Como configurar o BGP para o Gateway de VPN do Azure
Este artigo ajuda você a habilitar o BGP em conexões VPN site a site (S2S) entre locais e conexões VNet-to-VNet usando o portal do Azure. Você também pode criar essa configuração usando as etapas da CLI do Azure ou do PowerShell .
O BGP é o protocolo de encaminhamento padrão utilizado normalmente na Internet para trocar informações de encaminhamento e acessibilidade entre duas ou mais redes. O BGP permite que as gateways VPN e os seus dispositivos VPN locais, denominados BGP peers ou vizinhos, troquem "rotas" que informarão ambas as gateways sobre a disponibilidade e acessibilidade desses prefixos através das gateways ou routers envolvidos. O BGP também pode permitir o encaminhamento de tráfego entre várias redes ao propagar rotas para todos os outros elementos de rede BGP, que um gateway BGP aprende de um elemento de rede BGP.
Para obter mais informações sobre os benefícios do BGP e entender os requisitos técnicos e as considerações do uso do BGP, consulte Sobre o BGP e o Gateway de VPN do Azure.
Introdução
Cada parte deste artigo ajuda você a formar um bloco de construção básico para habilitar o BGP em sua conectividade de rede. Se você concluir todas as três partes (configurar BGP no gateway, conexão S2S e conexão VNet-to-VNet), criará a topologia conforme mostrado no Diagrama 1. Você pode combinar peças para construir uma rede de transporte público mais complexa, multi-hop, que atenda às suas necessidades.
Diagrama 1
Para contextualizar, referindo-se ao Diagrama 1, se o BGP fosse desabilitado entre TestVNet2 e TestVNet1, TestVNet2 não aprenderia as rotas para a rede local, Site5, e, portanto, não poderia se comunicar com o Site 5. Depois de habilitar o BGP, todas as três redes poderão se comunicar pelas conexões IPsec e VNet-to-VNet do S2S.
Pré-requisitos
Verifique se tem uma subscrição do Azure. Se ainda não tiver uma subscrição do Azure, pode ativar os Benefícios de subscritor do MSDN ou inscrever-se numa conta gratuita.
Habilitar BGP para o gateway VPN
Esta seção é necessária antes de executar qualquer uma das etapas nas outras duas seções de configuração. As etapas de configuração a seguir configuram os parâmetros BGP do gateway VPN, conforme mostrado no Diagrama 2.
Diagrama 2
1. Criar TestVNet1
Nesta etapa, você cria e configura o TestVNet1. Use as etapas no tutorial Criar um gateway para criar e configurar sua rede virtual do Azure e gateway VPN.
Valores de exemplo de rede virtual:
- Grupo de Recursos: TestRG1
- VNet: TestVNet1
- Localização/Região: EastUS
- Espaço de endereço: 10.11.0.0/16, 10.12.0.0/16
- Sub-redes:
- Front-End: 10.11.0.0/24
- Back-End: 10.12.0.0/24
- GatewaySubnet: 10.12.255.0/27
2. Crie um gateway TestVNet1 com BGP
Nesta etapa, você cria um gateway VPN com os parâmetros BGP correspondentes.
Use as etapas em Criar e gerenciar um gateway VPN para criar um gateway com os seguintes parâmetros:
Detalhes da instância:
- Designação: VNet1GW
- Região: EastUS
- Tipo de gateway: VPN
- Tipo de VPN: baseado na rota
- SKU: VpnGW1 ou superior
- Geração: selecione uma geração
- Rede virtual: TestVNet1
Endereço IP público
- Tipo de endereço IP público: Básico ou Padrão
- Endereço IP público: Criar novo
- Nome do endereço IP público: VNet1GWIP
- Ativar ativo-ativo: Desativado
- Configurar BGP: Ativado
Na seção Configurar BGP realçada da página, defina as seguintes configurações:
Selecione Configurar BGP habilitado para mostrar a seção de configuração do BGP - .
Preencha o seu ASN (Número do Sistema Autónomo).
O campo Endereço IP do Azure APIPA BGP é opcional. Se seus dispositivos VPN locais usarem o endereço APIPA para BGP, você deverá selecionar um endereço do intervalo de endereços APIPA reservado pelo Azure para VPN, que é de 169.254.21.0 a 169.254.22.255.
Se você estiver criando um gateway VPN ativo-ativo, a seção BGP mostrará um segundo endereço IP personalizado do Azure APIPA BGP adicional. Cada endereço selecionado deve ser exclusivo e estar no intervalo APIPA permitido (169.254.21.0 a 169.254.22.255). Os gateways ativos-ativos também dão suporte a vários endereços para o endereço IP do Azure APIPA BGP e o segundo endereço IP personalizado do Azure APIPA BGP. As entradas adicionais só aparecerão depois de introduzir o seu primeiro endereço IP APIPA BGP.
Importante
Por padrão, o Azure atribui um endereço IP privado do intervalo de prefixos GatewaySubnet automaticamente como o endereço IP BGP do Azure no gateway VPN. O endereço BGP API do Azure personalizado é necessário quando seus dispositivos VPN locais usam um endereço APIPA (169.254.0.1 a 169.254.255.254) como o IP BGP. O Gateway VPN escolherá o endereço APIPA personalizado se o recurso de gateway de rede local correspondente (rede local) tiver um endereço APIPA como IP de mesmo nível BGP. Se o gateway de rede local usar um endereço IP regular (não APIPA), o Gateway VPN reverterá para o endereço IP privado do intervalo GatewaySubnet.
Os endereços BGP APIPA não devem se sobrepor entre os dispositivos VPN locais e todos os gateways VPN conectados.
Quando os endereços APIPA são usados em gateways VPN, os gateways não iniciam sessões de emparelhamento BGP com endereços IP de origem APIPA. O dispositivo VPN local deve iniciar conexões de emparelhamento BGP.
Selecione Rever + criar para executar a validação. Quando a validação for aprovada, selecione Criar para implantar o gateway de VPN. Criar um gateway, muitas vezes, pode demorar 45 minutos ou mais, dependendo do SKU de gateway selecionado. Você pode ver o status da implantação na página Visão geral do seu gateway.
3. Obtenha os endereços IP de mesmo nível do Azure BGP
Depois que o gateway for criado, você poderá obter os endereços IP de mesmo nível BGP no gateway VPN. Esses endereços são necessários para configurar seus dispositivos VPN locais para estabelecer sessões BGP com o gateway VPN.
Na página Configuração do gateway de rede virtual, você pode exibir as informações de configuração do BGP em seu gateway de VPN: ASN, endereço IP público e os endereços IP correspondentes do par BGP no lado do Azure (padrão e APIPA). Você também pode fazer as seguintes alterações de configuração:
- Você pode atualizar o ASN ou o endereço IP do BGP da APIPA, se necessário.
- Se você tiver um gateway VPN ativo-ativo, esta página mostrará o endereço IP público, o padrão e os endereços IP APIPA BGP da segunda instância do gateway VPN.
Para obter o endereço IP de mesmo nível BGP do Azure:
- Vá para o recurso de gateway de rede virtual e selecione a página Configuração para ver as informações de configuração do BGP.
- Anote o endereço IP do par BGP.
Para configurar o BGP em conexões S2S entre locais
As instruções nesta seção aplicam-se a configurações site a site entre locais.
Para estabelecer uma conexão entre locais, você precisa criar um gateway de rede local para representar seu dispositivo VPN local e uma conexão para conectar o gateway VPN com o gateway de rede local, conforme explicado em Criar conexão site a site. As seções a seguir contêm as propriedades adicionais necessárias para especificar os parâmetros de configuração BGP, conforme mostrado no Diagrama 3.
Diagrama 3
Antes de continuar, certifique-se de ter ativado o BGP para o gateway VPN.
1. Criar um gateway de rede local
Configure um gateway de rede local com configurações de BGP.
- Para obter informações e etapas, consulte a seção gateway de rede local no artigo de conexão site a site.
- Se você já tiver um gateway de rede local, poderá modificá-lo. Para modificar um gateway de rede local, vá para a página Configuração do recurso de gateway de rede local e faça as alterações necessárias.
Ao criar o gateway de rede local, para este exercício, use os seguintes valores:
- Designação: Site5
- Endereço IP: o endereço IP do ponto de extremidade do gateway ao qual você deseja se conectar. Exemplo: 128.9.9.9
- Espaços de endereço: Se o BGP estiver habilitado, nenhum espaço de endereço será necessário.
Para definir as configurações do BGP, vá para a página Avançado . Use os seguintes valores de exemplo (mostrados no diagrama 3). Modifique todos os valores necessários para corresponder ao seu ambiente.
- Definir configurações de BGP: Sim
- Número do sistema autónomo (ASN): 65050
- Endereço IP de mesmo nível BGP: O endereço do dispositivo VPN local. Exemplo: 10.51.255.254
Clique em Rever + criar para criar o gateway de rede local.
Considerações importantes sobre configuração
- O ASN e o endereço IP de mesmo nível BGP devem corresponder à configuração do roteador VPN local.
- Você pode deixar o espaço de endereço vazio somente se estiver usando BGP para se conectar a esta rede. O gateway de VPN do Azure adicionará internamente uma rota do seu endereço IP de mesmo nível BGP ao túnel IPsec correspondente. Se você NÃO estiver usando BGP entre o gateway VPN e essa rede específica, deverá fornecer uma lista de prefixos de endereço válidos para o espaço de endereço.
- Opcionalmente, você pode usar um endereço IP APIPA (169.254.x.x) como seu IP de mesmo nível BGP local, se necessário. Mas você também precisará especificar um endereço IP APIPA, conforme descrito anteriormente neste artigo, para seu gateway VPN, caso contrário, a sessão BGP não poderá ser estabelecida para essa conexão.
- Você pode inserir as informações de configuração do BGP durante a criação do gateway de rede local ou pode adicionar ou alterar a configuração do BGP na página Configuração do recurso de gateway de rede local.
2. Configure uma conexão S2S com BGP ativado
Nesta etapa, você cria uma nova conexão que tem o BGP habilitado. Se você já tiver uma conexão e quiser habilitar o BGP nela, poderá atualizá-la.
Criar uma ligação
- Para criar uma nova conexão, vá para a página Conexões do gateway de rede virtual.
- Selecione +Adicionar para abrir a página Adicionar uma conexão.
- Preencha os valores necessários.
- Selecione Ativar BGP para habilitar o BGP nesta conexão.
- Selecione OK para guardar as alterações.
Para atualizar uma conexão existente
- Vá para a página Conexões do gateway de rede virtual.
- Selecione a conexão que deseja modificar.
- Vá para a página Configuração da conexão.
- Altere a configuração BGP para Habilitado.
- Salve suas alterações.
Configuração de dispositivo local
O exemplo a seguir lista os parâmetros inseridos na seção de configuração BGP em seu dispositivo VPN local para este exercício:
- Site5 ASN : 65050
- Site5 BGP IP : 10.51.255.254
- Prefixes to announce : (for example) 10.51.0.0/16
- Azure VNet ASN : 65010
- Azure VNet BGP IP : 10.12.255.30
- Static route : Add a route for 10.12.255.30/32, with nexthop being the VPN tunnel interface on your device
- eBGP Multihop : Ensure the "multihop" option for eBGP is enabled on your device if needed
Para habilitar o BGP em conexões VNet-to-VNet
As etapas nesta seção se aplicam a conexões VNet-to-VNet.
Para habilitar ou desabilitar o BGP em uma conexão VNet-to-VNet, use as mesmas etapas que as etapas entre locais do S2S na seção anterior. Você pode habilitar o BGP ao criar a conexão ou atualizar a configuração em uma conexão VNet-to-VNet existente.
Nota
Uma conexão VNet-to-VNet sem BGP limitará a comunicação apenas às duas VNets conectadas. Habilite o BGP para permitir a capacidade de roteamento de trânsito para outras conexões S2S ou VNet-to-VNet dessas duas VNets.
Próximos passos
Para obter mais informações sobre BGP, consulte Sobre BGP e VPN Gateway.