   

4. Bearbeiten Sie die Netzwerk-Konfigurationsdateischema, sodass das Gateway-Subnetz /27 ist oder ein kürzeres Präfix (wie z. B. /26 oder /25). Siehe folgendes Beispiel.

   Hinweis

   Wenn in Ihrem virtuellen Netzwerk nicht mehr ausreichend IP-Adressen vorhanden sind, um die Größe des Gateway-Subnetzes zu erhöhen, müssen Sie mehr IP-Adressraum hinzufügen. Weitere Informationen zum Konfigurationsschema finden Sie unter Konfigurationsschema für Azure Virtual Network.

   <Subnet name="GatewaySubnet">
     <AddressPrefix>10.17.159.224/27</AddressPrefix>
   </Subnet>
   

5. Wenn Ihr vorheriges Gateway ein Standort-zu-Standort-VPN war, müssen Sie auch den Verbindungstyp auf dediziertändern.

   <Gateway>
     <ConnectionsToLocalNetwork>
       <LocalNetworkSiteRef name="MyLocalNetwork">
         <Connection type="Dedicated" />
       </LocalNetworkSiteRef>
     </ConnectionsToLocalNetwork>
   </Gateway>
   

6. Sie verfügen nun über ein VNET ohne Gateways. Um neue Gateways zu erstellen und Ihre Verbindungen abzuschließen, können Sie mit Schritt 4: Erstellen eines ExpressRoute-Gatewaysin den vorangegangenen Schritten fortfahren.

Nächste Schritte

Weitere Informationen über ExpressRoute finden Sie unter ExpressRoute – FAQ