Jak skonfigurować protokół BGP dla usługi Azure VPN Gateway

  • Artykuł

Ten artykuł ułatwia włączenie protokołu BGP w połączeniach sieci VPN typu lokacja-lokacja (S2S) międzylokacyjnej i połączeniach między sieciami wirtualnymi przy użyciu Azure Portal. Tę konfigurację można również utworzyć przy użyciu interfejsu wiersza polecenia platformy Azure lub programu PowerShell .

BGP to standardowy protokół routingu używany często w Internecie do wymiany informacji o routingu i osiągalności między dwiema lub wieloma sieciami. Protokół BGP umożliwia bramom sieci VPN i lokalnym urządzeniom sieci VPN nazywanymi elementami równorzędnymi lub sąsiadami protokołu BGP wymianę "tras", które będą informować obie bramy o dostępności i osiągalności dla tych prefiksów w celu przejścia przez bramy lub routery. Protokół BGP umożliwia również włączenie routingu tranzytowego między wieloma sieciami poprzez propagowanie tras, których brama BGP uczy się od jednego elementu równorzędnego BGP, we wszystkich innych elementach równorzędnych BGP.

Aby uzyskać więcej informacji na temat zalet protokołu BGP oraz poznać wymagania techniczne i zagadnienia dotyczące korzystania z protokołu BGP, zobacz About BGP and Azure VPN Gateway (Informacje o protokołu BGP i usłudze Azure VPN Gateway).

Wprowadzenie

Każda część tego artykułu ułatwia utworzenie podstawowego bloku konstrukcyjnego umożliwiającego włączanie protokołu BGP w łączności sieciowej. Jeśli wszystkie trzy części zostaną ukończone (skonfiguruj protokół BGP w bramie, połączeniu S2S i połączeniu między sieciami wirtualnymi), utworzysz topologię, jak pokazano na diagramie 1. Możesz połączyć części ze sobą, aby utworzyć bardziej złożoną, wieloskokową sieć tranzytową spełniającą Twoje potrzeby.

Diagram 1

Diagram przedstawiający architekturę sieci i ustawienia.

W kontekście, odwołując się do diagramu 1, jeśli protokół BGP miał zostać wyłączony między sieciami TestVNet2 i TestVNet1, sieć TestVNet2 nie będzie uczyć się tras dla sieci lokalnej, lokacji5 i w związku z tym nie mógł komunikować się z lokacją 5. Po włączeniu protokołu BGP wszystkie trzy sieci będą mogły komunikować się za pośrednictwem połączeń S2S IPsec i VNet-to-VNet.

Wymagania wstępne

Sprawdź, czy masz subskrypcję platformy Azure. Jeśli nie masz jeszcze subskrypcji platformy Azure, możesz aktywować korzyści dla subskrybentów MSDN lub utworzyć bezpłatne konto.

Włączanie protokołu BGP dla bramy sieci VPN

Ta sekcja jest wymagana przed wykonaniem jakichkolwiek kroków w dwóch pozostałych sekcjach konfiguracji. Poniższe kroki konfiguracji umożliwiają skonfigurowanie parametrów protokołu BGP bramy sieci VPN, jak pokazano na diagramie 2.

Diagram 2

Diagram przedstawiający ustawienia bramy sieci wirtualnej.

1. Tworzenie sieci TestVNet1

W tym kroku utworzysz i skonfigurujesz sieć TestVNet1. Wykonaj kroki opisane w samouczku Tworzenie bramy, aby utworzyć i skonfigurować sieć wirtualną platformy Azure i bramę sieci VPN.

Przykładowe wartości sieci wirtualnej:

  • Grupa zasobów: TestRG1
  • Sieć wirtualna: TestVNet1
  • Lokalizacja/region: EastUS
  • Przestrzeń adresowa: 10.11.0.0/16, 10.12.0.0/16
  • Podsieci:
    • FrontEnd: 10.11.0.0/24
    • BackEnd: 10.12.0.0/24
    • GatewaySubnet: 10.12.255.0/27

2. Tworzenie bramy TestVNet1 przy użyciu protokołu BGP

W tym kroku utworzysz bramę sieci VPN z odpowiednimi parametrami protokołu BGP.

  1. Wykonaj kroki opisane w temacie Tworzenie bramy sieci VPN i zarządzanie nią , aby utworzyć bramę z następującymi parametrami:

    • Szczegóły wystąpienia:

      • Nazwa: VNet1GW
      • Region: EastUS
      • Typ bramy: VPN
      • Typ sieci VPN: oparta na trasach
      • Jednostka SKU: VpnGW1 lub nowsza
      • Generacja: wybierz generację
      • Sieć wirtualna: TestVNet1

    • Publiczny adres IP

      • Typ publicznego adresu IP: Podstawowy lub Standardowy
      • Publiczny adres IP: Utwórz nowy
      • Nazwa publicznego adresu IP: VNet1GWIP
      • Włącz aktywne-aktywne: wyłączone
      • Konfigurowanie protokołu BGP: włączone

  2. W wyróżnionej sekcji Konfigurowanie protokołu BGP na stronie skonfiguruj następujące ustawienia:

    • Wybierz pozycję Skonfiguruj włączony protokół BGP - , aby wyświetlić sekcję konfiguracji protokołu BGP.

    • Wypełnij numer ASN (numer systemu autonomicznego).

    • Pole Adres IP protokołu BGP usługi Azure APIPA jest opcjonalne. Jeśli lokalne urządzenia sieci VPN używają adresu APIPA dla protokołu BGP, musisz wybrać adres z zakresu adresów APIPA zarezerwowanych platformy Azure dla sieci VPN, czyli od 169.254.21.0 do 169.254.22.255.

    • Jeśli tworzysz bramę sieci VPN aktywne-aktywne, sekcja protokołu BGP będzie zawierać dodatkowy niestandardowy adres IP protokołu BGP protokołu BGP drugiego niestandardowego interfejsu API platformy Azure. Każdy wybrany adres musi być unikatowy i należeć do dozwolonego zakresu APIPA (169.254.21.0 do 169.254.22.255). Bramy aktywne-aktywne obsługują również wiele adresów dla adresu IP protokołu BGP protokołu BGP usługi Azure APIPA i drugiego niestandardowego adresu IP protokołu BGP protokołu API PLATFORMy Azure. Dodatkowe dane wejściowe będą wyświetlane dopiero po wprowadzeniu pierwszego adresu IP protokołu BGP protokołu APIPA.

      Ważne

      • Domyślnie platforma Azure przypisuje prywatny adres IP z zakresu prefiksów podsieci GatewaySubnet automatycznie jako adres IP protokołu BGP platformy Azure w bramie sieci VPN. Niestandardowy adres protokołu BGP usługi Azure APIPA jest wymagany, gdy lokalne urządzenia sieci VPN używają adresu APIPA (169.254.0.1 do 169.254.255.254) jako adresu IP protokołu BGP. VPN Gateway wybierze niestandardowy adres APIPA, jeśli odpowiedni zasób bramy sieci lokalnej (sieć lokalna) ma adres APIPA jako adres IP elementu równorzędnego protokołu BGP. Jeśli brama sieci lokalnej używa zwykłego adresu IP (a nie apiPA), VPN Gateway powróci do prywatnego adresu IP z zakresu podsieci GatewaySubnet.

      • Adresy BGP protokołu APIPA nie mogą nakładać się między lokalnymi urządzeniami sieci VPN i wszystkimi połączonymi bramami sieci VPN.

      • Gdy adresy APIPA są używane w bramach sieci VPN, bramy nie inicjują sesji komunikacji równorzędnej BGP ze źródłowymi adresami IP apiPA. Lokalne urządzenie sieci VPN musi inicjować połączenia komunikacji równorzędnej BGP.

  3. Wybierz pozycję Przejrzyj i utwórz , aby uruchomić walidację. Po zakończeniu walidacji wybierz pozycję Utwórz , aby wdrożyć bramę sieci VPN. Tworzenie bramy często może trwać 45 minut lub dłużej, w zależności od wybranej jednostki SKU bramy. Stan wdrożenia można zobaczyć na stronie Przegląd bramy.

3. Uzyskiwanie adresów IP elementu równorzędnego BGP platformy Azure

Po utworzeniu bramy można uzyskać adresy IP elementu równorzędnego protokołu BGP w bramie sieci VPN. Te adresy są potrzebne do skonfigurowania lokalnych urządzeń sieci VPN w celu ustanowienia sesji protokołu BGP z bramą sieci VPN.

Na stronie Konfiguracja bramy sieci wirtualnej można wyświetlić informacje o konfiguracji protokołu BGP w bramie sieci VPN: ASN, publiczny adres IP i odpowiednie adresy IP elementu równorzędnego protokołu BGP po stronie platformy Azure (ustawienie domyślne i apiPA). Możesz również wprowadzić następujące zmiany konfiguracji:

  • W razie potrzeby możesz zaktualizować nazwę ASN lub adres IP protokołu BGP usługi APIPA.
  • Jeśli masz bramę sieci VPN aktywne-aktywne, na tej stronie zostanie wyświetlony publiczny adres IP, domyślne i adresy IP protokołu BGP protokołu APIPA drugiego wystąpienia bramy sieci VPN.

Aby uzyskać adres IP elementu równorzędnego BGP platformy Azure:

  1. Przejdź do zasobu bramy sieci wirtualnej i wybierz stronę Konfiguracja , aby wyświetlić informacje o konfiguracji protokołu BGP.
  2. Zanotuj adres IP elementu równorzędnego BGP.

Aby skonfigurować protokół BGP na połączeniach typu lokacja-lokacja między lokacjami

Instrukcje w tej sekcji dotyczą konfiguracji lokacja-lokacja między lokalizacjami.

Aby ustanowić połączenie obejmujące wiele lokalizacji, należy utworzyć bramę sieci lokalnej w celu reprezentowania lokalnego urządzenia sieci VPN oraz połączenie w celu połączenia bramy sieci VPN z bramą sieci lokalnej, jak wyjaśniono w temacie Create site-to-site connection (Tworzenie połączenia typu lokacja-lokacja). Poniższe sekcje zawierają dodatkowe właściwości wymagane do określenia parametrów konfiguracji protokołu BGP, jak pokazano na diagramie 3.

Diagram 3

Diagram przedstawiający konfigurację protokołu IPsec.

Przed kontynuowaniem upewnij się, że włączono protokół BGP dla bramy sieci VPN.

1. Tworzenie bramy sieci lokalnej

Skonfiguruj bramę sieci lokalnej przy użyciu ustawień protokołu BGP.

  • Aby uzyskać informacje i kroki, zobacz sekcję bramy sieci lokalnej w artykule dotyczącym połączenia lokacja-lokacja.
  • Jeśli masz już bramę sieci lokalnej, możesz ją zmodyfikować. Aby zmodyfikować bramę sieci lokalnej, przejdź do strony Konfiguracja zasobu bramy sieci lokalnej i wprowadź wszelkie niezbędne zmiany.

  1. Podczas tworzenia bramy sieci lokalnej na potrzeby tego ćwiczenia użyj następujących wartości:

    • Nazwa: Site5
    • Adres IP: adres IP punktu końcowego bramy, z którym chcesz nawiązać połączenie. Przykład: 128.9.9.9
    • Przestrzenie adresowe: jeśli protokół BGP jest włączony, nie jest wymagana przestrzeń adresowa.

  2. Aby skonfigurować ustawienia protokołu BGP, przejdź do strony Zaawansowane . Użyj następujących przykładowych wartości (pokazanych na diagramie 3). Zmodyfikuj wszystkie wartości niezbędne do dopasowania środowiska.

    • Konfigurowanie ustawień protokołu BGP: Tak
    • Numer systemu autonomicznego (ASN): 65050
    • Adres IP elementu równorzędnego protokołu BGP: adres lokalnego urządzenia sieci VPN. Przykład: 10.51.255.254

  3. Kliknij pozycję Przejrzyj i utwórz , aby utworzyć bramę sieci lokalnej.

Ważne zagadnienia dotyczące konfiguracji

  • Numer ASN i adres IP elementu równorzędnego protokołu BGP muszą być zgodne z konfiguracją lokalnego routera sieci VPN.
  • Przestrzeń adresowa może pozostać pusta tylko wtedy, gdy używasz protokołu BGP do nawiązywania połączenia z tą siecią. Brama sieci VPN platformy Azure wewnętrznie doda trasę adresu IP elementu równorzędnego protokołu BGP do odpowiedniego tunelu IPsec. Jeśli nie używasz protokołu BGP między bramą sieci VPN a tą konkretną siecią, musisz podać listę prawidłowych prefiksów adresów dla przestrzeni adresowej.
  • Opcjonalnie możesz użyć adresu IP apiPA (169.254.x.x) jako lokalnego adresu IP elementu równorzędnego BGP, jeśli jest to konieczne. Należy jednak również określić adres IP protokołu APIPA zgodnie z opisem we wcześniejszej sekcji tego artykułu dla bramy sieci VPN. W przeciwnym razie sesja protokołu BGP nie może ustanowić dla tego połączenia.
  • Informacje o konfiguracji protokołu BGP można wprowadzić podczas tworzenia bramy sieci lokalnej lub dodać lub zmienić konfigurację protokołu BGP na stronie Konfiguracja zasobu bramy sieci lokalnej.

2. Konfigurowanie połączenia S2S z włączonym protokółem BGP

W tym kroku utworzysz nowe połączenie, które ma włączony protokół BGP. Jeśli masz już połączenie i chcesz włączyć protokół BGP, możesz go zaktualizować.

Aby utworzyć połączenie

  1. Aby utworzyć nowe połączenie, przejdź do strony Połączenia bramy sieci wirtualnej.
  2. Wybierz pozycję +Dodaj , aby otworzyć stronę Dodawanie połączenia.
  3. Wypełnij niezbędne wartości.
  4. Wybierz pozycję Włącz protokół BGP , aby włączyć protokół BGP w tym połączeniu.
  5. Wybierz przycisk OK , aby zapisać zmiany.

Aby zaktualizować istniejące połączenie

  1. Przejdź do strony Połączenia bramy sieci wirtualnej.
  2. Wybierz połączenie, które chcesz zmodyfikować.
  3. Przejdź do strony Konfiguracja połączenia.
  4. Zmień ustawienie protokołu BGP na Włączone.
  5. Zapisz zmiany.

Konfiguracja urządzenia lokalnego

Poniższy przykład zawiera listę parametrów wprowadzoną w sekcji konfiguracji protokołu BGP na lokalnym urządzeniu sieci VPN na potrzeby tego ćwiczenia:

- Site5 ASN            : 65050
- Site5 BGP IP         : 10.51.255.254
- Prefixes to announce : (for example) 10.51.0.0/16
- Azure VNet ASN       : 65010
- Azure VNet BGP IP    : 10.12.255.30
- Static route         : Add a route for 10.12.255.30/32, with nexthop being the VPN tunnel interface on your device
- eBGP Multihop        : Ensure the "multihop" option for eBGP is enabled on your device if needed

Aby włączyć protokół BGP w połączeniach między sieciami wirtualnymi

Kroki opisane w tej sekcji dotyczą połączeń między sieciami wirtualnymi.

Aby włączyć lub wyłączyć protokół BGP w połączeniu między sieciami wirtualnymi, należy wykonać te same kroki co kroki między lokacjami lokacji w poprzedniej sekcji. Protokół BGP można włączyć podczas tworzenia połączenia lub zaktualizować konfigurację w istniejącym połączeniu między sieciami wirtualnymi.

Uwaga

Połączenie między sieciami wirtualnymi bez protokołu BGP ograniczy komunikację tylko z dwiema połączonymi sieciami wirtualnymi. Włącz protokół BGP, aby umożliwić routing tranzytowy do innych połączeń typu lokacja-lokacja lub między sieciami wirtualnymi tych dwóch sieci wirtualnych.

Następne kroki

Aby uzyskać więcej informacji na temat protokołu BGP, zobacz About BGP and VPN Gateway (Informacje o protokołu BGP i VPN Gateway).