Az Azure Stack Hub csatlakoztatása az Azure-hoz Azure ExpressRoute használatával
Ez a cikk azt ismerteti, hogyan csatlakoztathat Egy Azure Stack Hub virtuális hálózatot egy Azure-beli virtuális hálózathoz közvetlen Microsoft Azure ExpressRoute-kapcsolat használatával.
Ezt a cikket oktatóanyagként használhatja, és a példák segítségével beállíthatja ugyanazt a tesztkörnyezetet. Vagy elolvashatja a cikket bemutatóként, amely végigvezeti a saját ExpressRoute-környezet beállításán.
Áttekintés, feltételezések és előfeltételek
Az Azure ExpressRoute lehetővé teszi a helyszíni hálózatok microsoftos felhőbe való kiterjesztését egy kapcsolatszolgáltató által biztosított privát kapcsolaton keresztül. Az ExpressRoute nem VPN-kapcsolat a nyilvános interneten keresztül.
Az Azure ExpressRoute-ról az ExpressRoute áttekintésében talál további információt.
Feltételezések
Ez a cikk a következőket feltételezi:
- Ismeri az Azure-t.
- Alapszintű ismereteket szerezhet az Azure Stack Hubról.
- Alapszintű ismereteket szerezhet a hálózatkezelésről.
Előfeltételek
Az Azure Stack Hub és az Azure ExpressRoute használatával történő csatlakoztatásához meg kell felelnie a következő követelményeknek:
- Kiépített ExpressRoute-kapcsolatcsoport egy kapcsolatszolgáltatón keresztül.
- Azure-előfizetés ExpressRoute-kapcsolatcsoport és virtuális hálózatok létrehozásához az Azure-ban.
- Egy útválasztó, amely a következőket kell tennie:
- Támogatja a helyek közötti VPN-kapcsolatokat a LAN-felülete és az Azure Stack Hub több-bérlős átjárója között.
- Több VRF (virtuális útválasztás és továbbítás) létrehozásának támogatása, ha egynél több bérlő van az Azure Stack Hub üzembe helyezésében.
- Egy útválasztó, amely a következővel rendelkezik:
- Az ExpressRoute-kapcsolatcsoporthoz csatlakoztatott WAN-port.
- Az Azure Stack Hub több-bérlős átjárójához csatlakoztatott LAN-port.
ExpressRoute hálózati architektúra
Az alábbi ábra az Azure Stack Hubot és az Azure-környezeteket mutatja be, miután befejezte az ExpressRoute beállítását az ebben a cikkben szereplő példák alapján:
Az alábbi ábra azt mutatja be, hogyan csatlakozik több bérlő az Azure Stack Hub infrastruktúrájától az ExpressRoute-útválasztón keresztül az Azure-hoz:
A jelen cikkben szereplő példa ugyanazt a több-bérlős architektúrát használja, amelyet ebben a diagramban láthat, hogy az Azure Stack Hubot az Azure-hoz csatlakoztatja az ExpressRoute privát társviszony-létesítés használatával. A kapcsolat egy helyek közötti VPN-kapcsolattal történik az Azure Stack Hub virtuális hálózati átjárója és egy ExpressRoute-útválasztó között.
A cikk lépései bemutatják, hogyan hozhat létre végpontok közötti kapcsolatot két virtuális hálózat között az Azure Stack Hub két különböző bérlője és az Azure megfelelő virtuális hálózatai között. Két bérlő beállítása nem kötelező; Ezeket a lépéseket egyetlen bérlőhöz is használhatja.
Az Azure Stack Hub konfigurálása
Az Azure Stack Hub-környezet első bérlőhöz való beállításához kövesse az alábbi lépéseket útmutatóként. Ha több bérlőt állít be, ismételje meg az alábbi lépéseket:
Megjegyzés
Ezek a lépések bemutatják, hogyan hozhat létre erőforrásokat az Azure Stack Hub portál használatával, de használhatja a PowerShellt is.
Előkészületek
Az Azure Stack Hub konfigurálásának megkezdése előtt a következőkre van szüksége:
- Azure Stack Hub-üzemelő példány.
- Ajánlat az Azure Stack Hubban, amelyre a felhasználók előfizethetnek. További információ: Szolgáltatás, csomag, ajánlat, előfizetés áttekintése.
Hálózati erőforrások létrehozása az Azure Stack Hubban
Az alábbi eljárásokkal hozza létre a bérlőhöz szükséges hálózati erőforrásokat az Azure Stack Hubban.
A virtuális hálózat és a virtuálisgép-alhálózat létrehozása
Jelentkezzen be az Azure Stack Hub felhasználói portáljára.
A portálon válassza a + Erőforrás létrehozása lehetőséget.
A Azure Marketplace alatt válassza a Hálózat lehetőséget.
A Kiemelt területen válassza a Virtuális hálózat lehetőséget.
A Virtuális hálózat létrehozása területen adja meg az alábbi táblázatban látható értékeket a megfelelő mezőkbe:
Mező Érték Név Bérlő1VNet1 Címtér 10.1.0.0/16 Alhálózat neve Tenant1-Sub1 Alhálózati címtartomány 10.1.1.0/24 A korábban létrehozott előfizetésnek meg kell jelennie az Előfizetés mezőben. A többi mező esetében:
- Az Erőforráscsoport területen válassza az Új létrehozása lehetőséget egy új erőforráscsoport létrehozásához, vagy ha már van ilyen, válassza a Meglévő használata lehetőséget.
- Ellenőrizze az alapértelmezett helyet.
- Kattintson a Létrehozás lehetőségre.
- (Nem kötelező) Kattintson a Rögzítés az irányítópultra elemre.
Az átjáróalhálózat létrehozása
- A Virtuális hálózat területen válassza a Tenant1VNet1 lehetőséget.
- A BEÁLLÍTÁSOK területen válassza az Alhálózatok lehetőséget.
- Válassza az + Átjáró alhálózat lehetőséget, ha átjáró-alhálózatot szeretne hozzáadni a virtuális hálózathoz.
- Az alhálózat neve alapértelmezés szerint GatewaySubnet. Az átjáróalhálózatok speciális esetnek számítanak, és ezt a nevet kell használniuk a helyes működéshez.
- Ellenőrizze, hogy a Címtartomány10.1.0.0/24-e.
- Kattintson az OK gombra az átjáró alhálózatának létrehozásához.
Virtuális hálózati átjáró létrehozása
- Az Azure Stack Hub felhasználói portálján kattintson a + Erőforrás létrehozása elemre.
- A Azure Marketplace alatt válassza a Hálózat lehetőséget.
- A hálózati erőforrások listájában válassza a Virtuális hálózati átjáró elemet.
- A Név mezőbe írja be a GW1 értéket.
- Válassza a Virtuális hálózat lehetőséget.
- Válassza a Bérlő1VNet1 elemet a legördülő listából.
- Válassza a Nyilvános IP-cím, majd a Nyilvános IP-cím kiválasztása lehetőséget, majd kattintson az Új létrehozása gombra.
- A Név mezőbe írja be a GW1-PiP kifejezést, majd kattintson az OK gombra.
- Az VPN típusa mezőben alapértelmezés szerint a Útvonalalapú lehetőség van kiválasztva. Ne módosítsa ezt a beállítást.
- Ellenőrizze, hogy az Előfizetés és a Hely mező értéke helyes-e. Kattintson a Létrehozás lehetőségre.
A helyi hálózati átjáró létrehozása
A helyi hálózati átjáró erőforrása azonosítja a távoli átjárót a VPN-kapcsolat másik végén. Ebben a példában a kapcsolat távoli vége az ExpressRoute-útválasztó LAN-alfelülete. Az előző diagram 1. bérlője esetében a távoli cím 10.60.3.255.
Jelentkezzen be az Azure Stack Hub felhasználói portáljára, és válassza a + Erőforrás létrehozása lehetőséget.
A Azure Marketplace alatt válassza a Hálózat lehetőséget.
Az erőforrások listájában válassza a Helyi hálózati átjáró elemet.
A Név mezőbe írja be az ER-Router-GW kifejezést.
Az IP-cím mezőben tekintse meg az előző ábrát. Az 1. bérlőhöz tartozó ExpressRoute útválasztó LAN-alfelületének IP-címe 10.60.3.255. Saját környezetében adja meg az útválasztó megfelelő felületének IP-címét.
A Címtér mezőbe írja be azon virtuális hálózatok címterét, amelyekhez csatlakozni szeretne az Azure-ban. Az 1. bérlő alhálózatai a következők:
- A 192.168.2.0/24 az Azure központi virtuális hálózata.
- A 10.100.0.0/16 az Azure küllős virtuális hálózata.
Fontos
Ez a példa feltételezi, hogy statikus útvonalakat használ a helyek közötti VPN-kapcsolathoz az Azure Stack Hub-átjáró és az ExpressRoute-útválasztó között.
Ellenőrizze, hogy az előfizetés, az erőforráscsoport és a hely helyes-e. Ezután kattintson a Létrehozás elemre.
A kapcsolat létrehozása
- Az Azure Stack Hub felhasználói portálján válassza a + Erőforrás létrehozása lehetőséget.
- A Azure Marketplace területen válassza a Hálózatkezelés lehetőséget.
- Az erőforrások listájában válassza a Kapcsolat elemet.
- Az Alapszintű beállítások területen válassza a Helyek közötti (IPSec)kapcsolatot a Kapcsolat típusaként.
- Válassza ki az Előfizetés, az Erőforráscsoport és a Hely lehetőséget. Kattintson az OK gombra.
- A Beállítások területen válassza a Virtuális hálózati átjáró, majd a GW1 lehetőséget.
- Válassza a Helyi hálózati átjáró, majd az ER útválasztó GW lehetőséget.
- A Kapcsolat neve mezőbe írja be a ConnectToAzure nevet.
- A Megosztott kulcs (PSK) mezőbe írja be az abc123 kifejezést, majd kattintson az OK gombra.
- Az Összefoglalás területen válassza az OK gombot.
A virtuális hálózati átjáró nyilvános IP-címének lekérése
A virtuális hálózati átjáró létrehozása után lekérheti az átjáró nyilvános IP-címét. Jegyezze fel ezt a címet arra az esetre, ha később szüksége lenne rá az üzembe helyezéshez. Az üzemelő példánytól függően a rendszer ezt a címet használja belső IP-címként.
- Az Azure Stack Hub felhasználói portálján válassza a Minden erőforrás lehetőséget.
- A Minden erőforrás területen válassza ki a példában a GW1 virtuális hálózati átjárót.
- A Virtuális hálózati átjáró területen válassza az Áttekintés lehetőséget az erőforrások listájából. Másik lehetőségként a Tulajdonságok lehetőséget is választhatja.
- A feljegyezni kívánt IP-cím a Nyilvános IP-cím listában található. A példakonfiguráció esetében ez a cím 192.68.102.1.
Virtuális gép (VM) létrehozása
A VPN-kapcsolaton keresztüli adatforgalom teszteléséhez virtuális gépekre van szükség az Azure Stack Hub virtuális hálózatban történő adatküldéshez és -fogadáshoz. Hozzon létre egy virtuális gépet, és helyezze üzembe a virtuális hálózat virtuálisgép-alhálózatán.
Az Azure Stack Hub felhasználói portálján válassza a + Erőforrás létrehozása lehetőséget.
A Azure Marketplace területen válassza a Számítás lehetőséget.
A virtuálisgép-rendszerképek listájában válassza ki a Windows Server 2016 Datacenter Eval rendszerképet.
Megjegyzés
Ha a cikkhez használt rendszerkép nem érhető el, kérje meg az Azure Stack Hub-operátort, hogy adjon meg egy másik Windows Server-rendszerképet.
A Virtuális gép létrehozása területen válassza az Alapszintű beállítások lehetőséget, majd írja be a VM01nevet névként.
Adjon meg érvényes felhasználónevet és jelszót. Ezzel a fiókkal jelentkezhet be a virtuális gépre a létrehozása után.
Adjon meg egy előfizetést, egy erőforráscsoportot és egy helyet. Válassza az OK lehetőséget.
A Méret kiválasztása területen válasszon ki egy virtuálisgép-méretet ehhez a példányhoz, majd válassza a Kiválasztás lehetőséget.
A Beállítások területen ellenőrizze, hogy:
- A virtuális hálózat a Tenant1VNet1.
- Az alhálózat értéke 10.1.1.0/24.
Használja az alapértelmezett beállításokat, és kattintson az OK gombra.
Az Összefoglalás területen tekintse át a virtuális gép konfigurációját, majd kattintson az OK gombra.
További bérlők hozzáadásához ismételje meg az alábbi szakaszokban leírt lépéseket:
- A virtuális hálózat és a virtuálisgép-alhálózat létrehozása
- Az átjáróalhálózat létrehozása
- Virtuális hálózati átjáró létrehozása
- A helyi hálózati átjáró létrehozása
- A kapcsolat létrehozása
- Virtuális gép létrehozása
Ha például a 2. bérlőt használja, ne felejtse el módosítani az IP-címeket az átfedések elkerülése érdekében.
A NAT virtuális gép konfigurálása átjáróbejáráshoz
Fontos
Ez a szakasz csak ASDK üzemelő példányokra vonatkozik. A NAT-ra nincs szükség a többcsomópontos üzemelő példányokhoz.
Az ASDK önállóan van tárolva, és el van különítve attól a hálózattól, amelyen a fizikai gazdagép üzembe van helyezve. Az átjárók által csatlakoztatott VIP-hálózat nem külső; a hálózati címfordítást (NAT) végző útválasztó mögött van elrejtve.
Az útválasztó az útválasztási és távelérési szolgáltatások (RRAS) szerepkört futtató ASDK-gazdagép. Konfigurálnia kell a NAT-ot az ASDK-gazdagépen, hogy engedélyezze a helyek közötti VPN-kapcsolatot a két végponton való csatlakozáshoz.
A NAT konfigurálása
Jelentkezzen be az Azure Stack Hub gazdaszámítógépére a rendszergazdai fiókjával.
Futtassa a szkriptet emelt szintű PowerShell ISE-ben. Ez a szkript a külső BGPNAT-címet adja vissza.
Get-NetNatExternalAddress
A NAT konfigurálásához másolja és szerkessze a következő PowerShell-szkriptet. Szerkessze a szkriptet a
External BGPNAT address
ésInternal IP address
a helyett a következő példaértékekkel:- Külső BGPNAT-cím esetén használja a 10.10.0.62-et
- Belső IP-cím esetén használja a 192.168.102.1-et
Futtassa a következő szkriptet egy emelt szintű PowerShell ISE-ből:
$ExtBgpNat = 'External BGPNAT address' $IntBgpNat = 'Internal IP address' # Designate the external NAT address for the ports that use the IKE authentication. Add-NetNatExternalAddress ` -NatName BGPNAT ` -IPAddress $Using:ExtBgpNat ` -PortStart 499 ` -PortEnd 501 Add-NetNatExternalAddress ` -NatName BGPNAT ` -IPAddress $Using:ExtBgpNat ` -PortStart 4499 ` -PortEnd 4501 # Create a static NAT mapping to map the external address to the Gateway public IP address to map the ISAKMP port 500 for PHASE 1 of the IPSEC tunnel. Add-NetNatStaticMapping ` -NatName BGPNAT ` -Protocol UDP ` -ExternalIPAddress $Using:ExtBgpNat ` -InternalIPAddress $Using:IntBgpNat ` -ExternalPort 500 ` -InternalPort 500 # Configure NAT traversal which uses port 4500 to establish the complete IPSEC tunnel over NAT devices. Add-NetNatStaticMapping ` -NatName BGPNAT ` -Protocol UDP ` -ExternalIPAddress $Using:ExtBgpNat ` -InternalIPAddress $Using:IntBgpNat ` -ExternalPort 4500 ` -InternalPort 4500
Az Azure konfigurálása
Az Azure Stack Hub konfigurálásának befejezése után üzembe helyezheti az Azure-erőforrásokat. Az alábbi ábra egy azure-beli bérlői virtuális hálózat példáját mutatja be. Az Azure-beli virtuális hálózatához bármilyen nevet és címzési sémát használhat. Az Azure-ban és az Azure Stack Hubban található virtuális hálózatok címtartományának azonban egyedinek kell lennie, és nem lehetnek átfedésben:
Az Azure-ban üzembe helyezett erőforrások hasonlóak az Azure Stack Hubban üzembe helyezett erőforrásokhoz. A következő összetevőket kell üzembe helyeznie:
- Virtuális hálózatok és alhálózatok
- Átjáróalhálózat
- Virtuális hálózati átjáró
- Kapcsolat
- ExpressRoute-kapcsolatcsoport
Az Azure-beli hálózati infrastruktúra a következőképpen van konfigurálva:
- Egy standard hub (192.168.2.0/24) és küllős (10.100.0.0./16) virtuális hálózati modell. A küllős hálózati topológiával kapcsolatos további információkért lásd: Küllős hálózati topológia implementálása az Azure-ban.
- A számítási feladatok a küllős virtuális hálózaton vannak üzembe helyezve, és az ExpressRoute-kapcsolatcsoport csatlakozik a központi virtuális hálózathoz.
- A két virtuális hálózat virtuális hálózatok közötti társviszony-létesítés használatával csatlakozik.
Az Azure-beli virtuális hálózatok konfigurálása
- Jelentkezzen be a Azure Portal az Azure-beli hitelesítő adataival.
- Hozza létre a központi virtuális hálózatot a 192.168.2.0/24 címtartomány használatával.
- Hozzon létre egy alhálózatot a 192.168.2.0/25 címtartomány használatával, és adjon hozzá egy átjáróalhálózatot a 192.168.2.128/27 címtartomány használatával.
- Hozza létre a küllő virtuális hálózatot és alhálózatot a 10.100.0.0/16 címtartomány használatával.
További információ a virtuális hálózatok Azure-ban történő létrehozásáról: Virtuális hálózat létrehozása.
ExpressRoute-kapcsolatcsoport konfigurálása
Tekintse át az ExpressRoute előfeltételeit az ExpressRoute előfeltételei & ellenőrzőlistán.
Az ExpressRoute-kapcsolatcsoport Azure-előfizetéssel történő létrehozásához kövesse az ExpressRoute-kapcsolatcsoport létrehozása és módosítása című szakasz lépéseit.
Megjegyzés
Adja meg a kapcsolatcsoporthoz tartozó szolgáltatáskulcsot a szolgáltatásnak, hogy azok a végén beállíthassák az ExpressRoute-kapcsolatcsoportot.
Kövesse az ExpressRoute-kapcsolatcsoport társviszony-létesítésének létrehozása és módosítása című témakör lépéseit a privát társviszony expressRoute-kapcsolatcsoporton való konfigurálásához.
Virtuális hálózati átjáró létrehozása
Kövesse a Virtuális hálózati átjáró konfigurálása az ExpressRoute-hoz a PowerShell használatával című témakör lépéseit, hogy létrehozhasson egy virtuális hálózati átjárót az ExpressRoute-hoz a központi virtuális hálózaton.
A kapcsolat létrehozása
Az ExpressRoute-kapcsolatcsoport és a központi virtuális hálózat összekapcsolásához kövesse a Virtuális hálózat csatlakoztatása ExpressRoute-kapcsolatcsoporthoz című témakör lépéseit.
A virtuális hálózatok társítása
Társviszonyt létesíthet a küllős virtuális hálózatokkal a Virtuális hálózatok közötti társviszony-létesítés létrehozása a Azure Portal használatával című témakörben leírt lépésekkel. A virtuális hálózatok közötti társviszony konfigurálásakor győződjön meg arról, hogy a következő beállításokat használja:
- A központtól a küllőig: Átjárótovábbítás engedélyezése.
- A küllőtől a központig használja a távoli átjárót.
Virtuális gép létrehozása
Helyezze üzembe a számítási feladat virtuális gépeit a küllős virtuális hálózaton.
Ismételje meg ezeket a lépéseket az Azure-ban csatlakozni kívánt további bérlői virtuális hálózatok esetében a megfelelő ExpressRoute-kapcsolatcsoportokon keresztül.
Az útválasztó konfigurálása
Az ExpressRoute-útválasztó konfigurálásához az alábbi ExpressRoute-útválasztó konfigurációs diagramját használhatja útmutatóként. Ez az ábra két bérlőt (1. bérlő és 2. bérlő) mutat be a megfelelő ExpressRoute-kapcsolatcsoportokkal. Minden bérlő az ExpressRoute-útválasztó LAN- és WAN-oldalán található saját VRF-hez (virtuális útválasztáshoz és továbbításhoz) kapcsolódik. Ez a konfiguráció biztosítja a két bérlő közötti végpontok közötti elkülönítést. A konfigurációs példát követve jegyezze fel az útválasztó interfészeiben használt IP-címeket.
Bármely olyan útválasztót használhat, amely támogatja az IKEv2 VPN-t és a BGP-t, hogy megszakítsa a helyek közötti VPN-kapcsolatot az Azure Stack Hubról. Ugyanez az útválasztó egy ExpressRoute-kapcsolatcsoport használatával csatlakozik az Azure-hoz.
Az alábbi Cisco ASR 1000 sorozatú aggregációs szolgáltatások útválasztó-konfigurációs példája az ExpressRoute-útválasztó konfigurációs diagramjában látható hálózati infrastruktúrát támogatja.
ip vrf Tenant 1
description Routing Domain for PRIVATE peering to Azure for Tenant 1
rd 1:1
!
ip vrf Tenant 2
description Routing Domain for PRIVATE peering to Azure for Tenant 2
rd 1:5
!
crypto ikev2 proposal V2-PROPOSAL2
description IKEv2 proposal for Tenant 1
encryption aes-cbc-256
integrity sha256
group 2
crypto ikev2 proposal V4-PROPOSAL2
description IKEv2 proposal for Tenant 2
encryption aes-cbc-256
integrity sha256
group 2
!
crypto ikev2 policy V2-POLICY2
description IKEv2 Policy for Tenant 1
match fvrf Tenant 1
match address local 10.60.3.255
proposal V2-PROPOSAL2
description IKEv2 Policy for Tenant 2
crypto ikev2 policy V4-POLICY2
match fvrf Tenant 2
match address local 10.60.3.251
proposal V4-PROPOSAL2
!
crypto ikev2 profile V2-PROFILE
description IKEv2 profile for Tenant 1
match fvrf Tenant 1
match address local 10.60.3.255
match identity remote any
authentication remote pre-share key abc123
authentication local pre-share key abc123
ivrf Tenant 1
!
crypto ikev2 profile V4-PROFILE
description IKEv2 profile for Tenant 2
match fvrf Tenant 2
match address local 10.60.3.251
match identity remote any
authentication remote pre-share key abc123
authentication local pre-share key abc123
ivrf Tenant 2
!
crypto ipsec transform-set V2-TRANSFORM2 esp-gcm 256
mode tunnel
crypto ipsec transform-set V4-TRANSFORM2 esp-gcm 256
mode tunnel
!
crypto ipsec profile V2-PROFILE
set transform-set V2-TRANSFORM2
set ikev2-profile V2-PROFILE
!
crypto ipsec profile V4-PROFILE
set transform-set V4-TRANSFORM2
set ikev2-profile V4-PROFILE
!
interface Tunnel10
description S2S VPN Tunnel for Tenant 1
ip vrf forwarding Tenant 1
ip address 11.0.0.2 255.255.255.252
ip tcp adjust-mss 1350
tunnel source TenGigabitEthernet0/1/0.211
tunnel mode ipsec ipv4
tunnel destination 10.10.0.62
tunnel vrf Tenant 1
tunnel protection ipsec profile V2-PROFILE
!
interface Tunnel20
description S2S VPN Tunnel for Tenant 2
ip vrf forwarding Tenant 2
ip address 11.0.0.2 255.255.255.252
ip tcp adjust-mss 1350
tunnel source TenGigabitEthernet0/1/0.213
tunnel mode ipsec ipv4
tunnel destination 10.10.0.62
tunnel vrf VNET3
tunnel protection ipsec profile V4-PROFILE
!
interface GigabitEthernet0/0/1
description PRIMARY ExpressRoute Link to AZURE over Equinix
no ip address
negotiation auto
!
interface GigabitEthernet0/0/1.100
description Primary WAN interface of Tenant 1
description PRIMARY ER link supporting Tenant 1 to Azure
encapsulation dot1Q 101
ip vrf forwarding Tenant 1
ip address 192.168.1.1 255.255.255.252
!
interface GigabitEthernet0/0/1.102
description Primary WAN interface of Tenant 2
description PRIMARY ER link supporting Tenant 2 to Azure
encapsulation dot1Q 102
ip vrf forwarding Tenant 2
ip address 192.168.1.17 255.255.255.252
!
interface GigabitEthernet0/0/2
description BACKUP ExpressRoute Link to AZURE over Equinix
no ip address
negotiation auto
!
interface GigabitEthernet0/0/2.100
description Secondary WAN interface of Tenant 1
description BACKUP ER link supporting Tenant 1 to Azure
encapsulation dot1Q 101
ip vrf forwarding Tenant 1
ip address 192.168.1.5 255.255.255.252
!
interface GigabitEthernet0/0/2.102
description Secondary WAN interface of Tenant 2
description BACKUP ER link supporting Tenant 2 to Azure
encapsulation dot1Q 102
ip vrf forwarding Tenant 2
ip address 192.168.1.21 255.255.255.252
!
interface TenGigabitEthernet0/1/0
description Downlink to ---Port 1/47
no ip address
!
interface TenGigabitEthernet0/1/0.211
description LAN interface of Tenant 1
description Downlink to --- Port 1/47.211
encapsulation dot1Q 211
ip vrf forwarding Tenant 1
ip address 10.60.3.255 255.255.255.254
!
interface TenGigabitEthernet0/1/0.213
description LAN interface of Tenant 2
description Downlink to --- Port 1/47.213
encapsulation dot1Q 213
ip vrf forwarding Tenant 2
ip address 10.60.3.251 255.255.255.254
!
router bgp 65530
bgp router-id <removed>
bgp log-neighbor-changes
description BGP neighbor config and route advertisement for Tenant 1 VRF
address-family ipv4 vrf Tenant 1
network 10.1.0.0 mask 255.255.0.0
network 10.60.3.254 mask 255.255.255.254
network 192.168.1.0 mask 255.255.255.252
network 192.168.1.4 mask 255.255.255.252
neighbor 10.10.0.62 remote-as 65100
neighbor 10.10.0.62 description VPN-BGP-PEER-for-Tenant 1
neighbor 10.10.0.62 ebgp-multihop 5
neighbor 10.10.0.62 activate
neighbor 10.60.3.254 remote-as 4232570301
neighbor 10.60.3.254 description LAN peer for CPEC:INET:2112 VRF
neighbor 10.60.3.254 activate
neighbor 10.60.3.254 route-map BLOCK-ALL out
neighbor 192.168.1.2 remote-as 12076
neighbor 192.168.1.2 description PRIMARY ER peer for Tenant 1 to Azure
neighbor 192.168.1.2 ebgp-multihop 5
neighbor 192.168.1.2 activate
neighbor 192.168.1.2 soft-reconfiguration inbound
neighbor 192.168.1.2 route-map Tenant 1-ONLY out
neighbor 192.168.1.6 remote-as 12076
neighbor 192.168.1.6 description BACKUP ER peer for Tenant 1 to Azure
neighbor 192.168.1.6 ebgp-multihop 5
neighbor 192.168.1.6 activate
neighbor 192.168.1.6 soft-reconfiguration inbound
neighbor 192.168.1.6 route-map Tenant 1-ONLY out
maximum-paths 8
exit-address-family
!
description BGP neighbor config and route advertisement for Tenant 2 VRF
address-family ipv4 vrf Tenant 2
network 10.1.0.0 mask 255.255.0.0
network 10.60.3.250 mask 255.255.255.254
network 192.168.1.16 mask 255.255.255.252
network 192.168.1.20 mask 255.255.255.252
neighbor 10.10.0.62 remote-as 65300
neighbor 10.10.0.62 description VPN-BGP-PEER-for-Tenant 2
neighbor 10.10.0.62 ebgp-multihop 5
neighbor 10.10.0.62 activate
neighbor 10.60.3.250 remote-as 4232570301
neighbor 10.60.3.250 description LAN peer for CPEC:INET:2112 VRF
neighbor 10.60.3.250 activate
neighbor 10.60.3.250 route-map BLOCK-ALL out
neighbor 192.168.1.18 remote-as 12076
neighbor 192.168.1.18 description PRIMARY ER peer for Tenant 2 to Azure
neighbor 192.168.1.18 ebgp-multihop 5
neighbor 192.168.1.18 activate
neighbor 192.168.1.18 soft-reconfiguration inbound
neighbor 192.168.1.18 route-map VNET-ONLY out
neighbor 192.168.1.22 remote-as 12076
neighbor 192.168.1.22 description BACKUP ER peer for Tenant 2 to Azure
neighbor 192.168.1.22 ebgp-multihop 5
neighbor 192.168.1.22 activate
neighbor 192.168.1.22 soft-reconfiguration inbound
neighbor 192.168.1.22 route-map VNET-ONLY out
maximum-paths 8
exit-address-family
!
ip forward-protocol nd
!
ip as-path access-list 1 permit ^$
ip route vrf Tenant 1 10.1.0.0 255.255.0.0 Tunnel10
ip route vrf Tenant 2 10.1.0.0 255.255.0.0 Tunnel20
!
ip prefix-list BLOCK-ALL seq 5 deny 0.0.0.0/0 le 32
!
route-map BLOCK-ALL permit 10
match ip address prefix-list BLOCK-ALL
!
route-map VNET-ONLY permit 10
match as-path 1
!
A kapcsolat tesztelése
A helyek közötti kapcsolat és az ExpressRoute-kapcsolatcsoport létrehozása után tesztelje a kapcsolatot.
Hajtsa végre a következő pingelési teszteket:
- Jelentkezzen be az Azure-beli virtuális hálózat egyik virtuális gépére, és pingelje az Azure Stack Hubban létrehozott virtuális gépet.
- Jelentkezzen be az Azure Stack Hubban létrehozott virtuális gépek egyikére, és pingelje az Azure-beli virtuális hálózatban létrehozott virtuális gépet.
Megjegyzés
Ha meg szeretné győződni arról, hogy a forgalmat a helyek közötti és az ExpressRoute-kapcsolatokon keresztül küldi el, a virtuális gép dedikált IP-címét (DIP) mindkét végén pingelnie kell, nem pedig a virtuális gép VIP-címét.
Az ICMP engedélyezése a tűzfalon keresztül
Alapértelmezés szerint Windows Server 2016 nem engedélyezi a bejövő ICMP-csomagokat a tűzfalon keresztül. Minden pingelési teszthez használt virtuális gép esetében engedélyeznie kell a bejövő ICMP-csomagokat. Ha tűzfalszabályt szeretne létrehozni az ICMP-hez, futtassa a következő parancsmagot egy emelt szintű PowerShell-ablakban:
# Create ICMP firewall rule.
New-NetFirewallRule `
-DisplayName "Allow ICMPv4-In" `
-Protocol ICMPv4
Az Azure Stack Hub virtuális gépének pingelése
Jelentkezzen be az Azure Stack Hub felhasználói portáljára.
Keresse meg a létrehozott virtuális gépet, és válassza ki.
Válassza a Kapcsolódás lehetőséget.
Egy emelt szintű Windows- vagy PowerShell-parancssorban adja meg az ipconfig /all parancsot. Jegyezze fel a kimenetben visszaadott IPv4-címet.
Pingelje az IPv4-címet az Azure-beli virtuális hálózat virtuális gépéről.
A példakörnyezetben az IPv4-cím a 10.1.1.x/24 alhálózatból származik. A környezetében a cím eltérő lehet, de a bérlői virtuális hálózat alhálózatához létrehozott alhálózatban kell lennie.
Adatátviteli statisztikák megtekintése
Ha tudni szeretné, hogy mekkora forgalom halad át a kapcsolaton, ezeket az információkat az Azure Stack Hub felhasználói portálján találja. Az adatátviteli statisztikák megtekintésével azt is megállapíthatja, hogy a pingelési tesztadatok átmentek-e a VPN- és ExpressRoute-kapcsolatokon:
- Jelentkezzen be az Azure Stack Hub felhasználói portáljára, és válassza a Minden erőforrás lehetőséget.
- Keresse meg a VPN Gateway erőforráscsoportját, és válassza ki a Kapcsolat objektumtípust.
- Válassza ki a ConnectToAzure kapcsolatot a listából.
- A Kapcsolatok>áttekintése területen megtekintheti a be- és kimenőadatokra vonatkozó statisztikákat. Néhány nem nulla értéket kell látnia.
Következő lépések
Alkalmazások üzembe helyezése az Azure-ban és az Azure Stack Hubban