Guide pratique pour configurer le protocole BGP sur des passerelles VPN Azure

Cet article vous guide pas à pas dans l’activation du protocole BGP sur une connexion VPN site à site (S2S) et une connexion de réseau virtuel à réseau virtuel à l’aide du portail Azure.

À propos du protocole BGP

BGP est le protocole de routage standard couramment utilisé sur Internet pour échanger des informations de routage et d’accessibilité entre plusieurs réseaux. Il permet aux passerelles VPN Azure et à vos périphériques VPN locaux (appelés voisins ou homologues BGP) d’échanger des « itinéraires » informant les deux passerelles sur la disponibilité et l’accessibilité de ces préfixes à travers les passerelles ou routeurs impliqués. Le protocole BGP assure également le routage de transit entre plusieurs réseaux en propageant les itinéraires qu’une passerelle BGP obtient d’un homologue BGP à tous les autres homologues BGP.

Pour plus d’informations sur les avantages du protocole BGP et pour comprendre les exigences techniques et considérations d’utilisation du protocole BGP, consultez Vue d’ensemble du protocole BGP avec les passerelles VPN Azure.

Prise en main

Chaque partie de cet article vous aide à constituer un bloc de construction pour activer le protocole BGP dans votre connectivité réseau. Si vous terminez ces trois parties, vous générez la topologie illustrée dans le Schéma 1.

Schéma 1

Diagram showing network architecture and settings

Vous pouvez les combiner pour créer un réseau de transit plus complexe, à plusieurs tronçons, qui répond à vos besoins.

Prérequis

Assurez-vous de disposer d’un abonnement Azure. Si vous ne disposez pas déjà d’un abonnement Azure, vous pouvez activer vos avantages abonnés MSDN ou créer un compte gratuit.

Partie 1 : Configurer le protocole BGP sur la passerelle de réseau virtuel

Dans cette section, vous allez créer et configurer un réseau virtuel, créer et configurer une passerelle de réseau virtuel avec les paramètres du protocole BGP, et obtenir les adresses IP d’homologue BGP Azure. Le Schéma 2 présente les paramètres de configuration à utiliser dans le cadre des étapes décrites dans cette section.

Schéma 2 :

Diagram showing settings for virtual network gateway

1. Créer et configurer TestVNet1

Dans le cadre de cette étape, vous allez créer et configurer un réseau TestVNet1. Suivez les étapes décrites dans le didacticiel Créer une passerelle pour créer et configurer votre réseau virtuel Azure et votre passerelle VPN. Utilisez les paramètres de référence dans les captures d’écran ci-dessous.

  • Réseau virtuel :

    TestVNet1 with corresponding address prefixes

  • Sous-réseaux :

    TestVNet1 subnets

2. créer la passerelle VPN de TestVNet1 avec les paramètres BGP

Dans le cadre de cette étape, vous allez créer une passerelle VPN avec les paramètres de protocole BGP correspondants.

  1. Dans le portail Azure, accédez à la ressource Passerelle de réseau virtuel à partir de la Place de marché, puis sélectionnez Créer.

  2. Définissez les paramètres comme ci-dessous :

    Create VNG1

  3. Dans la section en surbrillance Configurer BGP de la page, configurez les paramètres suivants :

    Configure BGP

    • Sélectionnez Configurer BGP - Activé pour afficher la section de configuration du protocole BGP.

    • Entrez votre NSA (numéro de système autonome).

    • Le champ Adresse IP BGP Azure APIPA est facultatif. Si vos appareils VPN locaux utilisent l’adresse APIPA pour BGP, vous devez sélectionner une adresse dans la plage d’adresses APIPA pour VPN réservées Azure, qui est comprise entre 169.254.21.0 et 169.254.22.255. Cet exemple utilise l’adresse 169.254.21.11.

    • Si vous créez une passerelle VPN en mode actif/actif, la section BGP affiche une Deuxième adresse IP BGP Azure personnalisée supplémentaire. Chaque adresse que vous sélectionnez doit être unique et se trouver dans la plage APIPA autorisée (169.254.21.0 à 169.254.22.255). Les passerelles en mode actif/actif peuvent également prendre en charge plusieurs adresses pour l’adresse IP APIPA BGP Azure et une deuxième adresse IP APIPA BGP Azure personnalisée. Les entrées supplémentaires n’apparaissent qu’une fois que vous avez entré votre première adresse IP APIPA BGP.

    Important

    • Par défaut, Azure affecte automatiquement une adresse IP privée de la plage de préfixes GatewaySubnet en tant qu’adresse IP BGP Azure sur la passerelle VPN Azure. L’adresse BGP Azure APIPA personnalisée est nécessaire lorsque vos appareils VPN locaux utilisent une adresse APIPA (169.254.0.1 à 169.254.255.254) comme adresse IP BGP. La passerelle VPN Azure choisit l’adresse APIPA personnalisée si la ressource de passerelle de réseau local correspondante (réseau local) a une adresse APIPA en tant qu’adresse IP d’homologue BGP. Si la passerelle de réseau local utilise une adresse IP normale (non APIPA), la passerelle VPN Azure revient à l’adresse IP privée de la plage GatewaySubnet.

    • Les adresses BGP APIPA ne doivent pas se chevaucher entre les appareils VPN locaux et toutes les passerelles VPN Azure connectées.

    • Quand des adresses APIPA sont utilisées sur des passerelles VPN Azure, les passerelles ne démarrent pas de sessions de peering BGP avec des adresses IP sources APIPA. L’appareil VPN local doit démarrer des connexions de peering BGP.

  4. Sélectionnez Vérifier + créer pour exécuter la validation. Une fois la validation réussie, sélectionnez Créer pour déployer la passerelle VPN. La création d’une passerelle nécessite généralement au moins 45 minutes, selon la référence SKU de passerelle sélectionnée. Vous pouvez voir l’état du déploiement dans la page Vue d’ensemble pour votre passerelle.

3. Obtenir les adresses IP d’homologue BGP Azure

Une fois la passerelle créée, vous pouvez obtenir l’adresse IP d’homologue BGP sur la passerelle VPN Azure. Ces adresses sont nécessaires pour configurer vos appareils VPN locaux afin d’établir des sessions BGP avec la passerelle VPN Azure.

  1. Accédez à la ressource de passerelle de réseau virtuel et sélectionnez la page Configuration pour afficher les informations de configuration du protocole BGP, comme dans la capture d’écran suivante. Sur cette page, vous pouvez afficher toutes les informations de configuration du protocole BGP sur votre passerelle VPN Azure : NSA, adresse IP publique et adresses IP d’homologue BGP correspondantes côté Azure (par défaut et APIPA).

    BGP gateway

  2. Dans la page Configuration, vous pouvez apporter les modifications de configuration suivantes :

    • Si nécessaire, vous pouvez mettre à jour le NSA ou l’adresse IP BGP APIPA.
    • Si vous disposez d’une passerelle VPN en mode actif/actif, cette page affiche l’adresse IP publique, la valeur par défaut et les adresses IP BGP APIPA de la deuxième instance de passerelle VPN Azure.
  3. Si vous avez apporté des modifications, sélectionnez Enregistrer pour valider les modifications apportées à votre passerelle VPN Azure.

Partie 2 : Configurer le protocole BGP sur des connexions S2S intersites

Pour établir une connexion intersite, vous devez créer une passerelle de réseau local pour représenter votre appareil VPN local, et une connexion entre la passerelle VPN et la passerelle de réseau local, comme décrit dans Créer une connexion site à site. Cet article contient les propriétés supplémentaires nécessaires pour spécifier les paramètres de configuration du protocole BGP.

Schéma 3

Diagram showing IPsec

1. Configurer le protocole BGP sur la passerelle de réseau local

Dans le cadre de cette étape, vous allez configurer le protocole BGP sur la passerelle de réseau local. Utilisez la capture d’écran suivante à titre d’exemple. La capture d’écran montre la passerelle de réseau local (Site5) avec les paramètres spécifiés dans le Schéma 3.

Configure BGP for the local network gateway

Considérations importantes relatives à la configuration

  • Le NSA et l’adresse IP d’homologue BGP doivent correspondre à la configuration de votre routeur VPN local.
  • Vous pouvez laisser l’Espace d’adressage vide uniquement si vous utilisez le protocole BGP pour vous connecter à ce réseau. La passerelle VPN Azure ajoute en interne un itinéraire de votre adresse IP d’homologue BGP au tunnel IPsec correspondant. Si vous n’utilisez PAS le protocole BGP entre la passerelle VPN Azure et ce réseau particulier, vous devez fournir une liste de préfixes d’adresses valides pour l’espace d’adressage.
  • Vous pouvez éventuellement utiliser une adresse IP APIPA (169.254.x.x) comme adresse IP d’homologue BGP local si nécessaire. Toutefois, vous devez également spécifier une adresse IP APIPA comme décrit précédemment dans cet article pour votre passerelle VPN Azure. Dans le cas contraire, la session BGP ne peut pas établir cette connexion.
  • Vous pouvez entrer les informations de configuration du protocole BGP lors de la création de la passerelle de réseau local, ou ajouter ou modifier la configuration du protocole BGP à partir de la page Configuration de la ressource de passerelle de réseau local.

Exemple

Cet exemple utilise une adresse APIPA (169.254.100.1) en tant qu’adresse IP d’homologue BGP local :

Local network gateway APIPA and BGP

2. Configurer une connexion S2S avec le protocole BGP activé

Dans le cadre de cette étape, vous allez créer une connexion avec le protocole BGP activé. Si vous disposez déjà d’une connexion et souhaitez activer le protocole BGP sur cette dernière, vous pouvez mettre à jour une connexion existante.

Pour créer une connexion avec le protocole BGP activé

Pour créer une connexion avec le protocole BGP activé, dans la page Ajouter une connexion, renseignez les valeurs, puis activez l’option Activer BGP pour activer le protocole BGP sur cette connexion. Sélectionnez OK pour établir la connexion.

IPsec cross-premises connection with BGP

Pour mettre à jour une connexion existante

Si vous souhaitez modifier l’option BGP sur une connexion, accédez à la page Configuration de la ressource de connexion, puis basculez l’option BGP en surbrillance dans l’exemple suivant. Sélectionnez Save (Enregistrer) pour enregistrer les modifications.

Update BGP for a connection

Partie 3 : Configurer le protocole BGP sur des connexions de réseau virtuel à réseau virtuel

Les étapes d’activation ou de désactivation du protocole BGP sur une connexion de réseau virtuel à réseau virtuel sont les mêmes que les étapes S2S décrites dans la Partie 2. Vous pouvez activer le protocole BGP lors de la création de la connexion ou mettre à jour la configuration sur une connexion de réseau virtuel à réseau virtuel existante.

Notes

Une connexion de réseau virtuel à réseau virtuel sans le protocole BGP limite la communication aux deux réseaux virtuels connectés. Activez le protocole BGP pour autoriser le routage de transit vers d’autres connexions S2S ou de réseau virtuel à réseau virtuel de ces deux réseaux virtuels.

Pour le contexte, consultez le Schéma 4. Si le protocole BGP devait être désactivé entre les réseaux TestVNet2 et TestVNet1, le réseau TestVNet2 n’apprendrait pas les itinéraires pour le réseau local, Site5, et ne pourrait donc pas communiquer avec le site 5. Une fois que vous activez le protocole BGP, comme indiqué dans le Schéma 4, les trois réseaux sont en mesure de communiquer via les connexions IPsec et de réseau virtuel à réseau virtuel.

Schéma 4

Diagram showing full network

Étapes suivantes

Une fois la connexion achevée, vous pouvez ajouter des machines virtuelles à vos réseaux virtuels. Consultez Création d’une machine virtuelle pour connaître les différentes étapes.