Настройка BGP для Azure VPN-шлюз

  • Статья

Эта статья поможет вам включить vpn-подключения типа "сеть — сеть" (S2S) и подключения типа "виртуальная сеть — виртуальная сеть" с помощью портал Azure. Эту конфигурацию также можно создать с помощью Azure CLI или PowerShell .

Стандартный протокол маршрутизации BGP обычно используется в Интернете для обмена данными о маршрутизации и доступности между двумя или несколькими сетями. BGP позволяет VPN-шлюзам и локальным VPN-устройствам, называемым одноранговым узлам BGP или соседям, обмениваться "маршрутами", которые будут информировать оба шлюза о доступности и доступности этих префиксов для прохождения через задействованные шлюзы или маршрутизаторы. Также BGP позволяет передавать трафик транзитом через несколько сетей. Для этого шлюз BGP распространяет на все известные ему узлы BGP информацию о маршрутах, полученную от остальных узлов BGP.

Дополнительные сведения о преимуществах BGP и технические требования и рекомендации по использованию BGP см. в статье О BGP и Azure VPN-шлюз.

Начало работы

Все части этой статьи помогут вам создать базовые блоки для использования BGP в вашей сети. Если вы выполните все три этапа (настройка BGP на шлюзе, подключение S2S и подключение "виртуальная сеть — виртуальная сеть") создайте топологию, как показано на схеме 1. Вы можете объединять блоки для создания более сложных, многоскачковых и транзитных сетей, в соответствии со своими задачами.

Схема 1

Схема, показывающая сетевую архитектуру и параметры.

Для контекста, ссылаясь на схему 1, если BGP будет отключен между TestVNet2 и TestVNet1, TestVNet2 не узнает маршруты для локальной сети Site5 и, следовательно, не сможет взаимодействовать с сайтом 5. После включения BGP все три сети смогут обмениваться данными через подключения S2S IPsec и "виртуальная сеть — виртуальная сеть".

Предварительные требования

Убедитесь в том, что у вас уже есть подписка Azure. Если у вас нет подписки Azure, вы можете активировать преимущества для подписчиков MSDN или зарегистрировать бесплатную учетную запись.

Включение BGP для VPN-шлюза

Выполните действия в этом разделе, прежде чем выполнять какие-либо шаги в остальных двух разделах конфигурации. Следующие шаги настройки настраивают параметры BGP VPN-шлюза, как показано на схеме 2.

Схема 2

Схема, показывающая параметры шлюза виртуальной сети.

1. Создание TestVNet1

На этом шаге вы создадите и настроите TestVNet1. Выполните действия, описанные в руководстве по созданию шлюза, чтобы создать и настроить виртуальную сеть Azure и VPN-шлюз.

Примеры значений виртуальной сети:

  • Группа ресурсов: TestRG1
  • Виртуальная сеть: TestVNet1
  • Расположение или регион: EastUS
  • Адресное пространство: 10.11.0.0/16, 10.12.0.0/16
  • Подсети:
    • FrontEnd: 10.11.0.0/24
    • BackEnd: 10.12.0.0/24
    • GatewaySubnet: 10.12.255.0/27

2. Создание шлюза TestVNet1 с помощью BGP

На этом шаге вы создадите VPN-шлюз с соответствующими параметрами BGP.

  1. Выполните действия, описанные в разделе Создание VPN-шлюза и управление им , чтобы создать шлюз со следующими параметрами:

    • Сведения об экземпляре:

      • Имя: Vnet1GW.
      • Регион: EastUS
      • Тип шлюза: VPN.
      • Тип VPN: на основе маршрутов.
      • SKU: VpnGW1 или выше
      • Поколение: выберите поколение.
      • Виртуальная сеть: TestVNet1

    • Общедоступный IP-адрес

      • Тип общедоступного IP-адреса: "Базовый" или "Стандартный"
      • Общедоступный IP-адрес. Выберите элемент "Создать новый".
      • Имя общедоступного IP-адреса: VNet1GWIP
      • Включить "активный — активный": отключено
      • Настроить BGP: включено.

  2. В выделенном разделе Настройка BGP на странице настройте следующие параметры.

    • Выберите Настроить BGP - Разрешено, чтобы отобразить раздел конфигурации BGP.

    • Заполните ASN (номер автономной системы).

    • Поле IP-адрес BGP APIPA Azure является необязательным. Если локальные VPN-устройства используют APIPA-адрес для BGP, необходимо выбрать адрес из диапазона адресов APIPA, зарезервированных в Azure для VPN, который находится в диапазоне от 169.254.21.0 до 169.254.22.255.

    • Если вы создаете VPN-шлюз "активный — активный", в разделе BGP будет показан дополнительный второй пользовательский IP-адрес BGP ApiPA Azure. Каждый выбранный адрес должен быть уникальным и в пределах допустимого диапазона APIPA (от 169.254.21.0 до 169.254.22.255). Шлюзы "Активный — активный" также поддерживают несколько адресов для IP-адреса APIPA протокола BGP Azure и второго пользовательского IP-адреса APIPA протокола BGP Azure. Дополнительные поля для ввода будут отображаться только после добавления первого IP-адреса APIPA протокола BGP.

      Важно!

      • По умолчанию Azure автоматически назначает частный IP-адрес из диапазона префиксов GatewaySubnet в качестве IP-адреса Azure BGP на VPN-шлюзе. Настраиваемый IP-адрес BGP для Azure требуется в том случае, если на локальных VPN-устройствах используется адрес APIPA (169.254.0.1–169.254.255.254) в качестве IP-адреса BGP. VPN-шлюз выберет пользовательский адрес APIPA, если соответствующий ресурс шлюза локальной сети (локальная сеть) имеет адрес APIPA в качестве ОДНОрангового IP-адреса BGP. Если шлюз локальной сети использует обычный IP-адрес (не APIPA), VPN-шлюз будет отменить изменения к частному IP-адресу из диапазона GatewaySubnet.

      • Адреса BGP APIPA не должны перекрываться между локальными VPN-устройствами и всеми подключенными VPN-шлюзами.

      • Если адреса APIPA используются на VPN-шлюзах, шлюзы не инициируют сеансы пиринга BGP с исходными IP-адресами APIPA. Локальное VPN-устройство должно являться инициатором пиринговых подключений BGP.

  3. Выберите Просмотр и создание, чтобы выполнить проверку. Затем щелкните Создать, чтобы развернуть шлюз виртуальной частной сети. Создание шлюза часто занимает 45 минут и более, в зависимости от выбранного SKU шлюза. Состояние развертывания можно отслеживать на странице обзора шлюза.

3. Получение IP-адресов однорангового узла Azure BGP

После создания шлюза можно получить IP-адреса однорангового узла BGP на VPN-шлюзе. Эти адреса необходимы для настройки локальных VPN-устройств для установки сеансов BGP с VPN-шлюзом.

На странице Конфигурация шлюза виртуальной сети можно просмотреть сведения о конфигурации BGP на VPN-шлюзе: ASN, общедоступный IP-адрес и соответствующие IP-адреса одноранговых узлов BGP на стороне Azure (по умолчанию и APIPA). Вы также можете внести следующие изменения в конфигурацию:

  • При необходимости обновите IP-адрес ASN или APIPA BGP.
  • Если у вас есть VPN-шлюз "активный — активный", на этой странице будут показаны общедоступные IP-адреса по умолчанию и IP-адреса BGP APIPA второго экземпляра VPN-шлюза.

Чтобы получить IP-адрес однорангового узла Azure BGP, выполните следующие действия.

  1. Перейдите к ресурсу шлюза виртуальной сети и выберите страницу Конфигурация , чтобы просмотреть сведения о конфигурации BGP.
  2. Запишите IP-адрес однорангового узла BGP.

Настройка BGP в кросс-локальных подключениях S2S

Инструкции в этом разделе относятся к конфигурациям межсайтового типа "сеть — сеть".

Чтобы установить соединение между локальными сетями, нужно создать локальный сетевой шлюз, который будет представлять локальное VPN-устройство, а также подключение между VPN-шлюзом и шлюзом локальной сети, как описано в разделе Создание подключения "сайт-сайт". В следующих разделах содержатся дополнительные свойства, необходимые для указания параметров конфигурации BGP, как показано на схеме 3.

Схема 3

Схема, показывающая конфигурацию IPsec.

Прежде чем продолжить, убедитесь, что вы включили BGP для VPN-шлюза.

1. Создание шлюза локальной сети

Настройте шлюз локальной сети с параметрами BGP.

  • Сведения и инструкции см. в разделе шлюза локальной сети статьи о подключении типа "сеть — сеть".
  • Если у вас уже есть шлюз локальной сети, его можно изменить. Чтобы изменить шлюз локальной сети, перейдите на страницу конфигурации ресурса шлюза локальной сети и внесите необходимые изменения.

  1. При создании шлюза локальной сети в этом упражнении используйте следующие значения:

    • Имя: Site5
    • IP-адрес: IP-адрес конечной точки шлюза, к которой требуется подключиться. Пример: 128.9.9.9
    • Адресные пространства. Если BGP включен, адресное пространство не требуется.

  2. Чтобы настроить параметры BGP, перейдите на страницу Дополнительно . Используйте следующие примеры значений (показанные на схеме 3). Измените все значения, необходимые для соответствия вашей среде.

    • Настройка параметров BGP: Да
    • Номер автономной системы (ASN): 65050
    • IP-адрес однорангового узла BGP: адрес локального VPN-устройства. Пример: 10.51.255.254

  3. Нажмите кнопку Просмотр и создание , чтобы создать шлюз локальной сети.

Дополнительные рекомендации по настройке

  • Номер ASN и IP-адрес однорангового узла BGP должны соответствовать конфигурации локального VPN-маршрутизатора.
  • Поле Адресное пространство можно оставить пустым, только если для подключения к этой сети используется протокол BGP. VPN-шлюз Azure добавит внутренний маршрут IP-адреса однорангового узла BGP в соответствующий туннель IPsec. Если вы не используете BGP между VPN-шлюзом и конкретной сетью, необходимо предоставить список допустимых префиксов адресов для адресного пространства.
  • При необходимости можно использовать IP-адрес APIPA (169.254. x. x) в качестве локального однорангового узла BGP. Но вам также потребуется указать IP-адрес APIPA, как описано ранее в этой статье для VPN-шлюза, в противном случае сеанс BGP не сможет установить для этого подключения.
  • Сведения о конфигурации BGP можно ввести во время создания шлюза локальной сети. Можно также добавить или изменить конфигурацию BGP на странице Конфигурация ресурса шлюза локальной сети.

2. Настройка подключения S2S с включенным протоколом BGP

На этом шаге вы создадите новое подключение с включенным BGP. Если у вас уже есть подключение и вы хотите включить для него BGP, его можно обновить.

Создание подключения

  1. Чтобы создать новое подключение, перейдите на страницу подключения к шлюзу виртуальной сети.
  2. Нажмите кнопку +Добавить , чтобы открыть страницу Добавление подключения.
  3. Заполните необходимые значения.
  4. Выберите Включить BGP , чтобы включить BGP для этого подключения.
  5. Нажмите ОК, чтобы сохранить изменения.

Удаляет существующее подключение.

  1. Перейдите на страницу подключения шлюза виртуальной сети.
  2. Выберите подключение, которое нужно изменить.
  3. Перейдите на страницу Конфигурация для подключения.
  4. Измените параметр BGP на Включено.
  5. Сохраните внесенные изменения.

Конфигурация локального устройства

В следующем примере перечислены параметры, которые следует ввести в разделе конфигурации BGP на локальном VPN-устройстве для нашего упражнения.

- Site5 ASN            : 65050
- Site5 BGP IP         : 10.51.255.254
- Prefixes to announce : (for example) 10.51.0.0/16
- Azure VNet ASN       : 65010
- Azure VNet BGP IP    : 10.12.255.30
- Static route         : Add a route for 10.12.255.30/32, with nexthop being the VPN tunnel interface on your device
- eBGP Multihop        : Ensure the "multihop" option for eBGP is enabled on your device if needed

Включение BGP для подключений "виртуальная сеть — виртуальная сеть"

Действия, описанные в этом разделе, относятся к подключениям между виртуальными сетями.

Чтобы включить или отключить протокол BGP для подключения между виртуальными сетями, выполните те же действия, что и действия, описанные в предыдущем разделе. Можно включить BGP при создании подключения или обновлении конфигурации существующего подключения "виртуальная сеть — виртуальная сеть".

Примечание

Подключение "виртуальная сеть — виртуальная сеть" без BGP ограничит обмен данными только двумя подключенными виртуальными сетями. Включите BGP, чтобы разрешить транзитную маршрутизацию другим подключениям "сеть — сеть" или "виртуальная сеть — виртуальная сеть" для этих двух виртуальных сетей.

Дальнейшие действия

Дополнительные сведения о BGP см. в разделе Сведения о BGP и VPN-шлюз.