Konfigurera expressroute- och plats-till-plats-samexisterande anslutningar med hjälp av Azure Portal
Den här artikeln hjälper dig att konfigurera ExpressRoute och VPN-anslutningar för plats till plats som samexisterar. Att kunna konfigurera VPN för plats till plats och ExpressRoute har flera fördelar. Du kan konfigurera plats-till-plats-VPN som en säker redundanssökväg för ExpressRoute, eller använda plats-till-plats-VPN för att ansluta till platser som inte är anslutna via ExpressRoute. Vi beskriver stegen för att konfigurera båda scenarierna i den här artikeln. Den här artikeln gäller distributionsmodellen i Resource Manager.
Att konfigurera VPN för plats till plats och samexisterande ExpressRoute-anslutningar har flera fördelar:
- Du kan konfigurera en VPN för plats till plats som en säker redundanssökväg för ExpressRoute.
- Du kan också använda plats-till-plats-VPN för att ansluta till webbplatser som inte är anslutna via ExpressRoute.
Stegen för att konfigurera båda scenarierna beskrivs i den här artikeln. Du kan konfigurera någon av gatewayerna först. Normalt uppstår ingen stilleståndstid när du lägger till en ny gateway eller gatewayanslutning.
Kommentar
- Om du vill skapa en plats-till-plats-VPN via en ExpressRoute-anslutning kan du läsa Plats-till-plats via Microsoft-peering.
- Om du redan har distribuerat en ExpressRoute för ExpressRoute-VPN Gateway-samexistens behöver du inte skapa ett virtuellt nätverk och gateway-undernät eftersom detta är förutsättningar för att skapa en ExpressRoute.
- För Encrypted Express Route Gateway utförs MSS-klämning via Azure VPN Gateway för att klämma åt TCP-paketstorleken vid 1250 byte
Gränser och begränsningar
- Enbart routebaserad VPN-gateway stöds. Du måste använda en routningsbaserad VPN-gateway. Du kan också använda en routningsbaserad VPN-gateway med en VPN-anslutning som konfigurerats för "principbaserade trafikväljare" enligt beskrivningen i Anslut till flera principbaserade VPN-enheter.
- Samexistenskonfigurationer för ExpressRoute-VPN Gateway stöds inte på basic-SKU:n.
- Både ExpressRoute- och VPN-gatewayerna måste kunna kommunicera med varandra via BGP för att fungera korrekt. Om du använder en UDR i gatewayundernätet kontrollerar du att den inte innehåller någon väg för själva gatewayundernätsintervallet eftersom detta påverkar BGP-trafiken.
- Om du vill använda transitroutning mellan ExpressRoute och VPN måste ASN för Azure VPN Gateway vara inställt på 65515. Azure VPN Gateway stöder BGP-routningsprotokollet. För att ExpressRoute och Azure VPN ska fungera tillsammans måste du ha det autonoma systemnumret för din Azure VPN-gateway som standardvärde, 65515. Om du tidigare har valt ett annat ASN än 65515 och ändrar inställningen till 65515 måste du återställa VPN-gatewayen för att inställningen ska börja gälla.
- Gateway-undernätet måste vara /27 eller ett kortare prefix, till exempel /26, /25, eller så får du ett felmeddelande när du lägger till den virtuella ExpressRoute-nätverksgatewayen.
Konfigurationsdesign
Konfigurera en VPN för plats till plats som en redundanssökväg för ExpressRoute
Du kan konfigurera en VPN-anslutning för plats till plats som en säkerhetskopia av ExpressRoute. Den här anslutningen gäller endast virtuella nätverk som är länkade till Azures privata peering-sökväg. Det finns ingen VPN-baserad redundanslösning för tjänster som är tillgängliga via Azure Microsoft-peering. ExpressRoute-kretsen är alltid den primära länken. Data flödar endast via plats-till-plats-VPN-sökvägen om ExpressRoute-kretsen misslyckas. För att undvika asymmetrisk routning bör din lokala nätverkskonfiguration också prioritera ExpressRoute-kretsen framför VPN för plats till plats. Du kan prioritera ExpressRoute-sökvägen genom att ange högre lokala inställningar för vägarna som tas emot för ExpressRoute.
Kommentar
Om du har Aktiverat ExpressRoute Microsoft-peering kan du ta emot den offentliga IP-adressen för din Azure VPN-gateway på ExpressRoute-anslutningen. Om du vill konfigurera vpn-anslutningen från plats till plats som en säkerhetskopia måste du konfigurera det lokala nätverket så att VPN-anslutningen dirigeras till Internet.
Kommentar
Medan ExpressRoute-kretsen är prioriterad över plats-till-plats-VPN när bägge vägarna är samma, kommer Azure att använda den längsta prefixmatchning för att välja väg till paketets mål.
Konfigurera en VPN för plats till plats för att ansluta till platser som inte är anslutna via ExpressRoute
Du kan konfigurera nätverket där vissa platser ansluter direkt till Azure via VPN för plats till plats och vissa platser ansluter via ExpressRoute.
Välj vilka steg du ska använda
Det finns två uppsättningar procedurer för att välja bland. Vilken konfigurationsprocedur du väljer beror på om du har ett befintligt virtuellt nätverk som du vill ansluta till, eller om du vill skapa ett nytt virtuellt nätverk.
Jag har inte något VNet och behöver skapa ett.
Om du inte redan har ett virtuellt nätverk kan den här proceduren hjälpa dig att skapa ett nytt virtuellt nätverk med hjälp av distributionsmodellen i Resource Manager samt skapa nya ExpressRoute- och plats-till-plats-VPN-anslutningar. Om du vill konfigurera ett virtuellt nätverk följer du stegen i Så här skapar du ett nytt virtuellt nätverk och samexisterande anslutningar.
Jag har redan en distributionsmodell för Resource Manager i VNet.
Du kanske redan har ett virtuellt nätverk på plats med en befintlig VPN-anslutning för plats till plats eller en ExpressRoute-anslutning. I det här scenariot måste du ta bort den befintliga gatewayen om gatewayprefixet är /28 eller längre (/29, /30 osv.). Avsnittet Så här konfigurerar du samexisterande anslutningar för ett befintligt VNet visar hur du tar bort gatewayen och sedan skapar nya ExpressRoute- och plats-till-plats-VPN-anslutningar.
Om du tar bort och återskapar din gateway har du stilleståndstid för dina anslutningar mellan platser. Men dina virtuella datorer och tjänster kan kommunicera ut via lastbalanseraren medan du konfigurerar din gateway om de är konfigurerade för att göra det.
Så här skapar du ett nytt virtuellt nätverk och samexisterande anslutningar
Den här proceduren vägleder dig genom att skapa ett VNet- och plats-till-plats- och ExpressRoute-anslutningar som samexisterar.
Logga in på Azure-portalen.
Längst upp till vänster på skärmen väljer du + Skapa en resurs och söker efter Virtuellt nätverk.
Välj Skapa för att börja konfigurera det virtuella nätverket.
På fliken Grundläggande väljer eller skapar du en ny resursgrupp för att lagra det virtuella nätverket. Ange sedan namnet och välj den region som det virtuella nätverket ska distribueras i. Välj Nästa: IP-adresser > för att konfigurera adressutrymmet och undernäten.
På fliken IP-adresser konfigurerar du det virtuella nätverkets adressutrymme. Definiera sedan de undernät som du vill skapa, inklusive gatewayundernätet. Välj Granska + skapa och sedan Skapa* för att distribuera det virtuella nätverket. Mer information om hur du skapar ett virtuellt nätverk finns i Skapa ett virtuellt nätverk. Mer information om hur du skapar ett undernät finns i Skapa ett undernät.
Viktigt!
Gateway-undernätet måste vara /27 eller ett kortare prefix (till exempel /26 eller /25).
Skapa plats-till-plats-VPN-gatewayen och den lokala nätverksgatewayen. Mer information om konfigurationen av VPN-gatewayen finns i Konfigurera ett VNet med en plats-till-plats-anslutning. GatewaySku stöds bara för följande VPN-gatewayer: VpnGw1, VpnGw2, VpnGw3, Standard och HighPerformance. Samexisterande konfigurationer för ExpressRoute-VPN Gateway stöds inte på basic-SKU:n. VpnType måste vara RouteBased.
Konfigurera din lokala VPN-enhet till att ansluta till en ny Azure VPN-gateway. Mer information om VPN-enhetskonfiguration finns i VPN-enhetskonfiguration.
Om du ansluter till en befintlig ExpressRoute-krets hoppar du över steg 8 och 9 och går vidare till steg 10. Konfigurera ExpressRoute-kretsar. Mer information om hur du konfigurerar ExpressRoute-krets finns i skapa en ExpressRoute-krets.
Konfigurera privat Azure-peering via ExpressRoute-kretsen. Mer information om hur du konfigurerar privat Azure-peering via ExpressRoute-kretsen finns i konfigurera peering
Välj + Skapa en resurs och sök efter virtuell nätverksgateway. Välj sedan Skapa.
Välj gatewaytypen ExpressRoute , lämplig SKU och det virtuella nätverk som gatewayen ska distribueras till.
Länka ExpressRoute-gatewayen till ExpressRoute-kretsen. När det här steget har slutförts har anslutningen mellan ditt lokala nätverk och Azure, via ExpressRoute, upprättats. Mer information om länken finns i Länka VNets till ExpressRoute.
Så här konfigurerar du samexisterande anslutningar för ett befintligt VNet
Om du har ett virtuellt nätverk som bara har en virtuell nätverksgateway, till exempel en VPN-gateway för plats-till-plats och du vill lägga till en annan gateway av en annan typ, till exempel ExpressRoute-gateway, kontrollerar du gatewayens undernätsstorlek. Om gatewayundernätet är /27 eller större kan du hoppa över följande steg och följa stegen i föregående avsnitt för att lägga till antingen en PLATS-till-plats-VPN-gateway eller en ExpressRoute-gateway. Om gateway-undernätet är /28 eller /29, måste du först ta bort den virtuella nätverksgatewayen och öka storleken för gateway-undernätet. Stegen i det här avsnittet visar hur du gör.
Ta bort den befintliga ExpressRoute- eller plats-till-plats-VPN-gatewayen.
Ta bort och återskapa GatewaySubnet för att ha prefixet /27 eller kortare.
Konfigurera ett virtuellt nätverk med en plats-till-plats-anslutning och konfigurera sedan ExpressRoute-gatewayen.
När ExpressRoute-gatewayen har distribuerats kan du länka det virtuella nätverket till ExpressRoute-kretsen.
Så här lägger du till punkt-till-plats-konfiguration till VPN-gateway
Du kan lägga till en punkt-till-plats-konfiguration i din samexisterande uppsättning genom att följa anvisningarna i Konfigurera punkt-till-plats-VPN-anslutning med Azure-certifikatautentisering
Aktivera överföringsroutning mellan ExpressRoute och Azure VPN
Om du vill aktivera anslutningen mellan ett av dina lokala nätverk som är anslutet till ExpressRoute och ett annat av ditt lokala nätverk som är anslutet till en plats-till-plats-VPN-anslutning måste du konfigurera Azure Route Server.
Nästa steg
Mer information om ExpressRoute finns i Vanliga frågor och svar om ExpressRoute.