طريقة تكوين BGP على بوابات Azure VPN

  • مقالة
  • قراءة خلال 6 دقائق

ترشدك هذه المقالة خلال الخطوات لتمكين BGP على اتصال VPN عبر موقع إلى موقع (S2S) واتصال VNet-to-VNet باستخدام مدخل Microsoft Azure.

نبذة مختصرة عن BGP

BGP يعرف بأنه بروتوكول التوجيه القياسي الذي يشيع استخدامه في الإنترنت لتبادل معلومات التوجيه وقابلية الوصول بين شبكتين أو أكثر. يعمل BGP على تمكين بوابات Azure VPN وأجهزة VPN المحلية الخاصة بك، والتي تسمى نظراء BGP أو الجيران، لتبادل "المسارات" التي ستعلم كل من البوابات بالتوافر وإمكانية الوصول لتلك البادئات من خلال البوابات أو أجهزة التوجيه المعنية. يمكن لـ BGP أيضًا تمكين توجيه العبور بين شبكات متعددة عن طريق نشر المسارات التي تتعلمها بوابة BGP من نظير BGP إلى جميع أقران BGP الآخرين.

لمزيد من المعلومات حول مزايا BGP وفهم المتطلبات الفنية واعتبارات استخدام BGP، راجع نظرة عامة على BGP مع بوابات Azure VPN .

الشروع في العمل

يساعدك كل جزء من هذه المقالة في تكوين لبنة أساسية لتمكين BGP في اتصال الشبكة لديك. إذا أكملت جميع الأجزاء الثلاثة، فإنك تبني الهيكل كما هو موضح في الرسم التخطيطي 1.

الرسم التخطيطي 1

Diagram showing network architecture and settings

يمكنك دمج الأجزاء معًا لبناء شبكة عبور أكثر تعقيدًا ومتعددة القفزات تلبي احتياجاتك.

المتطلبات الأساسية

تحقق من أن لديك اشتراك Azure. إذا لم يكن لديك اشتراك Azure بالفعل، يمكنك تنشيط ميزات المشترك في MSDN خاصتك أو الاشتراك في حساب مجاني.

الجزء 1: تكوين BGP على بوابة الشبكة الافتراضية

في هذا القسم، تقوم بإنشاء شبكة افتراضية وتكوينها، وإنشاء بوابة شبكة افتراضية وتكوينها باستخدام معلمات BGP، والحصول على عنوان Azure BGP Peer IP. يوضح الرسم التخطيطي 2 إعدادات التكوين التي يجب استخدامها عند التعامل مع الخطوات الواردة في هذا القسم.

الرسم التخطيطي 2

Diagram showing settings for virtual network gateway

1. إنشاء وتكوين TestVNet1

في هذه الخطوة، تقوم بإنشاء وتكوين TestVNet1. استخدم الخطوات الواردة في البرنامج التعليمي لإنشاء بوابة لإنشاء شبكة Azure الظاهرية وبوابة VPN وتكوينهما. استعمل الإعدادات المرجعية في لقطات الشاشة أدناه.

  • الشبكة الظاهرية:

    TestVNet1 with corresponding address prefixes

  • الشبكة الفرعية:

    TestVNet1 subnets

2. قم بإنشاء بوابة VPN لـ TestVNet1 باستخدام معلمات BGP

في هذه الخطوة، تقوم بإنشاء بوابة VPN مع معلمات BGP المقابلة.

  1. في مدخل Microsoft Azure، انتقل إلى مورد بوابة شبكة ظاهرية من السوق، وحدد إنشاء .

  2. املأ المعلمات كما هو موضح أدناه:

    Create VNG1

  3. في قسم تكوين BGP المميز بالصفحة، قم بتهيئة الإعدادات التالية:

    Configure BGP

    • حدد تكوين BGP - ممكّن لإظهار قسم تكوين BGP.

    • أدخل ASN (رقم النظام الذاتي).

    • حقل عنوان Azure APIPA BGP IP اختياري. إذا كانت أجهزة VPN المحلية الخاصة بك تستخدم عنوان APIPA لـ BGP، فيجب عليك تحديد عنوان من نطاق عناوين Azure المحجوز APIPA لشبكة VPN، والذي يتراوح من 169.254.21.0 إلى 169.254.22.255. يستعمل هذا المثال 169.254.21.11.

    • إذا كنت تقوم بإنشاء بوابة VPN نشطة- نشطة، فسيعرض قسم BGP عنوان Azure APIPA BGP IP الثاني المخصص . يجب أن يكون كل عنوان تحدده فريدًا وأن يكون في نطاق APIPA المسموح به ( 169.254.21.0 إلى 169.254.22.255 ). تدعم العبارات النشطة أيضًا عناوين متعددة لكل من عنوان Azure APIPA BGP IP و عنوان Azure APIPA BGP IP المخصص الثاني . ستظهر المدخلات الإضافية فقط بعد إدخال عنوان IP الخاص بـ APIPA BGP الأول.

    هام

    • بشكل افتراضي، يقوم Azure بتعيين عنوان IP خاص من نطاق بادئة GatewaySubnet تلقائيًّا كعنوان Azure BGP IP على بوابة Azure VPN. مطلوب عنوان Azure APIPA BGP المخصص عندما تستخدم أجهزة VPN المحلية الخاصة بك عنوان APIPA (169.254.0.1 إلى 169.254.255.254) كعنوان BGP IP. ستختار بوابة Azure VPN عنوان APIPA المخصص إذا كان لمورد عبّارة الشبكة المحلية المقابل (شبكة محلية) عنوان APIPA كعنوان IP نظير BGP. إذا كانت بوابة الشبكة المحلية تستخدم عنوان IP عاديًّا (وليس APIPA)، فستعود Azure VPN Gateway إلى عنوان IP الخاص من نطاق GatewaySubnet.

    • يجب ألا تتداخل عناوين APIPA BGP بين أجهزة VPN المحلية وجميع بوابات Azure VPN المتصلة.

    • عند استخدام عناوين APIPA على بوابات Azure VPN، لا تبدأ البوابات جلسات تناظر BGP مع عناوين IP لمصدر APIPA. يجب أن يبدأ جهاز VPN الداخلي اتصالات مناظرة BGP.

  4. حدد ⁧⁩مراجعة + إنشاء⁧⁩ لتشغيل التحقق من الصحة. بمجرد مرور التحقق من الصحة، حدد ⁧⁩إنشاء⁧⁩ لنشر بوابة VPN. قد يستغرق إنشاء بوابة 45 دقيقة أو أكثر، اعتماداً على بوابة SKU المحددة. يمكنك مشاهدة حالة التوزيع في صفحة نظرة عامة على بوابتك.

3. الحصول على عناوين IP الخاصة بـ Azure BGP Peer

بمجرد إنشاء البوابة، يمكنك الحصول على عناوين IP الخاصة بـ BGP Peer على بوابة Azure VPN. هذه العناوين ضرورية لتكوين أجهزة VPN الداخلية الخاصة بك لتأسيس جلسات BGP مع بوابة Azure VPN.

  1. انتقل إلى مورد بوابة الشبكة الظاهرية وحدد صفحة التكوين لمشاهدة معلومات تكوين BGP كما هو موضح في لقطة الشاشة التالية. في هذه الصفحة، يمكنك عرض جميع معلومات تكوين BGP على بوابة Azure VPN: ASN وعنوان IP العام وعناوين IP المقابلة لـ BGP على جانب Azure (الافتراضي و APIPA).

    BGP gateway

  2. في صفحة التهيئة ، يمكنك إجراء تغييرات التكوين التالية:

    • يمكنك تحديث ASN أو عنوان APIPA BGP IP إذا لزم الأمر.
    • إذا كان لديك بوابة VPN نشطة-نشطة، فستعرض هذه الصفحة عنوان IP العام، والعناوين الافتراضية، وعناوين APIPA BGP IP لمثيل عبّارة Azure VPN الثاني.

  3. إذا أجريت أي تغييرات، فحدد حفظ لتنفيذ التغييرات على بوابة Azure VPN.

الجزء 2: تكوين BGP على اتصالات S2S المشتركة

لإنشاء اتصال عبر أماكن العمل، تحتاج إلى إنشاء بوابة شبكة محلية لتمثيل جهاز VPN المحلي الخاص بك، و اتصال لتوصيل بوابة VPN ببوابة الشبكة المحلية كما هو موضح في إنشاء اتصال من موقع إلى موقع . تحتوي هذه المقالة على الخصائص الإضافية المطلوبة لتحديد معلمات تكوين BGP.

رسم تخطيطي 3

Diagram showing IPsec

1. تكوين BGP على بوابة الشبكة الداخلية

في هذه الخطوة، تقوم بتكوين BGP على بوابة الشبكة المحلية. استعمل لقطة الشاشة التالية كمثال. تُظهر لقطة الشاشة بوابة الشبكة المحلية (Site5) مع المعلمات المحددة في الرسم التخطيطي 3.

Configure BGP for the local network gateway

اعتبارات مهمة عند التكوين

  • يجب أن يتطابق عنوان ASN وعنوان IP النظير BGP مع تكوين جهاز توجيه VPN الداخلي.
  • يمكنك ترك مساحة العنوان فارغة فقط إذا كنت تستخدم BGP للاتصال بهذه الشبكة. ستضيف بوابة Azure VPN داخليًّا مسارًا لعنوان IP الخاص بنظير BGP إلى نفق IPsec المقابل. إذا كنت لا تستخدم BGP بين بوابة Azure VPN وهذه الشبكة تحديدًا، يجب تقديم قائمة بادئات العناوين الصالحة لمساحة العنوان .
  • يمكنك اختياريًّا استخدام عنوان IPIPA IP (169.254.x.x) باعتباره IP نظير BGP المحلي إذا لزم الأمر. ولكنك ستحتاج أيضًا إلى تحديد عنوان IP APIPA كما هو موضح سابقًا في هذه المقالة لبوابة Azure VPN الخاصة بك، وإلا فلن تتمكن جلسة BGP من إنشاء هذا الاتصال.
  • يمكنك إدخال معلومات تكوين BGP أثناء إنشاء بوابة الشبكة المحلية، أو يمكنك إضافة أو تغيير تكوين BGP من صفحة التكوين لمورد بوابة الشبكة المحلية.

مثال

يستخدم هذا المثال عنوان APIPA (169.254.100.1) كعنوان IP نظير BGP المحلي:

Local network gateway APIPA and BGP

2. تكوين خاص باتصال S2S مع تمكين BGP

في هذه الخطوة، تقوم بإنشاء اتصال جديد تم فيه تمكين BGP. إذا كان لديك اتصال بالفعل وتريد تمكين BGP عليه، فيمكنك تحديث اتصال موجود .

إنشاء اتصال مع تمكين BGP

لإنشاء اتصال جديد مع تمكين BGP، في صفحة إضافة اتصال ، املأ القيم، ثم حدد الخيار تمكين BGP لتمكين BGP على هذا الاتصال. حدد ⁧⁩موافق⁧⁩ لإنشاء الاتصال.

IPsec cross-premises connection with BGP

تحديث اتصال موجود

إذا كنت تريد تغيير خيار BGP على اتصال، فانتقل إلى صفحة التكوين لمورد الاتصال، ثم قم بتبديل خيار BGP كما هو موضح في المثال التالي. لحفظ أي تغييرات، حدد حفظ.

Update BGP for a connection

الجزء 3: تكوين BGP على اتصالات VNet-to-VNet

خطوات تمكين أو تعطيل BGP على اتصال VNet-to-VNet هي نفس خطوات S2S في الجزء 2 . بمقدورك تمكين BGP عند إنشاء الاتصال، أو تحديث التكوين على اتصال VNet-to-VNet موجود.

ملاحظة

سيؤدي اتصال VNet-to-VNet بدون BGP إلى قصر الاتصال على شبكتي VNet المتصلين فقط. قم بتمكين BGP للسماح بإمكانية توجيه النقل إلى اتصالات S2S أو VNet-to-VNet الأخرى لشبكتي VNets.

بالنسبة إلى السياق، بالإشارة إلى الرسم التخطيطي 4 ، إذا تم تعطيل BGP بين TestVNet2 و TestVNet1، فلن يتعرف TestVNet2 على المسارات الخاصة بالشبكة المحلية، Site5، وبالتالي لا يمكنه الاتصال بالموقع 5. بمجرد تمكين BGP، كما هو موضح في الرسم التخطيطي 4، ستتمكن جميع الشبكات الثلاث من الاتصال عبر اتصالات IPsec و VNet-to-VNet.

الرسم التخطيطي4

Diagram showing full network

الخطوات التالية

بمجرد اكتمال الاتصال، يمكنك إضافة أجهزة افتراضية إلى شبكاتك الافتراضية. راجع إنشاء جهاز ظاهري لمعرفة الخطوات.