Koneksikan Azure Stack Hub ke Azure menggunakan Azure ExpressRoute
Artikel ini menjelaskan cara menghubungkan jaringan virtual Azure Stack Hub ke jaringan virtual Azure menggunakan koneksi langsung Microsoft Azure ExpressRoute.
Anda dapat menggunakan artikel ini sebagai tutorial dan menggunakan contoh untuk mengatur lingkungan pengujian yang sama. Atau, Anda dapat membaca artikel sebagai panduan yang memandu melalui pengaturan lingkungan ExpressRoute Anda sendiri.
Gambaran umum, asumsi, dan prasyarat
Azure ExpressRoute memungkinkan Anda memperluas jaringan lokal ke cloud Microsoft melalui koneksi pribadi yang disediakan oleh penyedia konektivitas. ExpressRoute bukan koneksi VPN melalui internet publik.
Untuk informasi selengkapnya tentang Azure ExpressRoute, lihat ringkasan ExpressRoute.
Asumsi
Artikel ini mengasumsikan bahwa:
- Anda memiliki pengetahuan tentang Azure.
- Anda memiliki pemahaman dasar tentang Azure Stack Hub.
- Anda memiliki pemahaman dasar tentang jaringan.
Prasyarat
Untuk menghubungkan Azure Stack Hub dan Azure menggunakan ExpressRoute, Anda harus memenuhi persyaratan berikut:
- Sirkuit ExpressRoute yang diprovisikan melalui penyedia konektivitas.
- Langganan Azure untuk membuat sirkuit ExpressRoute dan VNets di Azure.
- Router yang harus:
- Mendukung koneksi VPN situs ke situs antara antarmuka LAN dan gateway multipenyewa Azure Stack Hub.
- Mendukung pembuatan beberapa VRF (Perutena Virtual dan Penerusan) jika ada lebih dari satu penyewa di penyebaran Azure Stack Hub Anda.
- Router yang memiliki:
- Port WAN yang terhubung ke sirkuit ExpressRoute.
- Port LAN yang terhubung ke gateway multipenyewa Azure Stack Hub.
Arsitektur jaringan ExpressRoute
Gambar berikut menunjukkan lingkungan Azure Stack Hub dan Azure setelah Anda selesai menyiapkan ExpressRoute menggunakan contoh dalam artikel ini:
Gambar berikut menunjukkan cara beberapa penyewa terhubung dari infrastruktur Azure Stack Hub melalui router ExpressRoute ke Azure:
Contoh dalam artikel ini menggunakan arsitektur multipenyewa yang sama yang ditunjukkan dalam diagram ini untuk menghubungkan Azure Stack Hub ke Azure menggunakan peering pribadi ExpressRoute. Koneksi dilakukan menggunakan koneksi VPN situs ke situs dari gateway jaringan virtual di Azure Stack Hub ke router ExpressRoute.
Langkah-langkah dalam artikel ini menunjukkan cara membuat koneksi menyeluruh antara dua VNet dari dua penyewa berbeda di Azure Stack Hub ke VNet yang sesuai di Azure. Menyiapkan dua penyewa adalah opsional; Anda juga dapat menggunakan langkah-langkah ini untuk penyewa tunggal.
Mengonfigurasi Azure Stack Hub
Untuk menyiapkan lingkungan Azure Stack Hub untuk penyewa pertama, gunakan langkah-langkah berikut sebagai panduan. Jika Anda menyiapkan lebih dari satu penyewa, ulangi langkah-langkah berikut:
Catatan
Langkah-langkah ini menunjukkan cara membuat sumber daya menggunakan portal Azure Stack Hub, tetapi Anda juga dapat menggunakan PowerShell.
Sebelum Anda mulai
Sebelum mulai mengonfigurasi Azure Stack Hub, Anda memerlukan:
- Penyebaran Azure Stack Hub.
- Penawaran di Azure Stack Hub tempat pengguna Anda berlangganan. Untuk informasi selengkapnya, lihat Layanan, paket, penawaran, ringkasan langganan.
Membuat sumber daya jaringan di Azure Stack Hub
Gunakan prosedur berikut untuk membuat sumber daya jaringan yang diperlukan di Azure Stack Hub untuk penyewa.
Membuat jaringan virtual dan subnet VM
Masuk ke portal pengguna Azure Stack Hub.
Di portal, pilih + Buat sumber daya.
Di bawah Azure Marketplace, pilih Jaringan.
Di bawah Unggulan, pilih Jaringan virtual.
Di bawah Buat jaringan virtual, masukkan nilai yang ditampilkan dalam tabel berikut ke bidang yang sesuai:
Bidang Nilai Nama Tenant1VNet1 Ruang alamat 10.1.0.0/16 Nama subnet Tenant1-Sub1 Rentang alamat subnet 10.1.1.0/24 Anda akan melihat langganan yang dibuat sebelumnya yang diisi di bidang Langganan. Untuk bidang yang tersisa:
- Di bawah Grup sumber daya, pilih Buat baru untuk membuat grup sumber daya baru atau jika Anda sudah memilikinya, pilih Gunakan yang sudah ada.
- Verifikasi Lokasi default.
- Klik Buat.
- (Opsional) Klik Sematkan ke dasbor.
Membuat subnet gateway
- Di bawah Jaringan virtual, pilih Tenant1VNet1.
- Di bawah Pengaturan, pilih Subnet.
- Pilih + Subnet gateway untuk menambahkan subnet gateway ke jaringan virtual.
- Nama subnet diatur ke GatewaySubnet secara default. Subnet gateway adalah kasus khusus dan harus menggunakan nama ini agar berfungsi dengan benar.
- Pastikan rentang Alamat adalah 10.1.0.0/24.
- Klik OK untuk membuat subnet gateway.
Membuat gateway virtual network
- Di portal pengguna Azure Stack Hub, klik + Buat sumber daya.
- Di bawah Azure Marketplace, pilih Jaringan.
- Pilih Gateway jaringan virtual dari daftar sumber daya jaringan.
- Di bidang Nama, masukkan GW1.
- Pilih Jaringan virtual.
- Pilih Tenant1VNet1 dari daftar dropdown.
- Pilih Alamat IP publik, lalu Pilih alamat IP publik, lalu klik Buat yang baru.
- Di bidang Nama, ketik GW1-PiP, lalu klik OK.
- Jenis VPN harus memilih Berbasis Rute secara default. Pertahankan pengaturan ini.
- Pastikan langganan dan lokasi sudah benar. Klik Buat.
Membuat gateway jaringan lokal
Sumber daya gateway jaringan lokal mengidentifikasi gateway jarak jauh di ujung lain koneksi VPN. Untuk contoh ini, ujung jauh koneksi adalah sub-antarmuka LAN dari router ExpressRoute. Untuk Penyewa 1 di diagram sebelumnya, alamat jarak jauh adalah 10.60.3.255.
Masuk ke portal pengguna Azure Stack Hub dan pilih + Buat sumber daya.
Di bawah Azure Marketplace, pilih Jaringan.
Pilih gateway jaringan lokal dari daftar sumber daya.
Di bidang Nama, ketik ER-Router-GW.
Untuk bidang Alamat IP, lihat gambar sebelumnya. Alamat IP dari sub-antarmuka LAN router ExpressRoute untuk Penyewa 1 adalah 10.60.3.255. Untuk lingkungan Anda sendiri, masukkan alamat IP antarmuka yang sesuai dengan router Anda.
Di bidang Ruang Alamat, masukkan ruang alamat VNet yang ingin Anda sambungkan di Azure. Subnet untuk Penyewa 1 adalah sebagai berikut:
- 192.168.2.0/24 adalah VNet hub di Azure.
- 10.100.0.0/16 adalah VNet spoke di Azure.
Penting
Contoh ini mengasumsikan bahwa Anda menggunakan rute statis untuk koneksi VPN situs ke situs antara gateway Azure Stack Hub dan router ExpressRoute.
Pastikan Langganan, Grup Sumber Daya, dan Lokasi Anda sudah benar. Kemudian pilih Buat.
Buat koneksi
- Di portal pengguna Azure Stack Hub, pilih + Buat sumber daya.
- Di bawah Azure Marketplace, pilih Jaringan.
- Pilih Koneksi dari daftar sumber daya.
- Di bawah Dasar-dasar, pilih Situs ke situs (IPSec) sebagai Tipe koneksi.
- Pilih grup Langganan, Sumber Daya, dan Lokasi. Klik OK.
- Di bawah Pengaturan, pilih Gateway jaringan virtual, lalu pilih GW1.
- Pilih Gateway jaringan lokal, lalu pilih ER Router GW.
- Di bidang Nama koneksi, masukkan ConnectToAzure.
- Di bidang Kunci bersama (PSK), masukkan abc123 lalu pilih OK.
- Di bawah Ringkasan, pilih OK.
Mendapatkan alamat IP publik gateway jaringan virtual
Setelah membuat gateway jaringan virtual, Anda bisa mendapatkan alamat IP publik gateway. Catat alamat ini jika Anda membutuhkannya nanti untuk penyebaran Anda. Bergantung pada penyebaran Anda, alamat ini digunakan sebagai alamat IP Internal.
- Di portal pengguna Azure Stack Hub, pilih Semua sumber daya.
- Di bawah Semua sumber daya, pilih gateway jaringan virtual, yang berupa GW1 dalam contoh.
- Di bawah Gateway jaringan virtual, pilih Gambaran Umum dari daftar sumber daya. Atau, Anda dapat memilih Properti.
- Alamat IP yang ingin Anda catat tercantum di bawah Alamat IP publik. Untuk contoh konfigurasi, alamat ini adalah 192.68.102.1.
Membuat komputer virtual (VM)
Untuk menguji lalu lintas data melalui koneksi VPN, Anda memerlukan VM untuk mengirim dan menerima data di Azure Stack Hub VNet. Buat VM dan sebarkan ke subnet VM untuk jaringan virtual Anda.
Di portal pengguna Azure Stack Hub, pilih + Buat sumber daya.
Di bawah Azure Marketplace, pilih Komputasi.
Dalam daftar gambar VM, pilih gambar Windows Server 2016 Datacenter Eval.
Catatan
Jika gambar yang digunakan untuk artikel ini tidak tersedia, minta operator Azure Stack Hub Anda menyediakan gambar server Windows yang berbeda.
Di Buat mesin virtual, pilih Dasar-dasar, lalu ketik VM01 sebagai Nama.
Masukkan nama pengguna dan kata sandi yang valid. Anda akan menggunakan akun ini untuk masuk ke VM setelah dibuat.
Menyediakan Langganan, Grup sumber daya, dan Lokasi. PilihOK.
Di bawah Pilih ukuran, pilih ukuran VM untuk instans ini, lalu pilih Pilih.
Di bawah Pengaturan, konfirmasikan bahwa:
- Jaringan virtualnya adalah Tenant1VNet1.
- Subnet diatur ke 10.1.1.0/24.
Gunakan pengaturan default, lalu klik OK.
Di bawah Ringkasan, tinjau konfigurasi VM lalu klik OK.
Untuk menambahkan lebih banyak penyewa, ulangi langkah yang Anda ikuti di bagian ini:
- Membuat jaringan virtual dan subnet VM
- Membuat subnet gateway
- Membuat gateway virtual network
- Membuat gateway jaringan lokal
- Membuat koneksi
- Membuat komputer virtual
Jika Anda menggunakan Penyewa 2 sebagai contoh, ingat untuk mengubah alamat IP agar menghindari tumpang tindih.
Mengonfigurasi NAT VM untuk traversal gateway
Penting
Bagian ini hanya untuk penyebaran ASDK. NAT tidak diperlukan untuk penyebaran multinode.
ASDK mandiri dan terisolasi dari jaringan tempat host fisik disebarkan. Jaringan VIP tempat gateway terhubung tidak bersifat eksternal; tersembunyi di balik router yang melakukan Network Address Translation (NAT).
Router adalah host ASDK yang menjalankan peran Perutean dan Layanan Akses Jarak Jauh (RRAS). Anda harus mengonfigurasi NAT pada host ASDK untuk mengaktifkan koneksi VPN situs ke situs untuk terhubung di kedua ujungnya.
Mengonfigurasi NAT
Masuk ke komputer host Azure Stack Hub dengan akun admin Anda.
Jalankan skrip di ISE PowerShell yang dinaikkan. Skrip ini menampilkan Alamat BGPNAT eksternal Anda.
Get-NetNatExternalAddress
Untuk mengonfigurasi NAT, salin dan edit skrip PowerShell berikut. Edit skrip untuk mengganti
External BGPNAT address
danInternal IP address
dengan nilai contoh berikut:- Untuk Alamat BGPNAT eksternal, gunakan 10.10.0.62
- Untuk Alamat IP internal, gunakan 192.168.102.1
Jalankan skrip berikut dari ISE PowerShell yang dinaikkan:
$ExtBgpNat = 'External BGPNAT address' $IntBgpNat = 'Internal IP address' # Designate the external NAT address for the ports that use the IKE authentication. Add-NetNatExternalAddress ` -NatName BGPNAT ` -IPAddress $Using:ExtBgpNat ` -PortStart 499 ` -PortEnd 501 Add-NetNatExternalAddress ` -NatName BGPNAT ` -IPAddress $Using:ExtBgpNat ` -PortStart 4499 ` -PortEnd 4501 # Create a static NAT mapping to map the external address to the Gateway public IP address to map the ISAKMP port 500 for PHASE 1 of the IPSEC tunnel. Add-NetNatStaticMapping ` -NatName BGPNAT ` -Protocol UDP ` -ExternalIPAddress $Using:ExtBgpNat ` -InternalIPAddress $Using:IntBgpNat ` -ExternalPort 500 ` -InternalPort 500 # Configure NAT traversal which uses port 4500 to establish the complete IPSEC tunnel over NAT devices. Add-NetNatStaticMapping ` -NatName BGPNAT ` -Protocol UDP ` -ExternalIPAddress $Using:ExtBgpNat ` -InternalIPAddress $Using:IntBgpNat ` -ExternalPort 4500 ` -InternalPort 4500
Mengonfigurasi Azure
Setelah selesai mengonfigurasi Azure Stack Hub, Anda dapat menyebarkan sumber daya Azure. Gambar berikut menunjukkan contoh jaringan virtual penyewa di Azure. Anda dapat menggunakan nama dan skema pemberian alamat apa pun untuk VNet Anda di Azure. Namun, rentang alamat VNet di Azure dan Azure Stack Hub harus bersifat unik dan tidak boleh tumpang tindih:
Sumber daya yang Anda sebarkan di Azure mirip dengan sumber daya yang Anda sebarkan di Azure Stack Hub. Anda menyebarkan komponen berikut:
- Jaringan virtual dan subnet Azure
- Subnet gateway
- Satu gateway jaringan virtual
- Koneksi
- Sirkuit ExpressRoute
Contoh infrastruktur jaringan Azure dikonfigurasi sebagai berikut:
- Model VNet hub standar (192.168.2.0/24) dan spoke (10.100.0.0./16). Untuk informasi selengkapnya tentang topologi jaringan hub-spoke, lihat Menerapkan topologi jaringan hub-spoke di Azure.
- Beban kerja disebarkan di VNet spoke dan rangkaian ExpressRoute terhubung ke hub VNet.
- Kedua VNet terhubung menggunakan peering VNet.
Mengonfigurasi Azure VNet
- Masuk ke portal Azure dengan info masuk Azure Anda.
- Buat hub VNet menggunakan rentang alamat 192.168.2.0/24.
- Buat subnet menggunakan rentang alamat 192.168.2.0/25, dan tambahkan subnet gateway menggunakan rentang alamat 192.168.2.128/27.
- Buat VNet dan subnet spoke menggunakan rentang alamat 10.100.0.0/16.
Untuk informasi selengkapnya tentang membuat jaringan virtual di Azure, lihat Membuat jaringan virtual.
Mengonfigurasi rangkaian ExpressRoute
Tinjau prasyarat ExpressRoute dalam prasyarat ExpressRoute & daftar periksa.
Ikuti langkah-langkah di Membuat dan memodifikasi rangkaian ExpressRoute untuk membuat sirkuit ExpressRoute menggunakan langganan Azure Anda.
Catatan
Berikan kunci layanan untuk sirkuit Anda ke layanan Anda sehingga dapat mengatur sirkuit ExpressRoute Anda di ujungnya.
Ikuti langkah dalam Membuat dan memodifikasi peering untuk sirkuit ExpressRoute untuk mengonfigurasi peering pribadi di sirkuit ExpressRoute.
Membuat gateway virtual network
Ikuti langkah dalam Mengonfigurasi gateway jaringan virtual untuk ExpressRoute menggunakan PowerShell untuk membuat gateway jaringan virtual untuk ExpressRoute di VNet hub.
Buat koneksi
Untuk menghubungkan rangkaian ExpressRoute ke VNet hub, ikuti langkah-langkah dalam Menghubungkan jaringan virtual ke sirkuit ExpressRoute.
Rekankan VNet
Melakukan peering VNet hub dan spoke menggunakan langkah-langkah dalam Membuat peering jaringan virtual menggunakan portal Azure. Saat mengonfigurasi peering VNet, pastikan Anda menggunakan opsi berikut:
- Dari hub ke spoke, Izinkan transit gateway.
- Dari spoke ke hub, Gunakan gateway jarak jauh.
Membuat komputer virtual
Sebarkan VM beban kerja Anda ke VNet spoke.
Ulangi langkah-langkah ini untuk setiap VNet penyewa tambahan yang ingin disambungkan di Azure melalui sirkuit ExpressRoute masing-masing.
Mengonfigurasi router
Anda dapat menggunakan diagram konfigurasi router ExpressRoute berikut sebagai panduan untuk mengonfigurasi Router ExpressRoute Anda. Angka ini menunjukkan dua penyewa (Penyewa 1 dan Penyewa 2) dengan sirkuit ExpressRoute masing-masing. Setiap penyewa terhubung ke VRF (Perutena Virtual dan Penerusan) di sisi LAN dan WAN router ExpressRoute. Konfigurasi ini memastikan isolasi menyeluruh antara kedua penyewa. Perhatikan alamat IP yang digunakan dalam antarmuka router saat Anda mengikuti contoh konfigurasi.
Anda dapat menggunakan router apa pun yang mendukung IKEv2 VPN dan BGP untuk mengakhiri koneksi VPN situs ke situs dari Azure Stack Hub. Router yang sama digunakan untuk terhubung ke Azure menggunakan sirkuit ExpressRoute.
Contoh konfigurasi Cisco ASR 1000 Series Aggregation Services Router berikut ini mendukung infrastruktur jaringan yang ditampilkan dalam diagram Konfigurasi router ExpressRoute.
ip vrf Tenant 1
description Routing Domain for PRIVATE peering to Azure for Tenant 1
rd 1:1
!
ip vrf Tenant 2
description Routing Domain for PRIVATE peering to Azure for Tenant 2
rd 1:5
!
crypto ikev2 proposal V2-PROPOSAL2
description IKEv2 proposal for Tenant 1
encryption aes-cbc-256
integrity sha256
group 2
crypto ikev2 proposal V4-PROPOSAL2
description IKEv2 proposal for Tenant 2
encryption aes-cbc-256
integrity sha256
group 2
!
crypto ikev2 policy V2-POLICY2
description IKEv2 Policy for Tenant 1
match fvrf Tenant 1
match address local 10.60.3.255
proposal V2-PROPOSAL2
description IKEv2 Policy for Tenant 2
crypto ikev2 policy V4-POLICY2
match fvrf Tenant 2
match address local 10.60.3.251
proposal V4-PROPOSAL2
!
crypto ikev2 profile V2-PROFILE
description IKEv2 profile for Tenant 1
match fvrf Tenant 1
match address local 10.60.3.255
match identity remote any
authentication remote pre-share key abc123
authentication local pre-share key abc123
ivrf Tenant 1
!
crypto ikev2 profile V4-PROFILE
description IKEv2 profile for Tenant 2
match fvrf Tenant 2
match address local 10.60.3.251
match identity remote any
authentication remote pre-share key abc123
authentication local pre-share key abc123
ivrf Tenant 2
!
crypto ipsec transform-set V2-TRANSFORM2 esp-gcm 256
mode tunnel
crypto ipsec transform-set V4-TRANSFORM2 esp-gcm 256
mode tunnel
!
crypto ipsec profile V2-PROFILE
set transform-set V2-TRANSFORM2
set ikev2-profile V2-PROFILE
!
crypto ipsec profile V4-PROFILE
set transform-set V4-TRANSFORM2
set ikev2-profile V4-PROFILE
!
interface Tunnel10
description S2S VPN Tunnel for Tenant 1
ip vrf forwarding Tenant 1
ip address 11.0.0.2 255.255.255.252
ip tcp adjust-mss 1350
tunnel source TenGigabitEthernet0/1/0.211
tunnel mode ipsec ipv4
tunnel destination 10.10.0.62
tunnel vrf Tenant 1
tunnel protection ipsec profile V2-PROFILE
!
interface Tunnel20
description S2S VPN Tunnel for Tenant 2
ip vrf forwarding Tenant 2
ip address 11.0.0.2 255.255.255.252
ip tcp adjust-mss 1350
tunnel source TenGigabitEthernet0/1/0.213
tunnel mode ipsec ipv4
tunnel destination 10.10.0.62
tunnel vrf VNET3
tunnel protection ipsec profile V4-PROFILE
!
interface GigabitEthernet0/0/1
description PRIMARY ExpressRoute Link to AZURE over Equinix
no ip address
negotiation auto
!
interface GigabitEthernet0/0/1.100
description Primary WAN interface of Tenant 1
description PRIMARY ER link supporting Tenant 1 to Azure
encapsulation dot1Q 101
ip vrf forwarding Tenant 1
ip address 192.168.1.1 255.255.255.252
!
interface GigabitEthernet0/0/1.102
description Primary WAN interface of Tenant 2
description PRIMARY ER link supporting Tenant 2 to Azure
encapsulation dot1Q 102
ip vrf forwarding Tenant 2
ip address 192.168.1.17 255.255.255.252
!
interface GigabitEthernet0/0/2
description BACKUP ExpressRoute Link to AZURE over Equinix
no ip address
negotiation auto
!
interface GigabitEthernet0/0/2.100
description Secondary WAN interface of Tenant 1
description BACKUP ER link supporting Tenant 1 to Azure
encapsulation dot1Q 101
ip vrf forwarding Tenant 1
ip address 192.168.1.5 255.255.255.252
!
interface GigabitEthernet0/0/2.102
description Secondary WAN interface of Tenant 2
description BACKUP ER link supporting Tenant 2 to Azure
encapsulation dot1Q 102
ip vrf forwarding Tenant 2
ip address 192.168.1.21 255.255.255.252
!
interface TenGigabitEthernet0/1/0
description Downlink to ---Port 1/47
no ip address
!
interface TenGigabitEthernet0/1/0.211
description LAN interface of Tenant 1
description Downlink to --- Port 1/47.211
encapsulation dot1Q 211
ip vrf forwarding Tenant 1
ip address 10.60.3.255 255.255.255.254
!
interface TenGigabitEthernet0/1/0.213
description LAN interface of Tenant 2
description Downlink to --- Port 1/47.213
encapsulation dot1Q 213
ip vrf forwarding Tenant 2
ip address 10.60.3.251 255.255.255.254
!
router bgp 65530
bgp router-id <removed>
bgp log-neighbor-changes
description BGP neighbor config and route advertisement for Tenant 1 VRF
address-family ipv4 vrf Tenant 1
network 10.1.0.0 mask 255.255.0.0
network 10.60.3.254 mask 255.255.255.254
network 192.168.1.0 mask 255.255.255.252
network 192.168.1.4 mask 255.255.255.252
neighbor 10.10.0.62 remote-as 65100
neighbor 10.10.0.62 description VPN-BGP-PEER-for-Tenant 1
neighbor 10.10.0.62 ebgp-multihop 5
neighbor 10.10.0.62 activate
neighbor 10.60.3.254 remote-as 4232570301
neighbor 10.60.3.254 description LAN peer for CPEC:INET:2112 VRF
neighbor 10.60.3.254 activate
neighbor 10.60.3.254 route-map BLOCK-ALL out
neighbor 192.168.1.2 remote-as 12076
neighbor 192.168.1.2 description PRIMARY ER peer for Tenant 1 to Azure
neighbor 192.168.1.2 ebgp-multihop 5
neighbor 192.168.1.2 activate
neighbor 192.168.1.2 soft-reconfiguration inbound
neighbor 192.168.1.2 route-map Tenant 1-ONLY out
neighbor 192.168.1.6 remote-as 12076
neighbor 192.168.1.6 description BACKUP ER peer for Tenant 1 to Azure
neighbor 192.168.1.6 ebgp-multihop 5
neighbor 192.168.1.6 activate
neighbor 192.168.1.6 soft-reconfiguration inbound
neighbor 192.168.1.6 route-map Tenant 1-ONLY out
maximum-paths 8
exit-address-family
!
description BGP neighbor config and route advertisement for Tenant 2 VRF
address-family ipv4 vrf Tenant 2
network 10.1.0.0 mask 255.255.0.0
network 10.60.3.250 mask 255.255.255.254
network 192.168.1.16 mask 255.255.255.252
network 192.168.1.20 mask 255.255.255.252
neighbor 10.10.0.62 remote-as 65300
neighbor 10.10.0.62 description VPN-BGP-PEER-for-Tenant 2
neighbor 10.10.0.62 ebgp-multihop 5
neighbor 10.10.0.62 activate
neighbor 10.60.3.250 remote-as 4232570301
neighbor 10.60.3.250 description LAN peer for CPEC:INET:2112 VRF
neighbor 10.60.3.250 activate
neighbor 10.60.3.250 route-map BLOCK-ALL out
neighbor 192.168.1.18 remote-as 12076
neighbor 192.168.1.18 description PRIMARY ER peer for Tenant 2 to Azure
neighbor 192.168.1.18 ebgp-multihop 5
neighbor 192.168.1.18 activate
neighbor 192.168.1.18 soft-reconfiguration inbound
neighbor 192.168.1.18 route-map VNET-ONLY out
neighbor 192.168.1.22 remote-as 12076
neighbor 192.168.1.22 description BACKUP ER peer for Tenant 2 to Azure
neighbor 192.168.1.22 ebgp-multihop 5
neighbor 192.168.1.22 activate
neighbor 192.168.1.22 soft-reconfiguration inbound
neighbor 192.168.1.22 route-map VNET-ONLY out
maximum-paths 8
exit-address-family
!
ip forward-protocol nd
!
ip as-path access-list 1 permit ^$
ip route vrf Tenant 1 10.1.0.0 255.255.0.0 Tunnel10
ip route vrf Tenant 2 10.1.0.0 255.255.0.0 Tunnel20
!
ip prefix-list BLOCK-ALL seq 5 deny 0.0.0.0/0 le 32
!
route-map BLOCK-ALL permit 10
match ip address prefix-list BLOCK-ALL
!
route-map VNET-ONLY permit 10
match as-path 1
!
Menguji sambungan
Uji koneksi Anda setelah membuat koneksi situs ke situs dan sirkuit ExpressRoute.
Lakukan pengujian ping berikut:
- Masuk ke salah satu VM di Azure VNet Anda dan ping VM yang dibuat di Azure Stack Hub.
- Masuk ke salah satu VM yang dibuat di Azure Stack Hub dan ping VM yang dibuat di Azure VNet.
Catatan
Untuk memastikan Anda mengirim lalu lintas melalui koneksi situs ke situs dan ExpressRoute, Anda harus melakukan ping alamat IP (DIP) khusus VM di kedua ujungnya dan bukan alamat VIP VM.
Izinkan ICMP masuk melalui firewall
Secara default, Windows Server 2016 tidak mengizinkan paket ICMP yang masuk melalui firewall. Untuk setiap VM yang Anda gunakan untuk pengujian ping, Anda harus mengizinkan paket ICMP yang masuk. Untuk membuat aturan firewall untuk ICMP, jalankan cmdlet berikut di jendela PowerShell yang dinaikkan:
# Create ICMP firewall rule.
New-NetFirewallRule `
-DisplayName "Allow ICMPv4-In" `
-Protocol ICMPv4
Melakukan ping VM Azure Stack Hub
Masuk ke portal pengguna Azure Stack Hub.
Temukan VM yang Anda buat dan pilih.
Pilih Hubungkan.
Dari perintah Windows atau PowerShell yang dinaikkan, masukkan ipconfig /all. Perhatikan alamat IPv4 yang ditampilkan dalam output.
Ping alamat IPv4 dari VM di Azure VNet.
Di lingkungan contoh, alamat IPv4 berasal dari subnet 10.1.1.x/24. Di lingkungan Anda, alamatnya mungkin berbeda, tetapi harus berada di subnet yang Anda buat untuk subnet VNet penyewa.
Melihat statistik transfer data
Jika ingin mengetahui berapa banyak lalu lintas yang melewati koneksi Anda, Anda dapat menemukan informasi ini di portal pengguna Azure Stack Hub. Melihat statistik transfer data juga merupakan cara yang baik untuk mengetahui apakah data pengujian ping Anda melalui koneksi VPN dan ExpressRoute:
- Masuk ke portal pengguna Azure Stack Hub, lalu pilih Semua sumber daya.
- Navigasikan ke grup sumber daya untuk VPN Gateway Anda dan pilih jenis objek Koneksi.
- Pilih koneksi ConnectToAzure dari daftar.
- Di bawah ConnectionsOverview>Gambaran Umum, Anda dapat melihat statistik untuk Data masuk dan Data keluar. Anda akan melihat beberapa nilai non-nol.