Como configurar o BGP para o Azure Gateway de VPN

  • Artigo

Este artigo ajuda-o a ativar o BGP em ligações VPN site a site (S2S) em vários locais e ligações VNet a VNet com o portal do Azure. Também pode criar esta configuração com os passos da CLI do Azure ou do PowerShell .

O BGP é o protocolo de encaminhamento padrão utilizado normalmente na Internet para trocar informações de encaminhamento e acessibilidade entre duas ou mais redes. O BGP permite que os gateways de VPN e os seus dispositivos VPN no local, denominados elementos de rede BGP ou vizinhos, troquem "rotas" que informem ambos os gateways sobre a disponibilidade e a acessibilidade para que esses prefixos passem pelos gateways ou routers envolvidos. O BGP também pode permitir o encaminhamento de tráfego entre várias redes ao propagar rotas para todos os outros elementos de rede BGP, que um gateway BGP aprende de um elemento de rede BGP.

Para obter mais informações sobre os benefícios do BGP e compreender os requisitos técnicos e as considerações da utilização do BGP, veja Acerca do BGP e do Azure Gateway de VPN.

Introdução

Cada parte deste artigo ajuda-o a formar um bloco modular básico para ativar o BGP na conectividade de rede. Se concluir as três partes (configurar o BGP no gateway, a ligação S2S e a ligação VNet a VNet), crie a topologia conforme mostrado no Diagrama 1. Pode combinar peças para criar uma rede de trânsito mais complexa, com vários saltos, que satisfaça as suas necessidades.

Diagrama 1

Diagrama a mostrar a arquitetura e as definições de rede.

Para contexto, referindo-se ao Diagrama 1, se o BGP fosse desativado entre TestVNet2 e TestVNet1, TestVNet2 não aprenderia as rotas para a rede no local, Site5 e, portanto, não conseguiria comunicar com o Site 5. Depois de ativar o BGP, as três redes poderão comunicar através das ligações S2S IPsec e VNet a VNet.

Pré-requisitos

Verifique se tem uma subscrição do Azure. Se ainda não tiver uma subscrição do Azure, pode ativar os Benefícios de subscritor do MSDN ou inscrever-se numa conta gratuita.

Ativar o BGP para o gateway de VPN

Esta secção é necessária antes de executar qualquer um dos passos nas outras duas secções de configuração. Os passos de configuração seguintes configuram os parâmetros BGP do gateway de VPN, conforme mostrado no Diagrama 2.

Diagrama 2

Diagrama a mostrar as definições do gateway de rede virtual.

1. Criar TestVNet1

Neste passo, vai criar e configurar a TestVNet1. Utilize os passos no tutorial Criar um gateway para criar e configurar a rede virtual do Azure e o gateway de VPN.

Valores de exemplo de rede virtual:

  • Grupo de Recursos: TestRG1
  • VNet: TestVNet1
  • Localização/Região: E.U.A. Leste
  • Espaço de endereços: 10.11.0.0/16, 10.12.0.0/16
  • Sub-redes:
    • Front-End: 10.11.0.0/24
    • Back-End: 10.12.0.0/24
    • GatewaySubnet: 10.12.255.0/27

2. Criar um gateway TestVNet1 com BGP

Neste passo, vai criar um gateway de VPN com os parâmetros BGP correspondentes.

  1. Utilize os passos em Criar e gerir um gateway de VPN para criar um gateway com os seguintes parâmetros:

    • Detalhes da Instância:

      • Nome: VNet1GW
      • Região: E.U.A. Leste
      • Tipo de gateway: VPN
      • Tipo de VPN: baseado na rota
      • SKU: VpnGW1 ou superior
      • Geração: selecione uma geração
      • Rede virtual: TestVNet1

    • Endereço IP público

      • Tipo de endereço IP público: Básico ou Standard
      • Endereço IP público: Criar novo
      • Nome do endereço IP público: VNet1GWIP
      • Ativar ativo-ativo: Desativado
      • Configurar o BGP: Ativado

  2. Na secção Configurar BGP realçada da página, configure as seguintes definições:

    • Selecione Configurar BGP - Ativado para mostrar a secção configuração do BGP.

    • Preencha o ASN (Número de Sistema Autónomo).

    • O campo endereço IP BGP da APIPA do Azure é opcional. Se os seus dispositivos VPN no local utilizarem o endereço APIPA para BGP, tem de selecionar um endereço do intervalo de endereços APIPA reservados do Azure para VPN, que é de 169.254.21.0 a 169.254.22.255.

    • Se estiver a criar um gateway de VPN ativo-ativo, a secção BGP mostrará um segundo endereço IP BGP da API DO Azure Personalizado adicional. Cada endereço selecionado tem de ser exclusivo e estar no intervalo de APIPA permitido (169.254.21.0 a 169.254.22.255). Os gateways ativos-ativos também suportam vários endereços para o endereço IP BGP da APIPA do Azure e o Segundo endereço IP BGP da APIPA personalizada do Azure. As entradas adicionais só serão apresentadas depois de introduzir o seu primeiro endereço IP BGP da APIPA.

      Importante

      • Por predefinição, o Azure atribui automaticamente um endereço IP privado a partir do intervalo de prefixos GatewaySubnet como o endereço IP BGP do Azure no gateway de VPN. O endereço BGP da APIPA do Azure personalizado é necessário quando os seus dispositivos VPN no local utilizam um endereço APIPA (169.254.0.1 a 169.254.255.254) como IP bgp. Gateway de VPN escolherá o endereço APIPA personalizado se o recurso de gateway de rede local correspondente (rede no local) tiver um endereço APIPA como IP do elemento de rede BGP. Se o gateway de rede local utilizar um endereço IP normal (não a APIPA), Gateway de VPN reverterá para o endereço IP privado a partir do intervalo gatewaySubnet.

      • Os endereços BGP do APIPA não podem sobrepor-se entre os dispositivos VPN no local e todos os gateways de VPN ligados.

      • Quando os endereços APIPA são utilizados em gateways de VPN, os gateways não iniciam sessões de peering BGP com endereços IP de origem APIPA. O dispositivo VPN no local tem de iniciar ligações de peering BGP.

  3. Selecione Rever + criar para executar a validação. Assim que a validação for aprovada, selecione Criar para implementar o gateway de VPN. Criar um gateway, muitas vezes, pode demorar 45 minutos ou mais, dependendo do SKU de gateway selecionado. Pode ver o estado da implementação na página Descrição geral do gateway.

3. Obter os endereços IP do Elemento de Rede BGP do Azure

Assim que o gateway for criado, pode obter os endereços IP do Elemento de Rede BGP no gateway de VPN. Estes endereços são necessários para configurar os seus dispositivos VPN no local para estabelecer sessões BGP com o gateway de VPN.

Na página Configuração do gateway de rede virtual, pode ver as informações de configuração do BGP no gateway de VPN: ASN, Endereço IP público e os endereços IP do elemento de rede BGP correspondentes no lado do Azure (predefinição e APIPA). Também pode fazer as seguintes alterações de configuração:

  • Se necessário, pode atualizar o ASN ou o endereço IP BGP da APIPA.
  • Se tiver um gateway de VPN ativo-ativo, esta página mostrará os endereços IP públicos, predefinidos e endereços IP BGP do APIPA da segunda instância de gateway de VPN.

Para obter o endereço IP do Elemento de Rede BGP do Azure:

  1. Aceda ao recurso de gateway de rede virtual e selecione a página Configuração para ver as informações de configuração do BGP.
  2. Tome nota do endereço IP do Elemento de Rede BGP.

Para configurar o BGP em ligações S2S em vários locais

As instruções nesta secção aplicam-se a configurações site a site em vários locais.

Para estabelecer uma ligação entre locais, tem de criar um gateway de rede local para representar o seu dispositivo VPN no local e uma ligação para ligar o gateway de VPN ao gateway de rede local, conforme explicado em Criar ligação site a site. As secções seguintes contêm as propriedades adicionais necessárias para especificar os parâmetros de configuração do BGP, conforme mostrado no Diagrama 3.

Diagrama 3

Diagrama a mostrar a configuração de IPsec.

Antes de continuar, certifique-se de que ativou o BGP para o gateway de VPN.

1. Criar um gateway de rede local

Configure um gateway de rede local com as definições de BGP.

  • Para obter informações e passos, veja a secção do gateway de rede local no artigo ligação site a site.
  • Se já tiver um gateway de rede local, pode modificá-lo. Para modificar um gateway de rede local, aceda à página Configuração do recurso de gateway de rede local e faça as alterações necessárias.

  1. Quando criar o gateway de rede local, para este exercício, utilize os seguintes valores:

    • Nome: Site5
    • Endereço IP: o endereço IP do ponto final do gateway ao qual pretende ligar. Exemplo: 128.9.9.9
    • Espaços de endereços: se o BGP estiver ativado, não é necessário espaço de endereços.

  2. Para configurar as definições de BGP, aceda à página Avançadas . Utilize os seguintes valores de exemplo (mostrados no Diagrama 3). Modifique os valores necessários para corresponder ao seu ambiente.

    • Configurar definições de BGP: Sim
    • Número de sistema autónomo (ASN): 65050
    • Endereço IP do elemento da rede BGP: o endereço do Dispositivo VPN no local. Exemplo: 10.51.255.254

  3. Clique em Rever + criar para criar o gateway de rede local.

Considerações de configuração importantes

  • O ASN e o endereço IP do elemento da rede BGP têm de corresponder à configuração do router VPN no local.
  • Só pode deixar o espaço endereço vazio se estiver a utilizar o BGP para ligar a esta rede. O gateway de VPN do Azure adicionará internamente uma rota do seu endereço IP do elemento da rede BGP ao túnel IPsec correspondente. Se não estiver a utilizar o BGP entre o gateway de VPN e esta rede específica, tem de fornecer uma lista de prefixos de endereço válidos para o espaço Endereço.
  • Opcionalmente, pode utilizar um endereço IP da APIPA (169.254.x.x) como o ip do elemento da rede BGP no local, se necessário. Mas também terá de especificar um endereço IP da APIPA, conforme descrito anteriormente neste artigo para o gateway de VPN, caso contrário, a sessão BGP não pode estabelecer para esta ligação.
  • Pode introduzir as informações de configuração do BGP durante a criação do gateway de rede local ou pode adicionar ou alterar a configuração do BGP a partir da página Configuração do recurso de gateway de rede local.

2. Configurar uma ligação S2S com o BGP ativado

Neste passo, vai criar uma nova ligação com o BGP ativado. Se já tiver uma ligação e quiser ativar o BGP na mesma, pode atualizá-la.

Para criar uma ligação

  1. Para criar uma nova ligação, aceda à página Ligações do gateway de rede virtual.
  2. Selecione +Adicionar para abrir a página Adicionar uma ligação.
  3. Preencha os valores necessários.
  4. Selecione Ativar BGP para ativar o BGP nesta ligação.
  5. Selecione OK para guardar as alterações.

Para atualizar uma ligação existente

  1. Aceda à página Ligações do gateway de rede virtual.
  2. Selecione a ligação que pretende modificar.
  3. Aceda à página Configuração da ligação.
  4. Altere a definição BGP para Ativado.
  5. Guarde as alterações.

Configuração do dispositivo no local

O exemplo seguinte lista os parâmetros introduzidos na secção de configuração do BGP no seu dispositivo VPN no local para este exercício:

- Site5 ASN            : 65050
- Site5 BGP IP         : 10.51.255.254
- Prefixes to announce : (for example) 10.51.0.0/16
- Azure VNet ASN       : 65010
- Azure VNet BGP IP    : 10.12.255.30
- Static route         : Add a route for 10.12.255.30/32, with nexthop being the VPN tunnel interface on your device
- eBGP Multihop        : Ensure the "multihop" option for eBGP is enabled on your device if needed

Para ativar o BGP em ligações VNet a VNet

Os passos nesta secção aplicam-se às ligações VNet a VNet.

Para ativar ou desativar o BGP numa ligação VNet a VNet, utilize os mesmos passos que os passos em vários locais do S2S na secção anterior. Pode ativar o BGP ao criar a ligação ou atualizar a configuração numa ligação VNet a VNet existente.

Nota

Uma ligação VNet a VNet sem BGP limitará a comunicação apenas às duas VNets ligadas. Ative o BGP para permitir a capacidade de encaminhamento de trânsito para outras ligações S2S ou VNet a VNet destas duas VNets.

Passos seguintes

Para obter mais informações sobre o BGP, consulte Acerca do BGP e Gateway de VPN.