Menghubungkan sirkuit ExpressRoute ke jaringan virtual

  • 5 menit

Sirkuit ExpressRoute menunjukkan koneksi logis antara infrastruktur lokal Anda dan layanan cloud Microsoft melalui penyedia konektivitas. Anda dapat meminta beberapa sirkuit ExpressRoute. Setiap sirkuit dapat berada di wilayah yang sama atau berbeda, dan dapat terhubung ke tempat lokal Anda melalui penyedia konektivitas yang berbeda. Sirkuit ExpressRoute tidak memetakan ke entitas fisik apa pun. Sirkuit secara unik diidentifikasi oleh GUID standar yang disebut sebagai kunci servis (s-key).

Dalam latihan sebelumnya, Anda telah membuat Gateway ExpressRoute dan sirkuit ExpressRoute. Kemudian, Anda telah mempelajari cara mengonfigurasi peering untuk sirkuit rute ekspres. Sekarang Anda akan mempelajari cara membuat koneksi antara sirkuit ExpressRoute dan jaringan virtual Azure.

Menyambungkan jaringan virtual ke sirkuit ExpressRoute

  • Anda harus memiliki sirkuit ExpressRoute aktif.
  • Pastikan Anda memiliki serekan privat yang dikonfigurasi untuk sirkuit Anda.
  • Pastikan bahwa peering privat Azure dikonfigurasi dan menetapkan peering BGP antara jaringan Anda dan Microsoft untuk konektivitas end-to-end.
  • Pastikan Anda memiliki jaringan virtual dan gateway jaringan virtual yang dibuat dan disediakan sepenuhnya. Gateway jaringan virtual untuk ExpressRoute menggunakan GatewayType 'ExpressRoute', bukan VPN.
  • Anda dapat menautkan hingga 10 jaringan virtual ke sirkuit ExpressRoute standar. Semua jaringan virtual harus berada di wilayah geopolitik yang sama saat menggunakan sirkuit ExpressRoute standar.
  • Satu VNet dapat ditautkan ke hingga 16 sirkuit ExpressRoute. Gunakan proses berikut untuk membuat objek koneksi baru untuk setiap sirkuit ExpressRoute tempat tujuan Anda terhubung. Sirkuit ExpressRoute dapat berada dalam langganan yang sama, langganan yang berbeda, atau campuran keduanya.
  • Jika Anda mengaktifkan add-on premium ExpressRoute, Anda dapat menautkan jaringan virtual di luar wilayah geopolitik sirkuit ExpressRoute. Add-on premium juga akan memungkinkan Anda untuk menghubungkan lebih dari 10 jaringan virtual ke sirkuit ExpressRoute Anda bergantung bandwidth yang dipilih.
  • Untuk membuat koneksi dari sirkuit ExpressRoute ke gateway jaringan virtual ExpressRoute target, jumlah ruang alamat yang diiklankan dari jaringan virtual lokal atau yang disambungkan harus sama dengan atau kurang dari 200. Setelah koneksi berhasil dibuat, Anda dapat menambahkan spasi alamat tambahan, hingga 1.000 spasi, ke jaringan virtual lokal atau yang di-peering.

Menambahkan VPN ke penyebaran ExpressRoute

Bagian ini membantu Anda mengonfigurasi konektivitas terenkripsi aman antara jaringan lokal dan jaringan virtual Azure (VNet) Anda melalui koneksi privat ExpressRoute. Anda dapat menggunakan peering Microsoft untuk membuat terowongan IPsec/IKE VPN situs-ke-situs antara jaringan lokal yang Anda pilih dan Azure VNets. Mengonfigurasi terowongan aman melalui ExpressRoute memungkinkan pertukaran data dengan kerahasiaan, anti-replay, keaslian, dan integritas.

Catatan

Saat Anda menyiapkan VPN situs ke situs melalui peering Microsoft, Anda dikenakan biaya untuk gateway VPN dan keluar VPN.

Untuk ketersediaan tinggi dan redundansi, Anda dapat mengonfigurasi beberapa terowongan melalui dua pasang MSEE-PE sirkuit ExpressRoute dan mengaktifkan penyeimbangan beban di antara terowongan.

Terowongan VPN melalui peering Microsoft dapat dihentikan menggunakan gateway VPN atau menggunakan Appliance Virtual Jaringan (NVA) yang sesuai yang tersedia di Azure Marketplace. Anda dapat bertukar rute secara statis atau dinamis melalui terowongan terenkripsi tanpa mengekspos pertukaran rute ke peering Microsoft yang mendasarinya. Dalam bagian ini, BGP (berbeda dengan sesi BGP yang digunakan untuk membuat peering Microsoft) digunakan untuk bertukar awalan melalui terowongan terenkripsi secara dinamis.

Penting

Untuk sisi lokal, biasanya, peering Microsoft dihentikan di DMZ dan peering pribadi dihentikan pada zona jaringan inti. Dua zona akan dipisahkan menggunakan firewall. Jika Anda mengonfigurasi peering Microsoft secara eksklusif untuk mengaktifkan penerowongan aman melalui ExpressRoute, ingatlah untuk memfilter hanya IP publik yang diiklankan melalui peering Microsoft.

Langkah-langkah

  • Mengonfigurasi peering Microsoft untuk sirkuit ExpressRoute.
  • Mengiklankan awalan publik regional Azure yang dipilih ke jaringan lokal Anda melalui peering Microsoft.
  • Mengonfigurasi gateway VPN dan membuat terowongan IPsec
  • Mengonfigurasi perangkat VPN lokal.
  • Membuat koneksi IPsec/IKE situs-ke-situs.
  • (Opsional) Mengonfigurasi firewall/pemfilteran pada perangkat VPN lokal.
  • Menguji dan memvalidasi komunikasi IPsec melalui sirkuit ExpressRoute.