Łączenie usługi Azure Stack Hub z platformą Azure przy użyciu usługi Azure ExpressRoute

W tym artykule opisano sposób łączenia sieci wirtualnej usługi Azure Stack Hub z siecią wirtualną platformy Azure przy użyciu bezpośredniego połączenia usługi Microsoft Azure ExpressRoute .

Ten artykuł można użyć jako samouczka i użyć przykładów do skonfigurowania tego samego środowiska testowego. Możesz też przeczytać ten artykuł jako przewodnik, który przeprowadzi Cię przez proces konfigurowania własnego środowiska usługi ExpressRoute.

Omówienie, założenia i wymagania wstępne

Usługa Azure ExpressRoute umożliwia rozszerzenie sieci lokalnych do chmury firmy Microsoft za pośrednictwem połączenia prywatnego dostarczonego przez dostawcę łączności. Usługa ExpressRoute nie jest połączeniem sieci VPN za pośrednictwem publicznego Internetu.

Aby uzyskać więcej informacji na temat usługi Azure ExpressRoute, zobacz Omówienie usługi ExpressRoute.

Założenia

W tym artykule przyjęto założenie, że:

• Masz działającą wiedzę na temat platformy Azure.
• Masz podstawową wiedzę na temat usługi Azure Stack Hub.
• Masz podstawową wiedzę na temat sieci.

Wymagania wstępne

Aby połączyć usługę Azure Stack Hub i platformę Azure przy użyciu usługi ExpressRoute, musisz spełnić następujące wymagania:

• Aprowizowany obwód usługi ExpressRoute za pośrednictwem dostawcy łączności.
• Subskrypcja platformy Azure do tworzenia obwodu i sieci wirtualnych usługi ExpressRoute na platformie Azure.
• Router, który musi:
  • Obsługa połączeń sieci VPN typu lokacja-lokacja między interfejsem SIECI LAN a bramą wielodostępną usługi Azure Stack Hub.
  • Obsługa tworzenia wielu funkcji VRFs (routingu wirtualnego i przekazywania), jeśli istnieje więcej niż jedna dzierżawa we wdrożeniu usługi Azure Stack Hub.
• Router, który ma:
  • Port sieci WAN połączony z obwodem usługi ExpressRoute.
  • Port sieci LAN połączony z bramą wielodostępną usługi Azure Stack Hub.

Architektura sieci usługi ExpressRoute

Na poniższej ilustracji przedstawiono środowiska usługi Azure Stack Hub i platformy Azure po zakończeniu konfigurowania usługi ExpressRoute przy użyciu przykładów w tym artykule:

Na poniższej ilustracji pokazano, jak wiele dzierżaw łączy się z infrastruktury usługi Azure Stack Hub za pośrednictwem routera usługi ExpressRoute na platformę Azure:

W przykładzie w tym artykule użyto tej samej architektury wielodostępnej pokazanej na tym diagramie, aby połączyć usługę Azure Stack Hub z platformą Azure przy użyciu prywatnej komunikacji równorzędnej usługi ExpressRoute. Połączenie odbywa się przy użyciu połączenia sieci VPN typu lokacja-lokacja z bramy sieci wirtualnej w usłudze Azure Stack Hub do routera usługi ExpressRoute.

W krokach opisanych w tym artykule pokazano, jak utworzyć kompleksowe połączenie między dwiema sieciami wirtualnymi z dwóch różnych dzierżaw w usłudze Azure Stack Hub do odpowiednich sieci wirtualnych na platformie Azure. Konfigurowanie dwóch dzierżaw jest opcjonalne; Możesz również użyć tych kroków dla pojedynczej dzierżawy.

Konfigurowanie usługi Azure Stack Hub

Aby skonfigurować środowisko usługi Azure Stack Hub dla pierwszej dzierżawy, wykonaj następujące kroki jako przewodnik. Jeśli konfigurujesz więcej niż jedną dzierżawę, powtórz następujące kroki:

Uwaga

W tych krokach pokazano, jak tworzyć zasoby przy użyciu portalu usługi Azure Stack Hub, ale można również użyć programu PowerShell.

Zanim rozpoczniesz

Przed rozpoczęciem konfigurowania usługi Azure Stack Hub potrzebne są następujące elementy:

• Wdrożenie usługi Azure Stack Hub.
• Oferta w usłudze Azure Stack Hub, do którego użytkownicy mogą subskrybować. Aby uzyskać więcej informacji, zobacz Service, plan, offer, subscription overview (Omówienie usługi, planu, oferty i subskrypcji).

Tworzenie zasobów sieciowych w usłudze Azure Stack Hub

Poniższe procedury umożliwiają utworzenie wymaganych zasobów sieciowych w usłudze Azure Stack Hub dla dzierżawy.

Tworzenie sieci wirtualnej i podsieci maszyny wirtualnej

1. Zaloguj się do portalu użytkowników usługi Azure Stack Hub.

2. W portalu wybierz pozycję + Utwórz zasób.

3. W obszarze Azure Marketplace wybierz pozycję Sieć.

4. W obszarze Polecane wybierz pozycję Sieć wirtualna.

5. W obszarze Utwórz sieć wirtualną wprowadź wartości przedstawione w poniższej tabeli w odpowiednich polach:

   Pole	Wartość
   Nazwa	Tenant1VNet1
   Przestrzeń adresowa	10.1.0.0/16
   Nazwa podsieci	Tenant1-Sub1
   Zakres adresów podsieci	10.1.1.0/24

6. Powinna zostać wyświetlona utworzona wcześniej subskrypcja wypełniona w polu Subskrypcja . Dla pozostałych pól:

   • W obszarze Grupa zasobów wybierz pozycję Utwórz nową , aby utworzyć nową grupę zasobów lub jeśli już istnieje, wybierz pozycję Użyj istniejącej.
   • Sprawdź domyślną lokalizację.
   • Kliknij pozycję Utwórz.
   • (Opcjonalnie) Kliknij pozycję Przypnij do pulpitu nawigacyjnego.

Tworzenie podsieci bramy

1. W obszarze Sieć wirtualna wybierz pozycję Tenant1VNet1.
2. W obszarze USTAWIENIA wybierz pozycję Podsieci.
3. Wybierz pozycję + Podsieć bramy , aby dodać podsieć bramy do sieci wirtualnej.
4. Domyślna nazwa podsieci to GatewaySubnet. Podsieci bramy są specjalnym przypadkiem i muszą używać tej nazwy do poprawnego działania.
5. Sprawdź, czy zakres adresów to 10.1.0.0/24.
6. Kliknij przycisk OK , aby utworzyć podsieć bramy.

Tworzenie bramy sieci wirtualnej

1. W portalu użytkownika usługi Azure Stack Hub kliknij pozycję + Utwórz zasób.
2. W obszarze Azure Marketplace wybierz pozycję Sieć.
3. Wybierz pozycję Brama sieci wirtualnej z listy zasobów sieciowych.
4. W polu Nazwa wprowadź gw1.
5. Wybierz pozycję Sieć wirtualna.
6. Wybierz pozycję Tenant1VNet1 z listy rozwijanej.
7. Wybierz pozycję Publiczny adres IP, a następnie wybierz publiczny adres IP, a następnie kliknij pozycję Utwórz nowy.
8. W polu Nazwa wpisz GW1-PiP, a następnie kliknij przycisk OK.
9. W polu Typ sieci VPN powinna być domyślnie wybrana pozycja Oparta na trasach. Zachowaj to ustawienie.
10. Upewnij się, że wartości w polach Subskrypcja i Lokalizacja są poprawne. Kliknij pozycję Utwórz.

Tworzenie bramy sieci lokalnej

Zasób bramy sieci lokalnej identyfikuje bramę zdalną na drugim końcu połączenia sieci VPN. W tym przykładzie zdalny koniec połączenia jest pod interfejsem sieci LAN routera usługi ExpressRoute. W przypadku dzierżawy 1 na poprzednim diagramie adres zdalny to 10.60.3.255.

1. Zaloguj się do portalu użytkownika usługi Azure Stack Hub i wybierz pozycję + Utwórz zasób.

2. W obszarze Azure Marketplace wybierz pozycję Sieć.

3. Wybierz pozycję brama sieci lokalnej z listy zasobów.

4. W polu Nazwa wpisz ER-Router-GW.

5. W polu Adres IP zobacz poprzednią ilustrację. Adres IP pod interfejsu sieci LAN routera usługi ExpressRoute dla dzierżawy 1 to 10.60.3.255. Dla własnego środowiska wprowadź adres IP odpowiedniego interfejsu routera.

6. W polu Przestrzeń adresowa wprowadź przestrzeń adresową sieci wirtualnych, z którymi chcesz nawiązać połączenie na platformie Azure. Podsieci dzierżawy 1 są następujące:

   • 192.168.2.0/24 to sieć wirtualna piasty na platformie Azure.
   • 10.100.0.0/16 to sieć wirtualna będącej szprychą na platformie Azure.

   Ważne

   W tym przykładzie założono, że używasz tras statycznych dla połączenia sieci VPN typu lokacja-lokacja między bramą usługi Azure Stack Hub a routerem usługi ExpressRoute.

7. Sprawdź, czy subskrypcja, grupa zasobów i lokalizacja są poprawne. Następnie wybierz pozycję Utwórz.

Tworzenie połączenia

1. W portalu użytkowników usługi Azure Stack Hub wybierz pozycję + Utwórz zasób.
2. W obszarze Azure Marketplace wybierz pozycję Sieć.
3. Wybierz pozycję Połączenie z listy zasobów.
4. W obszarze Podstawy wybierz pozycję Lokacja-lokacja (IPSec) jako typ połączenia.
5. Wybierz pozycję Subskrypcja, Grupa zasobów i Lokalizacja. Kliknij przycisk OK.
6. W obszarze Ustawienia wybierz pozycję Brama sieci wirtualnej, a następnie wybierz pozycję GW1.
7. Wybierz pozycję Brama sieci lokalnej, a następnie wybierz pozycję Brama routera ER.
8. W polu Nazwa połączenia wprowadź wartość ConnectToAzure.
9. W polu Klucz wspólny (PSK) wprowadź ciąg abc123 , a następnie wybierz przycisk OK.
10. W obszarze Podsumowanie wybierz przycisk OK.

Uzyskiwanie publicznego adresu IP bramy sieci wirtualnej

Po utworzeniu bramy sieci wirtualnej można uzyskać publiczny adres IP bramy. Zanotuj ten adres, jeśli będzie potrzebny później do wdrożenia. W zależności od wdrożenia ten adres jest używany jako wewnętrzny adres IP.

1. W portalu użytkowników usługi Azure Stack Hub wybierz pozycję Wszystkie zasoby.
2. W obszarze Wszystkie zasoby wybierz bramę sieci wirtualnej, która jest bramą GW1 w przykładzie.
3. W obszarze Brama sieci wirtualnej wybierz pozycję Przegląd z listy zasobów. Alternatywnie możesz wybrać pozycję Właściwości.
4. Adres IP, który chcesz zanotować, znajduje się na liście w obszarze Publiczny adres IP. Na potrzeby przykładowej konfiguracji ten adres to 192.68.102.1.

Tworzenie maszyny wirtualnej

Aby przetestować ruch danych za pośrednictwem połączenia sieci VPN, potrzebne są maszyny wirtualne do wysyłania i odbierania danych w sieci wirtualnej usługi Azure Stack Hub. Utwórz maszynę wirtualną i wdróż ją w podsieci maszyny wirtualnej dla sieci wirtualnej.

1. W portalu użytkowników usługi Azure Stack Hub wybierz pozycję + Utwórz zasób.

2. W obszarze Azure Marketplace wybierz pozycję Obliczenia.

3. Na liście obrazów maszyn wirtualnych wybierz obraz Windows Server 2016 Datacenter Eval.

   Uwaga

   Jeśli obraz używany w tym artykule jest niedostępny, poproś operatora usługi Azure Stack Hub o podanie innego obrazu systemu Windows Server.

4. W obszarze Tworzenie maszyny wirtualnej wybierz pozycję Podstawy, a następnie wpisz VM01 jako nazwę.

5. Wprowadź prawidłową nazwę użytkownika i hasło. To konto będzie używane do logowania się do maszyny wirtualnej po jej utworzeniu.

6. Podaj subskrypcję, grupę zasobów i lokalizację. Wybierz przycisk OK.

7. W obszarze Wybierz rozmiar wybierz rozmiar maszyny wirtualnej dla tego wystąpienia, a następnie wybierz pozycję Wybierz.

8. W obszarze Ustawienia potwierdź, że:

   • Sieć wirtualna to Tenant1VNet1.
   • Podsieć jest ustawiona na 10.1.1.0/24.

   Użyj domyślnych ustawień i kliknij przycisk OK.

9. W obszarze Podsumowanie przejrzyj konfigurację maszyny wirtualnej, a następnie kliknij przycisk OK.

Aby dodać więcej dzierżaw, powtórz kroki opisane w poniższych sekcjach:

• Tworzenie sieci wirtualnej i podsieci maszyny wirtualnej
• Tworzenie podsieci bramy
• Tworzenie bramy sieci wirtualnej
• Tworzenie bramy sieci lokalnej
• Tworzenie połączenia
• Tworzenie maszyny wirtualnej

Jeśli używasz dzierżawy 2 jako przykładu, pamiętaj, aby zmienić adresy IP, aby uniknąć nakładania się.

Konfigurowanie maszyny wirtualnej translatora adresów sieciowych na potrzeby przechodzenia bramy

Ważne

Ta sekcja dotyczy tylko wdrożeń zestawu ASDK. Translator adresów sieciowych nie jest wymagany w przypadku wdrożeń z wieloma węzłami.

Zestaw ASDK jest samodzielny i odizolowany od sieci, w której wdrożono hosta fizycznego. Sieć VIP, z którą są połączone bramy, nie jest zewnętrzna; jest ona ukryta za routerem wykonującym translacja adresów sieciowych (NAT).

Router jest hostem zestawu ASDK z rolą Usług routingu i dostępu zdalnego (RRAS). Należy skonfigurować translator adresów sieciowych na hoście ASDK, aby umożliwić połączenie sieci VPN typu lokacja-lokacja na obu końcach.

Konfigurowanie translatora adresów sieciowych

1. Zaloguj się do komputera hosta usługi Azure Stack Hub przy użyciu konta administratora.

2. Uruchom skrypt w programie PowerShell ISE z podwyższonym poziomem uprawnień. Ten skrypt zwraca zewnętrzny adres BGPNAT.

   Get-NetNatExternalAddress
   

3. Aby skonfigurować translator adresów sieciowych, skopiuj i edytuj następujący skrypt programu PowerShell. Edytuj skrypt, aby zastąpić External BGPNAT address elementy i Internal IP address następującymi przykładowymi wartościami:

   • W przypadku zewnętrznego adresu BGPNAT użyj adresu 10.10.0.62
   • W przypadku wewnętrznego adresu IP użyj adresu 192.168.102.1

   Uruchom następujący skrypt z programu PowerShell ISE z podwyższonym poziomem uprawnień:

   $ExtBgpNat = 'External BGPNAT address'
   $IntBgpNat = 'Internal IP address'
   
   # Designate the external NAT address for the ports that use the IKE authentication.
   Add-NetNatExternalAddress `
      -NatName BGPNAT `
      -IPAddress $Using:ExtBgpNat `
      -PortStart 499 `
      -PortEnd 501
   Add-NetNatExternalAddress `
      -NatName BGPNAT `
      -IPAddress $Using:ExtBgpNat `
      -PortStart 4499 `
      -PortEnd 4501
   # Create a static NAT mapping to map the external address to the Gateway public IP address to map the ISAKMP port 500 for PHASE 1 of the IPSEC tunnel.
   Add-NetNatStaticMapping `
      -NatName BGPNAT `
      -Protocol UDP `
      -ExternalIPAddress $Using:ExtBgpNat `
      -InternalIPAddress $Using:IntBgpNat `
      -ExternalPort 500 `
      -InternalPort 500
   # Configure NAT traversal which uses port 4500 to  establish the complete IPSEC tunnel over NAT devices.
   Add-NetNatStaticMapping `
      -NatName BGPNAT `
      -Protocol UDP `
      -ExternalIPAddress $Using:ExtBgpNat `
      -InternalIPAddress $Using:IntBgpNat `
      -ExternalPort 4500 `
      -InternalPort 4500
   

Konfigurowanie platformy Azure

Po zakończeniu konfigurowania usługi Azure Stack Hub można wdrożyć zasoby platformy Azure. Na poniższej ilustracji przedstawiono przykład sieci wirtualnej dzierżawy na platformie Azure. Możesz użyć dowolnego schematu nazw i adresowania dla sieci wirtualnej na platformie Azure. Jednak zakres adresów sieci wirtualnych na platformie Azure i w usłudze Azure Stack Hub musi być unikatowy i nie może nakładać się na siebie:

Zasoby wdrażane na platformie Azure są podobne do zasobów wdrożonych w usłudze Azure Stack Hub. Wdrażasz następujące składniki:

• Sieci wirtualne i podsieci
• Podsieć bramy
• Brama sieci wirtualnej
• Połączenie
• Obwód usługi ExpressRoute

Przykładowa infrastruktura sieci platformy Azure jest skonfigurowana w następujący sposób:

• Standardowy koncentrator (192.168.2.0/24) i szprycha (10.100.0./16) model sieci wirtualnej. Aby uzyskać więcej informacji na temat topologii sieci piasty i szprych, zobacz Implementowanie topologii sieci piasty i szprych na platformie Azure.
• Obciążenia są wdrażane w sieci wirtualnej będącej szprychą, a obwód usługi ExpressRoute jest połączony z siecią wirtualną piasty.
• Obie sieci wirtualne są połączone przy użyciu komunikacji równorzędnej sieci wirtualnych.

Konfigurowanie sieci wirtualnych platformy Azure

1. Zaloguj się do Azure Portal przy użyciu poświadczeń platformy Azure.
2. Utwórz sieć wirtualną piasty przy użyciu zakresu adresów 192.168.2.0/24.
3. Utwórz podsieć przy użyciu zakresu adresów 192.168.2.0/25 i dodaj podsieć bramy przy użyciu zakresu adresów 192.168.2.128/27.
4. Utwórz sieć wirtualną i podsieć szprych przy użyciu zakresu adresów 10.100.0.0/16.

Aby uzyskać więcej informacji na temat tworzenia sieci wirtualnych na platformie Azure, zobacz Tworzenie sieci wirtualnej.

Konfigurowanie obwodu usługi ExpressRoute

1. Zapoznaj się z wymaganiami wstępnymi usługi ExpressRoute w artykule Wymagania wstępne usługi ExpressRoute & listy kontrolnej.

2. Wykonaj kroki opisane w temacie Tworzenie i modyfikowanie obwodu usługi ExpressRoute, aby utworzyć obwód usługi ExpressRoute przy użyciu subskrypcji platformy Azure.

   Uwaga

   Przekaż klucz usługi dla obwodu do usługi, aby mógł skonfigurować obwód usługi ExpressRoute na ich końcu.

3. Wykonaj kroki opisane w temacie Tworzenie i modyfikowanie komunikacji równorzędnej dla obwodu usługi ExpressRoute , aby skonfigurować prywatną komunikację równorzędną w obwodzie usługi ExpressRoute.

Tworzenie bramy sieci wirtualnej

Wykonaj kroki opisane w temacie Konfigurowanie bramy sieci wirtualnej dla usługi ExpressRoute przy użyciu programu PowerShell , aby utworzyć bramę sieci wirtualnej dla usługi ExpressRoute w sieci wirtualnej piasty.

Tworzenie połączenia

Aby połączyć obwód usługi ExpressRoute z siecią wirtualną piasty, wykonaj kroki opisane w temacie Łączenie sieci wirtualnej z obwodem usługi ExpressRoute.

Łączenie sieci wirtualnych przy użyciu komunikacji równorzędnej

Wykonaj komunikację równorzędną sieci wirtualnych piasty i szprych, wykonując kroki opisane w temacie Tworzenie komunikacji równorzędnej sieci wirtualnych przy użyciu Azure Portal. Podczas konfigurowania komunikacji równorzędnej sieci wirtualnych upewnij się, że są używane następujące opcje:

• Z piasty do szprychy zezwalaj na tranzyt bramy.
• Z szprychy do piasty użyj bramy zdalnej.

Tworzenie maszyny wirtualnej

Wdróż maszyny wirtualne obciążenia w sieci wirtualnej będącej szprychą.

Powtórz te kroki dla wszelkich dodatkowych sieci wirtualnych dzierżawy, które chcesz połączyć na platformie Azure za pośrednictwem odpowiednich obwodów usługi ExpressRoute.

Konfigurowanie routera

Poniższy diagram konfiguracji routera usługi ExpressRoute można użyć jako przewodnika konfigurowania routera usługi ExpressRoute. Na tym rysunku przedstawiono dwie dzierżawy (dzierżawa 1 i dzierżawa 2) z odpowiednimi obwodami usługi ExpressRoute. Każda dzierżawa jest połączona z własnym VRF (routingiem wirtualnym i przekazywaniem) po stronie sieci LAN i sieci WAN routera usługi ExpressRoute. Ta konfiguracja zapewnia kompleksową izolację między dwiema dzierżawami. Zanotuj adresy IP używane w interfejsach routera zgodnie z przykładem konfiguracji.

Możesz użyć dowolnego routera obsługującego sieć VPN IKEv2 i protokół BGP, aby zakończyć połączenie sieci VPN typu lokacja-lokacja z usługi Azure Stack Hub. Ten sam router jest używany do nawiązywania połączenia z platformą Azure przy użyciu obwodu usługi ExpressRoute.

Poniższy przykład konfiguracji routera agregacji serii Cisco ASR 1000 obsługuje infrastrukturę sieci pokazaną na diagramie konfiguracji routera usługi ExpressRoute .

ip vrf Tenant 1
 description Routing Domain for PRIVATE peering to Azure for Tenant 1
 rd 1:1
!
ip vrf Tenant 2
 description Routing Domain for PRIVATE peering to Azure for Tenant 2
 rd 1:5
!
crypto ikev2 proposal V2-PROPOSAL2
description IKEv2 proposal for Tenant 1
encryption aes-cbc-256
 integrity sha256
 group 2
crypto ikev2 proposal V4-PROPOSAL2
description IKEv2 proposal for Tenant 2
encryption aes-cbc-256
 integrity sha256
 group 2
!
crypto ikev2 policy V2-POLICY2
description IKEv2 Policy for Tenant 1
match fvrf Tenant 1
 match address local 10.60.3.255
 proposal V2-PROPOSAL2
description IKEv2 Policy for Tenant 2
crypto ikev2 policy V4-POLICY2
 match fvrf Tenant 2
 match address local 10.60.3.251
 proposal V4-PROPOSAL2
!
crypto ikev2 profile V2-PROFILE
description IKEv2 profile for Tenant 1
match fvrf Tenant 1
 match address local 10.60.3.255
 match identity remote any
 authentication remote pre-share key abc123
 authentication local pre-share key abc123
 ivrf Tenant 1
!
crypto ikev2 profile V4-PROFILE
description IKEv2 profile for Tenant 2
 match fvrf Tenant 2
 match address local 10.60.3.251
 match identity remote any
 authentication remote pre-share key abc123
 authentication local pre-share key abc123
 ivrf Tenant 2
!
crypto ipsec transform-set V2-TRANSFORM2 esp-gcm 256
 mode tunnel
crypto ipsec transform-set V4-TRANSFORM2 esp-gcm 256
 mode tunnel
!
crypto ipsec profile V2-PROFILE
 set transform-set V2-TRANSFORM2
 set ikev2-profile V2-PROFILE
!
crypto ipsec profile V4-PROFILE
 set transform-set V4-TRANSFORM2
 set ikev2-profile V4-PROFILE
!
interface Tunnel10
description S2S VPN Tunnel for Tenant 1
 ip vrf forwarding Tenant 1
 ip address 11.0.0.2 255.255.255.252
 ip tcp adjust-mss 1350
 tunnel source TenGigabitEthernet0/1/0.211
 tunnel mode ipsec ipv4
 tunnel destination 10.10.0.62
 tunnel vrf Tenant 1
 tunnel protection ipsec profile V2-PROFILE
!
interface Tunnel20
description S2S VPN Tunnel for Tenant 2
 ip vrf forwarding Tenant 2
 ip address 11.0.0.2 255.255.255.252
 ip tcp adjust-mss 1350
 tunnel source TenGigabitEthernet0/1/0.213
 tunnel mode ipsec ipv4
 tunnel destination 10.10.0.62
 tunnel vrf VNET3
 tunnel protection ipsec profile V4-PROFILE
!
interface GigabitEthernet0/0/1
 description PRIMARY ExpressRoute Link to AZURE over Equinix
 no ip address
 negotiation auto
!
interface GigabitEthernet0/0/1.100
description Primary WAN interface of Tenant 1
 description PRIMARY ER link supporting Tenant 1 to Azure
 encapsulation dot1Q 101
 ip vrf forwarding Tenant 1
 ip address 192.168.1.1 255.255.255.252
!
interface GigabitEthernet0/0/1.102
description Primary WAN interface of Tenant 2
 description PRIMARY ER link supporting Tenant 2 to Azure
 encapsulation dot1Q 102
 ip vrf forwarding Tenant 2
 ip address 192.168.1.17 255.255.255.252
!
interface GigabitEthernet0/0/2
 description BACKUP ExpressRoute Link to AZURE over Equinix
 no ip address
 negotiation auto
!
interface GigabitEthernet0/0/2.100
description Secondary WAN interface of Tenant 1
 description BACKUP ER link supporting Tenant 1 to Azure
 encapsulation dot1Q 101
 ip vrf forwarding Tenant 1
 ip address 192.168.1.5 255.255.255.252
!
interface GigabitEthernet0/0/2.102
description Secondary WAN interface of Tenant 2
description BACKUP ER link supporting Tenant 2 to Azure
 encapsulation dot1Q 102
 ip vrf forwarding Tenant 2
 ip address 192.168.1.21 255.255.255.252
!
interface TenGigabitEthernet0/1/0
 description Downlink to ---Port 1/47
 no ip address
!
interface TenGigabitEthernet0/1/0.211
 description LAN interface of Tenant 1
description Downlink to --- Port 1/47.211
 encapsulation dot1Q 211
 ip vrf forwarding Tenant 1
 ip address 10.60.3.255 255.255.255.254
!
interface TenGigabitEthernet0/1/0.213
description LAN interface of Tenant 2
 description Downlink to --- Port 1/47.213
 encapsulation dot1Q 213
 ip vrf forwarding Tenant 2
 ip address 10.60.3.251 255.255.255.254
!
router bgp 65530
 bgp router-id <removed>
 bgp log-neighbor-changes
 description BGP neighbor config and route advertisement for Tenant 1 VRF
 address-family ipv4 vrf Tenant 1
  network 10.1.0.0 mask 255.255.0.0
  network 10.60.3.254 mask 255.255.255.254
  network 192.168.1.0 mask 255.255.255.252
  network 192.168.1.4 mask 255.255.255.252
  neighbor 10.10.0.62 remote-as 65100
  neighbor 10.10.0.62 description VPN-BGP-PEER-for-Tenant 1
  neighbor 10.10.0.62 ebgp-multihop 5
  neighbor 10.10.0.62 activate
  neighbor 10.60.3.254 remote-as 4232570301
  neighbor 10.60.3.254 description LAN peer for CPEC:INET:2112 VRF
  neighbor 10.60.3.254 activate
  neighbor 10.60.3.254 route-map BLOCK-ALL out
  neighbor 192.168.1.2 remote-as 12076
  neighbor 192.168.1.2 description PRIMARY ER peer for Tenant 1 to Azure
  neighbor 192.168.1.2 ebgp-multihop 5
  neighbor 192.168.1.2 activate
  neighbor 192.168.1.2 soft-reconfiguration inbound
  neighbor 192.168.1.2 route-map Tenant 1-ONLY out
  neighbor 192.168.1.6 remote-as 12076
  neighbor 192.168.1.6 description BACKUP ER peer for Tenant 1 to Azure
  neighbor 192.168.1.6 ebgp-multihop 5
  neighbor 192.168.1.6 activate
  neighbor 192.168.1.6 soft-reconfiguration inbound
  neighbor 192.168.1.6 route-map Tenant 1-ONLY out
  maximum-paths 8
 exit-address-family
 !
description BGP neighbor config and route advertisement for Tenant 2 VRF
address-family ipv4 vrf Tenant 2
  network 10.1.0.0 mask 255.255.0.0
  network 10.60.3.250 mask 255.255.255.254
  network 192.168.1.16 mask 255.255.255.252
  network 192.168.1.20 mask 255.255.255.252
  neighbor 10.10.0.62 remote-as 65300
  neighbor 10.10.0.62 description VPN-BGP-PEER-for-Tenant 2
  neighbor 10.10.0.62 ebgp-multihop 5
  neighbor 10.10.0.62 activate
  neighbor 10.60.3.250 remote-as 4232570301
  neighbor 10.60.3.250 description LAN peer for CPEC:INET:2112 VRF
  neighbor 10.60.3.250 activate
  neighbor 10.60.3.250 route-map BLOCK-ALL out
  neighbor 192.168.1.18 remote-as 12076
  neighbor 192.168.1.18 description PRIMARY ER peer for Tenant 2 to Azure
  neighbor 192.168.1.18 ebgp-multihop 5
  neighbor 192.168.1.18 activate
  neighbor 192.168.1.18 soft-reconfiguration inbound
  neighbor 192.168.1.18 route-map VNET-ONLY out
  neighbor 192.168.1.22 remote-as 12076
  neighbor 192.168.1.22 description BACKUP ER peer for Tenant 2 to Azure
  neighbor 192.168.1.22 ebgp-multihop 5
  neighbor 192.168.1.22 activate
  neighbor 192.168.1.22 soft-reconfiguration inbound
  neighbor 192.168.1.22 route-map VNET-ONLY out
  maximum-paths 8
 exit-address-family
!
ip forward-protocol nd
!
ip as-path access-list 1 permit ^$
ip route vrf Tenant 1 10.1.0.0 255.255.0.0 Tunnel10
ip route vrf Tenant 2 10.1.0.0 255.255.0.0 Tunnel20
!
ip prefix-list BLOCK-ALL seq 5 deny 0.0.0.0/0 le 32
!
route-map BLOCK-ALL permit 10
 match ip address prefix-list BLOCK-ALL
!
route-map VNET-ONLY permit 10
 match as-path 1
!

Testowanie połączenia

Przetestuj połączenie po nawiązaniu połączenia lokacja-lokacja i obwodu usługi ExpressRoute.

Wykonaj następujące testy ping:

• Zaloguj się do jednej z maszyn wirtualnych w sieci wirtualnej platformy Azure i wyślij polecenie ping do maszyny wirtualnej utworzonej w usłudze Azure Stack Hub.
• Zaloguj się do jednej z maszyn wirtualnych utworzonych w usłudze Azure Stack Hub i wyślij polecenie ping do maszyny wirtualnej utworzonej w sieci wirtualnej platformy Azure.

Uwaga

Aby upewnić się, że wysyłasz ruch przez połączenia lokacja-lokacja i ExpressRoute, musisz wysłać polecenie ping do dedykowanego adresu IP (DIP) maszyny wirtualnej na obu końcach, a nie adres VIP maszyny wirtualnej.

Zezwalaj na korzystanie z protokołu ICMP za pośrednictwem zapory

Domyślnie Windows Server 2016 nie zezwala na przychodzące pakiety ICMP przez zaporę. Dla każdej maszyny wirtualnej używanej do testów ping należy zezwolić na przychodzące pakiety ICMP. Aby utworzyć regułę zapory dla protokołu ICMP, uruchom następujące polecenie cmdlet w oknie programu PowerShell z podwyższonym poziomem uprawnień:

# Create ICMP firewall rule.
New-NetFirewallRule `
  -DisplayName "Allow ICMPv4-In" `
  -Protocol ICMPv4

Ping do maszyny wirtualnej usługi Azure Stack Hub

1. Zaloguj się do portalu użytkowników usługi Azure Stack Hub.

2. Znajdź utworzoną maszynę wirtualną i wybierz ją.

3. Wybierz pozycję Połącz.

4. W wierszu polecenia systemu Windows lub programu PowerShell z podwyższonym poziomem uprawnień wprowadź wartość ipconfig /all. Zanotuj adres IPv4 zwrócony w danych wyjściowych.

5. Wyślij polecenie ping do adresu IPv4 z maszyny wirtualnej w sieci wirtualnej platformy Azure.

   W środowisku przykładowym adres IPv4 pochodzi z podsieci 10.1.1.x/24. W twoim środowisku adres może być inny, ale powinien znajdować się w podsieci utworzonej dla podsieci sieci wirtualnej dzierżawy.

Wyświetlanie statystyk transferu danych

Jeśli chcesz wiedzieć, ile ruchu przechodzi przez połączenie, możesz znaleźć te informacje w portalu użytkowników usługi Azure Stack Hub. Wyświetlanie statystyk transferu danych jest również dobrym sposobem na sprawdzenie, czy dane testowe ping przeszły przez sieć VPN i połączenia usługi ExpressRoute:

1. Zaloguj się do portalu użytkowników usługi Azure Stack Hub i wybierz pozycję Wszystkie zasoby.
2. Przejdź do grupy zasobów dla VPN Gateway i wybierz typ obiektu Połączenie.
3. Wybierz połączenie ConnectToAzure z listy.
4. W obszarze Przegląd połączeń> można wyświetlić statystyki dotyczące danych w i danych wychodzących. Powinny zostać wyświetlone wartości inne niż zero.

Następne kroki

Wdrażanie aplikacji na platformie Azure i w usłudze Azure Stack Hub