ExpressRoute- és helyek közötti párhuzamos kapcsolatok konfigurálása az Azure Portal használatával
Ez a cikk segítséget nyújt az ExpressRoute és a helyek közötti VPN-kapcsolatok egyidejű konfigurálásában. A helyek közötti VPN és az ExpressRoute konfigurálásának lehetősége több előnnyel jár. A helyek közötti VPN-t az ExpressRoute biztonságos feladatátvételi útvonalaként konfigurálhatja, vagy helyek közötti VPN-ek használatával csatlakozhat olyan webhelyekhez, amelyek nem az ExpressRoute-on keresztül csatlakoznak. A cikkben mindkét forgatókönyv lépéseit ismertetjük. Ez a cikk a Resource Manager-alapú üzemi modell vonatkozik.
Az egyidejű helyek közötti VPN- és ExpressRoute-kapcsolatok konfigurálása több előnnyel jár:
- Konfigurálhat helyek közötti VPN-t biztonságos feladatátvételi útvonalként az ExpressRoute számára.
- Másik lehetőségként a helyek közötti VPN-ek használatával is csatlakozhat olyan webhelyekhez, amelyek nem az ExpressRoute-on keresztül csatlakoznak.
Ebben a cikkben ismertetjük mindkét forgatókönyv konfigurálásának lépéseit. Először bármelyik átjárót konfigurálhatja. Új átjáró- vagy átjárókapcsolat hozzáadásakor általában nincs állásidő.
Feljegyzés
- Ha helyek közötti VPN-t szeretne létrehozni egy ExpressRoute-kapcsolaton keresztül, tekintse meg a helyek közötti kapcsolatot a Microsoft-társviszony-létesítés során.
- Az ExpressRoute-VPN-átjáró egyidejű használata esetén, ha már telepített egy ExpressRoute-t, nem kell virtuális hálózatot és átjáróalhálózatot létrehoznia, mivel ezek előfeltételei az ExpressRoute létrehozásának.
- Titkosított Express Route Gateway esetén az MSS-befogás az Azure VPN Gatewayen keresztül történik a TCP-csomagméret 1250 bájton való rögzítéséhez
Korlátok és korlátozások
- Kizárólag az útvonalalapú VPN-átjáró támogatott. Útvonalalapú VPN-átjárót kell használnia. Útvonalalapú VPN-átjárót is használhat a "szabályzatalapú forgalomválasztókhoz" konfigurált VPN-kapcsolattal, a Connectben leírtak szerint több szabályzatalapú VPN-eszközhöz.
- Az ExpressRoute-VPN Gateway párhuzamos konfigurációi nem támogatottak az alapszintű termékváltozatban.
- Az ExpressRoute-nak és a VPN-átjáróknak is képesnek kell lenniük kommunikálni egymással a BGP-en keresztül a megfelelő működéshez. Ha UDR-t használ az átjáró alhálózatán, győződjön meg arról, hogy nem tartalmaz útvonalat magának az átjáróalhálózat-tartománynak, mivel ez zavarja a BGP-forgalmat.
- Ha az ExpressRoute és a VPN közötti átviteles útválasztást szeretné használni, az Azure VPN Gateway ASN-jének 65515-nek kell lennie. Az Azure VPN Gateway támogatja a BGP útválasztási protokollt. Ahhoz, hogy az ExpressRoute és az Azure VPN együttműködjön, meg kell őriznie az Azure VPN-átjáró autonóm rendszerszámát az alapértelmezett értéken( 65515). Ha korábban a 65515-östől eltérő ASN-t választott, és a beállítást 65515-ösre módosította, a beállítás érvénybe lépéséhez alaphelyzetbe kell állítania a VPN-átjárót.
- Az átjáró alhálózatának /27 vagy rövidebb előtagnak (például /26, /25) kell lennie, vagy hibaüzenet jelenik meg az ExpressRoute virtuális hálózati átjáró hozzáadásakor.
Konfigurációs tervek
Helyek közötti VPN konfigurálása feladatátvételi útvonalként az ExpressRoute számára
Konfigurálhat egy helyek közötti VPN-kapcsolatot tartalékként az ExpressRoute számára. Ez a kapcsolat csak az Azure privát társviszony-létesítési útvonalhoz társított virtuális hálózatokra vonatkozik. Az Azure Microsoft társviszony-létesítésen keresztül elérhető szolgáltatásokhoz nincs VPN-alapú feladatátvételi megoldás. Minden esetben az ExpressRoute-kapcsolatcsoport az elsődleges kapcsolat. Az adatok csak akkor lesznek a helyek közötti VPN-útvonalon továbbítva, ha az ExpressRoute-kapcsolatcsoport meghibásodik. Az aszimmetrikus útválasztás elkerüléséhez a helyi hálózati konfigurációnak szintén az ExpressRoute-kapcsolatcsoportot kell előnyben részesítenie a helyek közötti VPN helyett. Az ExpressRoute elérési útjának előnyben részesítéséhez beállíthat magasabb helyi prioritást az ExpressRoute által fogadott útvonalakhoz.
Feljegyzés
Ha engedélyezve van az ExpressRoute Microsoft Társviszony-létesítés, az Azure VPN-átjáró nyilvános IP-címét is megkaphatja az ExpressRoute-kapcsolaton. A helyek közötti VPN-kapcsolat biztonsági mentésként való beállításához konfigurálnia kell a helyszíni hálózatot, hogy a VPN-kapcsolat az internetre legyen irányítva.
Feljegyzés
Bár a rendszer az ExpressRoute-kapcsolatcsoportot részesíti előnyben a helyek közötti VPN helyett, ha az útvonalak megegyeznek, az Azure a leghosszabb előtag-megfeleltetéssel választja ki a célcsomag útvonalát.
Helyek közötti VPN konfigurálása az ExpressRoute használatával nem csatlakozó helyekhez
A hálózatát konfigurálhatja úgy is, hogy egyes helyek közvetlenül az Azure-hoz kapcsolódnak helyek közötti VPN-en keresztül, míg más helyek az ExpressRoute használatával kapcsolódnak.
A használni kívánt lépések kiválasztása
Két különböző eljáráscsoport közül választhat. A konfigurálás választott módja attól függ, hogy rendelkezik-e meglévő virtuális hálózattal, amelyhez csatlakozni szeretne, vagy egy új virtuális hálózatot szeretne létrehozni.
Nem rendelkezem VNettel, és létre kell hoznom egyet.
Ha még nem rendelkezik virtuális hálózattal, ez az eljárás lépésről lépésre végigvezeti az új virtuális hálózat létrehozásának folyamatán a Resource Manager-alapú üzemi modellnek megfelelően, valamint az új ExpressRoute- és helyek közötti VPN-kapcsolatok létrehozásának folyamatán. Virtuális hálózat konfigurálásához kövesse az Új virtuális hálózat és egyidejű kapcsolatok létrehozása szakaszban foglalt lépéseket.
Már rendelkezem egy Resource Manager-alapú üzemi modell szerinti VNettel.
Előfordulhat, hogy már rendelkezik üzemelő virtuális hálózattal egy létező helyek közötti VPN- vagy ExpressRoute-kapcsolattal. Ebben az esetben, ha az átjáró alhálózatának előtagja /28 vagy hosszabb (/29, /30 stb.), akkor törölnie kell a meglévő átjárót. Az Egyidejű kapcsolatok konfigurálása meglévő VNet számára szakasz végigvezeti az átjáró törlésének, majd az új ExpressRoute- és helyek között VPN-kapcsolatok létrehozásának folyamatán.
Ha törli és újra létrehozza az átjárót, állásidő áll rendelkezésre a helyek közötti kapcsolatokhoz. A virtuális gépek és szolgáltatások azonban a terheléselosztón keresztül kommunikálhatnak, miközben ön konfigurálja az átjárót, ha ezek erre vannak konfigurálva.
Új virtuális hálózat és egyidejű kapcsolatok létrehozása
Ez az eljárás végigvezeti az egyidejű virtuális hálózatok, helyek közötti és ExpressRoute-kapcsolatok létrehozásán.
Jelentkezzen be az Azure Portalra.
A képernyő bal felső részén válassza a + Erőforrás létrehozása és a Virtuális hálózat keresése lehetőséget.
Válassza a Létrehozás lehetőséget a virtuális hálózat konfigurálásának megkezdéséhez.
Az Alapszintű beállítások lapon válasszon vagy hozzon létre egy új erőforráscsoportot a virtuális hálózat tárolásához. Ezután adja meg a nevet , és válassza ki a régiót a virtuális hálózat üzembe helyezéséhez. Válassza a Tovább: IP-címek > lehetőséget a címtér és az alhálózatok konfigurálásához.
Az IP-címek lapon konfigurálja a virtuális hálózati címteret. Ezután adja meg a létrehozni kívánt alhálózatokat, beleértve az átjáró alhálózatát is. Válassza a Véleményezés + létrehozás, majd a Létrehozás* lehetőséget a virtuális hálózat üzembe helyezéséhez. A virtuális hálózatok létrehozásával kapcsolatos további információkért lásd a virtuális hálózatok létrehozásával foglalkozó témakört. Az alhálózatok létrehozásával kapcsolatos további információkért lásd az alhálózatok létrehozásával foglalkozó témakört.
Fontos
Az átjáró-alhálózat /27 vagy egy rövidebb előtag kell legyen (például /26 vagy /25).
Hozza létre a helyek közötti VPN-átjárót és a helyi hálózati átjárót. A VPN-átjáró konfigurálásával kapcsolatos további információkért lásd: VNet létrehozása helyek közötti kapcsolattal. A GatewaySku csak VpnGw1, VpnGw2, VpnGw3, Standard és Nagy teljesítményű VPN-átjárók esetén támogatott. Az ExpressRoute-VPN Gateway egyidejű konfigurációi nem támogatottak az alapszintű termékváltozatban. A VpnType paramétert RouteBased értékre kell állítania.
Konfigurálja helyi VPN-eszközét, hogy az új Azure VPN-átjáróhoz csatlakozzon. A VPN-eszköz konfigurálásával kapcsolatos további információkért lásd: VPN-eszköz konfigurálása.
Ha egy meglévő ExpressRoute-kapcsolatcsoporthoz csatlakozik, hagyja ki a 8. és a 9. lépést, és ugorjon a 10. lépésre. ExpressRoute-kapcsolatcsoportok konfigurálása. ExpressRoute-kapcsolatcsoportok konfigurálásával kapcsolatos további információkért lásd: ExpressRoute-kapcsolatcsoport létrehozása.
Azure-beli privát társviszony konfigurálása az ExpressRoute-kapcsolatcsoporton keresztül. Azure-beli privát társviszony ExpressRoute-kapcsolatcsoporton keresztüli konfigurálásáról további információért lásd: társviszony létesítésének konfigurálása
Válassza a + Erőforrás létrehozása lehetőséget, és keressen rá a virtuális hálózati átjáróra. Válassza a Létrehozás parancsot.
Válassza ki az ExpressRoute-átjáró típusát, a megfelelő termékváltozatot és a virtuális hálózatot az átjáró üzembe helyezéséhez.
Csatlakoztassa az ExpressRoute-átjárót az ExpressRoute-kapcsolatcsoporthoz. A lépés végrehajtásával létrejön a kapcsolat a helyszíni hálózat és az Azure között az ExpressRoute-on keresztül. A csatolási művelettel kapcsolatos további információkért lásd: VNetek csatolása az ExpressRoute-hoz.
Egyidejű kapcsolatok konfigurálása meglévő VNet számára
Ha olyan virtuális hálózattal rendelkezik, amely csak egy virtuális hálózati átjáróval rendelkezik, például egy helyek közötti VPN-átjáróval, és egy másik típusú átjárót szeretne hozzáadni, például az ExpressRoute-átjárót, ellenőrizze az átjáró alhálózatának méretét. Ha az átjáró alhálózata /27 vagy nagyobb, kihagyhatja a következő lépéseket, és az előző szakaszban ismertetett lépéseket követve hozzáadhat egy helyek közötti VPN-átjárót vagy egy ExpressRoute-átjárót. Ha az átjáró-alhálózat /28 vagy /29, először törölnie kell a virtuális hálózati átjárót, és növelnie kell az átjáró-alhálózat méretét. A jelen szakaszban ismertetett lépések bemutatják, mindez hogyan valósítható meg.
Törölje a meglévő ExpressRoute- vagy helyek közötti VPN-átjárót.
Törölje és hozza létre újra a GatewaySubnetet, hogy /27 vagy rövidebb előtaggal rendelkezzen.
Konfiguráljon egy virtuális hálózatot helyek közötti kapcsolattal , majd konfigurálja az ExpressRoute-átjárót.
Az ExpressRoute-átjáró üzembe helyezése után összekapcsolhatja a virtuális hálózatot az ExpressRoute-kapcsolatcsoporttal.
Pont-hely konfiguráció hozzáadása a VPN-átjáróhoz
Pont–hely konfigurációt adhat az egyidejű csoporthoz a pont–hely VPN-kapcsolat Azure-tanúsítványhitelesítéssel történő konfigurálásával
Az ExpressRoute és az Azure VPN közötti átvitel útválasztásának engedélyezése
Ha engedélyezni szeretné a kapcsolatot az ExpressRoute-hoz csatlakoztatott egyik helyi hálózata és egy másik, helyek közötti VPN-kapcsolathoz csatlakoztatott helyi hálózata között, be kell állítania az Azure Route Servert.
Következő lépések
További információ az ExpressRoute-tal kapcsolatban: ExpressRoute – Gyakori kérdések.