Informace o protokolu BGP s Azure VPN Gateway

Tento článek poskytuje přehled podpory protokolu BGP (Border Gateway Protocol) v Azure VPN Gateway.

BGP je standardní směrovací protokol, na internetu běžně používaný k výměně informací o směrování a dostupnosti mezi dvěma nebo více sítěmi. Pokud protokol BGP použijete v rámci virtuálních sítí Azure, umožní službám Azure VPN Gateway a místním zařízením VPN, která se nazývají partnerské uzly protokolu BGP nebo sousedé BGP, výměnu „tras“ informujících obě brány o dostupnosti a dosažitelnosti předpon, které procházejí těmito bránami nebo trasami. Protokol BGP také umožňuje směrování přenosu mezi více sítěmi pomocí šíření tras, které brána s protokolem BGP zjistí od jednoho partnerského uzlu protokolu BGP, do všech dalších partnerských uzlů protokolu BGP.

Proč používat protokol BGP?

Protokol BGP je volitelná funkce, kterou můžete použít s trasovými bránami Azure VPN. Dříve než povolíte tuto funkci byste se měli ujistit, že vaše místní zařízení VPN podporuje protokol BGP. Brány Azure VPN a místní zařízení VPN můžete nadále používat i bez protokolu BGP. Je to stejné jako používání statických tras (bez protokolu BGP) oproti používání dynamického směrování s protokolem BGP mezi vaší sítí a Azure.

Existuje několik výhod a nových schopností při použití protokolu BGP:

Podpora automatických a flexibilních aktualizací předpon

U protokolu BGP musíte pouze deklarovat minimální předponu určitému partnerskému uzlu protokolu BGP přes tunel S2S VPN s protokolem IPsec. Ta může být malá jako předpona hostitele (/32) IP adresy partnerského uzlu protokolu BGP vašeho místního zařízení VPN. Můžete určit, které předpony místní sítě chcete inzerovat do Azure pro umožnění přístupu službě Azure Virtual Network.

Můžete také inzerovat větší předpony, které mohou obsahovat některé předpony adres vaší virtuální sítě, jako je například velký adresní prostor privátních IP adres (například 10.0.0.0/8). Všimněte si, že předpony nemůžou být stejné jako žádné z předpon vaší virtuální sítě. Trasy shodné s předponami vaší virtuální sítě budou odmítnuty.

Podpora více tunelů mezi virtuální sítí a místním webem s automatickým převzetím služeb při selhání na základě protokolu BGP

Můžete vytvořit více připojení mezi virtuální sítí Azure a místními zařízeními VPN ve stejném umístění. Tato schopnost poskytuje více tunelů (cest) mezi těmito dvěma sítěmi v konfiguraci aktivní-aktivní. Pokud je jeden z tunelů odpojený, odpovídající trasy se odeberou prostřednictvím protokolu BGP a přenos se automaticky přesune na zbývající tunely.

Následující diagram ukazuje jednoduchý příklad tohoto vysoce dostupného nastavení:

Podpora směrování přenosu mezi místními sítěmi a více virtuálními sítěmi Azure

Protokol BGP umožňuje více branám zjišťovat a šířit předpony z různých sítí, ať jsou připojeny přímo nebo nepřímo. To umožňuje směrování přenosu pomocí bran Azure VPN mezi vašimi místními weby nebo napříč více službami Azure Virtual Network.

Následující diagram ukazuje příklad topologie vícenásobného předávání s více cestami, které mohou přenášet provoz mezi dvěma místními sítěmi přes brány Azure VPN v rámci služby MSN:

NEJČASTĚJŠÍ DOTAZY K PROTOKOLU BGP

Je protokol BGP podporován ve všech SKU služby Azure VPN Gateway?

Protokol BGP je podporován u všech SKU Azure VPN Gateway s výjimkou úrovně Basic SKU.

Můžu použít protokol BGP se Azure Policy branami VPN?

Ne, protokol BGP je podporován pouze u bran sítě VPN založených na trasách.

Jaká čísla ASN (čísla autonomních systémů) můžu použít?

Pro místní sítě i virtuální sítě Azure můžete použít vlastní veřejný čísla ASN nebo privátní čísla ASN. Nemůžete použít rozsahy rezervované pro Azure nebo IANA.

Následující čísla ASN jsou vyhrazené pro Azure nebo IANA:

• Čísla ASN rezervované pro Azure:

  • Veřejná ASN: 8074, 8075, 12076
  • Soukromá ASN: 65515, 65517, 65518, 65519, 65520

• Čísla ASN vyhrazený organizací IANA:

  • 23456, 64496–64511, 65535–65551 a 429496729

Pokud se připojujete ke službě Azure VPN Gateway, nemůžete tyto čísla ASN pro vaše místní zařízení VPN zadat.

Můžu použít 32-bit (4 bajty) čísla ASN?

Ano, VPN Gateway nyní podporuje 32-bit (4 bajty) čísla ASN. Ke konfiguraci pomocí čísla ASN v desítkovém formátu použijte PowerShell, rozhraní příkazového řádku Azure nebo sadu Azure SDK.

Jaké soukromé čísla ASN můžu použít?

Rozsahy použitelných pro soukromé čísla ASN jsou:

• 64512-65514 a 65521-65534

Tyto čísla ASN nejsou rezervovány organizací IANA nebo Azure pro použití, a proto je lze použít k přiřazení ke službě Azure VPN Gateway.

Jaká adresa VPN Gateway použít pro IP adresu partnerského uzlu protokolu BGP?

Ve výchozím nastavení VPN Gateway přiděluje jednu IP adresu z rozsahu GatewaySubnet pro brány VPN typu aktivní-pohotovostní nebo dvě IP adresy pro brány VPN typu aktivní-aktivní. Tyto adresy se přiřazují automaticky, když vytvoříte bránu VPN. Můžete získat vlastní IP adresu protokolu BGP přidělenou pomocí prostředí PowerShell nebo umístěním do Azure Portal. V prostředí PowerShell použijte rutinu Get-AzVirtualNetworkGateway a vyhledejte vlastnost bgpPeeringAddress . V Azure Portal na stránce Konfigurace brány vyhledejte v části Konfigurace vlastnosti ASN protokolu BGP .

Pokud místní směrovače VPN používají IP adresy APIPA (169.254. x. x) jako IP adresy protokolu BGP, musíte v bráně Azure VPN zadat další IP adresu protokolu BGP pro službu Azure APIPA . Azure VPN Gateway vybere adresu APIPa, která se má použít s místním partnerským vztahem APIPa protokolu APIPa zadaná v bráně místní sítě, nebo privátní IP adresa pro místní partnerský uzel BGP bez APIPa. Další informace najdete v tématu Konfigurace protokolu BGP.

Jaké jsou požadavky na IP adresy partnerského uzlu protokolu BGP na zařízení VPN?

Vaše místní adresa partnerského uzlu BGP nesmí být stejná jako veřejná IP adresa vašeho zařízení VPN nebo z adresního prostoru virtuální sítě služby VPN Gateway. Pro IP adresu partnerského uzlu BGP použijte jinou IP adresu na zařízení VPN. Může to být adresa přiřazená k rozhraní zpětné smyčky v zařízení (buď běžná IP adresa, nebo adresa APIPa). Pokud vaše zařízení používá pro protokol BGP adresu APIPa, musíte v bráně Azure VPN Gateway zadat IP adresu APIPa, jak je popsáno v tématu Konfigurace protokolu BGP. Zadejte tuto adresu v odpovídající bráně místní sítě představující umístění.

Co mám zadat jako předpony mých adres pro bránu místní sítě při použití protokolu BGP?

Můžu použít stejné číslo ASN pro místní sítě VPN i virtuální sítě Azure?

Ne. Pokud je připojujete spolu s protokolem BGP, musíte přiřadit různé čísla ASN mezi místními sítěmi a vašimi virtuálními sítěmi Azure. K bráně Azure VPN Gateway je přiřazeno výchozí číslo ASN 65515, bez ohledu na to, jestli je protokol BGP povolený, nebo ne pro připojení mezi místními sítěmi. Tuto výchozí hodnotu můžete přepsat tak, že při vytváření brány sítě VPN přiřadíte jiné číslo ASN, případně můžete změnit číslo ASN po vytvoření brány. K odpovídajícím bránám místní sítě Azure budete muset přiřadit místní čísla ASN.

Které předpony adres budou služby Azure VPN gateway prezentovat?

Brány inzerují následující trasy na vaše místní zařízení s protokolem BGP:

• Předpony adres vaší virtuální sítě.
• Předpony adres pro každou bránu místní sítě připojenou ke službě Azure VPN Gateway.
• Trasy zjištěné z jiných relací partnerských vztahů protokolu BGP připojených ke službě Azure VPN Gateway s výjimkou výchozí trasy nebo tras, které se překrývají s předponou virtuální sítě.

Kolik předpon je možné inzerovat do Azure VPN Gateway?

Azure VPN Gateway podporuje až 4000 předpon. Pokud počet předpon překročí toto omezení, relace BGP se ukončí.

Mohu inzerovat výchozí cestu (0.0.0.0/0) do bran Azure VPN Gateway?

Ano. Všimněte si, že to vynutí všechny odchozí přenosy virtuální sítě směrem k místní lokalitě. Zabrání taky virtuálním počítačům virtuální sítě přijímat veřejnou komunikaci přímo z Internetu, jako je RDP nebo SSH z Internetu, do virtuálních počítačů.

Můžu inzerovat přesné předpony jako předpony moje virtuální sítě?

Ne. inzerování stejných předpon jako libovolných předpon adres vaší virtuální sítě bude zablokováno nebo filtrováno službou Azure. Můžete ale inzerovat předponu, která je nadmnožinou toho, co máte ve vaší virtuální síti.

Pokud například vaše virtuální síť používala adresní prostor 10.0.0.0/16, můžete inzerovat 10.0.0.0/8. Nemůžete ale inzerovat 10.0.0.0/16 nebo 10.0.0.0/24.

Můžu použít protokol BGP s připojením mezi virtuálními sítěmi?

Ano, protokol BGP můžete použít pro připojení mezi různými místy a připojení mezi virtuálními sítěmi.

Lze u služeb Azure VPN Gateway používat kombinaci připojení pomocí protokolu BGP a bez protokolu BGP?

Ano, u stejné služby Azure VPN Gateway je možné kombinovat připojení pomocí protokolu BGP i bez protokolu BGP.

Podporuje Azure VPN Gateway směrování přenosu BGP?

Ano, směrování přenosu protokolu BGP je podporované, s výjimkou, že brány Azure VPN Gateway Neinzerují výchozí trasy jiným partnerům protokolu BGP. Pokud chcete povolit směrování provozu napříč několika branami Azure VPN, musíte povolit protokol BGP u všech zprostředkujících připojení mezi virtuálními sítěmi. Další informace najdete v tématu o protokolu BGP.

Můžu mít více než jeden tunel mezi službou Azure VPN Gateway a místní sítí?

Ano, můžete vytvořit více než jedno tunelové propojení VPN typu Site-to-Site (S2S) mezi službou Azure VPN Gateway a místní sítí. Všimněte si, že všechny tyto tunely se počítají na základě celkového počtu tunelů pro brány VPN Azure a musíte povolit protokol BGP u obou tunelů.

Například pokud máte dvě redundantní tunely mezi vaší bránou Azure VPN a jednou z vašich místních sítí, spotřebovávají 2 tunely z celkové kvóty pro vaši bránu Azure VPN.

Můžu mít několik tunelových propojení mezi dvěma virtuálními sítěmi Azure s protokolem BGP?

Ano, ale alespoň jedna z bran virtuální sítě musí být v konfiguraci aktivní–aktivní.

Můžu použít protokol BGP pro S2S VPN v konfiguraci koexistence sítě VPN v Azure ExpressRoute a S2S?

Ano.

Co je třeba přidat do místního zařízení VPN pro relaci partnerského vztahu protokolu BGP?

Přidejte trasu hostitele IP adresy partnerského uzlu protokolu BGP Azure na zařízení VPN. Tato trasa odkazuje na tunelové připojení VPN S2S IPsec. Pokud je třeba IP adresa partnerského uzlu Azure VPN 10.12.255.30, přidáte trasu hostitele pro 10.12.255.30 s rozhraním Next Hop odpovídajícího rozhraní tunelového propojení IPsec na zařízení VPN.

Podporuje Brána virtuální sítě BFD pro připojení S2S s protokolem BGP?

No. Rozpoznávání obousměrného předávání (BFD) je protokol, který můžete použít s protokolem BGP ke zjištění rychlejšího výpadku sousedů, než můžete pomocí standardních nečinnosti protokolu BGP. BFD používá časovače s dalšími sekundami, které jsou navržené pro práci v prostředích LAN, ale ne přes veřejná připojení k Internetu nebo na celé síti.

U připojení přes veřejný Internet se určité pakety zpoždění nebo dokonce vyřazené nejsou neobvyklé, takže zavedení těchto agresivních časovačů může být nestabilní. Tato nestabilita může způsobit ztlumení tras pomocí protokolu BGP. Jako alternativu můžete nakonfigurovat místní zařízení s časovači nižšími, než je výchozí interval, 60 sekund "naživu" a 180 – sekundový časovač blokování. Výsledkem je rychlejší konvergence.

Spouští Azure VPN Gateway relace nebo připojení partnerských vztahů protokolu BGP?

Brána inicializuje relace partnerských vztahů protokolu BGP s místními IP adresami partnerského uzlu BGP, které jsou zadané v prostředcích brány místní sítě, pomocí privátních IP adres na branách VPN. To je bez ohledu na to, jestli jsou místní IP adresy protokolu BGP v rozsahu APIPa nebo v běžných privátních IP adresách. Pokud vaše místní zařízení VPN používají adresy APIPa jako IP adresy protokolu BGP, je nutné nakonfigurovat mluvčí protokol BGP, aby zahájil připojení.

Další kroky

V tématu Začínáme s protokolem BGP na branách Azure VPN najdete postup konfigurace protokolu BGP pro připojení mezi různými místy a pro připojení mezi virtuálními sítěmi (VNet-to-VNet).