Настройка параллельных подключений "сеть — сеть" и ExpressRoute с помощью портала Azure
Сведения в этой статье помогут настроить параллельные соединения ExpressRoute и соединения VPN типа "сеть — сеть". Возможность настройки VPN типа "сеть-сеть" и ExpressRoute дает целый ряд преимуществ. Вы можете настроить VPN-подключение "сеть — сеть" как защищенный путь отработки отказа для ExressRoute или использовать эту сеть VPN для подключения к сайтам, не подключенным через ExpressRoute. В этой статье мы рассмотрим порядок действия в каждом из этих вариантов. Эта статья посвящена модели развертывания Resource Manager.
Настройка параллельных VPN-подключений типа "сеть — сеть" и ExpressRoute дает ряд преимуществ.
- VPN типа "сеть — сеть" можно настроить как безопасный путь отработки отказа для ExpressRoute.
- Кроме того, VPN типа "сеть — сеть" можно использовать для подключения к сайтам, которые не подключены через ExpressRoute.
В этой статье описан порядок действий для каждого из этих вариантов. Вы можете начать настройку c любого шлюза. Как правило, при добавлении нового шлюза или подключения шлюза не возникает простоя.
Примечание.
- Если вы хотите создать VPN типа "сеть — сеть" через подключение ExpressRoute, см. раздел Соединение типа "сеть — сеть" через пиринг Майкрософт.
- Для сосуществования ExpressRoute-VPN-шлюз, если вы уже развернули ExpressRoute, вам не нужно создавать подсеть виртуальной сети и шлюза, так как это необходимые условия для создания ExpressRoute.
- Для зашифрованного шлюза Express Route с помощью msS clamping выполняется VPN-шлюз Azure, чтобы закрепления размера TCP-пакета в 1250 байтах
Квоты и ограничения
- Поддерживается только VPN-шлюз на основе маршрутов. Необходимо использовать VPN-шлюз на основе маршрутов. Также вы можете использовать VPN-шлюз на основе маршрутов с VPN-подключением, настроенным для селекторов трафика на основе политик, как описано в статье Подключение к нескольким VPN-устройствам на основе политик.
- Одновременное использование конфигураций VPN-шлюзов и ExpressRoute не поддерживается в SKU "Базовый".
- Как ExpressRoute, так и VPN-шлюзы должны иметь возможность взаимодействовать друг с другом через BGP для правильной работы. Если вы используете UDR в подсети шлюза, убедитесь, что он не включает маршрут для самого диапазона подсети шлюза, так как это будет препятствовать трафику BGP.
- Если вы хотите использовать транзитную маршрутизацию между ExpressRoute и VPN, для ASN VPN-шлюза Azure укажите 65515. VPN-шлюз Azure поддерживает протокол маршрутизации BGP. Для совместной работы ExpressRoute и Azure VPN необходимо, чтобы номер автономной системы (ASN) VPN-шлюза Azure был равен значению по умолчанию 65515. Если ранее был установлен другой ASN, но затем вы изменили параметр на 65515, сбросьте VPN-шлюз, чтобы этот параметр вступил в силу.
- Подсеть шлюза должна быть /27 или более коротким префиксом, например /26, /25 или при добавлении шлюза виртуальной сети ExpressRoute.
Схемы конфигурации
Настройка VPN типа "сеть-сеть" как пути отработки отказа для ExpressRoute
VPN-подключение типа "сеть-сеть" можно настроить как службу архивации для ExpressRoute. Это подключение применяется только к виртуальным сетям, связанным с путем частного пиринга Azure. Для служб, доступ к которым осуществляется через пиринг Microsoft Azure, решения для отработки отказа на основе VPN не существует. Канал ExpressRoute всегда является основной ссылкой. Данные передаются по пути VPN "сеть — сеть", только если канал ExpressRoute не справляется с этой задачей. Во избежание ассиметричной маршрутизации конфигурация локальной сети должна предпочитать канал ExpressRoute, а не VPN типа "сеть — сеть". Чтобы настроить предпочтение для канала ExpressRoute, задайте для маршрутов, полученных через ExpressRoute, более высокий локальный приоритет.
Примечание.
Если пиринг Майкрософт для ExpressRoute включен, вы можете получить общедоступный IP-адрес VPN-шлюза Azure в подключении ExpressRoute. Чтобы задать VPN-подключение типа "сеть — сеть" в качестве резервного, настройте локальную сеть таким образом, чтобы VPN-подключение направлялось в Интернет.
Примечание.
Хотя канал ExpressRoute лучше использовать для VPN типа "сеть — сеть", когда оба маршрута одинаковы, Azure будет выбирать маршрут для назначения пакета по совпадению самого длинного префикса.
Настройка VPN типа "сеть-сеть" для подключения к сайтам, не подключенным через ExpressRoute
Сети можно настроить таким образом, чтобы одни из них подключались непосредственно к Azure по VPN типа "сеть-сеть", а другие — через ExpressRoute.
Выбор действий для использования
Существует два типа процедур. Выбор процедуры настройки зависит от того, существует ли уже виртуальная сеть, к которой необходимо подключиться, или требуется создать ее.
У меня нет виртуальной сети, и мне нужно ее создать.
Если у вас еще нет виртуальной сети, выполните эти шаги, чтобы создать ее с помощью модели развертывания Resource Manager, а также создать подключение ExpressRoute и VPN типа "сеть — сеть". Чтобы настроить виртуальную сеть, выполните шаги, описанные в разделе Создание виртуальной сети и параллельных подключений.
У меня уже есть виртуальная сеть с моделью развертывания Resource Manager.
Возможно, у вас уже имеется виртуальная сеть, а также подключения к VPN типа "сеть-сеть" или к ExpressRoute. В этом случае, если размер префикса подсети шлюза составляет не меньше /28 (например, /29, /30 и т. д.), существующий шлюз нужно удалить. В разделе Настройка параллельных подключений для существующей виртуальной сети представлены пошаговые инструкции по удалению шлюза и созданию подключений ExpressRoute и VPN типа "сеть — сеть".
При удалении и повторном создании шлюза время простоя для локальных подключений. Однако виртуальные машины и службы могут взаимодействовать через подсистему балансировки нагрузки при настройке шлюза, если они настроены для этого.
Создание новой виртуальной сети и параллельных подключений
В этой процедуре описывается создание виртуальных сетей и подключений типа "сеть — сеть" и ExpressRoute, которые сосуществуют.
Войдите на портал Azure.
В левой верхней части экрана выберите +Создать ресурс и найдите элемент Виртуальная сеть.
Выберите Создать, чтобы начать настройку виртуальной сети.
На вкладке Основные выберите или создайте группу ресурсов для хранения виртуальной сети. Затем введите имя и выберите регион для развертывания виртуальной сети. Нажмите Далее: IP-адреса >, чтобы настроить адресное пространство и подсети.
На вкладке IP-адреса настройте диапазон адресов виртуальной сети. Затем определите подсети, которые необходимо создать, включая подсеть шлюза. Выберите Проверить и создать, а затем Создать*, чтобы развернуть виртуальную сеть. См. дополнительные сведения в статье о создании виртуальной сети. См. дополнительные сведения в статье о создании подсети.
Внимание
Подсеть шлюза должна иметь префикс /27 или более короткий префикс (например, /26 или /25).
Создайте VPN-шлюз типа "сеть — сеть" и шлюз локальной сети. Дополнительные сведения о настройке VPN-шлюза см. в статье Создание виртуальной сети с подключением типа "сеть — сеть" с помощью PowerShell. GatewaySku поддерживается только в VPN-шлюзах VpnGw1, VpnGw2, VpnGw3, Standard и HighPerformance. Одновременное использование конфигураций VPN-шлюзов и ExpressRoute не поддерживается в SKU "Базовый". Параметр VpnType должен иметь значение RouteBased.
Настройте локальное VPN-устройство для подключения к новому VPN-шлюзу Azure. Дополнительные сведения о настройке VPN-устройства см. в статье О VPN-устройствах для подключений VPN-шлюзов типа "сеть — сеть".
Если вы подключаетесь к существующему каналу ExpressRoute, пропустите шаги 8 и 9 и перейдите к шагу 10. Настройте каналы ExpressRoute. Дополнительные сведения о настройке каналов ExpressRoute см. в статье о создании канала ExpressRoute.
Настройте частный пиринг Azure через канал ExpressRoute. Дополнительные сведения о настройке частного пиринга Azure через канал ExpressRoute см. в этой статье
Выберите +Создать ресурс и выполните поиск по фразе шлюз виртуальной сети. Затем выберите Создать.
Выберите тип шлюза ExpressRoute, соответствующий SKU и виртуальную сеть для развертывания шлюза.
Свяжите шлюз ExpressRoute с каналом ExpressRoute. После выполнения этого действия подключение локальной сети к Azure через ExpressRoute будет установлено. Дополнительные сведения об операции связывания см. в статье Связывание виртуальной сети с каналом ExpressRoute.
Настройка параллельных подключений для существующей виртуальной сети
Если у вас есть виртуальная сеть, которая имеет только один шлюз виртуальной сети, например VPN-шлюз типа "сеть — сеть", и вы хотите добавить другой шлюз другого типа, например, шлюз ExpressRoute, проверьте размер подсети шлюза. Если подсеть шлюза имеет значение /27 или больше, можно пропустить следующие действия и выполнить действия, описанные в предыдущем разделе, чтобы добавить VPN-шлюз типа "сеть — сеть" или шлюз ExpressRoute. Если размер подсети шлюза — /28 или /29, необходимо сначала удалить шлюз виртуальной сети и увеличить размер подсети шлюза. В этом разделе показано, как это сделать.
Удалите существующий VPN-шлюз типа "сеть — сеть" или шлюз ExpressRoute.
Удалите и повторно создайте GatewaySubnet, чтобы длина префикса не превышала /27.
Настройте виртуальную сеть с подключением типа "сеть — сеть", а затем настройте шлюз ExpressRoute.
После развертывания шлюза ExpressRoute можно связать виртуальную сеть с каналом ExpressRoute.
Добавление конфигурации "точка — сеть" к VPN-шлюзу
Вы можете добавить конфигурацию "точка — сеть" в сосуществующую настройку, выполнив инструкцию по настройке VPN-подключения "точка — сеть" с помощью проверки подлинности сертификата Azure.
Включение транзитной маршрутизации между ExpressRoute и VPN Azure
Если вы хотите включить подключение между одной из локальных сетей, подключенных к ExpressRoute и другой локальной сети, подключенной к VPN-подключению типа "сеть — сеть", необходимо настроить сервер маршрутизации Azure.
Дальнейшие действия
Дополнительные сведения об ExpressRoute см. в статье Вопросы и ответы по ExpressRoute.