Share via

كيفية تكوين BGP لبوابة Azure VPN

  • مقالة

تساعدك هذه المقالة على تمكين BGP على اتصالات VPN من موقع إلى موقع (S2S) عبر أماكن العمل واتصالات VNet-to-VNet باستخدام مدخل Microsoft Azure. يمكنك أيضا إنشاء هذا التكوين باستخدام خطوات Azure CLI أو PowerShell .

BGP هو بروتوكول التوجيه القياسي الشائع استخدامه في الإنترنت لتبادل معلومات التوجيه وإمكانية الوصول بين شبكتين أو أكثر. يمكن BGP بوابات VPN وأجهزة VPN المحلية الخاصة بك، والتي تسمى نظراء BGP أو الجيران، من تبادل "المسارات" التي ستعلم كلا البوابتين بتوفر تلك البادئات وإمكانية الوصول إليها للانتقال عبر البوابات أو أجهزة التوجيه المعنية. يمكن ل BGP أيضا تمكين توجيه العبور بين شبكات متعددة من خلال نشر الطرق التي تتعلمها بوابة BGP من نظير BGP واحد إلى جميع أقران BGP الآخرين.

لمزيد من المعلومات حول فوائد BGP وفهم المتطلبات والاعتبارات التقنية لاستخدام BGP، راجع حول BGP وبوابة Azure VPN.

الشروع في العمل

يساعدك كل جزء من هذه المقالة في تكوين لبنة أساسية لتمكين BGP في اتصال الشبكة لديك. إذا أكملت جميع الأجزاء الثلاثة (تكوين BGP على البوابة واتصال S2S واتصال VNet-to-VNet) يمكنك إنشاء المخطط كما هو موضح في الرسم التخطيطي 1. يمكنك دمج الأجزاء معًا لبناء شبكة نقل أكثر تعقيدًا ومتعددة القفزات تلبي احتياجاتك.

الرسم التخطيطي 1

رسم تخطيطي يوضح بنية الشبكة وإعداداتها.

بالنسبة للسياق، بالإشارة إلى الرسم التخطيطي 1، إذا تم تعطيل BGP بين TestVNet2 وTestVNet1، فلن يتعلم TestVNet2 مسارات الشبكة المحلية، Site5، وبالتالي لا يمكنه الاتصال بالموقع 5. بمجرد تمكين BGP، ستتمكن جميع الشبكات الثلاث من الاتصال عبر اتصالات S2S IPsec وVNet-to-VNet.

المتطلبات الأساسية

تحقق من أن لديك اشتراك Azure. إذا لم يكن لديك اشتراك Azure بالفعل، يمكنك تنشيط ميزات المشترك في MSDN خاصتك أو الاشتراك في حساب مجاني.

تمكين BGP لبوابة VPN

هذا القسم مطلوب قبل تنفيذ أي من الخطوات الموجودة في قسمي التكوين الآخرين. تقوم خطوات التكوين التالية بإعداد معلمات BGP لبوابة VPN كما هو موضح في الرسم التخطيطي 2.

الرسم التخطيطي 2

رسم تخطيطي يوضح إعدادات بوابة الشبكة الظاهرية.

1. إنشاء TestVNet1

في هذه الخطوة، تقوم بإنشاء وتكوين TestVNet1. استخدم الخطوات الواردة في البرنامج التعليمي لإنشاء بوابة لإنشاء شبكة Azure الظاهرية وبوابة VPN وتكوينهما.

قيم مثال الشبكة الظاهرية:

  • مجموعة الموارد: TestRG1
  • VNet: TestVNet1
  • الموقع/المنطقة: شرق الولايات المتحدة
  • مساحة العنوان: 10.11.0.0/16، 10.12.0.0/16
  • الشبكة الفرعية:
    • FrontEnd: 10.11.0.0/24
    • BackEnd: 10.12.0.0/24
    • GatewaySubnet: 10.12.255.0/27

2. إنشاء بوابة TestVNet1 باستخدام BGP

في هذه الخطوة، تقوم بإنشاء بوابة VPN مع معلمات BGP المقابلة.

  1. استخدم الخطوات الواردة في إنشاء بوابة VPN وإدارتها لإنشاء بوابة باستخدام المعلمات التالية:

    • تفاصيل المثيل:

      • Name: VNet1GW
      • المنطقة: شرق الولايات المتحدة
      • نوع البوابة: VPN
      • نوع الشبكة الظاهرية الخاصة (VPN): يعتمد على المسار
      • SKU: VpnGW1 أو أعلى
      • الجيل: حدد جيلا
      • الشبكة الافتراضية: TestVNet1

    • عنوان IP العام

      • نوع عنوان IP العام: أساسي أو قياسي
      • عنوان IP العام: أنشئ جديداً
      • اسم عنوان IP العام: VNet1GWIP
      • تمكين نشط-نشط: معطل
      • تكوين BGP: مُمكّن

  2. في قسم تكوين BGP المميز بالصفحة، قم بتهيئة الإعدادات التالية:

    • حدد تكوين BGP - ممكّن لإظهار قسم تكوين BGP.

    • أدخل ASN (رقم النظام الذاتي).

    • حقل عنوان Azure APIPA BGP IP اختياري. إذا كانت أجهزة VPN المحلية الخاصة بك تستخدم عنوان APIPA لـ BGP، فيجب عليك تحديد عنوان من نطاق عناوين Azure المحجوز APIPA لشبكة VPN، والذي يتراوح من 169.254.21.0 إلى 169.254.22.255.

    • إذا كنت تقوم بإنشاء بوابة VPN نشطة-نشطة، فسيعرض قسم BGP عنوان IP مخصصا إضافيا ل Azure APIPA BGP. يجب أن يكون كل عنوان تحدده فريدًا وأن يكون في نطاق APIPA المسموح به ( 169.254.21.0 إلى 169.254.22.255 ). تدعم العبارات النشطة أيضًا عناوين متعددة لكل من عنوان Azure APIPA BGP IP و عنوان Azure APIPA BGP IP المخصص الثاني . ستظهر المدخلات الإضافية فقط بعد إدخال عنوان IP الخاص بـ APIPA BGP الأول.

      هام

      • بشكل افتراضي، يعين Azure عنوان IP خاصا من نطاق بادئة GatewaySubnet تلقائيا كعنوان IP Azure BGP على بوابة VPN. مطلوب عنوان Azure APIPA BGP المخصص عندما تستخدم أجهزة VPN المحلية الخاصة بك عنوان APIPA (169.254.0.1 إلى 169.254.255.254) كعنوان BGP IP. ستختار بوابة VPN عنوان APIPA المخصص إذا كان مورد بوابة الشبكة المحلية المقابل (الشبكة المحلية) يحتوي على عنوان APIPA كعنوان IP نظير BGP. إذا كانت بوابة الشبكة المحلية تستخدم عنوان IP عادي (وليس APIPA)، فستعود بوابة VPN إلى عنوان IP الخاص من نطاق GatewaySubnet.

      • يجب ألا تتداخل عناوين APIPA BGP بين أجهزة VPN المحلية وجميع بوابات VPN المتصلة.

      • عند استخدام عناوين APIPA على بوابات VPN، لا تبدأ البوابات جلسات نظير BGP مع عناوين IP المصدر APIPA. يجب أن يبدأ جهاز VPN الداخلي اتصالات مناظرة BGP.

  3. حدد ⁧⁩مراجعة + إنشاء⁧⁩ لتشغيل التحقق من الصحة. بمجرد مرور التحقق من الصحة، حدد ⁧⁩إنشاء⁧⁩ لنشر بوابة VPN. قد يستغرق إنشاء بوابة 45 دقيقة أو أكثر، اعتماداً على بوابة SKU المحددة. يمكنك مشاهدة حالة التوزيع في صفحة نظرة عامة على بوابتك.

3. الحصول على عناوين IP نظير Azure BGP

بمجرد إنشاء البوابة، يمكنك الحصول على عناوين IP لنظير BGP على بوابة VPN. هذه العناوين مطلوبة لتكوين أجهزة VPN المحلية لإنشاء جلسات BGP باستخدام بوابة VPN.

في صفحة تكوين بوابة الشبكة الظاهرية، يمكنك عرض معلومات تكوين BGP على بوابة VPN الخاصة بك: ASN وعنوان IP العام وعناوين IP النظيرة ل BGP المقابلة على جانب Azure (الافتراضي وواجهة برمجة التطبيقات). يمكنك أيضا إجراء تغييرات التكوين التالية:

  • يمكنك تحديث ASN أو عنوان APIPA BGP IP إذا لزم الأمر.
  • إذا كان لديك بوابة VPN نشطة-نشطة، فستظهر هذه الصفحة عنوان IP العام، وعناوين IP الافتراضية، وAPIPA BGP لمثيل بوابة VPN الثاني.

للحصول على عنوان IP نظير Azure BGP:

  1. انتقل إلى مورد بوابة الشبكة الظاهرية وحدد صفحة التكوين لمشاهدة معلومات تكوين BGP.
  2. دون ملاحظة عن عنوان IP لنظير BGP.

لتكوين BGP على اتصالات S2S متعددة المباني

تنطبق الإرشادات الواردة في هذا القسم على التكوينات من موقع إلى موقع.

لإنشاء اتصال عبر أماكن العمل، تحتاج إلى إنشاء بوابة شبكة محلية لتمثيل جهاز VPN المحلي الخاص بك، و اتصال لتوصيل بوابة VPN ببوابة الشبكة المحلية كما هو موضح في إنشاء اتصال من موقع إلى موقع . تحتوي الأقسام التالية على الخصائص الإضافية المطلوبة لتحديد معلمات تكوين BGP، كما هو موضح في الرسم التخطيطي 3.

رسم تخطيطي 3

رسم تخطيطي يوضح تكوين IPsec.

قبل المتابعة، تأكد من تمكين BGP لبوابة VPN.

1. إنشاء بوابة شبكة محلية

تكوين بوابة شبكة محلية باستخدام إعدادات BGP.

  • للحصول على معلومات وخطوات، راجع قسم بوابة الشبكة المحلية في مقالة الاتصال من موقع إلى موقع.
  • إذا كان لديك بالفعل بوابة شبكة محلية، يمكنك تعديلها. لتعديل بوابة شبكة محلية، انتقل إلى صفحة تكوين مورد بوابة الشبكة المحلية وقم بإجراء أي تغييرات ضرورية.

  1. عند إنشاء بوابة الشبكة المحلية، لهذا التمرين، استخدم القيم التالية:

    • الاسم: Site5
    • عنوان IP: عنوان IP لنقطة نهاية البوابة التي تريد الاتصال بها. مثال: 128.9.9.9
    • مساحات العناوين: إذا تم تمكين BGP، فلن تكون هناك حاجة إلى مساحة عنوان.

  2. لتكوين إعدادات BGP، انتقل إلى الصفحة خيارات متقدمة . استخدم قيم المثال التالية (الموضحة في الرسم التخطيطي 3). تعديل أي قيم ضرورية لمطابقة بيئتك.

    • تكوين إعدادات BGP: نعم
    • رقم النظام المستقل (ASN): 65050
    • عنوان IP لنظير BGP: عنوان جهاز VPN المحلي. مثال: 10.51.255.254

  3. انقر فوق Review + create لإنشاء بوابة الشبكة المحلية.

اعتبارات مهمة عند التكوين

  • يجب أن يتطابق عنوان ASN وعنوان IP النظير BGP مع تكوين جهاز توجيه VPN الداخلي.
  • يمكنك ترك مساحة العنوان فارغة فقط إذا كنت تستخدم BGP للاتصال بهذه الشبكة. ستضيف بوابة Azure VPN داخليًّا مسارًا لعنوان IP الخاص بنظير BGP إلى نفق IPsec المقابل. إذا كنت لا تستخدم BGP بين بوابة VPN وهذه الشبكة المعينة، يجب توفير قائمة ببادئات العناوين الصالحة لمساحة العنوان.
  • يمكنك اختياريًّا استخدام عنوان IPIPA IP (169.254.x.x) باعتباره IP نظير BGP المحلي إذا لزم الأمر. ولكن ستحتاج أيضا إلى تحديد عنوان IP APIPA كما هو موضح سابقا في هذه المقالة لبوابة VPN الخاصة بك، وإلا لا يمكن إنشاء جلسة BGP لهذا الاتصال.
  • يمكنك إدخال معلومات تكوين BGP أثناء إنشاء بوابة الشبكة المحلية، أو يمكنك إضافة أو تغيير تكوين BGP من صفحة التكوين لمورد بوابة الشبكة المحلية.

2. تكوين اتصال S2S مع تمكين BGP

في هذه الخطوة، تقوم بإنشاء اتصال جديد تم فيه تمكين BGP. إذا كان لديك اتصال بالفعل وتريد تمكين BGP عليه، يمكنك تحديثه.

لإنشاء الاتصال

  1. لإنشاء اتصال جديد، انتقل إلى صفحة اتصالات بوابة الشبكة الظاهرية .
  2. حدد +إضافة لفتح صفحة إضافة اتصال.
  3. املأ القيم الضرورية.
  4. حدد تمكين BGP لتمكين BGP على هذا الاتصال.
  5. قم بتحديد موافق لحفظ تغييراتك.

تحديث اتصال موجود

  1. انتقل إلى صفحة اتصالات بوابة الشبكة الظاهرية .
  2. حدد الاتصال الذي تريد تعديله.
  3. انتقل إلى صفحة التكوين للاتصال.
  4. غير إعداد BGP إلى ممكن.
  5. احفظ تغييراتك.

تكوين الجهاز المحلي

يسرد المثال التالي المعلمات التي تدخلها في قسم تكوين BGP على جهاز VPN المحلي الخاص بك لهذا التمرين:

- Site5 ASN            : 65050
- Site5 BGP IP         : 10.51.255.254
- Prefixes to announce : (for example) 10.51.0.0/16
- Azure VNet ASN       : 65010
- Azure VNet BGP IP    : 10.12.255.30
- Static route         : Add a route for 10.12.255.30/32, with nexthop being the VPN tunnel interface on your device
- eBGP Multihop        : Ensure the "multihop" option for eBGP is enabled on your device if needed

لتمكين BGP على اتصالات VNet-to-VNet

تنطبق الخطوات الواردة في هذا القسم على اتصالات VNet-to-VNet.

لتمكين BGP أو تعطيله على اتصال VNet-to-VNet، يمكنك استخدام نفس الخطوات مثل الخطوات عبر أماكن العمل S2S في القسم السابق. بمقدورك تمكين BGP عند إنشاء الاتصال، أو تحديث التكوين على اتصال VNet-to-VNet موجود.

ملاحظة

سيؤدي اتصال VNet-to-VNet بدون BGP إلى قصر الاتصال على شبكتي VNet المتصلين فقط. قم بتمكين BGP للسماح بإمكانية توجيه النقل إلى اتصالات S2S أو VNet-to-VNet الأخرى لشبكتي VNets.

الخطوات التالية

لمزيد من المعلومات حول BGP، راجع حول BGP وبوابة VPN.