Informatie over BGP met Azure VPN Gateway

Dit artikel bevat een overzicht van BGP-ondersteuning (Border Gateway Protocol) in Azure VPN Gateway.

BGP is het standaardprotocol voor routering dat doorgaans op internet wordt gebruikt voor het uitwisselen van routerings- en bereikbaarheidsgegevens tussen twee of meer netwerken. Wanneer BGP wordt gebruikt in de context van Azure Virtual Networks, maakt BGP mogelijk dat Azure VPN Gateways en uw on-premises VPN-apparaten, zogenaamde BGP-peers of neighbors, 'routes' kunnen uitwisselen die beide gateways informeren over de beschikbaarheid en bereikbaarheid voor deze voorvoegsels zodat ze via de juiste gateways of routers communiceren. Met BGP kan ook transitroutering tussen meerdere netwerken worden ingeschakeld door routes die een BGP-gateway leert van één BGP te propageren naar alle andere BGP-peers.

Waarom BGP gebruiken?

BGP is een optionele functie die u kunt gebruiken met op Azure-routes gebaseerde VPN-gateways. Controleer voordat u de functie inschakelt of uw on-premises VPN-apparaten BGP ondersteunen. U kunt Azure VPN-gateways en uw on-premises VPN-apparaten zonder BGP blijven gebruiken. Het is het equivalent van het gebruik van statische routes (zonder BGP) versus het gebruik van dynamische routering met BGP tussen uw netwerken en Azure.

Het gebruik van BGP heeft een aantal voordelen en nieuwe mogelijkheden:

Ondersteuning van automatische en flexibele voorvoegselupdates

Met BGP hoeft u alleen via de IPSec S2S VPN-tunnel een minimaal voorvoegsel te declareren op een specifieke BGP-peer. Dit hoeft niet groter te zijn dan een hostvoorvoegsel (/32) van het IP-adres van de BGP-peer van uw on-premises VPN-apparaat. U bepaalt zelf welke on-premises netwerkvoorvoegsels u wilt adverteren naar Azure opdat uw Azure Virtual Network toegang heeft.

U kunt ook grotere voorvoegsels adverteren die mogelijk enkele van uw VNet-adresvoorvoegsels bevatten, zoals een grote privé-IP-adresruimte (bijvoorbeeld 10.0.0.0/8). Houd er rekening mee dat de voorvoegsels niet identiek kunnen zijn aan een van uw VNet-voorvoegsels. Routes die identiek zijn aan uw VNet-voorvoegsels worden geweigerd.

Ondersteuning van meerdere tunnels tussen een VNet en een on-premises site met automatische failover op basis van BGP

U kunt meerdere verbindingen maken tussen uw Azure VNet en uw on-premises VPN-apparaten op dezelfde locatie. Deze mogelijkheid biedt meerdere tunnels (paden) tussen de twee netwerken in een actief/actief-configuratie. Als een van de tunnels is verbroken, worden de bijbehorende routes ingetrokken via BGP en wordt het verkeer automatisch verplaatst naar de resterende tunnels.

In het volgende diagram ziet u een eenvoudig voorbeeld van deze configuratie voor hoge beschikbaarheid:

Multiple active paths

Ondersteuning van transitroutering tussen uw on-premises netwerken en meerdere Azure VNets

BGP maakt mogelijk dat meerdere gateways voorvoegsels van verschillende netwerken leren en propageren, ongeacht of ze direct of indirect zijn verbonden. Op die manier is transitroutering met Azure VPN-gateways mogelijk tussen uw on-premises sites of tussen meerdere Azure Virtual Networks.

In de volgende diagram ziet u een voorbeeld van een multihop-topologie met meerdere paden, waarmee verkeer tussen de twee on-premises netwerken kan worden doorgevoerd via Azure VPN-gateways binnen de Microsoft-netwerken:

Multi-hop transit

Veelgestelde vragen over BGP

Wordt BGP ondersteund op alle Azure VPN-gateway SKU’s?

BGP wordt ondersteund op alle Azure VPN Gateawy SKU's, behalve Basic SKU.

Kan ik BGP gebruiken met VPN-gateways van Azure?

Nee, BGP wordt alleen ondersteund op route-gebaseerde VPN-gateways.

Welke ASN's (autonome systeemnummers) kan ik gebruiken?

U kunt uw eigen openbare ASN's of persoonlijke ASN's voor zowel uw on-premises netwerken en virtuele netwerken van Azure gebruiken. U kunt de bereiken die door Azure of IANA zijn gereserveerd niet gebruiken.

De volgende ASN's zijn gereserveerd voor Azure of IANA:

  • ASN's die zijn gereserveerd voor Azure:

    • Openbare ASN's: 8074, 8075, 12076
    • Privé-ASNs: 65515, 65517, 65518, 65519, 65520
  • ASN's die zijn gereserveerd door IANA:

    • 23456, 64496-64511, 65535-65551 en 429496729

U kunt deze ASN's niet opgeven voor uw on-premises VPN-apparaten wanneer u verbinding maakt met Azure VPN-gateways.

Kan ik 32-bits (4-byte) ASN's gebruiken?

Ja, VPN Gateway ondersteunt nu 32-bits (4-bytes) ASN's. Als u ASN wilt configureren voor gebruik in decimaal formaat, gebruikt u PowerShell, de Azure-CLI of de Azure-SDK.

Welke privé-ASN's kan ik gebruiken?

De bruikbare bereiken van privé-ASN's zijn:

  • 64512-65514 en 65521-65534

Deze ASN's zijn niet gereserveerd voor gebruik door IANA of Azure en kunnen daarom worden gebruikt om te worden toegewezen aan uw Azure-VPN Gateway.

Welk adres gebruikt VPN Gateway voor BGP-peer-IP?

Standaard wijst VPN Gateway één IP-adres uit het GatewaySubnet-bereik toe voor active-standby VPN-gateways, of twee IP-adressen voor active-active VPN-gateways. Deze adressen worden automatisch toegewezen wanneer u de VPN-gateway maakt. U kunt het werkelijke BGP IP-adres dat is toegewezen ophalen met PowerShell of door het te zoeken in de Azure Portal. Gebruik in PowerShell Get-AzVirtualNetworkGateway en zoek naar de eigenschap bgpPeeringAddress. Ga in Azure Portal naar de pagina Gatewayconfiguratie en zoek naar de eigenschap BGP ASN configureren.

Als uw on-premises VPN-routers APIPA IP-adressen (169.254.x.x) gebruiken als de BGP-IP-adressen, moet u een of meer BGP-IP-adressen van Azure APIPA opgeven op uw Azure VPN-gateway. Azure VPN Gateway selecteert de APIPA-adressen die moeten worden gebruikt met de on-premises APIPA BGP-peer die is opgegeven in de lokale netwerkgateway, of het privé-IP-adres voor een niet-APIPA, on-premises BGP-peer. Raadpleeg BGP configureren voor meer informatie.

Wat zijn de vereisten voor de BGP-peer-IP-adressen op mijn VPN-apparaat?

Het adres van uw on-premises BGP-peer mag niet gelijk zijn aan het openbare IP-adres van uw VPN-apparaat of de virtuele netwerkadresruimte van de VPN-gateway. Gebruik een ander IP-adres op het VPN-apparaat voor uw BGP-peer-IP. Het kan een adres zijn dat is toegewezen aan de loopback-interface op het apparaat (zowel een normaal IP-adres of een APIPA-adres). Als uw apparaat gebruikmaakt van een APIPA-adres voor BGP, moet u een of meer APIPA BGP-IP-adressen opgeven op uw Azure VPN-gateway, zoals beschreven in BGP configureren. Geef deze adressen op in de bijbehorende lokale netwerkgateway die de locatie vertegenwoordigt.

Wat moet ik opgeven als adresvoorvoegsels voor mijn lokale netwerkgateway wanneer ik BGP gebruik?

Belangrijk

Dit is een wijziging van een eerder vastgelegde vereiste. Als u BGP gebruikt voor een verbinding, moet u het veld Adresruimte leeg houden voor de corresponderende lokale netwerkgateway-resource. Azure VPN-gateway voegt een hostroute intern toe aan het IP-adres van de on-premises BGP-peer via de IPsec-tunnel. Voeg de route /32 niet toe in het veld Adresruimte. Het is overbodig en als u een APIPA-adres gebruikt als het BGP-IP-adres van het on-premises VPN-apparaat, kan het niet aan het veld worden toegevoegd. Als u andere voorvoegsels toevoegt aan het veld Adresruimte, worden ze toegevoegd als statische routes in de Azure VPN-gateway, in aanvulling op de routes die via BGP zijn aangeleerd.

Kan ik hetzelfde ASN gebruiken voor on-premises VPN-netwerken en virtuele Azure-netwerken?

Nee, u moet verschillende ASN’s toewijzen aan uw on-premises netwerken en uw virtuele Azure-netwerken als u ze beide verbindt met BGP. Aan Azure VPN-gateways wordt standaard een ASN van 65515 toegewezen, onafhankelijk van of BGP is ingeschakeld voor verbinding tussen gebouwen. U kunt deze standaardwaarde onderdrukken door een andere ASN toe te wijzen bij het aanmaken van de VPN-gateway of door het ASN te wijzigen nadat de gateway is aangemaakt. U moet uw on-premises ASN's toewijzen aan de bijbehorende lokale Azure-netwerkgateways.

Welke adresvoorvoegsels maakt Azure VPN-gateways aan mij bekend?

De gateway maakt de volgende routes bekend aan uw on-premises BGP-apparaten:

  • Voorvoegsels van uw virtuele netwerkadres.
  • Adresvoorvoegsels voor alle lokale netwerkgateways die zijn verbonden met de Azure VPN-gateway.
  • Routes die afkomstig zijn van andere BGP-peeringsessies die zijn verbonden met de Azure VPN-gateway, behalve standaardroutes of routes die overlappen met een voorvoegsel van een virtueel netwerk.

Hoeveel voorvoegsels kan ik adverteren voor Azure VPN Gateway?

Azure VPN Gateway ondersteunt tot 4000 voorvoegsels. De BGP-sessie wordt verwijderd als het aantal voorvoegsels de limiet overschrijdt.

Kan ik standaardroute (0.0.0.0/0) adverteren naar Azure VPN-gateways?

Ja. Onthoud dat dit al het uitgaand verkeer van het virtueel netwerk richting uw on-premises site dwingt. Het voorkomt ook dat virtuele netwerk-VM's openbare communicatie rechtstreeks van het internet accepteren, zoals RDP of SSH vanaf het internet naar de VM's.

Kan ik de exacte voorvoegsels als de voorvoegsels van mijn virtuele netwerk adverteren?

Nee, het adverteren van dezelfde voorvoegsels als een van de adresvoorvoegsels van uw virtuele netwerk wordt door Azure geblokkeerd of gefilterd. U kunt echter een voorvoegsel aankondigen dat een superset is van wat u in Virtual Network hebt.

Als uw virtueel netwerk bijvoorbeeld adresruimte 10.0.0.0/16 gebruikt, kunt u 10.0.0.0/8 adverteren. U kunt echter niet 10.0.0.0/16 of 10.0.0.0/24 adverteren.

Kan ik BGP gebruiken met mijn verbindingen tussen virtuele netwerken?

Ja, u kunt BGP zowel gebruiken voor verbindingen tussen premises en verbindingen tussen virtuele netwerken.

Kan ik BGP combineren met niet-BGP-verbindingen voor mijn Azure VPN-gateways?

Ja, u kunt zowel BGP- als niet-BGP-verbindingen combineren voor dezelfde VPN-gateway.

Biedt Azure VPN Gateway ondersteuning voor BGP-transitroutering?

Ja, BGP-transitroutering wordt ondersteund, met uitzondering dat Azure VPN-gateways geen standaardroutes bekendmaakt aan andere BGP-peers. Om transitroutering op meerdere VPN-gateways mogelijk te maken, moet u BGP op alle tussenliggende verbindingen tussen virtuele netwerken inschakelen. Zie Over BGP voor meer informatie.

Kan ik meer dan één tunnel aanbrengen tussen een Azure VPN-gateway en mijn on-premises netwerk?

Ja, u kunt meer dan één S2S-VPN-tunnel (site naar site) aanbrengen tussen een Azure VPN-gateway en uw on-premises netwerk. Houd er wel rekening mee dat deze tunnels meetellen voor het totaal aantal tunnels voor uw Azure VPN-gateways, en dat u BGP op beide tunnels moet inschakelen.

Als u bijvoorbeeld twee redundante tunnels heeft tussen uw Azure VPN-gateway en een van uw on-premises netwerken, gebruiken ze 2 tunnels van het totaalaantal voor uw Azure VPN-gateway.

Kan ik meerdere tunnels tussen twee virtuele Azure-netwerken met BGP hebben?

Ja, maar minimaal één van de gateways voor het virtuele netwerk moet de actief/actief-configuratie hebben.

Kan ik BGP gebruiken voor S2S-VPN in een configuratie waarin zowel Azure ExpressRoute als S2S-VPN wordt gebruikt?

Ja.

Wat moet ik toevoegen aan mijn on-premises VPN-apparaat voor de BGP-peeringsessie?

Voeg een hostroute van het IP-adres van de Azure BGP-peer toe aan uw VPN-apparaat. Deze route verwijst naar de IPsec S2S-VPN-tunnel. Als het Azure VPN-peer-IP-adres bijvoorbeeld 10.12.255.30 is, dient u een hostroute toe te voegen voor 10.12.255.30 met een nexthop-interface van de overeenkomende IPsec-tunnelinterface op uw VPN-apparaat.

Ondersteunt de virtuele netwerkgateway BFD voor S2S-verbindingen met BGP?

Nee. Bidirectional Forwarding Detection (BFD) is een protocol dat u met BGP kunt gebruiken om sneller downtime van buren te detecteren dan u kunt met behulp van standaard BGP 'keepalives'. BFD maakt gebruik van subseconde timers die zijn ontworpen om te werken in LAN-omgevingen, maar niet via het openbare internet of Wide Area Network-verbindingen.

Voor verbindingen via het openbare internet is het niet ongebruikelijk dat bepaalde pakketten worden vertraagd of zelfs wegvallen. Door deze agressieve timers te introduceren, ontstaat er instabiliteit. Die instabiliteit zorgt er mogelijk voor dat routes worden gedempt door BGP. Als alternatief kunt u uw on-premises apparaat configureren met timers die lager zijn dan de standaard keepalive-interval van 60 seconden en de holdtimer van 180 seconden. Dat leidt tot een snellere convergentietijd.

Starten Azure VPN-gateways BGP-peeringsessies of -verbindingen?

De gateway start BGP-peeringsessies naar de on-premises BGP-peer-IP-adressen die zijn opgegeven in de lokale netwerkgatewaybronnen met behulp van de privé-IP-adressen op de VPN-gateways. Dit is ongeacht of de on-premises BGP-IP-adressen zich in het APIPA-bereik of gewone privé-IP-adressen bevinden. Als uw on-premises VPN-apparaten APIPA-adressen als BGP-IP gebruiken, moet u uw BGP-luidspreker configureren om de verbindingen te starten.

Volgende stappen

Zie Aan de slag met BGP op Azure VPN-gateways voor stappen om BGP te configureren voor uw on-premises verbindingen en VNet-naar-VNet-verbindingen.