BGP konfigurálása az Azure-VPN Gateway

  • Cikk

Ez a cikk segít engedélyezni a BGP-t a helyek közötti (S2S) VPN-kapcsolatokon és a virtuális hálózatok közötti kapcsolatokon a Azure Portal használatával. Ezt a konfigurációt az Azure CLI vagy a PowerShell lépéseivel is létrehozhatja.

A BGP az interneten gyakran használt szabványos útválasztási protokoll az útválasztási és elérhetőségi információcserére két vagy több hálózat között. A BGP lehetővé teszi, hogy a VPN-átjárók és a helyszíni VPN-eszközök( más néven BGP-társ vagy szomszédok) "útvonalakat" cseréljenek, amelyek tájékoztatják mindkét átjárót az előtagok rendelkezésre állásáról és elérhetőségéről az érintett átjárókon vagy útválasztókon. A BGP lehetővé teszi a több hálózat közötti tranzit útválasztást azon útvonalak propagálásával az összes többi BGP-társ számára, amelyeket a BGP-átjáró az egyik BGP-társtól vesz át.

A BGP előnyeiről, valamint a BGP használatának technikai követelményeiről és szempontjairól a BGP és az Azure VPN Gateway ismertetése című témakörben olvashat bővebben.

Első lépések

A cikk minden része segít létrehozni egy alapszintű építőelemet a BGP hálózati kapcsolatban való engedélyezéséhez. Ha mindhárom rész (a BGP konfigurálása az átjárón, az S2S-kapcsolaton és a virtuális hálózatok közötti kapcsolaton) befejezi a topológiát az 1. ábrán látható módon. Az alkatrészek kombinálásával összetettebb, több ugrásos, tranzithálózatot hozhat létre, amely megfelel az igényeinek.

1. diagram

A hálózati architektúrát és a beállításokat bemutató ábra.

Az 1. diagramra hivatkozva, ha a BGP le lenne tiltva a TestVNet2 és a TestVNet1 között, a TestVNet2 nem ismerné meg a helyszíni hálózat (Site5) útvonalait, ezért nem tudott kommunikálni az 5. hellyel. A BGP engedélyezése után mindhárom hálózat képes lesz kommunikálni az S2S IPsec és a VNet–VNet kapcsolatokon keresztül.

Előfeltételek

Győződjön meg arról, hogy rendelkezik Azure-előfizetéssel. Ha még nincs Azure-előfizetése, aktiválhatja MSDN-előfizetői előnyeit, vagy regisztrálhat egy ingyenes fiókot.

BGP engedélyezése a VPN-átjáróhoz

Erre a szakaszra a másik két konfigurációs szakaszban szereplő lépések végrehajtása előtt van szükség. Az alábbi konfigurációs lépések a VPN-átjáró BGP-paramétereit állítják be a 2. ábrán látható módon.

2. diagram

A virtuális hálózati átjáró beállításait bemutató ábra.

1. TestVNet1 létrehozása

Ebben a lépésben a TestVNet1-et hozza létre és konfigurálja. Az Azure-beli virtuális hálózat és a VPN-átjáró létrehozásához és konfigurálásához kövesse az Átjáró létrehozása oktatóanyag lépéseit.

Virtuális hálózat példaértékei:

  • Erőforráscsoport: TestRG1
  • Virtuális hálózat: TestVNet1
  • Hely/régió: EastUS
  • Címtér: 10.11.0.0/16, 10.12.0.0/16
  • Alhálózatok:
    • Előtér: 10.11.0.0/24
    • Háttér: 10.12.0.0/24
    • Átjáróalhálózat: 10.12.255.0/27

2. TestVNet1 átjáró létrehozása BGP-vel

Ebben a lépésben létrehoz egy VPN-átjárót a megfelelő BGP-paraméterekkel.

  1. A VPN-átjáró létrehozása és kezelése című témakör lépéseit követve hozzon létre egy átjárót a következő paraméterekkel:

    • Példány részletei:

      • Név: VNet1GW
      • Régió: EastUS
      • Átjáró típusa: VPN
      • VPN típusa: Útvonalalapú
      • Termékváltozat: VpnGW1 vagy újabb
      • Generáció: válasszon ki egy generációt
      • Virtuális hálózat: TestVNet1

    • Nyilvános IP-cím

      • Nyilvános IP-cím típusa: Alapszintű vagy Standard
      • Nyilvános IP-cím: Új létrehozása
      • Nyilvános IP-cím neve: VNet1GWIP
      • Aktív-aktív engedélyezése: Letiltva
      • BGP konfigurálása: Engedélyezve

  2. A lap kiemelt BGP konfigurálása szakaszában konfigurálja a következő beállításokat:

    • Válassza a BGP - konfigurálása engedélyezve lehetőséget a BGP-konfiguráció szakasz megjelenítéséhez.

    • Töltse ki az ASN-t (autonóm rendszer számát).

    • Az Azure APIPA BGP IP-cím mezője nem kötelező. Ha a helyszíni VPN-eszközök APIPA-címet használnak a BGP-hez, ki kell választania egy címet a VPN Azure által fenntartott APIPA-címtartományából, amely a 169.254.21.0-tól a 169.254.22.255-ösig terjed.

    • Ha aktív-aktív VPN-átjárót hoz létre, a BGP szakasz egy további második egyéni Azure APIPA BGP IP-címet jelenít meg. Minden kiválasztott címnek egyedinek kell lennie, és az engedélyezett APIPA-tartományban kell lennie (169.254.21.0 és 169.254.22.255 között). Az aktív-aktív átjárók több címet is támogatnak az Azure APIPA BGP IP-címe és a második egyéni Azure APIPA BGP IP-cím esetében is. További bemenetek csak az első APIPA BGP IP-cím megadása után jelennek meg.

      Fontos

      • Alapértelmezés szerint az Azure automatikusan hozzárendel egy privát IP-címet a GatewaySubnet előtagtartományból Azure BGP IP-címként a VPN-átjárón. Az egyéni Azure APIPA BGP-címre akkor van szükség, ha a helyszíni VPN-eszközök BGP-IP-címként APIPA-címet (169.254.0.1–169.254.255.254) használnak. VPN Gateway akkor választja ki az egyéni APIPA-címet, ha a megfelelő helyi hálózati átjáró erőforrás (helyszíni hálózat) BGP-társ IP-címeként APIPA-címmel rendelkezik. Ha a helyi hálózati átjáró normál IP-címet használ (nem APIPA-t), VPN Gateway visszaáll a privát IP-címre a GatewaySubnet tartományból.

      • Az APIPA BGP-címek nem lehetnek átfedésben a helyszíni VPN-eszközök és az összes csatlakoztatott VPN-átjáró között.

      • Ha APIPA-címeket használ a VPN-átjárókon, az átjárók nem kezdeményeznek BGP-társviszony-létesítési munkameneteket APIPA-forrás IP-címekkel. A helyszíni VPN-eszköznek BGP társviszony-létesítési kapcsolatokat kell kezdeményeznie.

  3. Az ellenőrzés futtatásához válassza az Áttekintés + létrehozás lehetőséget . Ha az ellenőrzés sikeres, válassza a Létrehozás lehetőséget a VPN-átjáró üzembe helyezéséhez. Az átjáró létrehozása akár 45 percet vagy hosszabb időt is igénybe vehet a választott átjáró-termékváltozattól függően. Az üzembe helyezés állapotát az átjáró Áttekintés lapján tekintheti meg.

3. Az Azure BGP társ IP-címeinek lekérése

Az átjáró létrehozása után beszerezheti a BGP társ IP-címeit a VPN-átjárón. Ezekre a címekre azért van szükség, hogy a helyszíni VPN-eszközöket úgy konfigurálja, hogy BGP-munkameneteket hozzanak létre a VPN-átjáróval.

A virtuális hálózati átjáró konfigurációs oldalán megtekintheti a BGP konfigurációs adatait a VPN-átjárón: ASN, nyilvános IP-cím és a megfelelő BGP társ IP-címek az Azure oldalán (alapértelmezett és APIPA). A következő konfigurációs módosításokat is elvégezheti:

  • Szükség esetén frissítheti az ASN-t vagy az APIPA BGP IP-címét.
  • Ha aktív-aktív VPN-átjáróval rendelkezik, ezen a lapon a második VPN Gateway-példány nyilvános IP-címe, alapértelmezett és APIPA BGP IP-címe jelenik meg.

Az Azure BGP társ IP-címének lekérése:

  1. Nyissa meg a virtuális hálózati átjáró erőforrását, és válassza a Konfiguráció lapot a BGP konfigurációs adatainak megtekintéséhez.
  2. Jegyezze fel a BGP-társ IP-címét.

BGP konfigurálása létesítmények közötti S2S-kapcsolatokon

Az ebben a szakaszban szereplő utasítások a létesítmények közötti helyek közötti konfigurációkra vonatkoznak.

Létesítmények közötti kapcsolat létrehozásához létre kell hoznia egy helyi hálózati átjárót , amely a helyszíni VPN-eszközt jelöli, valamint egy kapcsolatot a VPN-átjáró és a helyi hálózati átjáró összekapcsolásához a helyek közötti kapcsolat létrehozása című témakörben leírtak szerint. A következő szakaszok a BGP-konfigurációs paraméterek megadásához szükséges további tulajdonságokat tartalmazzák, a 3. ábrán látható módon.

3. diagram

IPsec-konfigurációt bemutató ábra.

Mielőtt továbblép, győződjön meg arról, hogy engedélyezte a BGP-t a VPN-átjáróhoz.

1. Helyi hálózati átjáró létrehozása

Konfiguráljon egy helyi hálózati átjárót BGP-beállításokkal.

  • További információkért és lépésekért tekintse meg a helyek közötti kapcsolatról szóló cikk helyi hálózati átjáróval foglalkozó szakaszát.
  • Ha már rendelkezik helyi hálózati átjáróval, módosíthatja azt. Helyi hálózati átjáró módosításához lépjen a helyi hálózati átjáró erőforrásának Konfiguráció lapjára, és végezze el a szükséges módosításokat.

  1. A helyi hálózati átjáró létrehozásakor ehhez a gyakorlathoz használja a következő értékeket:

    • Név: Site5
    • IP-cím: Annak az átjáróvégpontnak az IP-címe, amelyhez csatlakozni szeretne. Példa: 128.9.9.9
    • Címterek: Ha a BGP engedélyezve van, nincs szükség címtérre.

  2. A BGP-beállítások konfigurálásához lépjen a Speciális lapra. Használja az alábbi példaértékeket (a 3. ábrán látható). Módosítsa a környezetnek megfelelő értékeket.

    • BGP-beállítások konfigurálása: Igen
    • Autonóm rendszerszám (ASN): 65050
    • BGP-társ IP-címe: A helyszíni VPN-eszköz címe. Példa: 10.51.255.254

  3. Kattintson a Véleményezés + létrehozás elemre a helyi hálózati átjáró létrehozásához.

Fontos konfigurációs szempontok

  • Az ASN-nek és a BGP-társ IP-címének meg kell egyeznie a helyszíni VPN-útválasztó konfigurációjának.
  • A címtartományt csak akkor hagyhatja üresen, ha BGP-t használ a hálózathoz való csatlakozáshoz. Az Azure VPN Gateway belsőleg hozzáadja a BGP-társ IP-címének útvonalát a megfelelő IPsec-alagúthoz. Ha NEM használ BGP-t a VPN-átjáró és az adott hálózat között, meg kell adnia a címtér érvényes címelőtagjainak listáját.
  • Szükség esetén használhat apiPA IP-címet (169.254.x.x) helyszíni BGP-társ IP-címként. De meg kell adnia egy APIPA IP-címet is a VPN-átjáróról szóló cikk korábbi részében leírtak szerint, ellenkező esetben a BGP-munkamenet nem tud létrejönni ehhez a kapcsolathoz.
  • Megadhatja a BGP konfigurációs adatait a helyi hálózati átjáró létrehozása során, vagy hozzáadhatja vagy módosíthatja a BGP-konfigurációt a helyi hálózati átjáró erőforrásának Konfiguráció lapján.

2. S2S-kapcsolat konfigurálása engedélyezett BGP-vel

Ebben a lépésben létrehoz egy új kapcsolatot, amely engedélyezve van a BGP-vel. Ha már rendelkezik kapcsolattal, és engedélyezni szeretné a BGP-t, frissítheti.

Kapcsolat létrehozásához

  1. Új kapcsolat létrehozásához lépjen a virtuális hálózati átjáró Kapcsolatok lapjára.
  2. Válassza a +Hozzáadás lehetőséget a Kapcsolat hozzáadása lap megnyitásához.
  3. Töltse ki a szükséges értékeket.
  4. Válassza a BGP engedélyezése lehetőséget a BGP engedélyezéséhez ezen a kapcsolaton.
  5. A módosítások mentéséhez kattintson az OK gombra .

Meglévő kapcsolat frissítése

  1. Nyissa meg a virtuális hálózati átjáró kapcsolatok lapját .
  2. Válassza ki a módosítani kívánt kapcsolatot.
  3. Nyissa meg a kapcsolat Konfiguráció lapját.
  4. Módosítsa a BGP beállítást Engedélyezve értékre.
  5. Mentse a módosításokat.

Helyszíni eszközkonfiguráció

Az alábbi példa a helyszíni VPN-eszköz BGP-konfigurációs szakaszában megadott paramétereket sorolja fel ehhez a gyakorlathoz:

- Site5 ASN            : 65050
- Site5 BGP IP         : 10.51.255.254
- Prefixes to announce : (for example) 10.51.0.0/16
- Azure VNet ASN       : 65010
- Azure VNet BGP IP    : 10.12.255.30
- Static route         : Add a route for 10.12.255.30/32, with nexthop being the VPN tunnel interface on your device
- eBGP Multihop        : Ensure the "multihop" option for eBGP is enabled on your device if needed

A BGP engedélyezése virtuális hálózatok közötti kapcsolatokon

Az ebben a szakaszban ismertetett lépések a virtuális hálózatok közötti kapcsolatokra vonatkoznak.

A BGP virtuális hálózatok közötti kapcsolaton való engedélyezéséhez vagy letiltásához ugyanazokat a lépéseket kell követnie, mint az előző szakaszban szereplő S2S-helyek közötti lépések . A kapcsolat létrehozásakor engedélyezheti a BGP-t, vagy frissítheti a konfigurációt egy meglévő virtuális hálózatok közötti kapcsolaton.

Megjegyzés

A BGP nélküli virtuális hálózatok közötti kapcsolat csak a két csatlakoztatott virtuális hálózat közötti kommunikációt korlátozza. Engedélyezze a BGP-t, hogy engedélyezze a két virtuális hálózat egyéb S2S- vagy VNet-hálózatok közötti kapcsolatainak átvitel-útválasztási képességét.

Következő lépések

A BGP-vel kapcsolatos további információkért lásd: A BGP és a VPN Gateway ismertetése.