Megosztás a következőn keresztül:

BGP konfigurálása az Azure VPN Gatewayhez

  • Cikk

Ez a cikk segít engedélyezni a BGP-t helyek közötti (S2S) VPN-kapcsolatokon és virtuális hálózatok közötti kapcsolatokon az Azure Portal használatával. Ezt a konfigurációt az Azure CLI vagy a PowerShell lépéseivel is létrehozhatja.

A BGP az interneten gyakran használt szabványos útválasztási protokoll az útválasztási és elérhetőségi információcserére két vagy több hálózat között. A BGP lehetővé teszi a VPN-átjárók és az Ön helyszíni VPN-eszközei (más néven BGP-társak vagy -szomszédok) számára az információcserét az „útvonalakat” illetően. Ezáltal mindkét átjáró ismerni fogja az érintett átjárókon és útválasztókon áthaladó előtagok rendelkezésre állási és elérhetőségi információit. A BGP lehetővé teszi a több hálózat közötti tranzit útválasztást azon útvonalak propagálásával az összes többi BGP-társ számára, amelyeket a BGP-átjáró az egyik BGP-társtól vesz át.

A BGP előnyeiről, valamint a BGP használatának technikai követelményeiről és szempontjairól további információt a BGP és az Azure VPN Gateway ismertetése című témakörben talál.

Első lépések

A cikk minden része segít létrehozni egy alapvető építőelemet a BGP hálózati kapcsolatban való engedélyezéséhez. Ha mindhárom részt végrehajtja (konfigurálja a BGP-t az átjárón, az S2S-kapcsolaton és a virtuális hálózatok közötti kapcsolaton), akkor az 1. ábrán látható módon hozza létre a topológiát. Az alkatrészek kombinálásával összetettebb, több ugrásos, tranzithálózatot hozhat létre, amely megfelel az igényeinek.

1. ábra

A hálózati architektúrát és a beállításokat bemutató ábra.

Az 1. ábrára hivatkozva, ha a BGP le lenne tiltva a TestVNet2 és a TestVNet1 között, a TestVNet2 nem tanulná meg a helyszíni hálózat, a Site5 útvonalait, ezért nem tudott kommunikálni az 5. helytel. A BGP engedélyezése után mindhárom hálózat képes lesz kommunikálni az S2S IPsec és a virtuális hálózatok közötti kapcsolatokon keresztül.

Előfeltételek

Győződjön meg arról, hogy rendelkezik Azure-előfizetéssel. Ha még nincs Azure-előfizetése, aktiválhatja MSDN-előfizetői előnyeit, vagy regisztrálhat egy ingyenes fiókot.

BGP engedélyezése a VPN-átjáróhoz

Erre a szakaszra a másik két konfigurációs szakaszban szereplő lépések végrehajtása előtt van szükség. Az alábbi konfigurációs lépések a VPN-átjáró BGP-paramétereit állítják be a 2. ábrán látható módon.

2. ábra

A virtuális hálózati átjáró beállításait bemutató ábra.

1. TestVNet1 létrehozása

Ebben a lépésben a TestVNet1-et hozza létre és konfigurálja. Az Azure-beli virtuális hálózat és a VPN-átjáró létrehozásához és konfigurálásához kövesse az Átjáró létrehozása oktatóanyag lépéseit.

Virtuális hálózat példaértékei:

  • Erőforráscsoport: TestRG1
  • Virtuális hálózat: TestVNet1
  • Hely/régió: EastUS
  • Címtér: 10.11.0.0/16, 10.12.0.0/16
  • Alhálózatok:
    • Előtér: 10.11.0.0/24
    • Háttér: 10.12.0.0/24
    • Átjáróalhálózat: 10.12.255.0/27

2. TestVNet1 átjáró létrehozása BGP-vel

Ebben a lépésben létrehoz egy VPN-átjárót a megfelelő BGP-paraméterekkel.

  1. A VPN-átjáró létrehozása és kezelése lépésekkel hozzon létre egy átjárót az alábbi paraméterekkel:

    • Példány részletei:

      • Név: VNet1GW
      • Régió: EastUS
      • Átjáró típusa: VPN
      • VPN típusa: Útvonalalapú
      • Termékváltozat: VpnGW1 vagy újabb
      • Generáció: válasszon egy generációt
      • Virtuális hálózat: TestVNet1

    • Nyilvános IP-cím

      • Nyilvános IP-cím típusa: Alapszintű vagy Standard
      • Nyilvános IP-cím: Új létrehozása
      • Nyilvános IP-cím neve: VNet1GWIP
      • Aktív-aktív engedélyezése: Letiltva
      • BGP konfigurálása: Engedélyezve

  2. A lap kiemelt BGP-konfigurálása szakaszában konfigurálja a következő beállításokat:

    • Válassza a BGP-konfigurációs szakasz megjelenítéséhez a BGP-kompatibilis - konfigurálása lehetőséget.

    • Adja meg az ASN-t (autonóm rendszerszám).

    • Az Azure APIPA BGP IP-címmezője nem kötelező. Ha a helyszíni VPN-eszközök APIPA-címet használnak a BGP-hez, ki kell választania egy címet a VPN Azure által fenntartott APIPA-címtartományából, amely a 169.254.21.0-tól a 169.254.22.255-ös verzióig terjed.

    • Ha aktív-aktív VPN-átjárót hoz létre, a BGP szakaszban egy további egyéni Azure APIPA BGP IP-cím jelenik meg. Minden kiválasztott címnek egyedinek kell lennie, és az engedélyezett APIPA-tartományban kell lennie (169.254.21.0–169.254.22.255). Az aktív-aktív átjárók több címet is támogatnak az Azure APIPA BGP IP-címéhez és a második egyéni Azure APIPA BGP IP-címhez. További bemenetek csak azután jelennek meg, miután az első APIPA BGP IP-címet beírta.

      Fontos

      • Alapértelmezés szerint az Azure automatikusan hozzárendel egy privát IP-címet a GatewaySubnet előtagtartományból a VPN-átjáró Azure BGP IP-címeként. Az egyéni Azure APIPA BGP-címre akkor van szükség, ha a helyszíni VPN-eszközök egy APIPA-címet (169.254.0.1–169.254.255.254) használnak BGP IP-címként. A VPN Gateway akkor választja ki az egyéni APIPA-címet, ha a megfelelő helyi hálózati átjáró-erőforrás (helyszíni hálózat) BGP-társ IP-címeként APIPA-címmel rendelkezik. Ha a helyi hálózati átjáró normál IP-címet használ (nem APIPA-t), a VPN Gateway visszaáll a privát IP-címre a GatewaySubnet tartományból.

      • Az APIPA BGP-címek nem lehetnek átfedésben a helyszíni VPN-eszközök és az összes csatlakoztatott VPN-átjáró között.

      • Ha APIPA-címeket használnak VPN-átjárókon, az átjárók nem kezdeményeznek BGP-társviszony-munkameneteket APIPA-forrás IP-címekkel. A helyszíni VPN-eszköznek BGP társviszony-létesítési kapcsolatokat kell kezdeményeznie.

  3. Az ellenőrzés futtatásához válassza a Véleményezés + létrehozás lehetőséget . Az ellenőrzés sikeres befejezése után válassza a Létrehozás lehetőséget a VPN-átjáró üzembe helyezéséhez. Az átjáró létrehozása akár 45 percet vagy hosszabb időt is igénybe vehet a választott átjáró-termékváltozattól függően. Az üzembe helyezés állapotát az átjáró Áttekintés lapján tekintheti meg.

3. Az Azure BGP-társ IP-címeinek lekérése

Az átjáró létrehozása után beszerezheti a BGP-társ IP-címeit a VPN-átjárón. Ezek a címek szükségesek a helyszíni VPN-eszközök konfigurálásához, hogy BGP-munkameneteket hozzanak létre a VPN-átjáróval.

A virtuális hálózati átjáró konfigurációs lapján megtekintheti a BGP konfigurációs adatait a VPN-átjárón: ASN, nyilvános IP-cím és a megfelelő BGP társ IP-címek az Azure-oldalon (alapértelmezett és APIPA). A következő konfigurációs módosításokat is elvégezheti:

  • Szükség esetén frissítheti az ASN-t vagy az APIPA BGP IP-címét.
  • Ha aktív-aktív VPN-átjáróval rendelkezik, ezen a lapon megjelenik a második VPN-átjárópéldány nyilvános IP-címe, alapértelmezett és APIPA BGP IP-címe.

Az Azure BGP-társ IP-címének lekérése:

  1. Nyissa meg a virtuális hálózati átjáró erőforrását, és válassza a Konfiguráció lapot a BGP konfigurációs adatainak megtekintéséhez.
  2. Jegyezze fel a BGP-társ IP-címét.

BGP konfigurálása helyszíni S2S-kapcsolatokon

Az ebben a szakaszban található utasítások a helyek közötti helyek közötti konfigurációkra vonatkoznak.

A helyek közötti kapcsolat létrehozásához létre kell hoznia egy helyi hálózati átjárót, amely a helyszíni VPN-eszközt képviseli, valamint egy kapcsolatot, amely a VPN-átjárót a helyi hálózati átjáróval kapcsolja össze a helyek közötti kapcsolat létrehozása című témakörben leírtak szerint. A következő szakaszok a BGP konfigurációs paramétereinek megadásához szükséges további tulajdonságokat tartalmazzák a 3. ábrán látható módon.

3. ábra

IPsec-konfigurációt bemutató diagram.

A folytatás előtt győződjön meg arról, hogy engedélyezte a BGP-t a VPN-átjáróhoz.

1. Helyi hálózati átjáró létrehozása

Helyi hálózati átjáró konfigurálása BGP-beállításokkal.

  • További információt és lépéseket a helyek közötti kapcsolatról szóló cikk helyi hálózati átjáró szakaszában talál.
  • Ha már rendelkezik helyi hálózati átjáróval, módosíthatja azt. Helyi hálózati átjáró módosításához lépjen a helyi hálózati átjáró erőforrás-konfigurációs lapjára, és végezze el a szükséges módosításokat.

  1. A helyi hálózati átjáró létrehozásakor ehhez a gyakorlathoz használja a következő értékeket:

    • Név: Site5
    • IP-cím: Annak az átjáróvégpontnak az IP-címe, amelyhez csatlakozni szeretne. Példa: 128.9.9.9
    • Címterek: Ha a BGP engedélyezve van, nincs szükség címtérre.

  2. A BGP-beállítások konfigurálásához lépjen a Speciális lapra. Használja a következő példaértékeket (a 3. ábrán látható). Módosítsa a környezetnek megfelelő értékeket.

    • BGP-beállítások konfigurálása: Igen
    • Autonóm rendszerszám (ASN): 65050
    • BGP-társ IP-címe: A helyszíni VPN-eszköz címe. Példa: 10.51.255.254

  3. Kattintson a Véleményezés + létrehozás gombra a helyi hálózati átjáró létrehozásához.

Fontos konfigurációs szempontok

  • Az ASN-nek és a BGP társ IP-címének meg kell egyeznie a helyszíni VPN-útválasztó konfigurációjának.
  • A címtartományt csak akkor hagyhatja üresen, ha BGP-t használ a hálózathoz való csatlakozáshoz. Az Azure VPN Gateway belsőleg hozzáadja a BGP-társ IP-címének útvonalát a megfelelő IPsec-alagúthoz. Ha NEM használ BGP-t a VPN-átjáró és az adott hálózat között, meg kell adnia a címtér érvényes címelőtagjainak listáját.
  • Szükség esetén használhatja az APIPA IP-címét (169.254.x.x) helyszíni BGP-társ IP-címeként. De meg kell adnia egy APIPA IP-címet is a jelen cikkben leírtak szerint a VPN-átjáróhoz, ellenkező esetben a BGP-munkamenet nem hozható létre ehhez a kapcsolathoz.
  • A BGP konfigurációs adatait a helyi hálózati átjáró létrehozásakor, vagy a helyi hálózati átjáró erőforrásának Konfiguráció lapján adhatja meg vagy módosíthatja.

2. S2S-kapcsolat konfigurálása engedélyezett BGP-vel

Ebben a lépésben létrehoz egy új kapcsolatot, amely engedélyezve van a BGP-vel. Ha már rendelkezik kapcsolattal, és engedélyezni szeretné rajta a BGP-t, frissítheti.

Kapcsolat létrehozása

  1. Új kapcsolat létrehozásához lépjen a virtuális hálózati átjáró Kapcsolatok lapjára.
  2. Válassza a +Hozzáadás lehetőséget a Kapcsolat hozzáadása lap megnyitásához.
  3. Adja meg a szükséges értékeket.
  4. Válassza a BGP engedélyezése lehetőséget a BGP engedélyezéséhez ezen a kapcsolaton.
  5. Válassza a OK lehetőséget a módosítások mentéséhez.

Meglévő kapcsolat frissítése

  1. Nyissa meg a virtuális hálózati átjáró kapcsolatok lapját .
  2. Válassza ki a módosítani kívánt kapcsolatot.
  3. Nyissa meg a kapcsolat Konfiguráció lapját.
  4. Módosítsa a BGP-beállítást Engedélyezve értékre.
  5. Mentse a módosításokat.

Helyszíni eszközkonfiguráció

Az alábbi példa a helyszíni VPN-eszköz BGP-konfigurációs szakaszában megadott paramétereket sorolja fel ehhez a gyakorlathoz:

- Site5 ASN            : 65050
- Site5 BGP IP         : 10.51.255.254
- Prefixes to announce : (for example) 10.51.0.0/16
- Azure VNet ASN       : 65010
- Azure VNet BGP IP    : 10.12.255.30
- Static route         : Add a route for 10.12.255.30/32, with nexthop being the VPN tunnel interface on your device
- eBGP Multihop        : Ensure the "multihop" option for eBGP is enabled on your device if needed

A BGP engedélyezése virtuális hálózatok közötti kapcsolatokon

Az ebben a szakaszban ismertetett lépések a virtuális hálózatok közötti kapcsolatokra vonatkoznak.

A BGP virtuális hálózatok közötti kapcsolaton való engedélyezéséhez vagy letiltásához ugyanazokat a lépéseket kell végrehajtania, mint az előző szakaszban szereplő S2S-helyek közötti lépések . A kapcsolat létrehozásakor engedélyezheti a BGP-t, vagy frissítheti a konfigurációt egy meglévő virtuális hálózatok közötti kapcsolaton.

Feljegyzés

A BGP nélküli virtuális hálózatok közötti kapcsolat csak a két csatlakoztatott virtuális hálózat közötti kommunikációt korlátozza. Engedélyezze a BGP-nek, hogy engedélyezze az átvitel-útválasztási képességet a két virtuális hálózat többi S2S- vagy VNet-VNet-kapcsolatához.

Következő lépések

A BGP-vel kapcsolatos további információkért lásd: A BGP és a VPN Gateway ismertetése.