Бөлісу құралы:

Настройка BGP для Azure VPN-шлюз

  • Мақала

В этой статье показано, как включить VPN-подключения типа "сеть — сеть" (S2S) bGP на нескольких локальных vpn-подключениях и подключениях между виртуальными сетями с помощью портал Azure. Вы также можете создать эту конфигурацию с помощью azure CLI или PowerShell .

Стандартный протокол маршрутизации BGP обычно используется в Интернете для обмена данными о маршрутизации и доступности между двумя или несколькими сетями. Протокол BGP используется VPN-шлюзами и локальными VPN-устройствами (так называемыми одноранговыми узлами BGP) для обмена данными о маршрутах. Это позволяет информировать участников обмена о доступности и возможности передавать трафик для определенных сетей через шлюзы или маршрутизаторы. Также BGP позволяет передавать трафик транзитом через несколько сетей. Для этого шлюз BGP распространяет на все известные ему узлы BGP информацию о маршрутах, полученную от остальных узлов BGP.

Дополнительные сведения о преимуществах BGP и о технических требованиях и рекомендациях по использованию BGP см. в разделе о BGP и Azure VPN-шлюз.

Начало работы

Все части этой статьи помогут вам создать базовые блоки для использования BGP в вашей сети. Если вы завершите все три части (настройте BGP на шлюзе, подключении S2S и подключении между виртуальными сетями) вы создадите топологию, как показано на схеме 1. Вы можете объединять блоки для создания более сложных, многоскачковых и транзитных сетей, в соответствии со своими задачами.

Схема 1

Схема, показывающая сетевую архитектуру и параметры.

Для контекста, ссылаясь на схему 1, если BGP должна быть отключена между TestVNet2 и TestVNet1, TestVNet2 не будет изучать маршруты для локальной сети, Site5 и поэтому не мог взаимодействовать с сайтом 5. После включения BGP все три сети смогут обмениваться данными через подключения S2S IPsec и VNet-to-VNet.

Необходимые компоненты

Убедитесь в том, что у вас уже есть подписка Azure. Если у вас нет подписки Azure, вы можете активировать преимущества для подписчиков MSDN или зарегистрировать бесплатную учетную запись.

Включение BGP для VPN-шлюза

Выполните действия в этом разделе, прежде чем выполнять какие-либо шаги в остальных двух разделах конфигурации. Следующие шаги настройки настраивают параметры BGP VPN-шлюза, как показано на схеме 2.

Схема 2

Схема с параметрами шлюза виртуальной сети.

1. Создание TestVNet1

На этом шаге вы создадите и настроите TestVNet1. Выполните действия, описанные в руководстве по созданию шлюза, чтобы создать и настроить виртуальную сеть Azure и VPN-шлюз.

Примеры значений виртуальной сети:

  • Группа ресурсов: TestRG1.
  • Виртуальная сеть: TestVNet1
  • Расположение или регион: EastUS
  • Адресное пространство: 10.11.0.0/16, 10.12.0.0/16
  • Подсетей:
    • FrontEnd: 10.11.0.0/24
    • BackEnd: 10.12.0.0/24
    • GatewaySubnet: 10.12.255.0/27

2. Создание шлюза TestVNet1 с помощью BGP

На этом шаге вы создадите VPN-шлюз с соответствующими параметрами BGP.

  1. Выполните действия, описанные в статье "Создание VPN-шлюза " и управление ими, чтобы создать шлюз со следующими параметрами:

    • Сведения об экземпляре:

      • Имя: Vnet1GW
      • Регион: EastUS
      • Тип шлюза: VPN
      • Тип VPN: на основе маршрутов
      • Номер SKU: VpnGW1 или более поздней версии
      • Поколение: выбор поколения
      • Виртуальная сеть: TestVNet1

    • Общедоступный IP-адрес

      • Тип общедоступного IP-адреса: базовый или стандартный
      • Общедоступный IP-адрес: выберите вариант "Создать новый"
      • Имя общедоступного IP-адреса: VNet1GWIP
      • Включение активно-активного: отключено
      • Настроить BGP: включено.

  2. В выделенном разделе Настройка BGP на странице настройте следующие параметры.

    • Выберите Настроить BGP - Разрешено, чтобы отобразить раздел конфигурации BGP.

    • Заполните ASN (номер автономной системы).

    • Поле IP-адрес BGP APIPA Azure является необязательным. Если локальные VPN-устройства используют APIPA-адрес для BGP, необходимо выбрать адрес из диапазона адресов APIPA, зарезервированных в Azure для VPN, который находится в диапазоне от 169.254.21.0 до 169.254.22.255.

    • Если вы создаете VPN-шлюз active-active, в разделе BGP будет отображаться дополнительный пользовательский IP-адрес BGP Azure APIPA BGP. Каждый выбранный адрес должен быть уникальным и в пределах допустимого диапазона APIPA (от 169.254.21.0 до 169.254.22.255). Шлюзы "Активный — активный" также поддерживают несколько адресов для IP-адреса APIPA протокола BGP Azure и второго пользовательского IP-адреса APIPA протокола BGP Azure. Дополнительные поля для ввода будут отображаться только после добавления первого IP-адреса APIPA протокола BGP.

      Внимание

      • По умолчанию Azure назначает частный IP-адрес из диапазона префикса GatewaySubnet автоматически в качестве IP-адреса Azure BGP на VPN-шлюзе. Настраиваемый IP-адрес BGP для Azure требуется в том случае, если на локальных VPN-устройствах используется адрес APIPA (169.254.0.1–169.254.255.254) в качестве IP-адреса BGP. VPN-шлюз выберите пользовательский АДРЕС APIPA, если соответствующий ресурс шлюза локальной сети (локальная сеть) имеет АДРЕС APIPA в качестве IP-адреса однорангового ip-адреса BGP. Если шлюз локальной сети использует обычный IP-адрес (а не APIPA), VPN-шлюз вернется к частному IP-адресу из диапазона GatewaySubnet.

      • Адреса BGP APIPA не должны перекрываться между локальными VPN-устройствами и всеми подключенными VPN-шлюзами.

      • Если адреса APIPA используются в VPN-шлюзах, шлюзы не инициируют сеансы пиринга BGP с ip-адресами источника APIPA. Локальное VPN-устройство должно являться инициатором пиринговых подключений BGP.

  3. Выберите Просмотр и создание, чтобы выполнить проверку. Затем щелкните Создать, чтобы развернуть шлюз виртуальной частной сети. Создание шлюза часто занимает 45 минут и более, в зависимости от выбранного SKU шлюза. Состояние развертывания можно отслеживать на странице обзора шлюза.

3. Получение IP-адресов однорангового узла Azure BGP

После создания шлюза можно получить IP-адреса однорангового узла BGP на VPN-шлюзе. Эти адреса необходимы для настройки локальных VPN-устройств для создания сеансов BGP с VPN-шлюзом.

На странице "Конфигурация шлюза виртуальной сети" можно просмотреть сведения о конфигурации BGP в VPN-шлюзе: ASN, общедоступный IP-адрес и соответствующие IP-адреса одноранговых ip-адресов BGP на стороне Azure (по умолчанию и APIPA). Вы также можете внести следующие изменения конфигурации:

  • При необходимости обновите IP-адрес ASN или APIPA BGP.
  • Если у вас есть VPN-шлюз active, на этой странице будут показаны общедоступный IP-адрес, по умолчанию и IP-адреса BGP APIPA второго экземпляра VPN-шлюза.

Чтобы получить IP-адрес однорангового узла Azure BGP, выполните следующие действия.

  1. Перейдите к ресурсу шлюза виртуальной сети и выберите страницу "Конфигурация" , чтобы просмотреть сведения о конфигурации BGP.
  2. Запишите IP-адрес однорангового узла BGP.

Настройка BGP в локальных подключениях S2S

Инструкции в этом разделе применяются к конфигурациям между локальными сайтами и сайтами.

Чтобы установить соединение между локальными сетями, нужно создать локальный сетевой шлюз, который будет представлять локальное VPN-устройство, а также подключение между VPN-шлюзом и шлюзом локальной сети, как описано в разделе Создание подключения "сайт-сайт". В следующих разделах содержатся дополнительные свойства, необходимые для указания параметров конфигурации BGP, как показано на схеме 3.

Схема 3

Схема, показывающая конфигурацию IPsec.

Прежде чем продолжить, убедитесь, что вы включили BGP для VPN-шлюза.

1. Создание шлюза локальной сети

Настройте шлюз локальной сети с параметрами BGP.

  • Сведения и действия см . в разделе шлюза локальной сети в статье о подключении типа "сеть — сеть".
  • Если у вас уже есть шлюз локальной сети, его можно изменить. Чтобы изменить шлюз локальной сети, перейдите на страницу конфигурации ресурсов шлюза локальной сети и внесите необходимые изменения.

  1. При создании шлюза локальной сети для этого упражнения используйте следующие значения:

    • Имя: Site5
    • IP-адрес: IP-адрес конечной точки шлюза, к которой требуется подключиться. Пример: 128.9.9.9
    • Адресные пространства: если BGP включен, адресное пространство не требуется.

  2. Чтобы настроить параметры BGP, перейдите на страницу "Дополнительно ". Используйте следующие примеры значений (показанные на схеме 3). Измените все значения, необходимые для соответствия вашей среде.

    • Настройка параметров BGP: Да
    • Номер автономной системы (ASN): 65050
    • IP-адрес однорангового узла BGP: адрес локального VPN-устройства. Пример: 10.51.255.254

  3. Нажмите кнопку "Просмотр и создание ", чтобы создать шлюз локальной сети.

Дополнительные рекомендации по настройке

  • Номер ASN и IP-адрес однорангового узла BGP должны соответствовать конфигурации локального VPN-маршрутизатора.
  • Адресное пространство можно оставить пустым, только если вы используете BGP для подключения к этой сети. VPN-шлюз Azure добавит внутренний маршрут IP-адреса однорангового узла BGP в соответствующий туннель IPsec. Если вы не используете BGP между VPN-шлюзом и этой конкретной сетью, необходимо указать список допустимых префиксов адресов для адресного пространства.
  • При необходимости можно использовать IP-адрес APIPA (169.254. x. x) в качестве локального однорангового узла BGP. Но вам также потребуется указать IP-адрес APIPA, как описано ранее в этой статье для VPN-шлюза, в противном случае сеанс BGP не может установить для этого подключения.
  • Сведения о конфигурации BGP можно ввести во время создания шлюза локальной сети. Можно также добавить или изменить конфигурацию BGP на странице Конфигурация ресурса шлюза локальной сети.

2. Настройка подключения S2S с включенной BGP

На этом шаге вы создадите новое подключение с включенным BGP. Если у вас уже есть подключение и вы хотите включить BGP на нем, вы можете обновить его.

Создание подключения

  1. Чтобы создать новое подключение, перейдите на страницу "Подключения шлюза виртуальной сети".
  2. Нажмите кнопку +Добавить, чтобы открыть страницу "Добавить подключение".
  3. Заполните необходимые значения.
  4. Выберите "Включить BGP", чтобы включить BGP для этого подключения.
  5. Нажмите ОК, чтобы сохранить изменения.

Обновление существующего подключения

  1. Перейдите на страницу подключений шлюза виртуальной сети.
  2. Выберите подключение, которое нужно изменить.
  3. Перейдите на страницу "Конфигурация" для подключения.
  4. Измените параметр BGP на "Включено".
  5. Сохраните свои изменения.

Конфигурация локального устройства

В следующем примере перечислены параметры, которые следует ввести в разделе конфигурации BGP на локальном VPN-устройстве для нашего упражнения.

- Site5 ASN            : 65050
- Site5 BGP IP         : 10.51.255.254
- Prefixes to announce : (for example) 10.51.0.0/16
- Azure VNet ASN       : 65010
- Azure VNet BGP IP    : 10.12.255.30
- Static route         : Add a route for 10.12.255.30/32, with nexthop being the VPN tunnel interface on your device
- eBGP Multihop        : Ensure the "multihop" option for eBGP is enabled on your device if needed

Включение BGP для подключений между виртуальными сетями

Действия, описанные в этом разделе, применяются к подключениям между виртуальными сетями.

Чтобы включить или отключить BGP в подключении между виртуальными сетями, выполните те же действия, что и межсайтовые шаги , описанные в предыдущем разделе. Можно включить BGP при создании подключения или обновлении конфигурации существующего подключения "виртуальная сеть — виртуальная сеть".

Примечание.

Подключение "виртуальная сеть — виртуальная сеть" без BGP ограничит обмен данными только двумя подключенными виртуальными сетями. Включите BGP, чтобы разрешить транзитную маршрутизацию другим подключениям "сеть — сеть" или "виртуальная сеть — виртуальная сеть" для этих двух виртуальных сетей.

Следующие шаги

Дополнительные сведения о BGP см. в разделе "О BGP" и VPN-шлюз.