Cara mengonfigurasi BGP untuk Azure VPN Gateway
Artikel ini membantu Anda mengaktifkan BGP pada koneksi VPN situs-ke-situs (S2S) lintas tempat dan koneksi VNet-ke-VNet menggunakan portal Azure. Anda juga dapat membuat konfigurasi ini menggunakan langkah-langkah Azure CLI atau PowerShell .
BGP adalah protokol perutean standar yang umum digunakan di Internet untuk pertukaran informasi perutean dan keterjangkauan antara dua jaringan atau lebih. BGP memungkinkan gateway VPN dan perangkat VPN lokal Anda, yang disebut rekan atau tetangga BGP, untuk bertukar "rute" yang akan memberi tahu kedua gateway tentang ketersediaan dan keterjangkauan prefiks tersebut guna melewati gateway atau router yang terlibat. BGP juga dapat mengaktifkan perutean transit di antara beberapa jaringan dengan menyebarluaskan rute yang dipelajari gateway BGP dari satu peer BGP ke semua rekan BGP lainnya.
Untuk informasi selengkapnya tentang manfaat BGP dan untuk memahami persyaratan teknis dan pertimbangan penggunaan BGP, lihat Tentang BGP dan Azure VPN Gateway.
Memulai
Setiap bagian artikel ini membantu Anda membentuk blok penyusun dasar untuk mengaktifkan BGP dalam konektivitas jaringan Anda. Jika Anda menyelesaikan ketiga bagian (mengonfigurasi BGP pada gateway, koneksi S2S, dan koneksi VNet-ke-VNet), Anda membangun topologi seperti yang ditunjukkan pada Diagram 1. Anda dapat menggabungkan bagian-bagian itu untuk membangun jaringan transit multi-hop yang lebih kompleks untuk memenuhi kebutuhan Anda.
Diagram 1
Untuk konteksnya, mengacu pada Diagram 1, jika BGP akan dinonaktifkan antara TestVNet2 dan TestVNet1, TestVNet2 tidak akan mempelajari rute untuk jaringan lokal, Site5, dan karenanya tidak dapat berkomunikasi dengan Situs 5. Setelah Anda mengaktifkan BGP, ketiga jaringan akan dapat berkomunikasi melalui koneksi S2S IPsec dan VNet-ke-VNet.
Prasyarat
Pastikan Anda memiliki langganan Azure. Jika Anda belum memiliki langganan Azure, Anda dapat mengaktifkan manfaat pelanggan MSDN atau mendaftar untuk akun gratis.
Mengaktifkan BGP untuk gateway VPN
Bagian ini diperlukan sebelum Anda melakukan salah satu langkah di dua bagian konfigurasi lainnya. Langkah-langkah konfigurasi berikut menyiapkan parameter BGP gateway VPN seperti yang ditunjukkan dalam Diagram 2.
Diagram 2
1. Buat TestVNet1
Pada langkah ini, Anda membuat dan mengonfigurasikan TestVNet1. Gunakan langkah-langkah pada Tutorial membuat gateway untuk membuat dan mengonfigurasikan jaringan virtual Azure dan VPN gateway Anda.
Nilai contoh jaringan virtual:
- Grup sumber daya: TestRG1
- VNet: TestVNet1
- Lokasi/Wilayah: EastUS
- Ruang alamat: 10.11.0.0/16, 10.12.0.0/16
- Subnet:
- FrontEnd: 10.11.0.0/24
- BackEnd: 10.12.0.0/24
- GatewaySubnet: 10.12.255.0/27
2. Buat gateway TestVNet1 dengan BGP
Pada langkah ini, Anda membuat VPN gateway dengan parameter BGP yang sesuai.
Gunakan langkah-langkah dalam Membuat dan mengelola gateway VPN untuk membuat gateway dengan parameter berikut:
Detail Instans:
- Nama: VNet1GW
- Wilayah: EastUS
- Jenis gateway: VPN
- Jenis VPN: Berbasis rute
- SKU: VpnGW1 atau lebih tinggi
- Pembuatan: pilih generasi
- Jaringan virtual: TestVNet1
Alamat IP publik
- Jenis alamat IP Publik: Dasar atau Standar
- Alamat IP publik: Buat baru
- Nama alamat IP publik: VNet1GWIP
- Aktifkan aktif-aktif: Dinonaktifkan
- Konfigurasikan BGP: Diaktifkan
Pada bagian Konfigurasi BGP yang disorot di halaman, konfigurasikan pengaturan berikut:
Pilih Konfigurasi BPGP - Aktif untuk menampilkan bagian konfigurasi BGP.
Isi ASN (Nomor Sistem Otonom) Anda.
Bidang alamat IP Azure APIPA BGP bersifat opsional. Jika perangkat VPN lokal Anda menggunakan alamat APIPA untuk BGP, Anda harus memilih alamat dari rentang alamat APIPA khusus Azure untuk VPN, yaitu dari 169.254.21.0 hingga 169.254.22.255.
Jika Anda membuat gateway VPN aktif-aktif, bagian BGP akan menampilkan alamat IP BGP Azure APIPA Kustom Kedua tambahan. Setiap alamat yang Anda pilih harus unik dan berada dalam rentang APIPA yang diizinkan (169.254.21.0 hingga 169.254.22.255). Aktif-gateway aktif juga mendukung beberapa alamat untuk alamat IP Azure APIPA BGP dan alamat IP Azure APIPA BGP Kustom Kedua. Input tambahan hanya akan muncul setelah Anda memasukkan alamat IP APIPA BGP pertama Anda.
Penting
Secara default, Azure menetapkan alamat IP privat dari rentang awalan GatewaySubnet secara otomatis sebagai alamat IP Azure BGP di gateway VPN. Alamat Azure APIPA BGP kustom diperlukan saat perangkat VPN lokal Anda menggunakan alamat APIPA (169.254.0.1 hingga 169.254.255.254) sebagai IP BGP. VPN Gateway akan memilih alamat APIPA kustom jika sumber daya gateway jaringan lokal yang sesuai (jaringan lokal) memiliki alamat APIPA sebagai IP serekan BGP. Jika gateway jaringan lokal menggunakan alamat IP reguler (bukan APIPA), VPN Gateway akan kembali ke alamat IP privat dari rentang GatewaySubnet.
Alamat BGP APIPA tidak boleh tumpang tindih antara perangkat VPN lokal dan semua gateway VPN yang terhubung.
Ketika alamat APIPA digunakan pada gateway VPN, gateway tidak memulai sesi peering BGP dengan alamat IP sumber APIPA. Perangkat VPN lokal harus menginisiasi koneksi peering BGP.
Pilihlah Tinjau + buat untuk menjalankan validasi. Setelah validasi selesai, pilih Buat untuk menyebarkan gateway VPN. Membuat gateway seringkali bisa memakan waktu 45 menit atau lebih, bergantung pada SKU gateway yang dipilih. Anda dapat melihat status penyebaran di halaman Ringkasan untuk gateway Anda.
3. Dapatkan alamat IP Peer Azure BGP
Setelah gateway dibuat, Anda bisa mendapatkan alamat IP Peer BGP di gateway VPN. Alamat ini diperlukan untuk mengonfigurasi perangkat VPN lokal Anda untuk membuat sesi BGP dengan gateway VPN.
Pada halaman Konfigurasi gateway jaringan virtual, Anda dapat melihat informasi konfigurasi BGP di gateway VPN Anda: ASN, alamat IP Publik, dan alamat IP serekan BGP yang sesuai di sisi Azure (default dan APIPA). Anda juga dapat membuat perubahan konfigurasi berikut:
- Anda dapat memperbarui alamat IP APIPA BGP atau ASN bila diperlukan.
- Jika Anda memiliki gateway VPN aktif-aktif, halaman ini akan menampilkan alamat IP Publik, default, dan alamat IP BGP APIPA dari instans gateway VPN kedua.
Untuk mendapatkan alamat IP Peer Azure BGP:
- Buka sumber daya gateway jaringan virtual dan pilih halaman Konfigurasi untuk melihat informasi konfigurasi BGP.
- Catat alamat IP Peer BGP.
Untuk mengonfigurasi BGP pada koneksi S2S lintas lokasi
Instruksi di bagian ini berlaku untuk konfigurasi situs-ke-situs lintas lokasi.
Untuk membuat koneksi lintas tempat, Anda perlu membuat gateway jaringan lokal untuk mewakili perangkat VPN lokal Anda, dan koneksi untuk menyambungkan VPN gateway dengan gateway jaringan lokal seperti yang dijelaskan dalam Membuat koneksi situs-ke-situs. Bagian berikut berisi properti tambahan yang diperlukan untuk menentukan parameter konfigurasi BGP, seperti yang ditunjukkan pada Diagram 3.
Diagram 3
Sebelum melanjutkan, pastikan Anda telah mengaktifkan BGP untuk gateway VPN.
1. Buat gateway jaringan lokal
Konfigurasikan gateway jaringan lokal dengan pengaturan BGP.
- Untuk informasi dan langkah-langkah, lihat bagian gateway jaringan lokal di artikel koneksi situs-ke-situs.
- Jika Anda sudah memiliki gateway jaringan lokal, Anda dapat mengubahnya. Untuk mengubah gateway jaringan lokal, buka halaman Konfigurasi sumber daya gateway jaringan lokal dan buat perubahan yang diperlukan.
Saat Anda membuat gateway jaringan lokal, untuk latihan ini, gunakan nilai berikut:
- Nama: Site5
- Alamat IP: Alamat IP titik akhir gateway yang ingin Anda sambungkan. Contoh: 128.9.9.9
- Ruang alamat: Jika BGP diaktifkan, tidak diperlukan ruang alamat.
Untuk mengonfigurasi pengaturan BGP, buka halaman Tingkat Lanjut . Gunakan contoh nilai berikut (diperlihatkan dalam Diagram 3). Ubah nilai apa pun yang diperlukan agar sesuai dengan lingkungan Anda.
- Mengonfigurasi pengaturan BGP: Ya
- Nomor sistem otonom (ASN): 65050
- Alamat IP serekan BGP: Alamat Perangkat VPN lokal. Contoh: 10.51.255.254
Klik Tinjau + buat untuk membuat gateway jaringan lokal.
Pertimbangan konfigurasi penting
- ASN dan alamat IP rekan BGP harus cocok dengan konfigurasi perute VPN lokal Anda.
- Anda dapat membiarkan ruang Alamat kosong hanya jika Anda menggunakan BGP untuk tersambung ke jaringan ini. Azure VPN gateway akan secara internal menambahkan rute alamat IP rekan BGP Anda ke terowongan IPsec yang sesuai. Jika Anda TIDAK menggunakan BGP antara gateway VPN dan jaringan khusus ini, Anda harus memberikan daftar awalan alamat yang valid untuk ruang Alamat.
- Anda dapat secara opsional menggunakan Alamat IP APIPA (169.254.x.x) sebagai IP rekan BGP lokal Anda jika diperlukan. Tetapi Anda juga harus menentukan alamat IP APIPA seperti yang dijelaskan sebelumnya dalam artikel ini untuk gateway VPN Anda, jika tidak, sesi BGP tidak dapat dibuat untuk koneksi ini.
- Anda dapat memasukkan informasi konfigurasi BGP selama pembuatan gateway jaringan lokal, atau Anda dapat menambah atau mengubah konfigurasi BGP dari halaman Konfigurasi sumber daya gateway jaringan lokal.
2. Mengonfigurasi koneksi S2S dengan BGP diaktifkan
Pada langkah ini, Anda membuat koneksi baru yang memiliki BGP aktif. Jika Anda sudah memiliki koneksi dan ingin mengaktifkan BGP di dalamnya, Anda dapat memperbaruinya.
Untuk membuat sambungan
- Untuk membuat koneksi baru, buka halaman Koneksi gateway jaringan virtual Anda.
- Pilih +Tambahkan untuk membuka halaman Tambahkan koneksi.
- Isi nilai yang diperlukan.
- Pilih Aktifkan BGP untuk mengaktifkan BGP pada koneksi ini.
- Pilih OK untuk menyimpan perubahan.
Untuk memperbarui koneksi yang ada
- Buka halaman Koneksi gateway jaringan virtual Anda.
- Pilih koneksi yang ingin Anda ubah.
- Buka halaman Konfigurasi untuk koneksi.
- Ubah pengaturan BGP menjadi Diaktifkan.
- Simpan perubahan Anda.
Konfigurasi perangkat lokal
Contoh berikut mencantumkan parameter yang Anda masukkan ke dalam bagian konfigurasi BGP di perangkat VPN lokal Anda untuk latihan ini:
- Site5 ASN : 65050
- Site5 BGP IP : 10.51.255.254
- Prefixes to announce : (for example) 10.51.0.0/16
- Azure VNet ASN : 65010
- Azure VNet BGP IP : 10.12.255.30
- Static route : Add a route for 10.12.255.30/32, with nexthop being the VPN tunnel interface on your device
- eBGP Multihop : Ensure the "multihop" option for eBGP is enabled on your device if needed
Untuk mengaktifkan BGP pada koneksi VNet-ke-VNet
Langkah-langkah di bagian ini berlaku untuk koneksi VNet-ke-VNet.
Untuk mengaktifkan atau menonaktifkan BGP pada koneksi VNet-ke-VNet, Anda menggunakan langkah yang sama dengan langkah lintas lokasi S2S di bagian sebelumnya. Anda dapat mengaktifkan BGP saat membuat koneksi, atau memperbarui konfigurasi pada koneksi VNet-ke-VNet yang sudah ada.
Catatan
Koneksi VNet-ke-VNet tanpa BGP akan membatasi komunikasi ke dua VNet yang tersambung saja. Aktifkan BGP untuk mengizinkan kemampuan perutean transit ke koneksi VNet-ke-VNet atau S2S lainnya dari kedua VNet ini.
Langkah berikutnya
Untuk informasi selengkapnya tentang BGP, lihat Tentang BGP dan VPN Gateway.