Delen via

BGP configureren voor Azure VPN Gateway

  • Artikel

Dit artikel helpt u bij het inschakelen van BGP op cross-premises site-naar-site-VPN-verbindingen (S2S) en VNet-naar-VNet-verbindingen met behulp van Azure Portal. U kunt deze configuratie ook maken met behulp van de Azure CLI - of PowerShell-stappen .

BGP is het standaardprotocol voor routering dat doorgaans op internet wordt gebruikt voor het uitwisselen van routerings- en bereikbaarheidsgegevens tussen twee of meer netwerken. BGP maakt het mogelijk dat VPN Gateways en uw on-premises VPN-apparaten, zogenaamde BGP-peers of neighbors, 'routes' kunnen uitwisselen die beide gateways informeren over de beschikbaarheid en bereikbaarheid voor deze prefixen zodat ze via de juiste gateways of routers communiceren. Met BGP kan ook transitroutering tussen meerdere netwerken worden ingeschakeld door routes die een BGP-gateway leert van één BGP te propageren naar alle andere BGP-peers.

Zie Over BGP en Azure VPN Gateway voor meer informatie over de voordelen van BGP en inzicht in de technische vereisten en overwegingen voor het gebruik van BGP.

Aan de slag

Elk deel van dit artikel helpt u bij het vormen van een basisbouwsteen voor het inschakelen van BGP in uw netwerkconnectiviteit. Als u alle drie de onderdelen voltooit (BGP configureren op de gateway, de S2S-verbinding en de VNet-naar-VNet-verbinding) bouwt u de topologie zoals wordt weergegeven in diagram 1. U kunt onderdelen combineren om een complexer, multi-hop, transitnetwerk te bouwen dat aan uw behoeften voldoet.

Diagram 1

Diagram met netwerkarchitectuur en -instellingen.

Als BGP tussen TestVNet2 en TestVNet1 zou worden uitgeschakeld voor context, zou TestVNet2 de routes voor het on-premises netwerk, Site5 niet leren en kon daarom niet communiceren met Site 5. Zodra u BGP hebt ingeschakeld, kunnen alle drie de netwerken communiceren via de S2S IPsec- en VNet-naar-VNet-verbindingen.

Vereisten

Controleer of u een Azure-abonnement hebt. Als u nog geen Azure-abonnement hebt, kunt u uw voordelen als MSDN-abonnee activeren of u aanmelden voor een gratis account.

BGP inschakelen voor de VPN-gateway

Deze sectie is vereist voordat u een van de stappen in de andere twee configuratiesecties uitvoert. Met de volgende configuratiestappen stelt u de BGP-parameters van de VPN-gateway in, zoals wordt weergegeven in diagram 2.

Diagram 2

Diagram met instellingen voor de gateway van het virtuele netwerk.

1. TestVNet1 maken

In deze stap maakt en configureert u TestVNet1. Gebruik de stappen in de zelfstudie Een gateway maken om uw virtuele Azure-netwerk en VPN-gateway te maken en te configureren.

Voorbeeldwaarden van virtueel netwerk:

  • Resourcegroep: TestRG1
  • VNet: TestVNet1
  • Locatie/regio: VS - oost
  • Adresruimte: 10.11.0.0/16, 10.12.0.0/16
  • Subnetten:
    • FrontEnd: 10.11.0.0/24
    • BackEnd: 10.12.0.0/24
    • GatewaySubnet: 10.12.255.0/27

2. TestVNet1-gateway maken met BGP

In deze stap maakt u een VPN-gateway met de bijbehorende BGP-parameters.

  1. Gebruik de stappen in Een VPN-gateway maken en beheren om een gateway te maken met de volgende parameters:

    • Instantiedetails:

      • Naam: VNet1GW
      • Regio: EASTUS
      • Gatewaytype: VPN
      • VPN-type: op route gebaseerd
      • SKU: VpnGW1 of hoger
      • Generatie: een generatie selecteren
      • Virtueel netwerk: TestVNet1

    • Openbaar IP-adres

      • Type openbaar IP-adres: Basic of Standard
      • Openbaar IP-adres: nieuwe maken
      • Naam van openbaar IP-adres: VNet1GWIP
      • Actief-actief inschakelen: Uitgeschakeld
      • BGP configureren: ingeschakeld

  2. Configureer in de gemarkeerde sectie BGP configureren van de pagina de volgende instellingen:

    • Selecteer BGP configureren ingeschakeld om de sectie BGP-configuratie - weer te geven.

    • Vul uw ASN (autonoom systeemnummer) in.

    • Het veld BGP-IP-adres van Azure APIPA is optioneel. Als uw on-premises VPN-apparaten APIPA-adres voor BGP gebruiken, moet u een adres selecteren in het azure-gereserveerde APIPA-adresbereik voor VPN. Dit adres ligt tussen 169.254.21.0 en 169.254.22.255.

    • Als u een actief-actieve VPN-gateway maakt, wordt in de sectie BGP een extra tweede aangepastE Azure APIPA BGP-IP-adres weergegeven. Elk adres dat u selecteert, moet uniek zijn en zich in het toegestane APIPA-bereik (169.254.21.0 tot 169.254.22.255) hebben. Actief-actieve gateways ondersteunen ook meerdere adressen voor zowel Het BGP-ip-adres van Azure APIPA als het tweede aangepaste Azure APIPA BGP-IP-adres. Extra invoer wordt alleen weergegeven nadat u uw eerste APIPA BGP IP-adres hebt ingevoerd.

      Belangrijk

      • Standaard wijst Azure automatisch een privé-IP-adres toe vanuit het gatewaysubnetvoorvoegselbereik als het Azure BGP-IP-adres op de VPN-gateway. Het aangepaste Azure APIPA BGP-adres is nodig wanneer uw on-premises VPN-apparaten een APIPA-adres (169.254.0.1 tot 169.254.255.254) gebruiken als het BGP-IP-adres. VPN Gateway kiest het aangepaste APIPA-adres als de bijbehorende lokale netwerkgatewayresource (on-premises netwerk) een APIPA-adres heeft als het IP-adres van de BGP-peer. Als de lokale netwerkgateway een normaal IP-adres (niet APIPA) gebruikt, wordt vpn-gateway teruggezet naar het privé-IP-adres van het gatewaysubnetbereik.

      • De APIPA BGP-adressen mogen niet overlappen tussen de on-premises VPN-apparaten en alle verbonden VPN-gateways.

      • Wanneer APIPA-adressen worden gebruikt op VPN-gateways, starten de gateways geen BGP-peeringsessies met APIPA-bron-IP-adressen. Het on-premises VPN-apparaat moet BGP-peeringverbindingen initiëren.

  3. Selecteer Beoordelen en maken om de validatie uit te voeren. Wanneer de validatie is geslaagd, selecteert u Maken om de VPN-gateway te implementeren. Het maken van een gateway duurt vaak 45 minuten of langer, afhankelijk van de geselecteerde gateway-SKU. U kunt de implementatiestatus bekijken op de overzichtspagina van uw gateway.

3. Haal de IP-adressen van de Azure BGP-peer op

Zodra de gateway is gemaakt, kunt u de IP-adressen van de BGP-peer verkrijgen op de VPN-gateway. Deze adressen zijn nodig om uw on-premises VPN-apparaten te configureren om BGP-sessies met de VPN-gateway tot stand te brengen.

Op de pagina Configuratie van de virtuele netwerkgateway kunt u de BGP-configuratiegegevens bekijken op uw VPN-gateway: ASN, openbaar IP-adres en de bijbehorende BGP-peer-IP-adressen aan de Azure-zijde (standaard en APIPA). U kunt ook de volgende configuratiewijzigingen aanbrengen:

  • U kunt indien nodig het ASN of het BGP-IP-adres van APIPA bijwerken.
  • Als u een actief-actief VPN-gateway hebt, worden op deze pagina het openbare IP-adres, de standaard- en APIPA BGP-IP-adressen van het tweede VPN-gatewayexemplaren weergegeven.

Het IP-adres van de Azure BGP-peer ophalen:

  1. Ga naar de gatewayresource van het virtuele netwerk en selecteer de pagina Configuratie om de BGP-configuratiegegevens weer te geven.
  2. Noteer het IP-adres van de BGP-peer.

BGP configureren op cross-premises S2S-verbindingen

De instructies in deze sectie zijn van toepassing op cross-premises site-naar-site-configuraties.

Als u een cross-premises verbinding tot stand wilt brengen, moet u een lokale netwerkgateway maken om uw on-premises VPN-apparaat weer te geven en een verbinding om de VPN-gateway te verbinden met de lokale netwerkgateway, zoals wordt uitgelegd in site-naar-site-verbinding maken. De volgende secties bevatten de aanvullende eigenschappen die nodig zijn om de BGP-configuratieparameters op te geven, zoals wordt weergegeven in diagram 3.

Diagram 3

Diagram met IPsec-configuratie.

Zorg ervoor dat u BGP hebt ingeschakeld voor de VPN-gateway voordat u doorgaat.

1. Een lokale netwerkgateway maken

Configureer een lokale netwerkgateway met BGP-instellingen.

  • Zie de sectie lokale netwerkgateway in het artikel site-naar-site-verbinding voor informatie en stappen.
  • Als u al een lokale netwerkgateway hebt, kunt u deze wijzigen. Als u een lokale netwerkgateway wilt wijzigen, gaat u naar de pagina Resourceconfiguratie van de lokale netwerkgateway en voert u de benodigde wijzigingen aan.

  1. Wanneer u de lokale netwerkgateway maakt, gebruikt u voor deze oefening de volgende waarden:

    • Naam: Site5
    • IP-adres: het IP-adres van het gateway-eindpunt waarmee u verbinding wilt maken. Voorbeeld: 128.9.9.9
    • Adresruimten: als BGP is ingeschakeld, is er geen adresruimte vereist.

  2. Als u BGP-instellingen wilt configureren, gaat u naar de pagina Geavanceerd . Gebruik de volgende voorbeeldwaarden (weergegeven in diagram 3). Wijzig de waarden die nodig zijn om overeen te komen met uw omgeving.

    • BGP-instellingen configureren: Ja
    • Autonoom systeemnummer (ASN): 65050
    • BGP-peer-IP-adres: het adres van het on-premises VPN-apparaat. Voorbeeld: 10.51.255.254

  3. Klik op Controleren en maken om de lokale netwerkgateway te maken.

Belangrijke configuratieoverwegingen

  • De ASN en het IP-adres van de BGP-peer moeten overeenkomen met de configuratie van uw on-premises VPN-router.
  • U kunt de adresruimte alleen leeg laten als u BGP gebruikt om verbinding te maken met dit netwerk. Azure VPN-gateway voegt intern een route van uw BGP-peer-IP-adres toe aan de bijbehorende IPsec-tunnel. Als u geen BGP gebruikt tussen de VPN-gateway en dit specifieke netwerk, moet u een lijst met geldige adresvoorvoegsels opgeven voor de adresruimte.
  • U kunt desgewenst een IP-adres van APIPA (169.254.x.x) gebruiken als uw on-premises BGP-peer-IP indien nodig. Maar u moet ook een APIPA-IP-adres opgeven, zoals eerder in dit artikel is beschreven voor uw VPN-gateway, anders kan de BGP-sessie geen verbinding maken voor deze verbinding.
  • U kunt de BGP-configuratiegegevens invoeren tijdens het maken van de lokale netwerkgateway of u kunt de BGP-configuratie toevoegen of wijzigen op de pagina Configuratie van de lokale netwerkgatewayresource.

2. Een S2S-verbinding configureren met BGP ingeschakeld

In deze stap maakt u een nieuwe verbinding waarvoor BGP is ingeschakeld. Als u al een verbinding hebt en u BGP erop wilt inschakelen, kunt u deze bijwerken.

Een verbinding maken

  1. Als u een nieuwe verbinding wilt maken, gaat u naar de pagina Verbindingen van uw virtuele netwerkgateway.
  2. Selecteer +Toevoegen om de pagina Een verbinding toevoegen te openen.
  3. Vul de benodigde waarden in.
  4. Selecteer BGP inschakelen om BGP in te schakelen voor deze verbinding.
  5. Selecteer OK om de wijzigingen op te slaan.

Een bestaande verbinding bijwerken

  1. Ga naar de pagina Verbindingen van uw virtuele netwerkgateway.
  2. Selecteer de verbinding die u wilt wijzigen.
  3. Ga naar de pagina Configuratie voor de verbinding.
  4. Wijzig de BGP-instelling in Ingeschakeld.
  5. Sla uw wijzigingen op.

Configuratie van on-premises apparaten

In het volgende voorbeeld ziet u de parameters die u invoert in de sectie BGP-configuratie op uw on-premises VPN-apparaat voor deze oefening:

- Site5 ASN            : 65050
- Site5 BGP IP         : 10.51.255.254
- Prefixes to announce : (for example) 10.51.0.0/16
- Azure VNet ASN       : 65010
- Azure VNet BGP IP    : 10.12.255.30
- Static route         : Add a route for 10.12.255.30/32, with nexthop being the VPN tunnel interface on your device
- eBGP Multihop        : Ensure the "multihop" option for eBGP is enabled on your device if needed

BGP inschakelen voor VNet-naar-VNet-verbindingen

De stappen in deze sectie zijn van toepassing op VNet-naar-VNet-verbindingen.

Als u BGP wilt in- of uitschakelen voor een VNet-naar-VNet-verbinding, gebruikt u dezelfde stappen als de cross-premises S2S-stappen in de vorige sectie. U kunt BGP inschakelen bij het maken van de verbinding of de configuratie bijwerken op een bestaande VNet-naar-VNet-verbinding.

Notitie

Een VNet-naar-VNet-verbinding zonder BGP beperkt de communicatie tot alleen de twee verbonden VNets. Schakel BGP in om transitroutering naar andere S2S- of VNet-naar-VNet-verbindingen van deze twee VNets toe te staan.

Volgende stappen

Zie Over BGP en VPN Gateway voor meer informatie over BGP.