حول BGP مع بوابة Azure VPN
توفر هذه المقالة نظرة عامة حول دعم BGP (بروتوكول بوابة الحدود) في بوابة Azure VPN.
BGP هو بروتوكول التوجيه القياسي الشائع استخدامه في الإنترنت لتبادل معلومات التوجيه وإمكانية الوصول بين شبكتين أو أكثر. عند استخدامها في سياق شبكات Azure الافتراضية، تمكن BGP بوابات Azure VPN وأجهزة VPN المحلية الخاصة بك، والتي تسمى أقران BGP أو جيرانها، من تبادل "المسارات" التي ستبلغ كلا البوابتين بمدى توفر هذه البادئات وإمكانية الوصول إليها للمرور عبر البوابات أو أجهزة التوجيه المعنية. يمكن ل BGP أيضا تمكين توجيه العبور بين شبكات متعددة من خلال نشر الطرق التي تتعلمها بوابة BGP من نظير BGP واحد إلى جميع أقران BGP الآخرين.
لماذا تستخدم BGP?
BGP هي ميزة اختيارية يمكنك استخدامها مع بوابات Azure Route-Based VPN. يجب عليك أيضا التأكد من أن أجهزة VPN المحلية الخاصة بك تدعم BGP قبل تمكين الميزة. يمكنك الاستمرار في استخدام بوابات Azure VPN وأجهزة VPN المحلية بدون BGP. وهو ما يعادل استخدام المسارات الثابتة (بدون BGP) مقابل استخدام التوجيه الديناميكي مع BGP بين شبكاتك وAzure.
هناك العديد من المزايا والقدرات الجديدة مع BGP:
دعم تحديثات البادئة التلقائية والمرنة
مع BGP، ما عليك سوى الإعلان عن بادئة دنيا لنظير BGP محدد عبر نفق IPsec S2S VPN. يمكن أن تكون صغيرة مثل بادئة مضيف (/32) لعنوان IP النظير BGP لجهاز VPN المحلي الخاص بك. يمكنك التحكم في بادئات الشبكة المحلية التي تريد الإعلان عنها إلى Azure للسماح لشبكة Azure الظاهرية بالوصول.
يمكنك أيضا الإعلان عن بادئات أكبر قد تتضمن بعض بادئات عناوين VNet، مثل مساحة عنوان IP خاصة كبيرة (على سبيل المثال، 10.0.0.0/8). لاحظ على الرغم من أن البادئات لا يمكن أن تكون متطابقة مع أي من بادئات VNet الخاصة بك. سيتم رفض هذه المسارات المطابقة لبادئات VNet الخاصة بك.
دعم أنفاق متعددة بين VNet وموقع محلي مع تجاوز الفشل التلقائي استنادا إلى BGP
يمكنك إنشاء اتصالات متعددة بين Azure VNet وأجهزة VPN المحلية في نفس الموقع. توفر هذه الإمكانية أنفاق (مسارات) متعددة بين الشبكتين في تكوين نشط ونشط. إذا تم فصل أحد الأنفاق، سحب الطرق المقابلة عبر BGP وتتحول حركة المرور تلقائياً إلى الأنفاق المتبقية.
يوضح الرسم البياني التالي مثالا بسيطا على هذا الإعداد المتوفر بشكل كبير:
دعم توجيه المواصلات بين شبكاتك المحلية ومجموعات Azure VNets المتعددة
تمكن BGP بوابات متعددة من تعلم ونشر البادئات من شبكات مختلفة، سواء كانت متصلة بشكل مباشر أو غير مباشر. يمكن أن يؤدي ذلك إلى تمكين توجيه المواصلات باستخدام بوابات Azure VPN بين مواقعك المحلية أو عبر شبكات Azure الافتراضية المتعددة.
يوضح الرسم التخطيطي التالي مثالا على طبولوجيا متعددة القفزات ذات مسارات متعددة يمكنها نقل حركة المرور بين الشبكتين المحليتين من خلال بوابات Azure VPN داخل شبكات Microsoft:
BGP الأسئلة الشائعة
هل BGP مدعوم على جميع وحدات SKU الخاصة ببوابة Azure VPN?
يتم دعم BGP على جميع وحدات SKU الخاصة ببوابة Azure VPN باستثناء وحدات SKU الأساسية.
هل يمكنني استخدام BGP مع بوابات VPN لسياسة Azure?
لا، BGP مدعوم على بوابات VPN المستندة إلى المسار فقط.
ما هي أرقام ASNs (أرقام النظام المستقل) التي يمكنني استخدامها?
يمكنك استخدام ASNs العامة أو ASNs الخاصة بك لكل من الشبكات المحلية وشبكات Azure الظاهرية. لا يمكنك استخدام النطاقات المحجوزة بواسطة Azure أو IANA.
يتم حجز ASNs التالية بواسطة Azure أو IANA:
ASNs المحجوزة بواسطة Azure:
- ASNs العامة: 8074، 8075، 12076
- ASNs الخاصة: 65515, 65517, 65518, 65519, 65520
ASNs المحجوزة من قبل IANA:
- 23456, 64496-64511, 65535-65551 و 429496729
لا يمكنك تحديد ASNs هذه لأجهزة VPN المحلية الخاصة بك عند الاتصال ببوابات Azure VPN.
هل يمكنني استخدام ASNs 32 بت (4 بايت)?
نعم، تدعم بوابة VPN الآن ASNs 32 بت (4 بايت). للتكوين باستخدام ASN بتنسيق عشري، استخدم PowerShell أو Azure CLI أو Azure SDK.
ما هي ASNs الخاصة التي يمكنني استخدامها?
النطاقات القابلة للاستخدام من ASNs الخاصة هي:
- 64512-65514 و 65521-65534
لا يتم حجز ASNs هذه بواسطة IANA أو Azure للاستخدام، وبالتالي يمكن استخدامها للتعيين إلى بوابة Azure VPN الخاصة بك.
ما العنوان الذي تستخدمه بوابة VPN ل BGP peer IP?
بشكل افتراضي، تقوم VPN Gateway بتخصيص عنوان IP واحد من نطاق GatewaySubnet لبوابات VPN الاحتياطية النشطة، أو عنواني IP لبوابات VPN النشطة والنشطة. يتم تخصيص هذه العناوين تلقائيا عند إنشاء بوابة VPN. يمكنك الحصول على عنوان IP الفعلي BGP المخصص باستخدام PowerShell أو عن طريق تحديد موقعه في مدخل Microsoft Azure. في PowerShell، استخدم Get-AzVirtualNetworkGateway، وابحث عن الخاصية bgpPeeringAddress. في مدخل Microsoft Azure، في صفحة تكوين البوابة، ابحث ضمن الخاصية تكوين BGP ASN.
إذا كانت أجهزة توجيه VPN المحلية تستخدم عناوين IP APIPA (169.254.x.x) كعناوين IP ل BGP، فيجب عليك تحديد عنوان IP واحد أو أكثر من عناوين IP الخاصة ب Azure APIPA BGP على بوابة Azure VPN. تقوم Azure VPN Gateway بتحديد عناوين APIPA لاستخدامها مع نظير APIPA BGP المحلي المحدد في بوابة الشبكة المحلية، أو عنوان IP الخاص لنظير BGP محلي غير APIPA. لمزيد من المعلومات، راجع تكوين جدار الحماية .
ما هي متطلبات عناوين IP النظيرة BGP على جهاز VPN الخاص بي?
يجب ألا يكون عنوان نظير BGP الخاص بك في الموقع هو نفسه عنوان IP العام لجهاز VPN أو من مساحة عنوان الشبكة الظاهرية لبوابة VPN. استخدم عنوان IP مختلفًا على جهاز VPN لعنوان IP الخاص بـ BGP. يمكن أن يكون عنوانا معينا لواجهة الاسترجاع على الجهاز (إما عنوان IP عادي أو عنوان APIPA). إذا كان جهازك يستخدم عنوان APIPA ل BGP، فيجب عليك تحديد عنوان IP واحد أو أكثر من عناوين IP APIPA BGP على بوابة Azure VPN، كما هو موضح في تكوين BGP. حدد هذه العناوين في بوابة الشبكة المحلية المقابلة التي تمثل الموقع.
ما الذي يجب أن أحدده كبادئات عنواني لبوابة الشبكة المحلية عند استخدام BGP?
هام
هذا هو التغيير من المتطلبات الموثقة سابقا. إذا كنت تستخدم BGP لاتصال، فاترك حقل مساحة العنوان فارغا لمورد بوابة الشبكة المحلية المقابل. تضيف بوابة Azure VPN مساراً مضيفاً داخلياً إلى عنوان IP النظير BGP المحلي عبر نفق IPsec. لا تقم بإضافة المسار /32 في حقل مساحة العنوان. إنها زائدة عن الحاجة وإذا كنت تستخدم عنوان APIPA كجهاز VPN محلي BGP IP، فلا يمكن إضافته إلى هذا الحقل. إذا قمت بإضافة أي بادئات أخرى في حقل مساحة العنوان، إضافتها كمسارات ثابتة على بوابة Azure VPN، بالإضافة إلى المسارات التي تم تعلمها عبر BGP.
هل يمكنني استخدام نفس ASN لكل من شبكات VPN المحلية وشبكات Azure الافتراضية?
لا، يجب عليك تعيين شبكات ASN مختلفة بين شبكاتك المحلية وشبكات Azure الظاهرية إذا كنت تقوم بتوصيلها مع BGP. تحتوي بوابات Azure VPN على ASN افتراضي يبلغ 65515 معينا، سواء تم تمكين BGP أم لا للاتصال عبر المباني. يمكنك تجاوز هذا الإعداد الافتراضي عن طريق تعيين ASN مختلف عند إنشاء بوابة VPN، أو يمكنك تغيير ASN بعد إنشاء البوابة. ستحتاج إلى تعيين ASNs المحلية الخاصة بك إلى بوابات شبكة Azure المحلية المقابلة.
ما هي بادئات العناوين التي ستعلن عنها لي بوابات Azure VPN?
تعلن البوابات عن المسارات التالية لأجهزة BGP المحلية:
- بادئات عنوان الشبكة الظاهرية.
- بادئات العناوين لكل بوابة شبكة محلية متصلة ببوابة Azure VPN.
- المسارات المستفادة من جلسات نظير BGP الأخرى المتصلة ببوابة Azure VPN، باستثناء المسار الافتراضي أو المسارات التي تتداخل مع أي بادئة شبكة افتراضية.
كم عدد البادئات التي يمكنني الإعلان عنها في بوابة Azure VPN ?
تدعم بوابة Azure VPN ما يصل إلى 4000 بادئة. يتم إسقاط جلسة عمل BGP إذا تجاوز عدد البادئات الحد.
هل يمكنني الإعلان عن المسار الافتراضي (0.0.0.0/0) إلى بوابات Azure VPN?
نعم. لاحظ أن هذا يفرض على كل حركة مرور خروج الشبكة الظاهرية نحو موقعك المحلي. كما أنه يمنع الأجهزة الظاهرية للشبكة الافتراضية من قبول الاتصالات العامة من الإنترنت مباشرة، مثل RDP أو SSH من الإنترنت إلى الأجهزة الظاهرية.
هل يمكنني الإعلان عن البادئات الدقيقة كبادئات الشبكة الافتراضية?
لا، سيتم حظر الإعلان عن نفس البادئات مثل أي بادئة من بادئات عنوان الشبكة الافتراضية أو تصفيتها بواسطة Azure. ومع ذلك، يمكنك الإعلان عن بادئة عبارة عن مجموعة كبيرة مما لديك داخل شبكتك الافتراضية.
على سبيل المثال، إذا كانت شبكتك الظاهرية تستخدم مساحة العنوان 10.0.0.0/16، فيمكنك الإعلان عن 10.0.0.0/8. ولكن لا يمكنك الإعلان عن 10.0.0.0/16 أو 10.0.0.0/24.
هل يمكنني استخدام BGP مع اتصالاتي بين الشبكات الافتراضية?
نعم، يمكنك استخدام BGP لكل من الاتصالات عبر المباني والاتصالات بين الشبكات الافتراضية.
هل يمكنني مزج BGP مع اتصالات غير BGP لبوابات Azure VPN الخاصة بي?
نعم، يمكنك مزج كل من اتصالات BGP وغير BGP لنفس بوابة Azure VPN.
هل تدعم بوابة Azure VPN توجيه المواصلات BGP؟
نعم، يتم دعم توجيه العبور BGP، باستثناء أن بوابات Azure VPN لا تعلن عن المسارات الافتراضية لأقرانها الآخرين في BGP. لتمكين توجيه المواصلات عبر بوابات Azure VPN متعددة، يجب تمكين BGP على جميع الاتصالات الوسيطة بين الشبكات الافتراضية. لمزيد من المعلومات، راجع حول BGP.
هل يمكنني الحصول على أكثر من نفق واحد بين بوابة Azure VPN وشبكتي المحلية؟
نعم، يمكنك إنشاء أكثر من نفق VPN من موقع إلى موقع (S2S) بين بوابة Azure VPN وشبكتك المحلية. لاحظ أنه يتم حساب كل هذه الأنفاق ضمن إجمالي عدد الأنفاق لبوابات Azure VPN، ويجب تمكين BGP على كلا النفقين.
على سبيل المثال، إذا كان لديك نفقان زائدان عن الحاجة بين بوابة Azure VPN وإحدى شبكاتك المحلية، فإنهما يستهلكان نفقين 2 من إجمالي الحصة النسبية لبوابة Azure VPN.
هل يمكنني الحصول على أنفاق متعددة بين شبكتي Azure الظاهريتين باستخدام BGP?
نعم، ولكن يجب أن تكون واحدة على الأقل من بوابات الشبكة الظاهرية في تكوين نشط ونشط.
هل يمكنني استخدام BGP ل S2S VPN في تكوين تعايش Azure ExpressRoute و S2S VPN?
نعم.
ما الذي يجب أن أضيفه إلى جهاز VPN المحلي الخاص بي لجلسة النظير BGP?
أضف مسارا مضيفا لعنوان IP النظير Azure BGP على جهاز VPN الخاص بك. يشير هذا المسار إلى نفق IPsec S2S VPN. على سبيل المثال، إذا كان عنوان IP النظير ل Azure VPN هو 10.12.255.30، يمكنك إضافة مسار مضيف ل 10.12.255.30 مع واجهة القفزة التالية لواجهة نفق IPsec المطابقة على جهاز VPN الخاص بك.
هل تدعم بوابة الشبكة الافتراضية BFD لاتصالات S2S مع BGP?
كلا. اكتشاف إعادة التوجيه ثنائي الاتجاه (BFD) هو بروتوكول يمكنك استخدامه مع BGP للكشف عن وقت توقف الجار بشكل أسرع مما يمكنك باستخدام "keepalives. BGP القياسي. يستخدم BFD مؤقتات فرعية مصممة للعمل في بيئات LAN، ولكن ليس عبر الإنترنت العام أو اتصالات الشبكة واسعة النطاق.
بالنسبة للاتصالات عبر الإنترنت العام ، فإن تأخير بعض الحزم أو حتى إسقاطها ليس أمرا غير عادي ، لذا فإن إدخال هذه المؤقتات العدوانية يمكن أن يضيف عدم الاستقرار. قد يتسبب عدم الاستقرار هذا في إضعاف الطرق بواسطة BGP. وكبديل، يمكنك تكوين جهازك المحلي باستخدام مؤقتات أقل من الفاصل الزمني الافتراضي "للاحتفاظ" ب 60 ثانية ومؤقت الانتظار لمدة 180 ثانية. وهذا يؤدي إلى وقت تقارب أسرع.
هل تبدأ بوابات Azure VPN جلسات أو اتصالات نظير BGP?
ستبدأ البوابة جلسات نظير BGP إلى عناوين IP نظيرة BGP المحلية المحددة في موارد بوابة الشبكة المحلية باستخدام عناوين IP الخاصة على بوابات VPN. هذا بغض النظر عما إذا كانت عناوين IP BGP المحلية في نطاق APIPA أو عناوين IP الخاصة العادية. إذا كانت أجهزة VPN المحلية الخاصة بك تستخدم عناوين APIPA كعنوان IP ل BGP، فأنت بحاجة إلى تكوين مكبر صوت BGP لبدء الاتصالات.
الخطوات التالية
راجع بدء استخدام BGP على بوابات Azure VPN للحصول على خطوات لتكوين BGP للاتصالات عبر المباني واتصالات VNet-to-VNet.