Mengonfigurasi koneksi berdampingan ExpressRoute dan Situs-ke-Situs menggunakan portal Azure

  • Artikel

Artikel ini membantu Anda mengonfigurasi koneksi ExpressRoute dan VPN Situs-ke-Situs berdampingan. Memiliki kemampuan untuk mengonfigurasi VPN Situs-ke-Situs dan ExpressRoute memiliki beberapa kelebihan. Anda dapat mengonfigurasi VPN Situs-ke-Situs sebagai jalur kegagalan aman untuk ExpressRoute atau menggunakan VPN Situs-ke-Situs untuk menyambung ke situs yang tidak tersambung melalui ExpressRoute. Kami membahas langkah-langkah untuk mengonfigurasi kedua skenario dalam artikel ini. Artikel ini berlaku untuk model penyebaran Resource Manager.

Mengonfigurasi VPN Situs-ke-Situs dan koneksi ExpressRoute yang berdampingan memiliki beberapa keunggulan:

  • Anda dapat mengonfigurasi VPN Situs-ke-Situs sebagai jalur failover aman untuk ExpressRoute.
  • Atau, Anda dapat menggunakan VPN Situs-ke-Situs untuk menyambung ke situs yang tidak tersambung melalui ExpressRoute.

Langkah-langkah untuk mengonfigurasi kedua skenario dibahas dalam artikel ini. Anda dapat mengonfigurasi salah satu gateway terlebih dahulu. Biasanya, Anda tidak dikenakan waktu henti saat menambahkan gateway atau koneksi gateway baru.

Catatan

Jika Anda ingin membuat VPN Situs-ke-Situs melalui koneksi ExpressRoute, lihat Situs-ke-situs melalui peering Microsoft.

Batasan dan pembatasan

  • Hanya gateway VPN berbasis rute yang didukung. Anda harus menggunakan VPN Gateway berbasis rute. Anda juga dapat menggunakan gateway VPN berbasis rute dengan koneksi VPN yang dikonfigurasi untuk 'pemilih lalu lintas berbasis kebijakan' seperti yang dijelaskan di Menyambungkan ke beberapa perangkat VPN berbasis kebijakan.
  • Konfigurasi berdampingan ExpressRoute-VPN Gateway tidak didukung pada SKU Dasar.
  • Gateway ExpressRoute dan VPN harus dapat berkomunikasi satu sama lain melalui BGP agar berfungsi dengan baik. Jika menggunakan UDR pada subnet gateway, pastikan bahwa itu tidak menyertakan rute untuk rentang subnet gateway itu sendiri karena ini akan mengganggu lalu lintas BGP.
  • Jika Anda ingin menggunakan perutean transit antara ExpressRoute dan VPN, ASN Azure VPN Gateway harus diatur ke 65515. Azure VPN Gateway mendukung protokol perutean BGP. Agar ExpressRoute dan Azure VPN bekerja sama, Anda harus mempertahankan Nomor Sistem Otonom gateway Azure VPN Anda pada nilai defaultnya, 65515. Jika sebelumnya Anda memilih ASN selain 65515 dan mengubah pengaturan menjadi 65515, Anda harus menyetel ulang gateway VPN agar pengaturan diterapkan.
  • Subnet gateway harus /27 atau awalan yang lebih pendek, seperti /26, /25, atau Anda menerima pesan kesalahan saat menambahkan gateway jaringan virtual ExpressRoute.
  • Koeksistensi untuk lalu lintas IPv4 saja. Eksistensi ExpressRoute dengan gateway VPN didukung, tetapi hanya untuk lalu lintas IPv4. Lalu lintas IPv6 tidak didukung untuk gateway VPN.

Desain konfigurasi

Mengonfigurasi VPN Situs-ke-Situs sebagai jalur kegagalan untuk ExpressRoute

Anda dapat mengonfigurasi sambungan VPN Situs-ke-Situs sebagai cadangan untuk ExpressRoute. Koneksi ini hanya berlaku untuk jaringan virtual yang ditautkan ke jalur peering privat Azure. Tidak ada solusi failover berbasis VPN untuk layanan yang dapat diakses melalui peering Azure Microsoft. Sirkuit ExpressRoute selalu menjadi penghubung utama. Data akan mengalir melalui jalur VPN Situs-ke-Situs hanya jika sirkuit ExpressRoute gagal. Untuk menghindari perutean asimetris, konfigurasi jaringan lokal Anda juga harus lebih memilih sirkuit ExpressRoute daripada VPN Situs-ke-Situs. Anda dapat lebih memilih jalur ExpressRoute dengan menetapkan preferensi lokal yang lebih tinggi untuk rute yang diterima ExpressRoute.

Catatan

Jika Anda mengaktifkan ExpressRoute Microsoft Peering, Anda dapat menerima alamat IP publik gateway Azure VPN Anda di koneksi ExpressRoute. Untuk menyiapkan koneksi VPN situs-ke-situs Anda sebagai cadangan, Anda harus mengonfigurasi jaringan lokal agar koneksi VPN dirutekan ke Internet.

Catatan

Meskipun sirkuit ExpressRoute lebih disukai daripada VPN Situs-ke-Situs ketika kedua rutenya sama, Azure akan menggunakan awalan terpanjang yang cocok untuk memilih rute menuju tujuan paket.

Diagram koneksi VPN situs-ke-situs yang digunakan sebagai cadangan untuk ExpressRoute.

Konfigurasikan VPN Situs-ke-Situs untuk menyambungkan ke situs yang tidak tersambung melalui ExpressRoute

Anda dapat mengonfigurasi jaringan Anda dengan beberapa situs terhubung langsung ke Azure melalui VPN Situs-ke-Situs dan beberapa situs terhubung melalui ExpressRoute.

Diagram koneksi VPN situs-ke-situs yang berdampingan dengan koneksi ExpressRoute untuk dua situs yang berbeda.

Memilih langkah-langkah yang akan digunakan

Ada dua set prosedur berbeda untuk dipilih. Prosedur konfigurasi yang Anda pilih akan tergantung pada apakah Anda memiliki jaringan virtual yang sudah ada yang ingin Anda sambungkan atau Anda ingin membuat jaringan virtual baru.

  • Saya tidak memiliki VNet dan perlu membuatnya.

    Jika Anda belum memiliki jaringan virtual, prosedur ini akan memandu Anda membuat jaringan virtual baru menggunakan model penyebaran Resource Manager dan membuat koneksi ExpressRoute serta VPN Situs-ke-Situs baru. Untuk mengonfigurasi jaringan virtual, ikuti langkah-langkah di Untuk membuat jaringan virtual baru dan koneksi koeksistensi.

  • Saya sudah memiliki VNet model penyebaran Resource Manager.

    Anda mungkin sudah memiliki jaringan virtual dengan sambungan VPN Situs-ke-Situs atau sambungan ExpressRoute yang ada. Dalam skenario ini, jika prefiks subnet gateway adalah /28 atau lebih panjang (/29, /30, dll.), Anda harus menghapus gateway yang ada. Bagian Untuk mengonfigurasi koneksi koeksistensi untuk VNet yang sudah ada memandu Anda menghapus gateway, lalu membuat koneksi ExpressRoute dan VPN Situs-ke-Situs baru.

    Jika Anda menghapus dan membuat ulang gateway, Anda memiliki waktu henti untuk koneksi lintas tempat Anda. Namun, VM dan layanan Anda dapat berkomunikasi melalui load balancer saat Anda mengonfigurasi gateway jika dikonfigurasi untuk melakukannya.

Untuk membuat jaringan virtual baru dan sambungan yang berdampingan

Prosedur ini memandu Anda membuat koneksi VNet dan Situs-ke-Situs dan ExpressRoute yang hidup berdampingan.

  1. Masuk ke portal Azure.

  2. Di sisi kiri atas layar, pilih + Buat sumber daya dan cari Jaringan virtual.

  3. Pilih Buat untuk mulai mengonfigurasi jaringan virtual.

    Cuplikan layar halaman buat jaringan virtual.

  4. Pada tab Dasar, pilih atau buat grup sumber daya baru untuk menyimpan jaringan virtual. Kemudian masukkan nama dan pilih wilayah untuk menyebarkan jaringan virtual. Pilih Berikutnya: Alamat IP > untuk mengonfigurasi ruang alamat dan subnet.

    Cuplikan layar tab dasar untuk membuat jaringan virtual.

  5. Di tab Alamat IP, konfigurasikan ruang alamat jaringan virtual. Kemudian tentukan subnet yang ingin Anda buat, termasuk subnet gateway. Pilih Tinjau + buat lalu pilih Buat* untuk menyebarkan jaringan virtual. Untuk informasi selengkapnya tentang membuat jaringan virtual, lihat Membuat jaringan virtual. Untuk informasi selengkapnya tentang membuat subnet, lihat Membuat subnet

    Penting

    Subnet Gateway harus /27 atau awalan yang lebih pendek (seperti /26 atau /25).

    Cuplikan layar tab alamat IP untuk membuat jaringan virtual.

  6. Buat gateway VPN situs-ke-situs dan gateway jaringan lokal. Untuk informasi selengkapnya tentang konfigurasi gateway VPN, lihat Mengonfigurasi VNet dengan koneksi Situs-ke-Situs. GatewaySku hanya didukung untuk gateway VPN VpnGw1, VpnGw2, VpnGw3, Standar, dan HighPerformance. Konfigurasi berdampingan ExpressRoute-VPN Gateway tidak didukung pada SKU Dasar. VpnType harus RouteBased.

  7. Konfigurasikan perangkat VPN lokal Anda untuk terhubung ke gateway Azure VPN baru. Untuk informasi selengkapnya tentang konfigurasi perangkat VPN, lihat Konfigurasi Perangkat VPN.

  8. Jika Anda tersambung ke sirkuit ExpressRoute yang ada, lewati langkah 8 & 9 dan, lompat ke langkah 10. Konfigurasikan sirkuit ExpressRoute. Untuk informasi selengkapnya tentang mengonfigurasi sirkuit ExpressRoute, lihat membuat sirkuit ExpressRoute.

  9. Konfigurasikan peering privat Azure melalui sirkuit ExpressRoute. Untuk informasi selengkapnya tentang mengonfigurasi peering privat Azure melalui sirkuit ExpressRoute, lihat mengonfigurasi peering

  10. Pilih + Buat sumber daya dan cari Gateway jaringan virtual. Lalu pilih Buat.

  11. Pilih jenis gateway ExpressRoute, SKU yang sesuai, dan jaringan virtual untuk menyebarkan gateway.

    Cuplikan layar membuat gateway jaringan virtual untuk ExpressRoute.

  12. Tautkan gateway ExpressRoute ke sirkuit ExpressRoute. Setelah langkah ini selesai, sambungan antara jaringan lokal Anda dan Azure, melalui ExpressRoute, berhasil dibuat. Untuk informasi selengkapnya tentang operasi tautan, lihat Menautkan VNet ke ExpressRoute.

Untuk mengonfigurasi sambungan yang berdampingan untuk VNet yang sudah ada

Jika Anda memiliki jaringan virtual yang hanya memiliki satu gateway jaringan virtual, misalnya, gateway VPN Situs-ke-Situs dan Anda ingin menambahkan gateway lain dengan jenis yang berbeda, misalnya, gateway ExpressRoute, periksa ukuran subnet gateway. Jika subnet gateway adalah /27 atau lebih besar, Anda dapat melewati langkah-langkah berikut dan mengikuti langkah-langkah di bagian sebelumnya untuk menambahkan gateway VPN Situs-ke-Situs atau gateway ExpressRoute. Jika subnet gateway berukuran /28 atau /29, Anda harus terlebih dahulu menghapus gateway jaringan virtual dan menambah ukuran subnet gateway. Langkah-langkah di bagian ini akan menunjukkan kepada Anda cara melakukannya.

  1. Hapus gateway ExpressRoute atau VPN Situs-ke-situs yang sudah ada.

  2. Hapus dan buat ulang GatewaySubnet agar memiliki awalan /27 atau lebih pendek.

  3. Konfigurasikan VNet dengan koneksi Situs-ke-Situs lalu Konfigurasikan gateway ExpressRoute.

  4. Setelah gateway ExpressRoute disebarkan, Anda dapat menautkan jaringan virtual ke sirkuit ExpressRoute.

Untuk menambahkan konfigurasi point-to-site ke gateway VPN

Anda dapat menambahkan konfigurasi Titik-ke-Situs ke kumpulan berdampingan Anda dengan mengikuti instruksi dalam Mengonfigurasi koneksi VPN Titik-ke-Situs menggunakan autentikasi sertifikat Azure

Untuk mengaktifkan perutean transit antara ExpressRoute dan Azure VPN

Jika Anda ingin mengaktifkan konektivitas antara salah satu jaringan lokal Anda yang tersambung ke ExpressRoute dan jaringan lokal Anda lainnya yang tersambung ke koneksi VPN situs-ke-situs, Anda perlu menyiapkan Azure Route Server.

Langkah berikutnya

Untuk informasi selengkapnya tentang ExpressRoute, lihat Tanya Jawab Umum ExpressRoute.