Come configurare BGP per Azure Gateway VPN

  • Articolo

Questo articolo illustra come abilitare BGP in connessioni VPN da sito a sito (S2S) cross-premise e connessioni da rete virtuale a rete virtuale usando il portale di Azure. È anche possibile creare questa configurazione usando l'interfaccia della riga di comando di Azure o i passaggi di PowerShell .

BGP è il protocollo di routing standard comunemente usato in Internet per lo scambio di informazioni di routing e raggiungibilità tra due o più reti. BGP consente ai gateway VPN e ai dispositivi VPN locali, denominati peer o vicini BGP, di scambiare "route" che informeranno entrambi i gateway sulla disponibilità e sulla raggiungibilità per tali prefissi di passare attraverso i gateway o i router coinvolti. BGP può anche abilitare il routing di transito tra più reti propagando a tutti gli altri peer BGP le route che un gateway BGP apprende da un peer BGP.

Per altre informazioni sui vantaggi di BGP e per comprendere i requisiti tecnici e le considerazioni sull'uso di BGP, vedere Informazioni su BGP e Azure Gateway VPN.

Introduzione

Ogni parte di questo articolo illustra come creare un blocco predefinito di base per abilitare BGP nella connettività di rete. Se si completano tutte e tre le parti (configurare BGP nel gateway, la connessione da sito a sito e la connessione da rete virtuale a rete virtuale) si compila la topologia, come illustrato nel diagramma 1. È possibile combinare le parti per creare una rete di transito a più hop più complessa per soddisfare le proprie esigenze.

Diagramma 1

Diagramma che mostra l'architettura e le impostazioni di rete.

Per il contesto, facendo riferimento al diagramma 1, se BGP dovesse essere disabilitato tra TestVNet2 e TestVNet1, TestVNet2 non imparerebbe le route per la rete locale, Site5 e quindi non poteva comunicare con il sito 5. Dopo aver abilitato BGP, tutte e tre le reti saranno in grado di comunicare tramite le connessioni IPsec S2S e da rete virtuale a rete virtuale.

Prerequisiti

Verificare di possedere una sottoscrizione di Azure. Se non si ha una sottoscrizione di Azure, è possibile attivare i vantaggi per i sottoscrittori di MSDN oppure iscriversi per ottenere un account gratuito.

Abilitare BGP per il gateway VPN

Questa sezione è obbligatoria prima dell'esecuzione dei passaggi illustrati nelle altre due sezioni di configurazione. I passaggi di configurazione seguenti configurano i parametri BGP del gateway VPN, come illustrato nel diagramma 2.

Diagramma 2

Diagramma che mostra le impostazioni per il gateway di rete virtuale.

1. Creare TestVNet1

In questo passaggio viene creato e configurato TestVNet1. Usare la procedura descritta nell'esercitazione Creare un gateway per creare e configurare la rete virtuale di Azure e il gateway VPN.

Valori di esempio di rete virtuale:

  • Gruppo di risorse: TestRG1
  • Rete virtuale: TestVNet1
  • Località/area geografica: EastUS
  • Spazio indirizzi: 10.11.0.0/16, 10.12.0.0/16
  • Subnet:
    • FrontEnd: 10.11.0.0/24
    • BackEnd: 10.12.0.0/24
    • GatewaySubnet: 10.12.255.0/27

2. Creare un gateway TestVNet1 con BGP

In questo passaggio viene creato un gateway VPN con i parametri BGP corrispondenti.

  1. Usare la procedura descritta in Creare e gestire un gateway VPN per creare un gateway con i parametri seguenti:

    • Dettagli istanza:

      • Nome: VNet1GW
      • Area: EastUS
      • Tipo di gateway: VPN
      • Tipo VPN: Basato su route
      • SKU: VpnGW1 o versione successiva
      • Generazione: selezionare una generazione
      • Rete virtuale: TestVNet1

    • Indirizzo IP pubblico

      • Tipo di indirizzo IP pubblico: Basic o Standard
      • Indirizzo IP pubblico: Creare un nuovo gruppo di risorse
      • Nome indirizzo IP pubblico: VNet1GWIP
      • Abilita active-active: Disabled
      • Configurare BGP: Abilitato

  2. Nella sezione Configura BGP evidenziata della pagina configurare le impostazioni seguenti:

    • Selezionare Configure BGP Enabled (Configura BGP - abilitato) per visualizzare la sezione di configurazione BGP.

    • Compilare l'ASN (Numero di sistema autonomo).

    • Il campo Indirizzo IP BGP dell'API di Azure è facoltativo. Se i dispositivi VPN locali usano l'indirizzo APIPA per BGP, è necessario selezionare un indirizzo dall'intervallo di indirizzi APIPA riservato di Azure per VPN, compreso tra 169.254.21.0 e 169.254.22.255.

    • Se si sta creando un gateway VPN attivo-attivo, la sezione BGP mostrerà un indirizzo IP BGP BGP api di Azure personalizzato aggiuntivo. Ogni indirizzo selezionato deve essere univoco e deve essere compreso nell'intervallo APIPA consentito (da 169.254.21.0 a 169.254.22.255). I gateway attivi-attivi supportano anche più indirizzi sia per l'indirizzo IP BGP dell'API di Azure che per il secondo indirizzo IP BGP dell'API di Azure personalizzata BGP. Gli input aggiuntivi verranno visualizzati solo dopo aver immesso il primo indirizzo IP BGP APIPA.

      Importante

      • Per impostazione predefinita, Azure assegna automaticamente un indirizzo IP privato dall'intervallo di prefissi GatewaySubnet come indirizzo IP BGP di Azure nel gateway VPN. L'indirizzo BGP dell'API di Azure personalizzato è necessario quando i dispositivi VPN locali usano un indirizzo APIPA (da 169.254.0.1 a 169.254.255.254) come IP BGP. Gateway VPN sceglierà l'indirizzo APIPA personalizzato se la risorsa del gateway di rete locale corrispondente (rete locale) ha un indirizzo APIPA come IP peer BGP. Se il gateway di rete locale usa un normale indirizzo IP (non APIPA), Gateway VPN ripristina l'indirizzo IP privato dall'intervallo GatewaySubnet.

      • Gli indirizzi BGP APIPA non devono sovrapporsi tra i dispositivi VPN locali e tutti i gateway VPN connessi.

      • Quando gli indirizzi APIPA vengono usati nei gateway VPN, i gateway non avviano sessioni di peering BGP con indirizzi IP di origine APIPA. Il dispositivo VPN locale deve avviare le connessioni peering BGP.

  3. Selezionare Rivedi e crea per eseguire la convalida. Una volta superata la convalida, selezionare Crea per distribuire il gateway VPN. La creazione di un gateway spesso richiede anche più di 45 minuti di tempo a seconda dello SKU gateway selezionato. È possibile visualizzare lo stato della distribuzione nella pagina Panoramica per il gateway.

3. Ottenere gli indirizzi IP peer BGP di Azure

Dopo aver creato il gateway, è possibile ottenere gli indirizzi IP peer BGP nel gateway VPN. Questi indirizzi sono necessari per configurare i dispositivi VPN locali per stabilire sessioni BGP con il gateway VPN.

Nella pagina Configurazione del gateway di rete virtuale è possibile visualizzare le informazioni di configurazione BGP nel gateway VPN: ASN, Indirizzo IP pubblico e gli indirizzi IP peer BGP corrispondenti sul lato Azure (impostazione predefinita e APIPA). È anche possibile apportare le modifiche di configurazione seguenti:

  • Se necessario, è possibile aggiornare l'ASN o l'indirizzo IP BGP APIPA.
  • Se si dispone di un gateway VPN attivo-attivo, questa pagina mostrerà l'indirizzo IP pubblico, l'impostazione predefinita e gli indirizzi IP BGP APIPA della seconda istanza del gateway VPN.

Per ottenere l'indirizzo IP del peer BGP di Azure:

  1. Passare alla risorsa gateway di rete virtuale e selezionare la pagina Configurazione per visualizzare le informazioni di configurazione BGP.
  2. Prendere nota dell'indirizzo IP del peer BGP.

Per configurare BGP in connessioni S2S cross-premise

Le istruzioni contenute in questa sezione si applicano alle configurazioni cross-premise da sito a sito.

Per stabilire una connessione cross-premise, è necessario creare un gateway di rete locale per rappresentare il dispositivo VPN locale e una connessione per connettere il gateway VPN al gateway di rete locale, come illustrato in Creare una connessione da sito a sito. Le sezioni seguenti contengono le proprietà aggiuntive necessarie per specificare i parametri di configurazione BGP, come illustrato nel diagramma 3.

Diagramma 3

Diagramma che mostra la configurazione IPsec.

Prima di procedere, assicurarsi di aver abilitato BGP per il gateway VPN.

1. Creare un gateway di rete locale

Configurare un gateway di rete locale con le impostazioni BGP.

  • Per informazioni e passaggi, vedere la sezione gateway di rete locale nell'articolo connessione da sito a sito.
  • Se si dispone già di un gateway di rete locale, è possibile modificarlo. Per modificare un gateway di rete locale, passare alla pagina Configurazione della risorsa gateway di rete locale e apportare le modifiche necessarie.

  1. Quando si crea il gateway di rete locale, per questo esercizio, usare i valori seguenti:

    • Nome: Site5
    • Indirizzo IP: indirizzo IP dell'endpoint del gateway a cui si vuole connettersi. Esempio: 128.9.9.9.9
    • Spazi indirizzi: se BGP è abilitato, non è necessario spazio indirizzi.

  2. Per configurare le impostazioni BGP, passare alla pagina Avanzate . Usare i valori di esempio seguenti (illustrato nel diagramma 3). Modificare tutti i valori necessari per trovare la corrispondenza con l'ambiente.

    • Configurare le impostazioni BGP: Sì
    • Numero di sistema autonomo (ASN): 65050
    • Indirizzo IP peer BGP: indirizzo del dispositivo VPN locale. Esempio: 10.51.255.254

  3. Fare clic su Rivedi e crea per creare il gateway di rete locale.

Considerazioni importanti sulla configurazione

  • L'ASN e l'indirizzo IP peer BGP devono corrispondere alla configurazione del router VPN locale.
  • È possibile lasciare vuoto lo spazio indirizzi solo se si usa BGP per connettersi alla rete. Il gateway VPN di Azure aggiungerà internamente una route dell'indirizzo IP del peer BGP al tunnel IPsec corrispondente. Se non si usa BGP tra il gateway VPN e questa particolare rete, è necessario specificare un elenco di prefissi di indirizzi validi per lo spazio indirizzi.
  • Facoltativamente, è possibile usare un indirizzo IP APIPA (169.254.x.x) come IP peer BGP locale, se necessario. È tuttavia necessario specificare anche un indirizzo IP APIPA come descritto in precedenza in questo articolo per il gateway VPN. In caso contrario, la sessione BGP non può stabilire per questa connessione.
  • È possibile immettere le informazioni di configurazione BGP durante la creazione del gateway di rete locale oppure aggiungere o modificare la configurazione BGP dalla pagina Configurazione della risorsa gateway di rete locale.

2. Configurare una connessione da sito a sito con BGP abilitato

In questo passaggio viene creata una nuova connessione con BGP abilitato. Se si ha già una connessione e si vuole abilitare BGP, è possibile aggiornarla.

Per creare una connessione

  1. Per creare una nuova connessione, passare alla pagina Connessioni gateway di rete virtuale.
  2. Selezionare +Aggiungi per aprire la pagina Aggiungi una connessione.
  3. Compilare i valori necessari.
  4. Selezionare Abilita BGP per abilitare BGP in questa connessione.
  5. Selezionare OK per salvare le modifiche.

Per aggiornare una connessione esistente

  1. Passare alla pagina Connessioni gateway di rete virtuale.
  2. Selezionare la connessione da modificare.
  3. Passare alla pagina Configurazione per la connessione.
  4. Modificare l'impostazione BGP su Abilitato.
  5. Salvare le modifiche.

Configurazione del dispositivo locale

L'esempio seguente elenca i parametri da immettere nella sezione della configurazione BGP nel dispositivo VPN locale per questo esercizio:

- Site5 ASN            : 65050
- Site5 BGP IP         : 10.51.255.254
- Prefixes to announce : (for example) 10.51.0.0/16
- Azure VNet ASN       : 65010
- Azure VNet BGP IP    : 10.12.255.30
- Static route         : Add a route for 10.12.255.30/32, with nexthop being the VPN tunnel interface on your device
- eBGP Multihop        : Ensure the "multihop" option for eBGP is enabled on your device if needed

Per abilitare BGP nelle connessioni da rete virtuale a rete virtuale

I passaggi descritti in questa sezione si applicano alle connessioni da rete virtuale a rete virtuale.

Per abilitare o disabilitare BGP in una connessione da rete virtuale a rete virtuale, usare gli stessi passaggi della procedura cross-premise da sito a sito della sezione precedente. È possibile abilitare BGP durante la creazione della connessione o aggiornare la configurazione in una connessione da rete virtuale a rete virtuale esistente.

Nota

Una connessione da rete virtuale a rete virtuale senza BGP limita la comunicazione solo alle due reti virtuali connesse. Abilitare BGP per consentire la funzionalità di routing di transito ad altre connessioni da sito a sito o da rete virtuale a rete virtuale di queste due reti virtuali.

Passaggi successivi

Per altre informazioni su BGP, vedere Informazioni su BGP e Gateway VPN.