Informacje o protokole BGP z usługą Azure VPN Gateway

Ten artykuł zawiera omówienie obsługi protokołu BGP (Border Gateway Protocol) w usłudze Azure VPN Gateway.

BGP to standardowy protokół routingu używany często w Internecie do wymiany informacji o routingu i osiągalności między dwiema lub wieloma sieciami. W przypadku jego użycia w kontekście sieci wirtualnych Azure, protokół BGP umożliwia bramom sieci VPN na platformie Azure i lokalnym urządzeniom sieci VPN (nazywanym elementami równorzędnymi lub sąsiednimi BGP), przeprowadzaną za pośrednictwem bram lub routerów wymianę „tras” zawierających przeznaczone dla obu bram informacje na temat dostępności i osiągalności tych prefiksów. Protokół BGP umożliwia również włączenie routingu tranzytowego między wieloma sieciami poprzez propagowanie tras, których brama BGP uczy się od jednego elementu równorzędnego BGP, we wszystkich innych elementach równorzędnych BGP.

Dlaczego warto używać protokołu BGP?

Protokół BGP stanowi funkcję opcjonalną, której można używać z bramami sieci VPN na platformie Azure opartymi na trasie. Przed włączeniem funkcji należy również upewnić się, że lokalne urządzenia sieci VPN obsługują protokół BGP. Bram sieci VPN na platformie Azure i lokalnych urządzeń sieci VPN można używać także bez protokołu BGP. Odpowiada to użyciu tras statycznych (bez stosowania protokołu BGP) w porównaniu do użycia routingu dynamicznego z zastosowaniem protokołu BGP między sieciami i platformą Azure.

Protokół BGP oferuje kilka zalet i nowych możliwości:

Obsługa automatycznych i elastycznych aktualizacji prefiksów

W przypadku protokołu BGP wystarczy zadeklarować minimalny prefiks dla określonego elementu równorzędnego protokołu BGP za pośrednictwem tunelu sieci VPN protokołu IPsec S2S. Może to być nawet sam prefiks hosta (/32) adresu IP elementu równorzędnego BGP dla lokalnego urządzenia sieci VPN. Można określić, które prefiksy sieci lokalnej mają być ogłaszane na platformie Azure w celu umożliwienia dostępu sieci wirtualnej Azure.

Można również anonsować większe prefiksy, które mogą zawierać niektóre prefiksy adresów sieci wirtualnej, takie jak duża prywatna przestrzeń adresów IP (na przykład 10.0.0.0/8). Należy pamiętać, że prefiksy nie mogą być identyczne z żadnym z prefiksów sieci wirtualnej. Trasy identyczne z prefiksami w sieci wirtualnej zostaną odrzucone.

Obsługa wielu tuneli między siecią wirtualną i lokacją lokalną z funkcją automatycznego trybu failover w oparciu o protokół BGP

Można utworzyć wiele połączeń między swoją siecią wirtualną na platformie Azure i lokalnymi urządzeniami sieci VPN w tej samej lokalizacji. Ta funkcja pozwala korzystać z wielu tuneli (ścieżek) między dwiema sieciami w konfiguracji aktywne/aktywne. Jeśli jeden z tuneli zostanie odłączony, odpowiednie trasy zostaną wycofane za pośrednictwem protokołu BGP, a ruch automatycznie przesuwa się do pozostałych tuneli.

Na poniższym diagramie przedstawiono prosty przykład tej konfiguracji charakteryzującej się wysoką dostępnością:

Multiple active paths

Obsługa routingu tranzytowego między sieciami lokalnymi i wieloma sieciami wirtualnymi na platformie Azure

Protokół BGP umożliwia uzyskiwanie i propagowanie przez wiele bram prefiksów z różnych sieci, bez względu na to, czy są połączone bezpośrednio lub pośrednio. Umożliwia to realizowany przy użyciu bram sieci VPN na platformie Azure routing tranzytowy między lokalnymi lokacjami lub w obrębie wielu sieci wirtualnych Azure.

Na poniższym diagramie przedstawiono przykład topologii z wieloma przeskokami z wielu ścieżek, która umożliwia przesyłanie ruchu między dwiema sieciami lokalnymi za pośrednictwem bram sieci VPN na platformie Azure w ramach usługi Microsoft Networks:

Multi-hop transit

Często zadawane pytania dotyczące protokołu BGP

Czy protokół BGP jest obsługiwany na wszystkich jednostkach SKU bramy sieci VPN platformy Azure?

Protokół BGP jest obsługiwany we wszystkich jednostkach SKU usługi Azure VPN Gateway z wyjątkiem jednostki SKU w warstwie Podstawowa.

Czy mogę używać protokołu BGP z bramami sieci VPN usługi Azure Policy?

Nie, protokół BGP jest obsługiwany tylko w bramach sieci VPN opartych na trasach.

Jakich numerów asn (numerów systemu autonomicznego) można używać?

Możesz użyć własnych publicznych numerów ASN lub prywatnych numerów ASN zarówno dla sieci lokalnych, jak i sieci wirtualnych platformy Azure. Nie można używać zakresów zarezerwowanych przez platformę Azure lub IANA.

Następujące sieci ASN są zarezerwowane przez platformę Azure lub IANA:

  • Sieci ASN zarezerwowane przez platformę Azure:

    • Publiczne numery ASN: 8074, 8075, 12076
    • Prywatne numery ASN: 65515, 65517, 65518, 65519, 65520
  • Sieci ASN zarezerwowane przez IANA:

    • 23456, 64496-64511, 65535–65551 i 429496729

Nie można określić tych numerów ASN dla lokalnych urządzeń sieci VPN podczas nawiązywania połączenia z bramami sieci VPN platformy Azure.

Czy mogę używać 32-bitowych (4-bajtowych) numerów ASN?

Tak, usługa VPN Gateway obsługuje teraz 32-bitowe (4-bajtowe) sieci ASN. Aby skonfigurować przy użyciu formatu ASN w formacie dziesiętny, użyj programu PowerShell, interfejsu wiersza polecenia platformy Azure lub zestawu Azure SDK.

Jakich prywatnych numerów ASN mogę używać?

Zakresy możliwych do użycia prywatnych numerów ASN to:

  • 64512-65514 i 65521-65534

Te sieci ASN nie są zarezerwowane przez IANA ani platformę Azure do użycia i dlatego mogą służyć do przypisywania do bramy sieci VPN platformy Azure.

Jaki adres jest używany przez usługę VPN Gateway dla adresu IP elementu równorzędnego BGP?

Domyślnie usługa VPN Gateway przydziela jeden adres IP z zakresu BramaSubnet dla bram sieci VPN typu aktywne-rezerwowe lub dwa adresy IP bram sieci VPN aktywne-aktywne. Te adresy są przydzielane automatycznie podczas tworzenia bramy sieci VPN. Rzeczywisty adres IP protokołu BGP można uzyskać przy użyciu programu PowerShell lub lokalizując go w witrynie Azure Portal. W programie PowerShell użyj polecenia Get-AzVirtualNetworkGateway i poszukaj właściwości bgpPeeringAddress . W witrynie Azure Portal na stronie Konfiguracja bramy zapoznaj się z właściwością Configure BGP ASN (Konfigurowanie nazwy ASN protokołu BGP ).

Jeśli lokalne routery sieci VPN używają adresów IP APIPA (169.254.x.x) jako adresów IP protokołu BGP, musisz określić co najmniej jeden adres IP protokołu BGP usługi Azure APIPA w bramie sieci VPN platformy Azure. Usługa Azure VPN Gateway wybiera adresy APIPA do użycia z lokalnym elementem równorzędnym protokołu BGP apiPA określonym w bramie sieci lokalnej lub prywatnym adresem IP dla lokalnego elementu równorzędnego protokołu BGP bez interfejsu APIPA. Aby uzyskać więcej informacji, zobacz Konfigurowanie protokołu BGP.

Jakie są wymagania dotyczące adresów IP elementu równorzędnego BGP na urządzeniu sieci VPN?

Lokalny adres równorzędny protokołu BGP nie może być taki sam jak publiczny adres IP urządzenia sieci VPN lub z przestrzeni adresowej sieci wirtualnej bramy sieci VPN. Na urządzeniu sieci VPN należy użyć innego adresu IP dla adresu IP elementu równorzędnego protokołu BGP. Może to być adres przypisany do interfejsu sprzężenia zwrotnego na urządzeniu (zwykły adres IP lub adres APIPA). Jeśli urządzenie używa adresu APIPA dla protokołu BGP, należy określić co najmniej jeden adres IP protokołu BGP protokołu APIPA w bramie sieci VPN platformy Azure, zgodnie z opisem w temacie Konfigurowanie protokołu BGP. Określ te adresy w odpowiedniej bramie sieci lokalnej reprezentującej lokalizację.

Co należy określić jako prefiksy adresów dla bramy sieci lokalnej, gdy używam protokołu BGP?

Ważne

Jest to zmiana z wcześniej udokumentowanego wymagania. Jeśli używasz protokołu BGP dla połączenia, pozostaw pole Przestrzeń adresowa puste dla odpowiedniego zasobu bramy sieci lokalnej. Usługa Azure VPN Gateway dodaje trasę hosta wewnętrznie do lokalnego adresu IP elementu równorzędnego protokołu BGP za pośrednictwem tunelu IPsec. Nie dodawaj trasy /32 w polu Przestrzeń adresowa . Jest ona nadmiarowa i jeśli używasz adresu APIPA jako lokalnego adresu IP protokołu BGP urządzenia sieci VPN, nie można go dodać do tego pola. Jeśli dodasz inne prefiksy w polu Przestrzeń adresowa , zostaną one dodane jako trasy statyczne w bramie sieci VPN platformy Azure, oprócz tras poznanych za pośrednictwem protokołu BGP.

Czy mogę używać tej samej nazwy ASN zarówno dla lokalnych sieci VPN, jak i sieci wirtualnych platformy Azure?

Nie, należy przypisać różne sieci ASN między sieciami lokalnymi i sieciami wirtualnymi platformy Azure, jeśli łączysz je razem z BGP. Bramy sieci VPN platformy Azure mają przypisany domyślny numer ASN 65515, niezależnie od tego, czy protokół BGP jest włączony, czy nie dla łączności obejmującej wiele lokalizacji. Tę wartość domyślną można zastąpić, przypisując inny numer ASN podczas tworzenia bramy sieci VPN lub zmieniając numer ASN po utworzeniu bramy. Należy przypisać lokalne sieci ASN do odpowiednich bram sieci lokalnej platformy Azure.

Jakie prefiksy adresów będą anonsowane do użytkownika przez bramy sieci VPN platformy Azure?

Bramy anonsują następujące trasy do lokalnych urządzeń BGP:

  • Prefiksy adresów sieci wirtualnej.
  • Prefiksy adresów dla każdej bramy sieci lokalnej połączonej z bramą sieci VPN platformy Azure.
  • Trasy wyciągnięte z innych sesji komunikacji równorzędnej BGP połączonych z bramą sieci VPN platformy Azure, z wyjątkiem trasy domyślnej lub tras nakładających się na dowolny prefiks sieci wirtualnej.

Ile prefiksów można anonsować do usługi Azure VPN Gateway?

Usługa Azure VPN Gateway obsługuje maksymalnie 4000 prefiksów. Sesja protokołu BGP zostanie przerwana, jeśli liczba prefiksów przekroczy limit.

Czy można anonsować trasę domyślną (0.0.0.0/0) do bram sieci VPN platformy Azure?

Tak. Należy pamiętać, że wymusza to cały ruch wychodzący sieci wirtualnej do lokacji lokalnej. Uniemożliwia również maszynom wirtualnym sieci wirtualnej bezpośrednie akceptowanie publicznej komunikacji z Internetu, takich jak protokół RDP lub SSH z Internetu do maszyn wirtualnych.

Czy mogę anonsować dokładne prefiksy jako prefiksy sieci wirtualnej?

Nie, anonsowanie tych samych prefiksów co jeden z prefiksów adresów sieci wirtualnej będzie blokowane lub filtrowane przez platformę Azure. Można jednak anonsować prefiks, który jest nadzbiorem tego, co znajduje się w sieci wirtualnej.

Jeśli na przykład sieć wirtualna używała przestrzeni adresowej 10.0.0.0/16, możesz anonsować adres 10.0.0.0/8. Nie można jednak anonsować adresu 10.0.0.0/16 lub 10.0.0.0/24.

Czy mogę używać protokołu BGP z połączeniami między sieciami wirtualnymi?

Tak, można użyć protokołu BGP zarówno dla połączeń obejmujących wiele lokalizacji, jak i połączeń między sieciami wirtualnymi.

Czy można mieszać połączenia BGP z połączeniami protokołów innych niż BGP dla bram sieci VPN użytkownika platformy Azure?

Tak, dla tej samej bramy sieci VPN platformy Azure można łączyć zarówno połączenia protokołu BGP, jak i połączenia innych protokołów.

Czy usługa Azure VPN Gateway obsługuje routing tranzytowy protokołu BGP?

Tak, routing tranzytowy protokołu BGP jest obsługiwany, z wyjątkiem, że bramy sieci VPN platformy Azure nie anonsują domyślnych tras do innych elementów równorzędnych protokołu BGP. Aby włączyć routing tranzytowy w wielu bramach sieci VPN platformy Azure, należy włączyć protokół BGP na wszystkich połączeniach pośrednich między sieciami wirtualnymi. Aby uzyskać więcej informacji, zobacz About BGP (Informacje o protokołu BGP).

Czy mogę mieć więcej niż jeden tunel między bramą sieci VPN platformy Azure i siecią lokalną?

Tak, można ustanowić więcej niż jeden tunel vpn typu lokacja-lokacja (S2S) między bramą sieci VPN platformy Azure i siecią lokalną. Należy pamiętać, że wszystkie te tunele są liczone względem łącznej liczby tuneli dla bram sieci VPN platformy Azure i należy włączyć protokół BGP w obu tunelach.

Jeśli na przykład masz dwa nadmiarowe tunele między bramą sieci VPN platformy Azure i jedną z sieci lokalnych, zużywają one 2 tunele z całkowitego limitu przydziału dla bramy sieci VPN platformy Azure.

Czy mogę mieć wiele tuneli między dwiema sieciami wirtualnymi platformy Azure z protokołem BGP?

Tak, ale co najmniej jedna z bram sieci wirtualnej musi mieć konfigurację aktywne-aktywne.

Czy mogę używać protokołu BGP dla sieci VPN S2S w konfiguracji współistnienia sieci VPN usługi Azure ExpressRoute i S2S?

Tak.

Co należy dodać do lokalnego urządzenia sieci VPN dla sesji połączenia równorzędnego protokołu BGP?

Dodaj trasę hosta adresu IP równorzędnego protokołu BGP platformy Azure na urządzeniu sieci VPN. Ta trasa wskazuje tunel sieci VPN protokołu IPsec S2S. Jeśli na przykład adres IP równorzędnej sieci VPN platformy Azure to 10.12.255.30, należy dodać trasę hosta dla 10.12.255.30 z interfejsem następnego przeskoku pasującego interfejsu tunelu IPsec na urządzeniu sieci VPN.

Czy brama sieci wirtualnej obsługuje protokół BFD dla połączeń S2S z protokołem BGP?

Nie. Dwukierunkowe wykrywanie przekazywania (BFD) to protokół, którego można używać z protokołem BGP w celu szybszego wykrywania przestojów sąsiadów niż można użyć standardowego protokołu BGP "keepalives". System BFD używa czasomierzy podrzędnych zaprojektowanych do pracy w środowiskach SIECI LAN, ale nie w publicznych połączeniach internetowych lub sieci rozległej.

W przypadku połączeń za pośrednictwem publicznego Internetu niektóre pakiety opóźnione lub nawet porzucone nie są niezwykłe, więc wprowadzenie tych agresywnych czasomierzy może zwiększyć niestabilność. Ta niestabilność może spowodować tłumienie tras przez protokół BGP. Alternatywnie można skonfigurować urządzenie lokalne przy użyciu czasomierzy niższych niż domyślna, 60-sekundowa interwał "keepalive" i czasomierz 180-sekundowy blokada. Powoduje to szybszy czas zbieżności.

Czy bramy sieci VPN platformy Azure inicjują sesje lub połączenia komunikacji równorzędnej BGP?

Brama zainicjuje sesje komunikacji równorzędnej BGP z lokalnymi adresami IP równorzędnych protokołu BGP określonymi w zasobach bramy sieci lokalnej przy użyciu prywatnych adresów IP w bramach sieci VPN. Jest to niezależnie od tego, czy lokalne adresy IP protokołu BGP znajdują się w zakresie APIPA, czy zwykłymi prywatnymi adresami IP. Jeśli lokalne urządzenia sieci VPN używają adresów APIPA jako adresu IP protokołu BGP, należy skonfigurować głośnik BGP w celu zainicjowania połączeń.

Następne kroki

Opis procedury konfigurowania protokołu BGP pod kątem połączeń obejmujących wiele lokalizacji i połączeń między sieciami wirtualnymi zawiera artykuł Getting started with BGP on Azure VPN gateways (Rozpoczęcie pracy z protokołem BGP dla bram sieci VPN na platformie Azure).