Acerca do BGP e do Azure Gateway de VPN
Este artigo fornece uma descrição geral do suporte do BGP (Border Gateway Protocol) no Azure Gateway de VPN.
O BGP é o protocolo de encaminhamento padrão utilizado normalmente na Internet para trocar informações de encaminhamento e acessibilidade entre duas ou mais redes. Quando utilizado no contexto das Redes Virtuais do Azure, o BGP permite que os gateways de VPN do Azure e os seus dispositivos VPN no local, denominados elementos de rede BGP ou vizinhos, troquem "rotas" que informem ambos os gateways sobre a disponibilidade e a acessibilidade para que esses prefixos passem pelos gateways ou routers envolvidos. O BGP também pode permitir o encaminhamento de tráfego entre várias redes ao propagar rotas para todos os outros elementos de rede BGP, que um gateway BGP aprende de um elemento de rede BGP.
Porquê utilizar o BGP?
O BGP é uma funcionalidade opcional que pode utilizar com os gateways de VPN do Azure Baseados na Rota. Antes de ativar esta funcionalidade, deve verificar se os seus dispositivos VPN no local suportam o BGP. Pode continuar a utilizar os gateways de VPN do Azure e os seus dispositivos VPN no local sem o BGP. É o equivalente a utilizar rotas estáticas (sem BGP) vs. utilizar encaminhamento dinâmico com BGP entre as suas redes e o Azure.
O BGP possui várias vantagens e novas capacidades:
Suporte de atualizações de prefixos automáticas e flexíveis
Com o BGP, só tem de declarar um prefixo mínimo para um elemento de rede BGP específico no túnel VPN S2S de IPsec. Pode ser tão pequeno como um prefixo de anfitrião (/32) do endereço IP do elemento de rede BGP do seu dispositivo VPN no local. Pode controlar que prefixos da rede no local pretende anunciar no Azure, para permitir o acesso da sua Rede Virtual do Azure.
Também pode anunciar prefixos maiores que podem incluir alguns dos seus prefixos de endereços VNet, como um grande espaço de endereços IP privados (por exemplo, 10.0.0.0/8). Tenha em atenção que os prefixos não podem ser idênticos a qualquer um dos prefixos da VNet. As rotas idênticas aos prefixos VNet serão rejeitadas.
Suporte de vários túneis entre uma VNet e um site no local, com ativação pós-falha automática baseada no BGP
Pode estabelecer várias ligações na mesma localização entre a VNet do Azure e os dispositivos VPN no local. Esta capacidade proporciona vários túneis (caminhos) entre as duas redes numa configuração no modo ativo-ativo. Se um dos túneis estiver desligado, as rotas correspondentes serão retiradas através de BGP e o tráfego muda automaticamente para os túneis restantes.
O diagrama seguinte mostra um exemplo simples desta configuração de elevada disponibilidade:
Suporte do encaminhamento do tráfego entre as suas redes no local e várias VNets do Azure
O BGP permite que vários gateways aprendam e propaguem os prefixos a partir de redes diferentes, quer estejam direta ou indiretamente ligadas. Esta opção pode ativar o encaminhamento de tráfego com os gateways de VPN do Azure entre os sites no local ou entre várias Redes Virtuais do Azure.
O diagrama seguinte mostra um exemplo de uma topologia multi-hop com vários caminhos em que o tráfego pode transitar entre as duas redes no local através de gateways de VPN do Azure dentro de Redes da Microsoft:
BGP FAQ
O BGP é suportado em todos os SKUs do VPN Gateway do Azure?
O BGP é suportado em todos os SKUs do Azure Gateway de VPN, exceto no SKU Básico.
Posso utilizar o BGP com gateways de VPN Azure Policy?
Não, o BGP é suportado apenas em gateways de VPN baseados em rotas.
Que ASNs (Números de Sistema Autónomo) posso utilizar?
Pode utilizar os seus próprios ASNs públicos ou ASNs privados para as suas redes no local e redes virtuais do Azure. Não pode utilizar os intervalos reservados pelo Azure ou pela IANA.
Os seguintes ASNs estão reservados pelo Azure ou pela IANA:
ASNs reservados pelo Azure:
- Public ASNs: 8074, 8075, 12076
- ASNs privados: 65515 65517, 65518, 65519, 65520
ASNs reservados pela IANA:
- 23456, 64496-64511, 65535-65551 e 429496729
Não pode especificar estes ASNs para os seus dispositivos VPN no local quando estiver a ligar a gateways de VPN do Azure.
Posso utilizar ASNs de 32 bits (4 bytes)?
Sim, Gateway de VPN agora suporta ASNs de 32 bits (4 bytes). Para configurar com o ASN no formato decimal, utilize o PowerShell, a CLI do Azure ou o SDK do Azure.
Que ASNs privados posso utilizar?
Os intervalos utilizáveis de ASNs privados são:
- 64512-65514 e 65521-65534
Estes ASNs não são reservados pela IANA ou pelo Azure para utilização e, por conseguinte, podem ser utilizados para atribuir ao gateway de VPN do Azure.
Que endereço Gateway de VPN utiliza para o IP do elemento de rede BGP?
Por predefinição, Gateway de VPN aloca um único endereço IP do intervalo GatewaySubnet para gateways de VPN ativo-reserva ou dois endereços IP para gateways de VPN ativos-ativos. Estes endereços são alocados automaticamente quando cria o gateway de VPN. Pode obter o endereço IP BGP real alocado com o PowerShell ou localizando-o no portal do Azure. No PowerShell, utilize Get-AzVirtualNetworkGateway e procure a propriedade bgpPeeringAddress . Na portal do Azure, na página Configuração do Gateway, procure na propriedade Configurar ASN do BGP.
Se os routers de VPN no local utilizarem endereços IP APIPA (169.254.x.x) como endereços IP BGP, tem de especificar um ou mais endereços IP BGP da APIPA do Azure no gateway de VPN do Azure. O Azure Gateway de VPN seleciona os endereços APIPA a utilizar com o elemento de rede BGP da APIPA no local especificado no gateway de rede local ou o endereço IP privado para um elemento de rede BGP no local não APIPA. Para obter mais informações, veja Configurar o BGP.
Quais são os requisitos para os endereços IP do elemento de rede BGP no meu dispositivo VPN?
O endereço do elemento da rede BGP no local não pode ser o mesmo que o endereço IP público do seu dispositivo VPN ou do espaço de endereços de rede virtual do gateway de VPN. Utilize um endereço IP diferente no dispositivo VPN do IP do elemento de rede BGP. Pode ser um endereço atribuído à interface de loopback no dispositivo (um endereço IP normal ou um endereço APIPA). Se o seu dispositivo utilizar um endereço APIPA para BGP, tem de especificar um ou mais endereços IP BGP do APIPA no gateway de VPN do Azure, conforme descrito em Configurar o BGP. Especifique estes endereços no gateway de rede local correspondente que representa a localização.
O que devo especificar como os meus prefixos de endereço para o gateway de rede local quando utilizo o BGP?
Importante
Esta é uma alteração do requisito documentado anteriormente. Se utilizar o BGP para uma ligação, deixe o campo Espaço de endereços vazio para o recurso de gateway de rede local correspondente. O Azure Gateway de VPN adiciona uma rota de anfitrião internamente ao IP do elemento de rede BGP no local através do túnel IPsec. Não adicione a rota /32 no campo Espaço de endereços . É redundante e, se utilizar um endereço APIPA como IP BGP do dispositivo VPN no local, este não pode ser adicionado a este campo. Se adicionar outros prefixos no campo Espaço de endereços , estes são adicionados como rotas estáticas no gateway de VPN do Azure, além das rotas aprendidas através do BGP.
Posso utilizar o mesmo ASN para redes VPN no local e redes virtuais do Azure?
Não, tem de atribuir DIFERENTES ASNs entre as redes no local e as redes virtuais do Azure se estiver a ligá-las com o BGP. Os gateways de VPN do Azure têm um ASN predefinido de 65515 atribuído, quer o BGP esteja ativado ou não para a conectividade em vários locais. Pode substituir esta predefinição ao atribuir um ASN diferente quando estiver a criar o gateway de VPN ou pode alterar o ASN após a criação do gateway. Terá de atribuir os seus ASNs no local aos gateways de rede local do Azure correspondentes.
Que prefixos de endereços irão os gateways de VPN do Azure anunciar-me?
Os gateways anunciam as seguintes rotas para os seus dispositivos BGP no local:
- Os prefixos de endereços de rede virtual.
- Prefixos de endereço para cada gateway de rede local ligado ao gateway de VPN do Azure.
- Rotas aprendidas a partir de outras sessões de peering BGP ligadas ao gateway de VPN do Azure, exceto para a rota predefinida ou rotas que se sobrepõem a qualquer prefixo de rede virtual.
Quantos prefixos posso anunciar no Azure Gateway de VPN?
O Azure Gateway de VPN suporta até 4000 prefixos. A sessão de BGP é ignorada se o número de prefixos exceder o limite.
Posso anunciar a rota predefinida (0.0.0.0/0) para gateways de VPN do Azure?
Sim. Tenha em atenção que isto força todo o tráfego de saída de rede virtual para o seu site no local. Também impede que as VMs de rede virtual aceitem diretamente comunicações públicas a partir da Internet, como RDP ou SSH da Internet para as VMs.
Posso anunciar os prefixos exatos como os meus prefixos de rede virtual?
Não, anunciar os mesmos prefixos que qualquer um dos seus prefixos de endereços de rede virtual será bloqueado ou filtrado pelo Azure. No entanto, pode anunciar um prefixo que é um superconjunto do que tem na sua rede virtual.
Por exemplo, se a sua rede virtual utilizou o espaço de endereços 10.0.0.0/16, pode anunciar 10.0.0.0/8. Mas não pode anunciar 10.0.0.0/16 ou 10.0.0.0/24.
Posso utilizar o BGP com as minhas ligações entre redes virtuais?
Sim, pode utilizar o BGP para ligações em vários locais e ligações entre redes virtuais.
Posso combinar ligações BGP com ligações não BGP para os meus gateways de VPN do Azure?
Sim, pode misturar ligações BGP e não BGP para o mesmo gateway de VPN do Azure.
O Azure Gateway de VPN suporta o encaminhamento de trânsito BGP?
Sim, o encaminhamento de trânsito BGP é suportado, com a exceção de que os gateways de VPN do Azure não publicitam rotas predefinidas para outros elementos do BGP. Para ativar o encaminhamento de trânsito em vários gateways de VPN do Azure, tem de ativar o BGP em todas as ligações intermédias entre redes virtuais. Para obter mais informações, consulte Acerca do BGP.
Posso ter mais do que um túnel entre um gateway de VPN do Azure e a minha rede no local?
Sim, pode estabelecer mais do que um túnel de VPN site a site (S2S) entre um gateway de VPN do Azure e a sua rede no local. Tenha em atenção que todos estes túneis são contados em relação ao número total de túneis para os gateways de VPN do Azure e tem de ativar o BGP em ambos os túneis.
Por exemplo, se tiver dois túneis redundantes entre o gateway de VPN do Azure e uma das suas redes no local, estes consomem dois túneis fora da quota total do gateway de VPN do Azure.
Posso ter vários túneis entre duas redes virtuais do Azure com BGP?
Sim, mas pelo menos um dos gateways de rede virtual tem de estar na configuração de ativo-ativo.
Posso utilizar o BGP para VPN S2S numa configuração de coexistência de VPN do Azure ExpressRoute e S2S?
Sim.
O que devo adicionar ao meu dispositivo VPN no local para a sessão de peering de BGP?
Adicione uma rota de anfitrião do endereço IP do elemento da rede BGP do Azure no seu dispositivo VPN. Esta rota aponta para o túnel VPN S2S IPsec. Por exemplo, se o IP de peering de VPN do Azure for 10.12.255.30, adicionará uma rota de anfitrião para 10.12.255.30 com uma interface de próximo salto da interface de túnel IPsec correspondente no seu dispositivo VPN.
O gateway de rede virtual suporta o BFD para ligações S2S com BGP?
N.º A Deteção de Reencaminhamento Bidirecional (BFD) é um protocolo que pode utilizar com o BGP para detetar o tempo de inatividade dos vizinhos mais rapidamente do que pode através de "keepalives" BGP padrão. O BFD utiliza temporizadores de subsegundos concebidos para funcionar em ambientes LAN, mas não através da Internet pública ou de ligações de Rede Alargada.
Para ligações através da Internet pública, ter determinados pacotes atrasados ou mesmo removidos não é invulgar, pelo que introduzir estes temporizadores agressivos pode aumentar a instabilidade. Esta instabilidade pode fazer com que as rotas sejam atenuadas pelo BGP. Como alternativa, pode configurar o seu dispositivo no local com temporizadores inferiores ao intervalo "keepalive" predefinido de 60 segundos e o temporizador de retenção de 180 segundos. Isto resulta num tempo de convergência mais rápido.
Os gateways de VPN do Azure iniciam sessões ou ligações de peering BGP?
O gateway iniciará sessões de peering BGP para os endereços IP do elemento de rede BGP no local especificados nos recursos do gateway de rede local com os endereços IP privados nos gateways de VPN. Isto independentemente de os endereços IP BGP no local estarem no intervalo APIPA ou nos endereços IP privados normais. Se os seus dispositivos VPN no local utilizarem endereços APIPA como IP BGP, terá de configurar o altifalante BGP para iniciar as ligações.
Passos seguintes
Veja Como configurar o BGP para o Azure Gateway de VPN para obter os passos para configurar o BGP para as suas ligações entre locais e VNet a VNet.