Konfigurace protokolu BGP ve službě Azure VPN Gateway pomocí PowerShellu

Tento článek vás provede postupem povolení protokolu BGP v připojení VPN typu Site-to-Site (S2S) mezi různými místy a připojením typu VNet-to-VNet pomocí PowerShellu.

Informace o protokolu BGP

BGP je standardní směrovací protokol, na internetu běžně používaný k výměně informací o směrování a dostupnosti mezi dvěma nebo více sítěmi. Protokol BGP umožňuje službám Azure VPN Gateway a místním zařízením VPN, která se nazývají partnerské uzly protokolu BGP nebo sousedé BGP, výměnu „tras“ informujících obě brány o dostupnosti a dosažitelnosti předpon, které procházejí těmito bránami nebo trasami. Protokol BGP také umožňuje směrování přenosu mezi více sítěmi pomocí šíření tras, které brána s protokolem BGP zjistí od jednoho partnerského uzlu protokolu BGP, do všech dalších partnerských uzlů protokolu BGP.

Další informace o výhodách protokolu BGP a vysvětlení technických požadavků a aspektů používání protokolu BGP najdete v přehledu protokolu BGP se službou Azure VPN Gateway .

Začínáme s protokolem BGP na branách Azure VPN

Tento článek vás provede kroky k provedení následujících úloh:

Každá část pokynů tvoří základní stavební blok pro povolení protokolu BGP ve vašem síťovém připojení. Pokud dokončíte všechny tři části, sestavíte topologii, jak je znázorněno v následujícím diagramu:

BGP topology

Části můžete kombinovat, abyste vytvořili složitější tranzitní síť s více segmenty směrování, která vyhovuje vašim potřebám.

Část 1 – Konfigurace protokolu BGP ve službě Azure VPN Gateway

Kroky konfigurace nastavily parametry protokolu BGP brány Azure VPN, jak je znázorněno v následujícím diagramu:

BGP Gateway

Než začnete

Krok 1 – Vytvoření a konfigurace virtuální sítě 1

1. Deklarace proměnných

V tomto cvičení začneme deklarováním proměnných. Následující příklad deklaruje proměnné pomocí hodnot pro toto cvičení. Při konfiguraci pro ostrý provoz nezapomeňte nahradit hodnoty vlastními. Tyto proměnné můžete použít, pokud procházíte kroky, abyste se seznámili s tímto typem konfigurace. Upravte proměnné a pak je zkopírujte a vložte do konzoly prostředí PowerShell.

$Sub1 = "Replace_With_Your_Subscription_Name"
$RG1 = "TestBGPRG1"
$Location1 = "East US"
$VNetName1 = "TestVNet1"
$FESubName1 = "FrontEnd"
$BESubName1 = "Backend"
$GWSubName1 = "GatewaySubnet"
$VNetPrefix11 = "10.11.0.0/16"
$VNetPrefix12 = "10.12.0.0/16"
$FESubPrefix1 = "10.11.0.0/24"
$BESubPrefix1 = "10.12.0.0/24"
$GWSubPrefix1 = "10.12.255.0/27"
$VNet1ASN = 65010
$DNS1 = "8.8.8.8"
$GWName1 = "VNet1GW"
$GWIPName1 = "VNet1GWIP"
$GWIPconfName1 = "gwipconf1"
$Connection12 = "VNet1toVNet2"
$Connection15 = "VNet1toSite5"

2. Připojte se k předplatnému a vytvořte novou skupinu prostředků.

Pokud chcete použít rutiny Resource Manageru, nezapomeňte přepnout do režimu PowerShellu. Další informace najdete v tématu Použití prostředí Windows PowerShell s Resource Managerem.

Otevřete konzolu prostředí PowerShell a připojte se ke svému účtu. Připojení vám usnadní následující ukázka:

Connect-AzAccount
Select-AzSubscription -SubscriptionName $Sub1
New-AzResourceGroup -Name $RG1 -Location $Location1

3. Vytvoření virtuální sítě TestVNet1

Následující ukázka vytvoří virtuální síť s názvem TestVNet1 a tři podsítě, jednu s názvem GatewaySubnet, jednu s názvem FrontEnd a druhou s názvem Back-end. Při nahrazování hodnot je důležité vždy přiřadit podsíti brány konkrétní název GatewaySubnet. Pokud použijete jiný název, vytvoření brány se nezdaří.

$fesub1 = New-AzVirtualNetworkSubnetConfig -Name $FESubName1 -AddressPrefix $FESubPrefix1
$besub1 = New-AzVirtualNetworkSubnetConfig -Name $BESubName1 -AddressPrefix $BESubPrefix1
$gwsub1 = New-AzVirtualNetworkSubnetConfig -Name $GWSubName1 -AddressPrefix $GWSubPrefix1

New-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1 -Location $Location1 -AddressPrefix $VNetPrefix11,$VNetPrefix12 -Subnet $fesub1,$besub1,$gwsub1

Krok 2 : Vytvoření brány VPN pro virtuální síť TestVNet1 s parametry protokolu BGP

1. Vytvoření konfigurace IP adresy a podsítě

Vyžádejte si veřejnou IP adresu, která bude přidělena bráně, kterou vytvoříte pro příslušnou virtuální síť. Definujete také požadované konfigurace podsítě a PROTOKOLU IP.

$gwpip1 = New-AzPublicIpAddress -Name $GWIPName1 -ResourceGroupName $RG1 -Location $Location1 -AllocationMethod Dynamic

$vnet1 = Get-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1
$subnet1 = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet1
$gwipconf1 = New-AzVirtualNetworkGatewayIpConfig -Name $GWIPconfName1 -Subnet $subnet1 -PublicIpAddress $gwpip1

2. Vytvořte bránu VPN s číslem AS.

Vytvořte bránu virtuální sítě pro virtuální síť TestVNet1. Protokol BGP vyžaduje Route-Based bránu VPN a také parametr sčítání -Asn, který nastaví ASN (číslo AS) pro virtuální síť TestVNet1. Pokud parametr ASN nenastavíte, přiřadí se ASN 65515. Vytvoření brány může nějakou dobu trvat (30 minut nebo déle).

New-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1 -Location $Location1 -IpConfigurations $gwipconf1 -GatewayType Vpn -VpnType RouteBased -GatewaySku VpnGw1 -Asn $VNet1ASN

3. Získání IP adresy partnerského vztahu Azure BGP

Po vytvoření brány musíte získat IP adresu partnerského vztahu protokolu BGP ve službě Azure VPN Gateway. Tato adresa je nutná ke konfiguraci služby Azure VPN Gateway jako partnerského vztahu protokolu BGP pro místní zařízení VPN.

$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1
$vnet1gw.BgpSettingsText

Poslední příkaz ukazuje odpovídající konfigurace protokolu BGP ve službě Azure VPN Gateway. například:

$vnet1gw.BgpSettingsText
{
    "Asn": 65010,
    "BgpPeeringAddress": "10.12.255.30",
    "PeerWeight": 0
}

Po vytvoření brány můžete tuto bránu použít k navázání připojení mezi různými místy nebo připojení typu VNet-to-VNet s protokolem BGP. Následující části vás provedou kroky k dokončení cvičení.

Část 2 – Navázání připojení mezi různými místy pomocí protokolu BGP

Pokud chcete vytvořit připojení mezi různými místy, musíte vytvořit bránu místní sítě, která bude představovat vaše místní zařízení VPN, a připojení pro připojení brány VPN k bráně místní sítě. Zatímco existují články, které vás provedou těmito kroky, tento článek obsahuje další vlastnosti potřebné k zadání parametrů konfigurace protokolu BGP.

BGP for Cross-Premises

Než budete pokračovat, ujistěte se, že jste dokončili část 1 tohoto cvičení.

Krok 1 : Vytvoření a konfigurace brány místní sítě

1. Deklarace proměnných

Toto cvičení pokračuje v sestavování konfigurace zobrazené v diagramu. Nezapomeňte nahradit hodnoty těmi, které chcete použít pro svou konfiguraci.

$RG5 = "TestBGPRG5"
$Location5 = "East US 2"
$LNGName5 = "Site5"
$LNGPrefix50 = "10.52.255.254/32"
$LNGIP5 = "Your_VPN_Device_IP"
$LNGASN5 = 65050
$BGPPeerIP5 = "10.52.255.254"

Několik věcí, které je potřeba poznamenat ohledně parametrů brány místní sítě:

  • Brána místní sítě může být ve stejném nebo jiném umístění a skupině prostředků jako brána VPN. Tento příklad ukazuje je v různých skupinách prostředků v různých umístěních.
  • Předpona, kterou musíte deklarovat pro bránu místní sítě, je hostitelská adresa IP adresy partnerského vztahu protokolu BGP na vašem zařízení VPN. V tomto případě je to předpona /32 "10.52.255.254/32".
  • Připomínáme, že musíte použít různé sítě ASN protokolu BGP mezi místními sítěmi a virtuální sítí Azure. Pokud jsou stejné, musíte změnit asn virtuální sítě, pokud vaše místní zařízení VPN už používá ASN k partnerskému vztahu s jinými sousedy protokolu BGP.

Než budete pokračovat, zkontrolujte, že jste stále připojeni k předplatnému 1.

2. Vytvoření brány místní sítě pro site5

Před vytvořením brány místní sítě nezapomeňte vytvořit skupinu prostředků, pokud není vytvořená. Všimněte si dvou dalších parametrů brány místní sítě: Asn a BgpPeerAddress.

New-AzResourceGroup -Name $RG5 -Location $Location5

New-AzLocalNetworkGateway -Name $LNGName5 -ResourceGroupName $RG5 -Location $Location5 -GatewayIpAddress $LNGIP5 -AddressPrefix $LNGPrefix50 -Asn $LNGASN5 -BgpPeeringAddress $BGPPeerIP5

Krok 2 : Připojení brány virtuální sítě a brány místní sítě

1. Získání dvou bran

$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1  -ResourceGroupName $RG1
$lng5gw  = Get-AzLocalNetworkGateway -Name $LNGName5 -ResourceGroupName $RG5

2. Vytvoření připojení TestVNet1 k Site5

V tomto kroku vytvoříte připojení z virtuální sítě TestVNet1 k lokalitě Site5. Chcete-li povolit protokol BGP pro toto připojení, musíte zadat "-EnableBGP $True". Jak je popsáno dříve, je možné mít připojení BGP i jiného typu než BGP pro stejnou službu Azure VPN Gateway. Pokud není ve vlastnosti připojení povolený protokol BGP, Azure pro toto připojení nepovolí protokol BGP, i když jsou parametry protokolu BGP už nakonfigurované na obou bránách.

New-AzVirtualNetworkGatewayConnection -Name $Connection15 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng5gw -Location $Location1 -ConnectionType IPsec -SharedKey 'AzureA1b2C3' -EnableBGP $True

Následující příklad uvádí parametry, které zadáte do oddílu konfigurace protokolu BGP na místním zařízení VPN pro toto cvičení:


- Site5 ASN            : 65050
- Site5 BGP IP         : 10.52.255.254
- Prefixes to announce : (for example) 10.51.0.0/16 and 10.52.0.0/16
- Azure VNet ASN       : 65010
- Azure VNet BGP IP    : 10.12.255.30
- Static route         : Add a route for 10.12.255.30/32, with nexthop being the VPN tunnel interface on your device
- eBGP Multihop        : Ensure the "multihop" option for eBGP is enabled on your device if needed

Připojení se vytvoří po několika minutách a relace partnerského vztahu protokolu BGP se spustí po navázání připojení IPsec.

Část 3 – Navázání připojení typu VNet-to-VNet pomocí protokolu BGP

Tato část přidá připojení typu VNet-to-VNet s protokolem BGP, jak je znázorněno v následujícím diagramu:

Diagram that shows a V Net to V Net connection.

Následující pokyny pokračujte v předchozích krocích. Abyste mohli vytvořit a nakonfigurovat virtuální síť TestVNet1 a bránu VPN Gateway pomocí protokolu BGP, musíte dokončit část I .

Krok 1 : Vytvoření virtuální sítě TestVNet2 a brány VPN

Je důležité zajistit, aby se adresní prostor IP adres nové virtuální sítě TestVNet2 nepřekrývaly s žádným z rozsahů virtuálních sítí.

V tomto příkladu patří virtuální sítě do stejného předplatného. Můžete nastavit připojení typu VNet-to-VNet mezi různými předplatnými. Další informace najdete v tématu Konfigurace připojení typu VNet-to-VNet. Při vytváření připojení pro povolení protokolu BGP nezapomeňte přidat $True "-EnableBgp".

1. Deklarace proměnných

Nezapomeňte nahradit hodnoty těmi, které chcete použít pro svou konfiguraci.

$RG2 = "TestBGPRG2"
$Location2 = "West US"
$VNetName2 = "TestVNet2"
$FESubName2 = "FrontEnd"
$BESubName2 = "Backend"
$GWSubName2 = "GatewaySubnet"
$VNetPrefix21 = "10.21.0.0/16"
$VNetPrefix22 = "10.22.0.0/16"
$FESubPrefix2 = "10.21.0.0/24"
$BESubPrefix2 = "10.22.0.0/24"
$GWSubPrefix2 = "10.22.255.0/27"
$VNet2ASN = 65020
$DNS2 = "8.8.8.8"
$GWName2 = "VNet2GW"
$GWIPName2 = "VNet2GWIP"
$GWIPconfName2 = "gwipconf2"
$Connection21 = "VNet2toVNet1"
$Connection12 = "VNet1toVNet2"

2. Vytvoření virtuální sítě TestVNet2 v nové skupině prostředků

New-AzResourceGroup -Name $RG2 -Location $Location2

$fesub2 = New-AzVirtualNetworkSubnetConfig -Name $FESubName2 -AddressPrefix $FESubPrefix2
$besub2 = New-AzVirtualNetworkSubnetConfig -Name $BESubName2 -AddressPrefix $BESubPrefix2
$gwsub2 = New-AzVirtualNetworkSubnetConfig -Name $GWSubName2 -AddressPrefix $GWSubPrefix2

New-AzVirtualNetwork -Name $VNetName2 -ResourceGroupName $RG2 -Location $Location2 -AddressPrefix $VNetPrefix21,$VNetPrefix22 -Subnet $fesub2,$besub2,$gwsub2

3. Vytvoření brány VPN pro virtuální síť TestVNet2 s parametry protokolu BGP

Požádejte o přidělení veřejné IP adresy bráně, kterou vytvoříte pro svou virtuální síť, a definujte požadované konfigurace podsítě a IP adres.

$gwpip2    = New-AzPublicIpAddress -Name $GWIPName2 -ResourceGroupName $RG2 -Location $Location2 -AllocationMethod Dynamic

$vnet2     = Get-AzVirtualNetwork -Name $VNetName2 -ResourceGroupName $RG2
$subnet2   = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet2
$gwipconf2 = New-AzVirtualNetworkGatewayIpConfig -Name $GWIPconfName2 -Subnet $subnet2 -PublicIpAddress $gwpip2

Vytvořte bránu VPN s číslem AS. Výchozí asn musíte přepsat ve svých branách Azure VPN. Sítě ASN pro připojené virtuální sítě se musí lišit, aby bylo možné povolit směrování protokolu BGP a přenosu.

New-AzVirtualNetworkGateway -Name $GWName2 -ResourceGroupName $RG2 -Location $Location2 -IpConfigurations $gwipconf2 -GatewayType Vpn -VpnType RouteBased -GatewaySku VpnGw1 -Asn $VNet2ASN

Krok 2 – Připojení bran TestVNet1 a TestVNet2

V tomto příkladu jsou obě brány ve stejném předplatném. Tento krok můžete dokončit ve stejné relaci PowerShellu.

1. Získání obou bran

Ujistěte se, že jste přihlášeni a připojeni k předplatnému 1.

$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1
$vnet2gw = Get-AzVirtualNetworkGateway -Name $GWName2 -ResourceGroupName $RG2

2. Vytvoření obou připojení

V tomto kroku vytvoříte připojení z virtuální sítě TestVNet1 k virtuální síti TestVNet2 a připojení z virtuální sítě TestVNet2 k virtuální síti TestVNet1.

New-AzVirtualNetworkGatewayConnection -Name $Connection12 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -VirtualNetworkGateway2 $vnet2gw -Location $Location1 -ConnectionType Vnet2Vnet -SharedKey 'AzureA1b2C3' -EnableBgp $True

New-AzVirtualNetworkGatewayConnection -Name $Connection21 -ResourceGroupName $RG2 -VirtualNetworkGateway1 $vnet2gw -VirtualNetworkGateway2 $vnet1gw -Location $Location2 -ConnectionType Vnet2Vnet -SharedKey 'AzureA1b2C3' -EnableBgp $True

Důležité

Nezapomeňte povolit protokol BGP pro obě připojení.

Po dokončení těchto kroků se připojení vytvoří po několika minutách. Po dokončení připojení VNet-to-VNet je relace partnerského vztahu protokolu BGP vzhůru.

Pokud jste dokončili všechny tři části tohoto cvičení, vytvořili jste následující topologii sítě:

BGP for VNet-to-VNet

Další kroky

Po dokončení připojení můžete do virtuálních sítí přidávat virtuální počítače. Kroky jsou uvedeny v tématu Vytvoření virtuálního počítače.