Udostępnij za pośrednictwem

Jak skonfigurować protokół BGP dla usługi Azure VPN Gateway

  • Artykuł

Ten artykuł pomaga włączyć protokół BGP na połączeniach sieci VPN typu lokacja-lokacja (S2S) między lokacjami i połączeniach między sieciami wirtualnymi przy użyciu witryny Azure Portal. Tę konfigurację można również utworzyć przy użyciu interfejsu wiersza polecenia platformy Azure lub programu PowerShell.

BGP to standardowy protokół routingu używany często w Internecie do wymiany informacji o routingu i osiągalności między dwiema lub wieloma sieciami. Protokół BGP umożliwia bramom sieci VPN i lokalnym urządzeniom sieci VPN (nazywanym elementami równorzędnymi lub sąsiednimi BGP), przeprowadzaną za pośrednictwem bram lub routerów wymianę „tras” zawierających przeznaczone dla obu bram informacje na temat dostępności i osiągalności tych prefiksów. Protokół BGP umożliwia również włączenie routingu tranzytowego między wieloma sieciami poprzez propagowanie tras, których brama BGP uczy się od jednego elementu równorzędnego BGP, we wszystkich innych elementach równorzędnych BGP.

Aby uzyskać więcej informacji na temat zalet protokołu BGP i zrozumienia wymagań technicznych i zagadnień dotyczących korzystania z protokołu BGP, zobacz About BGP and Azure VPN Gateway (Informacje o protokole BGP i usłudze Azure VPN Gateway).

Wprowadzenie

Każda część tego artykułu ułatwia utworzenie podstawowego bloku konstrukcyjnego umożliwiającego włączanie protokołu BGP w łączności sieciowej. Jeśli wszystkie trzy części (skonfiguruj protokół BGP w bramie, połączeniu S2S i połączeniu między sieciami wirtualnymi), utworzysz topologię, jak pokazano na diagramie 1. Możesz połączyć ze sobą części, aby utworzyć bardziej złożoną, wieloskokową sieć tranzytową spełniającą Twoje potrzeby.

Diagram 1

Diagram przedstawiający architekturę sieci i ustawienia.

W kontekście, odwołując się do diagramu 1, jeśli protokół BGP miał zostać wyłączony między sieciami TestVNet2 i TestVNet1, sieć TestVNet2 nie będzie uczyć się tras dla sieci lokalnej, lokacji5 i w związku z tym nie mógł komunikować się z lokacją 5. Po włączeniu protokołu BGP wszystkie trzy sieci będą mogły komunikować się za pośrednictwem połączeń S2S IPsec i VNet-to-VNet.

Wymagania wstępne

Sprawdź, czy masz subskrypcję platformy Azure. Jeśli nie masz jeszcze subskrypcji platformy Azure, możesz aktywować korzyści dla subskrybentów MSDN lub utworzyć bezpłatne konto.

Włączanie protokołu BGP dla bramy sieci VPN

Ta sekcja jest wymagana przed wykonaniem dowolnego z kroków w dwóch pozostałych sekcjach konfiguracji. Poniższe kroki konfiguracji umożliwiają skonfigurowanie parametrów protokołu BGP bramy sieci VPN, jak pokazano na diagramie 2.

Diagram 2

Diagram przedstawiający ustawienia bramy sieci wirtualnej.

1. Tworzenie sieci TestVNet1

W tym kroku utworzysz i skonfigurujesz sieć TestVNet1. Wykonaj kroki opisane w samouczku Tworzenie bramy, aby utworzyć i skonfigurować sieć wirtualną platformy Azure i bramę sieci VPN.

Przykładowe wartości sieci wirtualnej:

  • Grupa zasobów: TestRG1
  • Sieć wirtualna: TestVNet1
  • Lokalizacja/region: EastUS
  • Przestrzeń adresowa: 10.11.0.0/16, 10.12.0.0/16
  • Podsieci:
    • FrontEnd: 10.11.0.0/24
    • BackEnd: 10.12.0.0/24
    • GatewaySubnet: 10.12.255.0/27

2. Tworzenie bramy sieci TestVNet1 przy użyciu protokołu BGP

W tym kroku utworzysz bramę sieci VPN z odpowiednimi parametrami protokołu BGP.

  1. Wykonaj kroki opisane w artykule Tworzenie bramy sieci VPN i zarządzanie nią, aby utworzyć bramę z następującymi parametrami:

    • Szczegóły wystąpienia:

      • Nazwa: VNet1GW
      • Region: EastUS
      • Typ bramy: VPN
      • Typ sieci VPN: oparta na trasach
      • Jednostka SKU: VpnGW1 lub nowsza
      • Generowanie: wybierz generację
      • Sieć wirtualna: TestVNet1

    • Publiczny adres IP

      • Typ publicznego adresu IP: podstawowy lub standardowy
      • Publiczny adres IP: utwórz nowy
      • Nazwa publicznego adresu IP: VNet1GWIP
      • Włącz aktywne-aktywne: wyłączone
      • Konfigurowanie protokołu BGP: włączone

  2. W wyróżnionej sekcji Konfigurowanie protokołu BGP strony skonfiguruj następujące ustawienia:

    • Wybierz pozycję Skonfiguruj włączony protokół BGP - , aby wyświetlić sekcję konfiguracji protokołu BGP.

    • Wypełnij numer ASN (numer systemu autonomicznego).

    • Pole Adres IP protokołu BGP usługi Azure APIPA jest opcjonalne. Jeśli lokalne urządzenia sieci VPN używają adresu APIPA dla protokołu BGP, musisz wybrać adres z zakresu adresów APIPA zarezerwowanych platformy Azure dla sieci VPN, czyli od 169.254.21.0 do 169.254.22.255.

    • Jeśli tworzysz bramę sieci VPN aktywne-aktywne, sekcja protokołu BGP będzie zawierać dodatkowy drugi niestandardowy adres IP protokołu BGP protokołu APIPA platformy Azure. Każdy wybrany adres musi być unikatowy i mieć dozwolony zakres APIPA (169.254.21.0 do 169.254.22.255). Bramy aktywne-aktywne obsługują również wiele adresów zarówno dla adresu IP protokołu BGP protokołu BGP usługi Azure APIPA, jak i drugiego niestandardowego adresu IP protokołu BGP protokołu APIPA platformy Azure. Dodatkowe dane wejściowe pojawią się dopiero po wprowadzeniu pierwszego adresu IP protokołu BGP usługi APIPA.

      Ważne

      • Domyślnie platforma Azure przypisuje prywatny adres IP z zakresu prefiksów GatewaySubnet automatycznie jako adres IP protokołu BGP platformy Azure w bramie sieci VPN. Niestandardowy adres BGP usługi Azure APIPA jest wymagany, gdy lokalne urządzenia sieci VPN używają adresu APIPA (169.254.0.1 do 169.254.255.254) jako adresu IP protokołu BGP. Brama sieci VPN wybierze niestandardowy adres APIPA, jeśli odpowiedni zasób bramy sieci lokalnej (sieć lokalna) ma adres APIPA jako adres IP elementu równorzędnego protokołu BGP. Jeśli brama sieci lokalnej używa zwykłego adresu IP (a nie apiPA), usługa VPN Gateway powróci do prywatnego adresu IP z zakresu podsieci GatewaySubnet.

      • Adresy BGP protokołu APIPA nie mogą nakładać się między lokalnymi urządzeniami sieci VPN i wszystkimi połączonymi bramami sieci VPN.

      • Gdy adresy APIPA są używane w bramach sieci VPN, bramy nie inicjują sesji komunikacji równorzędnej BGP z źródłowymi adresami IP apiPA. Lokalne urządzenie sieci VPN musi inicjować połączenia komunikacji równorzędnej BGP.

  3. Wybierz pozycję Przejrzyj i utwórz , aby uruchomić walidację. Po zakończeniu walidacji wybierz pozycję Utwórz , aby wdrożyć bramę sieci VPN. Tworzenie bramy często może trwać 45 minut lub dłużej, w zależności od wybranej jednostki SKU bramy. Stan wdrożenia można zobaczyć na stronie Przegląd bramy.

3. Pobieranie adresów IP elementu równorzędnego BGP platformy Azure

Po utworzeniu bramy można uzyskać adresy IP elementu równorzędnego BGP w bramie sieci VPN. Te adresy są potrzebne do skonfigurowania lokalnych urządzeń sieci VPN w celu ustanowienia sesji protokołu BGP z bramą sieci VPN.

Na stronie Konfiguracja bramy sieci wirtualnej można wyświetlić informacje o konfiguracji protokołu BGP w bramie sieci VPN: ASN, publiczny adres IP i odpowiednie adresy IP elementu równorzędnego BGP po stronie platformy Azure (wartość domyślna i apiPA). Można również wprowadzić następujące zmiany konfiguracji:

  • W razie potrzeby możesz zaktualizować nazwę ASN lub adres IP protokołu BGP usługi APIPA.
  • Jeśli masz bramę sieci VPN aktywne-aktywne, na tej stronie zostanie wyświetlony publiczny adres IP, domyślny i adresy IP protokołu BGP protokołu APIPA drugiego wystąpienia bramy sieci VPN.

Aby uzyskać adres IP elementu równorzędnego BGP platformy Azure:

  1. Przejdź do zasobu bramy sieci wirtualnej i wybierz stronę Konfiguracja , aby wyświetlić informacje o konfiguracji protokołu BGP.
  2. Zanotuj adres IP elementu równorzędnego BGP.

Aby skonfigurować protokół BGP na połączeniach S2S obejmujących wiele lokalizacji

Instrukcje w tej sekcji dotyczą konfiguracji lokacja-lokacja między lokalizacjami.

Aby ustanowić połączenie obejmujące wiele lokalizacji, należy utworzyć bramę sieci lokalnej w celu reprezentowania lokalnego urządzenia sieci VPN oraz połączenia w celu połączenia bramy sieci VPN z bramą sieci lokalnej, zgodnie z opisem w temacie Create site-to-site connection (Tworzenie połączenia lokacja-lokacja). Poniższe sekcje zawierają dodatkowe właściwości wymagane do określenia parametrów konfiguracji protokołu BGP, jak pokazano na diagramie 3.

Diagram 3

Diagram przedstawiający konfigurację protokołu IPsec.

Przed kontynuowaniem upewnij się, że włączono protokół BGP dla bramy sieci VPN.

1. Tworzenie bramy sieci lokalnej

Skonfiguruj bramę sieci lokalnej przy użyciu ustawień protokołu BGP.

  • Aby uzyskać informacje i kroki, zobacz sekcję bramy sieci lokalnej w artykule dotyczącym połączenia lokacja-lokacja.
  • Jeśli masz już bramę sieci lokalnej, możesz ją zmodyfikować. Aby zmodyfikować bramę sieci lokalnej, przejdź do strony Konfiguracja zasobu bramy sieci lokalnej i wprowadź niezbędne zmiany.

  1. Podczas tworzenia bramy sieci lokalnej w tym ćwiczeniu użyj następujących wartości:

    • Nazwa: Site5
    • Adres IP: adres IP punktu końcowego bramy, z którym chcesz nawiązać połączenie. Przykład: 128.9.9.9
    • Przestrzenie adresowe: jeśli protokół BGP jest włączony, nie jest wymagana przestrzeń adresowa.

  2. Aby skonfigurować ustawienia protokołu BGP, przejdź do strony Zaawansowane . Użyj następujących przykładowych wartości (pokazanych na diagramie 3). Zmodyfikuj wszystkie wartości niezbędne do dopasowania środowiska.

    • Konfigurowanie ustawień protokołu BGP: Tak
    • Numer systemu autonomicznego (ASN): 65050
    • Adres IP elementu równorzędnego BGP: adres lokalnego urządzenia sieci VPN. Przykład: 10.51.255.254

  3. Kliknij pozycję Przejrzyj i utwórz , aby utworzyć bramę sieci lokalnej.

Ważne zagadnienia dotyczące konfiguracji

  • Numer ASN i adres IP elementu równorzędnego BGP muszą być zgodne z konfiguracją lokalnego routera sieci VPN.
  • Przestrzeń adresowa może pozostać pusta tylko wtedy, gdy używasz protokołu BGP do nawiązania połączenia z tą siecią. Brama sieci VPN platformy Azure wewnętrznie doda trasę adresu IP elementu równorzędnego protokołu BGP do odpowiedniego tunelu IPsec. Jeśli nie używasz protokołu BGP między bramą sieci VPN a tą konkretną siecią, musisz podać listę prawidłowych prefiksów adresów dla przestrzeni adresowej.
  • Opcjonalnie możesz użyć adresu IP apiPA (169.254.x.x.x) jako lokalnego adresu IP elementu równorzędnego BGP, jeśli jest to konieczne. Należy jednak również określić adres IP apiPA zgodnie z opisem we wcześniejszej sekcji tego artykułu dla bramy sieci VPN. W przeciwnym razie sesja protokołu BGP nie może ustanowić dla tego połączenia.
  • Informacje o konfiguracji protokołu BGP można wprowadzić podczas tworzenia bramy sieci lokalnej lub dodać lub zmienić konfigurację protokołu BGP na stronie Konfiguracja zasobu bramy sieci lokalnej.

2. Konfigurowanie połączenia S2S z włączonym protokółem BGP

W tym kroku utworzysz nowe połączenie z włączonym protokółem BGP. Jeśli masz już połączenie i chcesz włączyć protokół BGP, możesz go zaktualizować.

Aby utworzyć połączenie

  1. Aby utworzyć nowe połączenie, przejdź do strony Połączenia bramy sieci wirtualnej.
  2. Wybierz pozycję +Dodaj , aby otworzyć stronę Dodawanie połączenia.
  3. Wypełnij niezbędne wartości.
  4. Wybierz pozycję Włącz protokół BGP, aby włączyć protokół BGP w tym połączeniu.
  5. Wybierz przycisk OK, aby zapisać zmiany.

Aby zaktualizować istniejące połączenie

  1. Przejdź do strony Połączenia bramy sieci wirtualnej.
  2. Wybierz połączenie, które chcesz zmodyfikować.
  3. Przejdź do strony Konfiguracja połączenia.
  4. Zmień ustawienie protokołu BGP na Włączone.
  5. Zapisz swoje zmiany.

Konfiguracja urządzenia lokalnego

W poniższym przykładzie przedstawiono parametry wprowadzone w sekcji konfiguracji protokołu BGP na lokalnym urządzeniu sieci VPN na potrzeby tego ćwiczenia:

- Site5 ASN            : 65050
- Site5 BGP IP         : 10.51.255.254
- Prefixes to announce : (for example) 10.51.0.0/16
- Azure VNet ASN       : 65010
- Azure VNet BGP IP    : 10.12.255.30
- Static route         : Add a route for 10.12.255.30/32, with nexthop being the VPN tunnel interface on your device
- eBGP Multihop        : Ensure the "multihop" option for eBGP is enabled on your device if needed

Aby włączyć protokół BGP w połączeniach między sieciami wirtualnymi

Kroki opisane w tej sekcji dotyczą połączeń między sieciami wirtualnymi.

Aby włączyć lub wyłączyć protokół BGP w połączeniu między sieciami wirtualnymi, należy wykonać te same kroki co kroki obejmujące wiele lokalizacji S2S w poprzedniej sekcji. Protokół BGP można włączyć podczas tworzenia połączenia lub zaktualizować konfigurację w istniejącym połączeniu między sieciami wirtualnymi.

Uwaga

Połączenie między sieciami wirtualnymi bez protokołu BGP ograniczy komunikację tylko z dwiema połączonymi sieciami wirtualnymi. Włącz protokół BGP, aby zezwolić na możliwość routingu tranzytowego do innych połączeń S2S lub VNet-to-VNet tych dwóch sieci wirtualnych.

Następne kroki

Aby uzyskać więcej informacji na temat protokołu BGP, zobacz About BGP and VPN Gateway (Informacje o protokole BGP i bramie sieci VPN).