Configurer des connexions coexistantes ExpressRoute et de site à site en utilisant le portail Azure
Cet article vous aide à configurer la coexistence de connexions ExpressRoute et VPN de site à site. La possibilité de configurer des connexions VPN de site à site et ExpressRoute présente plusieurs avantages. Vous pouvez configurer un VPN de site à site en tant que chemin de basculement sécurisé pour ExpressRoute, ou utiliser des VPN de site à site pour vous connecter à des sites qui ne sont pas connectés via ExpressRoute. Dans cet article, nous décrirons les étapes de configuration de ces deux scénarios. Cet article s'applique au modèle de déploiement Resource Manager.
La configuration de connexions VPN de site à site et ExpressRoute coexistantes possède plusieurs avantages :
- Vous pouvez configurer un réseau VPN de site à site comme un chemin d’accès de basculement sécurisé pour ExpressRoute.
- Vous pouvez également utiliser des réseaux VPN de site à site pour vous connecter à des sites qui ne sont pas connectés via ExpressRoute.
Les étapes de configuration de ces deux scénarios sont décrites dans cet article. Vous pouvez commencer par configurer chaque passerelle. En règle générale, vous ne subissez aucun temps d’arrêt lors de l’ajout d’une passerelle ou d’une connexion de passerelle.
Remarque
- Si vous souhaitez créer un VPN de site à site via une connexion ExpressRoute, consultez Site à site via le peering Microsoft.
- Pour la coexistence de passerelle ExpressRoute-VPN, si vous avez déjà déployé ExpressRoute, vous n’avez pas besoin de créer un réseau virtuel et un sous-réseau de passerelle, car il s’agit de conditions préalables à la création d’ExpressRoute.
- Pour une passerelle ExpressRoute chiffrée, la modification de taille MSS est effectuée sur la passerelle VPN Azure pour limiter la taille des paquets TCP à 1 250 octets.
Limites et limitations
- Seule la passerelle VPN basée sur un itinéraire est prise en charge. Vous devez utiliser une passerelle VPN basée sur un itinéraire. Vous pouvez également utiliser une passerelle VPN basée sur un itinéraire avec une connexion VPN configurée pour les « sélecteurs de trafic basés sur des stratégies », comme décrit dans se connecter à plusieurs périphériques VPN basés sur des stratégies.
- Les configurations de passerelle VPN et ExpressRoute coexistants ne sont pas prises en charge par la référence SKU De base.
- Les passerelles VPN et ExpressRoute doivent être en mesure de communiquer entre elles via BGP pour fonctionner correctement. Si vous utilisez une route définie par l’utilisateur sur le sous-réseau de passerelle, vérifiez qu’elle n’inclut pas de route pour la plage de sous-réseau de passerelle elle-même, car cela interfère avec le trafic BGP.
- Si vous souhaitez utiliser le routage de transit entre ExpressRoute et le VPN, la valeur ASN de la passerelle VPN Azure doit être définie sur 65515. La passerelle VPN Azure prend en charge le protocole de routage BGP. Pour qu’ExpressRoute et Azure VPN fonctionnent ensemble, vous devez conserver la valeur par défaut (65515) du numéro ASN de votre passerelle Azure VPN. Si vous avez précédemment sélectionné un ASN autre que 65515 et que vous changez le paramètre en lui affectant la valeur 65515, vous devez réinitialiser la passerelle VPN pour que le paramètre prenne effet.
- Le sous-réseau de la passerelle doit correspondre à /27 ou à un préfixe plus court, comme /26 ou /25. Sinon, vous recevrez un message d’erreur quand vous ajouterez la passerelle de réseau virtuel ExpressRoute.
Modèles de configuration
Configurer un réseau VPN de site à site comme un chemin d’accès de basculement pour ExpressRoute
Vous pouvez configurer une connexion VPN de site à site en tant que sauvegarde pour ExpressRoute. Cette connexion s’applique uniquement aux réseaux virtuels liés au chemin de peering privé Azure. Il n’existe aucune solution de basculement basée sur des réseaux VPN pour les services accessibles via le peering Azure Microsoft. Le circuit ExpressRoute est toujours le lien principal. Si le circuit ExpressRoute échoue, les données circulent via le chemin du réseau VPN de site à site uniquement. Pour éviter un routage asymétrique, la configuration de votre réseau local doit également privilégier le circuit ExpressRoute via la connexion VPN de site à site. Vous pouvez préférer le chemin d’accès ExpressRoute en définissant une préférence locale plus élevée pour les itinéraires recevant ExpressRoute.
Notes
Si le peering Microsoft ExpressRoute est activé, vous pouvez recevoir l’adresse IP publique de votre passerelle Azure VPN sur la connexion ExpressRoute. Pour configurer votre connexion VPN site à site en tant que secours, vous devez configurer votre réseau local afin que la connexion VPN soit routée vers Internet.
Notes
Bien que le circuit ExpressRoute soit préférable au réseau VPN de site à site lorsque les deux itinéraires sont identiques, Azure utilise la correspondance de préfixe la plus longue pour choisir l’itinéraire vers la destination du paquet.
Configurer un réseau VPN de site à site pour se connecter à des sites non connectés via ExpressRoute
Vous pouvez configurer votre réseau là où certains sites se connectent directement à Azure via des réseaux VPN de site à site ou via ExpressRoute.
Sélection des étapes à suivre
Vous avez le choix entre deux ensembles de procédures. La procédure de configuration que vous sélectionnez varie selon que vous disposez déjà d’un réseau virtuel auquel vous connecter ou que vous voulez créer un réseau virtuel.
Je n’ai pas de réseau virtuel et dois en créer un
Cette procédure vous guide dans la création d’un réseau virtuel si vous n’en possédez pas encore un. Elle vous demande d’utiliser le modèle de déploiement Resource Manager et de créer de nouvelles connexions ExpressRoute et VPN de site à site. Pour configurer un réseau virtuel, suivez les étapes décrites dans la section Créer un réseau virtuel et des connexions qui coexistent.
J’ai déjà un réseau virtuel répondant au modèle de déploiement Resource Manager.
Vous disposez peut-être déjà d’un réseau virtuel avec une connexion VPN de site à site existante ou une connexion ExpressRoute. Dans ce scénario, si le préfixe de sous-réseau de la passerelle est /28 ou plus long (/29, /30, etc.), vous devez supprimer la passerelle existante. La section Configurer des connexions qui coexistent pour un réseau virtuel existant vous guide tout au long des étapes de suppression de la passerelle puis de création de connexions ExpressRoute et VPN de site à site.
Si vous supprimez et recréez votre passerelle, vous rencontrez des temps d’arrêt pour vos connexions intersites. Cependant, vos machines virtuelles et services sont en mesure de communiquer via l’équilibreur de charge lorsque vous configurez votre passerelle s’ils sont configurés pour ce faire.
Créer un réseau virtuel et des connexions qui coexistent
Cette procédure vous guide dans la création d’un réseau virtuel et de connexions de site à site et ExpressRoute qui coexistent.
Connectez-vous au portail Azure.
En haut à gauche de l’écran, sélectionnez + Créer une ressource et recherchez Réseau virtuel.
Sélectionnez Créer pour commencer à configurer le réseau virtuel.
Dans l’onglet Informations de base, sélectionnez ou créez un nouveau groupe de ressources pour stocker le réseau virtuel. Entrez ensuite le nom et sélectionnez la région dans laquelle déployer le réseau virtuel. Sélectionnez Suivant : Adresses IP> pour configurer l’espace d’adressage et les sous-réseaux.
Dans l’onglet Adresses IP, configurez l’espace d’adressage du réseau virtuel. Définissez ensuite les sous-réseaux que vous souhaitez créer, y compris le sous-réseau de passerelle. Sélectionnez Vérifier + créer, puis Créer* pour déployer le réseau virtuel. Pour en savoir plus sur la création d’un réseau virtuel, consultez Créer un réseau virtuel. Pour en savoir plus sur la création de sous-réseaux virtuels, consultez Créer un sous-réseau virtuel.
Important
Le sous-réseau de la passerelle doit être défini sur /27 ou un préfixe plus court (comme /26 ou /25).
Créez la passerelle VPN de site à site et la passerelle de réseau local. Pour plus d’informations sur la configuration de la passerelle VPN, consultez la rubrique Configuration d’un réseau virtuel avec une connexion de site à site. La valeur GatewaySku est prise en charge uniquement pour les passerelles VPN VpnGw1, VpnGw2, VpnGw3, Standard et HighPerformance. Les configurations coexistantes de passerelle VPN et ExpressRoute ne sont pas prises en charge par la référence SKU De base. La valeur VpnType doit être RouteBased.
Configurez votre périphérique VPN local à connecter à la nouvelle passerelle VPN Azure. Pour plus d’informations sur la configuration du périphérique VPN, consultez la rubrique Configuration de périphérique VPN.
Si vous vous connectez à un circuit ExpressRoute existant, ignorez les étapes 8 et 9 et passez à l’étape 10. Configurez des circuits ExpressRoute. Pour plus d’informations sur la configuration du circuit ExpressRoute, consultez Création d’un circuit ExpressRoute.
Configurez un peering privé Azure via le circuit ExpressRoute. Pour plus d’informations sur la configuration du Peering privé Azure via le circuit ExpressRoute, consultez Configurer le Peering.
Sélectionnez + Créer une ressource et recherchez Passerelle de réseau virtuel. Sélectionnez ensuite Créer.
Sélectionnez le type de passerelle ExpressRoute, la référence SKU appropriée et le réseau virtuel sur lequel déployer la passerelle.
Liez la passerelle ExpressRoute au circuit ExpressRoute. Une fois cette étape terminée, la connexion entre votre réseau local et Azure est établie via ExpressRoute. Pour plus d'informations sur l'opération de liaison, voir l'article Liaison de réseaux virtuels à ExpressRoute.
Pour configurer des connexions coexistantes pour un réseau virtuel existant
Si vous disposez d’un réseau virtuel qui n’a qu’une seule passerelle de réseau virtuel (par exemple, une passerelle VPN de site à site) et que vous souhaitez ajouter une autre passerelle d’un autre type (par exemple, une passerelle ExpressRoute), vérifiez la taille de sous-réseau de passerelle. Si le sous-réseau de passerelle est /27 ou plus, vous pouvez ignorer les étapes suivantes et suivre les étapes décrites dans la section précédente pour ajouter une passerelle VPN de site à site ou une passerelle ExpressRoute. Si le sous-réseau de la passerelle est /28 ou /29, vous devez tout d’abord supprimer la passerelle de réseau virtuel et augmenter la taille du sous-réseau de la passerelle. Les étapes décrites dans cette section vous indiquent la marche à suivre.
Supprimez la passerelle ExpressRoute ou VPN de site à site existante.
Supprimez et recréez le sous-réseau de passerelle avec un préfixe /27 ou plus court.
Configurez un réseau virtuel avec une connexion de site à site, puis configurez la passerelle ExpressRoute.
Une fois la passerelle ExpressRoute déployée, vous pouvez lier le réseau virtuel au circuit ExpressRoute.
Pour ajouter une configuration point à site à la passerelle VPN
Vous pouvez ajouter une configuration de point à site à votre ensemble coexistant en suivant les instructions fournies dans Configurer une connexion VPN point à site à l’aide de l’authentification par certificat Azure
Pour activer le routage de transit entre ExpressRoute et Azure VPN
Si vous souhaitez activer la connectivité entre l’un de vos réseaux locaux connecté à ExpressRoute et un autre de vos réseaux locaux connecté à une connexion VPN de site à site, vous devez configurer le serveur de routage Azure.
Étapes suivantes
Pour plus d'informations sur ExpressRoute, consultez la FAQ sur ExpressRoute.