Konfigurowanie współistniejących połączeń usługi ExpressRoute i połączenia typu lokacja-lokacja przy użyciu witryny Azure Portal

  • Artykuł

Ten artykuł pomaga skonfigurować współistniejące połączenia usługi ExpressRoute i połączenia sieci VPN typu lokacja-lokacja. Możliwość skonfigurowania sieci VPN typu lokacja-lokacja i usługi ExpressRoute niesie ze sobą pewne korzyści. Sieć VPN typu lokacja-lokacja można skonfigurować jako bezpieczną ścieżkę trybu failover dla usługi ExpressRoute lub użyć sieci VPN typu lokacja-lokacja do łączenia się z lokacjami, które nie są połączone za pośrednictwem usługi ExpressRoute. Ten artykuł zawiera instrukcje konfiguracji obu scenariuszy. Ten artykuł ma zastosowanie w modelu wdrażania usługi Resource Manager.

Konfigurowanie sieci VPN typu lokacja-lokacja i współistniejących połączeń usługi ExpressRoute ma kilka zalet:

  • Możesz skonfigurować sieć VPN typu lokacja-lokacja jako ścieżkę pracy w trybie failover dla usługi ExpressRoute.
  • Alternatywnie można użyć sieci VPN typu lokacja-lokacja do łączenia się z lokacjami, które nie są połączone za pośrednictwem usługi ExpressRoute.

Ten artykuł zawiera instrukcje konfiguracji obu scenariuszy. Możesz najpierw skonfigurować jedną bramę. Zazwyczaj podczas dodawania nowej bramy lub połączenia bramy nie występuje przestój.

Uwaga

Jeśli chcesz utworzyć sieć VPN typu lokacja-lokacja za pośrednictwem połączenia usługi ExpressRoute, zobacz Lokacja-lokacja za pośrednictwem komunikacji równorzędnej firmy Microsoft.

Limity i ograniczenia

  • Obsługiwana jest tylko brama sieci VPN oparta na trasach. Należy użyć bramy sieci VPN opartej na trasach. Można również użyć bramy sieci VPN opartej na trasach z połączeniem sieci VPN skonfigurowanym dla selektorów ruchu opartego na zasadach, zgodnie z opisem w Połączenie do wielu urządzeń sieci VPN opartych na zasadach.
  • Współistnienie konfiguracji usługi ExpressRoute-VPN Gateway nie jest obsługiwane w podstawowej jednostce SKU.
  • Zarówno bramy usługi ExpressRoute, jak i bramy sieci VPN muszą być w stanie komunikować się ze sobą za pośrednictwem protokołu BGP, aby działały prawidłowo. Jeśli używasz trasy zdefiniowanej przez użytkownika w podsieci bramy, upewnij się, że nie zawiera ona trasy dla samego zakresu podsieci bramy, ponieważ spowoduje to zakłócenia ruchu BGP.
  • Jeśli chcesz użyć routingu tranzytowego między usługą ExpressRoute i siecią VPN, numer ASN usługi Azure VPN Gateway musi być ustawiony na wartość 65515. Usługa Azure VPN Gateway obsługuje protokół routingu BGP. Aby usługa ExpressRoute i sieć VPN platformy Azure współdziałały ze sobą, należy zachować numer systemu autonomicznego bramy sieci VPN platformy Azure z wartością domyślną 65515. Jeśli wcześniej wybrano numer ASN inny niż 65515 i zmienisz ustawienie na 65515, musisz zresetować bramę sieci VPN, aby ustawienie zaczęły obowiązywać.
  • Podsieć bramy musi być /27 lub krótszym prefiksem, takim jak /26, /25 lub podczas dodawania bramy sieci wirtualnej usługi ExpressRoute zostanie wyświetlony komunikat o błędzie.
  • Współistnienie tylko dla ruchu IPv4. Współistnienie usługi ExpressRoute z bramą sieci VPN jest obsługiwane, ale tylko dla ruchu IPv4. Ruch IPv6 nie jest obsługiwany w przypadku bram sieci VPN.

Projekty konfiguracji

Konfigurowanie sieci VPN typu lokacja-lokacja jako ścieżki pracy awaryjnej dla usługi ExpressRoute

Połączenie sieci VPN typu lokacja-lokacja można skonfigurować do przechowywania kopii zapasowych dla usługi ExpressRoute. To połączenie dotyczy tylko sieci wirtualnych połączonych ze ścieżką prywatnej sieci równorzędnej Azure. Nie ma rozwiązania trybu failover opartego na sieci VPN dla usług dostępnych za pośrednictwem komunikacji równorzędnej azure firmy Microsoft. Obwód usługi ExpressRoute jest zawsze połączeniem podstawowym. Dane przepływają przez ścieżkę sieci VPN typu lokacja-lokacja tylko w przypadku awarii obwodu usługi ExpressRoute. Aby uniknąć routingu asymetrycznego, konfiguracja sieci lokalnej powinna również preferować obwód usługi ExpressRoute, zamiast połączenia sieci VPN typu lokacja-lokacja. Możesz preferować ścieżkę ExpressRoute, ustawiając wyższy poziom preferencji lokalnych w przypadku tras odbieranych z usługi ExpressRoute.

Uwaga

Jeśli włączono komunikację równorzędną firmy Microsoft usługi ExpressRoute, możesz otrzymać publiczny adres IP bramy sieci VPN platformy Azure w połączeniu usługi ExpressRoute. Aby skonfigurować połączenie sieci VPN typu lokacja-lokacja jako kopię zapasową, należy skonfigurować sieć lokalną, aby połączenie sieci VPN było kierowane do Internetu.

Uwaga

Obwód usługi ExpressRoute jest preferowany w porównaniu z siecią VPN typu lokacja-lokacja, jeśli obydwie trasy są takie same, a na platformie Azure dopasowanie najdłuższego prefiksu będzie używane do wybierania trasy do miejsca docelowego pakietu.

Diagram połączenia sieci VPN typu lokacja-lokacja używany jako kopia zapasowa usługi ExpressRoute.

Konfigurowanie sieci VPN typu lokacja-lokacja do łączenia z witrynami niepołączonymi przez usługę ExpressRoute

Można skonfigurować sieć w taki sposób, by niektóre witryny łączyły się bezpośrednio z platformą Azure za pośrednictwem sieci VPN typu lokacja-lokacja, a niektóre przez usługę ExpressRoute.

Diagram współistniejącego połączenia sieci VPN typu lokacja-lokacja z połączeniem usługi ExpressRoute dla dwóch różnych lokacji.

Wybieranie czynności do wykonania

Istnieją dwa różne zestawy procedur do wyboru. Wybór procedury konfiguracji zależy od tego, czy masz istniejącą sieć wirtualną, z którą chcesz się połączyć, czy chcesz utworzyć nową.

  • Nie mam sieci wirtualnej i muszę ją utworzyć.

    Jeśli nie masz jeszcze sieci wirtualnej, ta procedura zawiera instrukcje tworzenia nowej sieci wirtualnej za pomocą modelu wdrażania usługi Resource Manager i tworzenia nowych połączeń usługi ExpressRoute i sieci VPN typu lokacja-lokacja. Aby skonfigurować sieć wirtualną, wykonaj kroki opisane w sekcji Aby utworzyć nową sieć wirtualną i współistniejące połączenia.

  • Mam już sieć wirtualną modelu wdrażania usługi Resource Manager.

    Być może masz już gotową sieć wirtualną z istniejącym połączeniem sieci VPN typu lokacja-lokacja lub połączeniem usługi ExpressRoute. W tym scenariuszu, jeśli prefiks podsieci bramy to /28 lub dłuższy (/29, /30 itp.), musisz usunąć istniejącą bramę. Sekcja Aby skonfigurować współistniejące połączenia dla istniejącej sieci wirtualnej zawiera instrukcje usuwania bramy, a następnie tworzenia nowych połączeń usługi ExpressRoute i połączeń VPN typu lokacja-lokacja.

    Jeśli usuniesz i ponownie utworzysz bramę, wystąpi przestój dla połączeń obejmujących wiele lokalizacji. Jednak maszyny wirtualne i usługi mogą komunikować się za pośrednictwem modułu równoważenia obciążenia podczas konfigurowania bramy, jeśli są one skonfigurowane do tego celu.

Aby utworzyć nową sieć wirtualną i współistniejące połączenia

Ta procedura przeprowadzi Cię przez proces tworzenia współistniejących połączeń między sieciami wirtualnymi i lokacją i usługą ExpressRoute.

  1. Zaloguj się w witrynie Azure Portal.

  2. W lewym górnym rogu ekranu wybierz pozycję + Utwórz zasób i wyszukaj pozycję Sieć wirtualna.

  3. Wybierz pozycję Utwórz , aby rozpocząć konfigurowanie sieci wirtualnej.

    Zrzut ekranu przedstawiający stronę tworzenia sieci wirtualnej.

  4. Na karcie Podstawy wybierz lub utwórz nową grupę zasobów do przechowywania sieci wirtualnej. Następnie wprowadź nazwę i wybierz region, w którym chcesz wdrożyć sieć wirtualną. Wybierz pozycję Dalej: adresy > IP, aby skonfigurować przestrzeń adresową i podsieci.

    Zrzut ekranu przedstawiający kartę Podstawy tworzenia sieci wirtualnej.

  5. Na karcie Adresy IP skonfiguruj przestrzeń adresową sieci wirtualnej. Następnie zdefiniuj podsieci, które chcesz utworzyć, w tym podsieć bramy. Wybierz pozycję Przejrzyj i utwórz, a następnie pozycję Utwórz*, aby wdrożyć sieć wirtualną. Aby uzyskać więcej informacji na temat tworzenia sieci wirtualnej, zobacz Create a virtual network (Tworzenie sieci wirtualnej). Aby uzyskać więcej informacji na temat tworzenia podsieci, zobacz Create a subnet (Tworzenie podsieci)

    Ważne

    Wartość podsieci bramy musi wynosić /27; prefiks może też być krótszy (np. /26 lub /25).

    Zrzut ekranu przedstawiający kartę Adresy IP służące do tworzenia sieci wirtualnej.

  6. Utwórz bramę sieci VPN typu lokacja-lokacja i bramę sieci lokalnej. Aby uzyskać więcej informacji dotyczących konfigurowania bramy sieci VPN, zobacz Configure a VNet with a Site-to-Site connection (Konfigurowanie sieci wirtualnej za pomocą połączenia lokacja-lokacja). Element GatewaySku jest obsługiwany tylko na bramach sieci VPN VpnGw1, VpnGw2, VpnGw3, Standard i HighPerformance. Współistnienie konfiguracji usługi ExpressRoute-VPN Gateway nie jest obsługiwane w jednostce SKU w warstwie Podstawowa. Parametr VpnType musi mieć wartość RouteBased.

  7. Skonfiguruj lokalne urządzenie sieci VPN do połączenia z nową bramą sieci VPN Azure. Więcej informacji na temat konfigurowania urządzenia VPN znajduje się w artykule VPN Device Configuration (Konfigurowanie urządzenia VPN).

  8. Jeśli łączysz się z istniejącym obwodem usługi ExpressRoute, pomiń kroki 8 i 9 i przejdź do kroku 10. Skonfiguruj obwody usługi ExpressRoute. Aby uzyskać więcej informacji o konfigurowaniu obwodu usługi ExpressRoute, zobacz Create an ExpressRoute circuit (Tworzenie obwodu usługi ExpressRoute).

  9. Skonfiguruj prywatną komunikację równorzędną na platformie Azure za pośrednictwem obwodu usługi ExpressRoute. Aby uzyskać więcej informacji o konfigurowaniu prywatnej komunikacji równorzędnej na platformie Azure za pośrednictwem obwodu usługi ExpressRoute, zobacz Configure peering (Konfigurowanie komunikacji równorzędnej).

  10. Wybierz pozycję + Utwórz zasób i wyszukaj pozycję Brama sieci wirtualnej. Następnie wybierz Utwórz.

  11. Wybierz typ bramy usługi ExpressRoute, odpowiednią jednostkę SKU i sieć wirtualną do wdrożenia bramy.

    Zrzut ekranu przedstawiający tworzenie bramy sieci wirtualnej dla usługi ExpressRoute.

  12. Połącz bramę usługi ExpressRoute z obwodem usługi ExpressRoute. Po ukończeniu tego kroku zostanie nawiązane połączenie między siecią lokalną i platformą Azure za pośrednictwem usługi ExpressRoute. Więcej informacji na temat operacji łączenia znajduje się w artykule Link VNets to ExpressRoute (Łączenie sieci wirtualnych z usługą ExpressRoute).

Aby skonfigurować współistniejące połączenia dla istniejącej sieci wirtualnej

Jeśli masz sieć wirtualną, która ma tylko jedną bramę sieci wirtualnej, na przykład bramę sieci VPN typu lokacja-lokacja i chcesz dodać inną bramę innego typu, na przykład bramę usługi ExpressRoute, sprawdź rozmiar podsieci bramy. Jeśli podsieć bramy jest /27 lub większa, możesz pominąć poniższe kroki i wykonać kroki opisane w poprzedniej sekcji, aby dodać bramę sieci VPN typu lokacja-lokacja lub bramę usługi ExpressRoute. Jeśli podsieć bramy ma wartość /28 lub /29, musisz najpierw usunąć bramę sieci wirtualnej i zwiększyć rozmiar podsieci bramy. W krokach w tej sekcji pokazano, jak to zrobić.

  1. Usuń istniejącą bramę sieci VPN usługi ExpressRoute lub lokacja-lokacja.

  2. Usuń i utwórz ponownie podsieć GatewaySubnet, aby mieć prefiks /27 lub krótszy.

  3. Skonfiguruj sieć wirtualną przy użyciu połączenia lokacja-lokacja, a następnie skonfiguruj bramę usługi ExpressRoute.

  4. Po wdrożeniu bramy usługi ExpressRoute możesz połączyć sieć wirtualną z obwodem usługi ExpressRoute.

Aby dodać konfigurację typu punkt-lokacja do bramy sieci VPN

Konfigurację punkt-lokacja można dodać do współistniejącego zestawu, postępując zgodnie z instrukcjami w temacie Konfigurowanie połączenia sieci VPN typu punkt-lokacja przy użyciu uwierzytelniania certyfikatu platformy Azure

Aby włączyć routing tranzytowy między usługą ExpressRoute i siecią VPN platformy Azure

Jeśli chcesz włączyć łączność między jedną z sieci lokalnych połączonych z usługą ExpressRoute i inną siecią lokalną połączoną z połączeniem sieci VPN typu lokacja-lokacja, musisz skonfigurować usługę Azure Route Server.

Następne kroki

Więcej informacji na temat usługi ExpressRoute znajduje się w artykule ExpressRoute FAQ (Usługa ExpressRoute — często zadawane pytania).