Übersicht über BGP mit Azure VPN Gateway

Dieser Artikel enthält eine Übersicht über die Unterstützung von BGP (Border Gateway Protocol) in Azure VPN Gateway.

BGP ist das standardmäßige Routingprotokoll, mit dem im Internet üblicherweise Routing- und Erreichbarkeitsinformationen zwischen mehren Netzwerken ausgetauscht werden. Im Kontext virtueller Azure-Netzwerke können Azure-VPN-Gateways und Ihre lokalen VPN-Geräte (so genannte BGP-Peers oder Nachbarn) über BGP Routen austauschen, die beide Gateways über die Verfügbarkeit und Erreichbarkeit der Präfixe informieren, die die beteiligten Gateways oder Router durchlaufen. BGP ermöglicht auch Transitrouting zwischen mehreren Netzwerken. Hierzu werden von einem BGP-Gateway ermittelte Routen eines BGP-Peers an alle anderen BGP-Peers weitergegeben.

Argumente für die Verwendung von BGP

BGP ist ein optionales Feature für routenbasierte Azure-VPN-Gateways. Vergewissern Sie sich vor dem Aktivieren des Features, dass BGP von Ihren lokalen VPN-Geräten unterstützt wird. Azure-VPN-Gateways und Ihre lokalen VPN-Geräte können auch weiterhin ohne BGP verwendet werden. Sie haben somit die Wahl zwischen statischen Routen (ohne BGP) oder dynamischem Routing mit BGP zwischen Ihren Netzwerken und Azure.

BGP bietet einige Vorteile und neue Möglichkeiten:

Unterstützung automatischer und flexibler Präfixupdates

Mit BGP müssen Sie lediglich ein Mindestpräfix für einen bestimmten BGP-Peer über den IPsec-S2S-VPN-Tunnel deklarieren. Das Präfix muss mindestens die Größe eines Hostpräfix (/32) der BGP-Peer-IP-Adresse Ihres lokalen VPN-Geräts besitzen. Sie können steuern, welche lokalen Netzwerkpräfixe sie gegenüber Azure ankündigen möchten, um Ihrem virtuellen Azure-Netzwerk den Zugriff darauf zu ermöglichen.

Sie können auch größere Präfixe ankündigen, die auch einige Ihrer VNET-Adresspräfixe umfassen können – etwa einen großen privaten IP-Adressraum (beispielsweise 10.0.0.0/8). Beachten Sie jedoch, dass die Präfixe keinem Ihrer VNET-Präfixe entsprechen dürfen. Mit Ihren VNET-Präfixen identische Routen werden abgelehnt.

Unterstützung mehrerer Tunnel zwischen einem VNET und einem lokalen Standort mit automatischem Failover auf der Grundlage von BGP

Sie können mehrere Verbindungen zwischen Ihrem Azure-VNET und Ihren lokalen VPN-Geräten am gleichen Standort herstellen. Dies ermöglicht die Einrichtung mehrerer Tunnel (Pfade) zwischen den beiden Netzwerken in einer Aktiv/Aktiv-Konfiguration. Wird die Verbindung mit einem der Tunnel getrennt, werden die entsprechenden Routen per BGP zurückgezogen, und der Datenverkehr wird automatisch auf die verbleibenden Tunnel verlagert.

Das folgende Diagramm zeigt ein einfaches Beispiel für dieses hochverfügbare Setup:

Mehrere aktive Pfade

Unterstützung von Transitrouting zwischen Ihren lokalen Netzwerken und mehreren Azure-VNETs

Mit BGP können mehrere Gateways Präfixe aus unterschiedlichen Netzwerken ermitteln und weitergeben (sowohl bei direkter als auch bei indirekter Verbindung). Dies ermöglicht die Verwendung von Transitrouting mit Azure-VPN-Gateways zwischen Ihren lokalen Standorten oder zwischen mehreren virtuellen Azure-Netzwerken.

Das folgende Diagramm veranschaulicht ein Beispiel für eine Mehrfachhop-Topologie mit mehreren Pfaden und Transitrouting von Datenverkehr zwischen den beiden lokalen Netzwerken über Azure-VPN-Gateways innerhalb der Microsoft-Netzwerke:

Mehrfachhop-Übertragung

BGP – Häufig gestellte Fragen

Wird BGP von allen Azure-VPN-Gateway-SKUs unterstützt?

BGP wird mit Ausnahme der SKU „Basic“ für alle Azure-VPN-Gateway-SKUs unterstützt.

Kann ich BGP mit Azure Policy-VPN-Gateways verwenden?

Nein. BGP wird nur für routenbasierte VPN-Gateways unterstützt.

Welche autonomen Systemnummern (ASNs) kann ich verwenden?

Sie können eigene öffentliche ASNs oder private ASNs sowohl für Ihre lokalen Netzwerke als auch für Ihre virtuellen Azure-Netzwerke verwenden. Die von Azure oder IANA reservierten Bereiche können nicht verwendet werden.

Die folgenden ASNs sind für Azure oder IANA reserviert:

  • Von Azure reservierte ASNs:

    • Öffentliche ASNs: 8074, 8075, 12076
    • Private ASNs: 65515, 65517, 65518, 65519, 65520
  • Von IANA reservierte ASNs:

    • 23456, 64496-64511, 65535-65551 und 429496729

Diese ASNs können beim Herstellen einer Verbindung mit Azure-VPN-Gateways nicht für Ihre lokalen VPN-Geräte angegeben werden.

Kann ich 32-Bit-ASNs (4 Bytes) verwenden?

Ja, VPN Gateway unterstützt nun 32-Bit-ASNs (4 Bytes). Verwenden Sie zum Konfigurieren mithilfe von ASNs im Dezimalformat PowerShell, die Azure CLI oder das Azure SDK.

Welche privaten ASNs kann ich verwenden?

Die folgenden Bereiche privater ASNs können verwendet werden:

  • 64512-65514 und 65521-65534

Diese ASNs sind nicht für die Verwendung durch IANA oder Azure reserviert und können daher Ihrem Azure-VPN-Gateway zugewiesen werden.

Welche Adresse verwendet VPN Gateway als BGP-Peer-IP-Adresse?

VPN Gateway ordnet standardmäßig eine einzelne IP-Adresse aus dem GatewaySubnet-Bereich für Aktiv/Standby-VPN-Gateways oder zwei IP-Adressen für Aktiv/Aktiv-VPN-Gateways zu. Diese Adressen werden automatisch zugeordnet, wenn Sie das VPN-Gateway erstellen. Die tatsächlich zugeordnete BGP-IP-Adresse kann mithilfe von PowerShell oder über das Azure-Portal ermittelt werden. Verwenden Sie in PowerShell Get-AzVirtualNetworkGateway, und suchen Sie nach der Eigenschaft bgpPeeringAddress. Sehen Sie im Azure-Portal auf der Seite Gatewaykonfiguration unter der Eigenschaft BGP-ASN konfigurieren nach.

Wenn Ihre lokalen VPN-Router IP-Adressen vom Typ APIPA (169.254.x.x) als BGP-IP-Adressen verwenden, müssen Sie für Ihr Azure-VPN-Gateway eine zusätzliche Azure-APIPA-BGP-IP-Adresse angeben. Von Azure VPN Gateway wird die APIPA-Adresse für die Verwendung mit dem lokalen, im lokalen Netzwerkgateway angegebenen APIPA-BGP-Peer oder die private IP-Adresse für einen APIPA-fremden lokalen BGP-Peer ausgewählt. Weitere Informationen finden Sie unter Konfigurieren von BGP für Azure-VPN-Gateways.

Welche Anforderungen müssen die BGP-Peer-IP-Adressen auf meinem VPN-Gerät erfüllen?

Ihre lokale BGP-Peeradresse darf nicht der öffentlichen IP-Adresse Ihres VPN-Geräts entsprechen oder aus dem VNET-Adressraum des VPN-Gateways stammen. Verwenden Sie als BGP-Peer-IP-Adresse eine andere IP-Adresse für das VPN-Gerät. Dabei kann es sich um eine Adresse handeln, die der Loopbackschnittstelle auf dem Gerät zugewiesen ist (reguläre IP-Adresse oder APIPA-Adresse). Wenn von Ihrem Gerät eine APIPA-Adresse für BGP verwendet wird, müssen Sie wie unter Konfigurieren von BGP für Azure-VPN-Gateways beschrieben eine APIPA-BGP-IP-Adresse für Ihr Azure-VPN-Gateway angeben. Geben Sie diese Adresse im entsprechenden lokalen Netzwerkgateway an, das den Standort darstellt.

Was muss ich bei Verwendung von BGP als Adresspräfixe für das lokale Netzwerkgateway angeben?

Wichtig

Hierbei handelt es sich um eine Änderung gegenüber der zuvor dokumentierten Anforderung. Wenn Sie BGP für eine Verbindung verwenden, lassen Sie das Feld Adressraum für die zugehörige lokale Netzwerkgatewayressource leer. Von Azure VPN Gateway wird intern eine Hostroute zur lokalen BGP-Peer-IP-Adresse über den IPsec-Tunnel hinzugefügt. Fügen Sie die /32-Route nicht dem Feld Adressraum hinzu. Sie ist redundant und kann diesem Feld nicht hinzugefügt werden, wenn als BGP-IP-Adresse des lokalen VPN-Geräts eine APIPA-Adresse verwendet wird. Wenn Sie im Feld Adressraum andere Präfixe hinzufügen, werden diese zusätzlich zu den über BGP ermittelten Routen als statische Routen für das Azure-VPN-Gateway hinzugefügt.

Kann ich die gleiche ASN sowohl für lokale VPN-Netzwerke als auch für Azure-VNETs verwenden?

Nein. Lokalen Netzwerken und virtuellen Azure-Netzwerken muss jeweils eine andere ASN zugewiesen werden, wenn diese per BGP miteinander verbunden werden. Azure-VPN-Gateways ist standardmäßig die ASN 65515 zugewiesen. Dabei spielt es keine Rolle, ob BGP für Ihre standortübergreifende Konnektivität aktiviert ist. Diesen Standardwert können Sie überschreiben, indem Sie beim Erstellen des VPN-Gateways eine andere ASN zuweisen, oder Sie können die ASN nach der Gatewayerstellung ändern. Ihre lokalen ASNs müssen den entsprechenden lokalen Azure-Netzwerkgateways zugewiesen werden.

Welche Adresspräfixe kündigen Azure-VPN-Gateways mir gegenüber an?

Die Gateways kündigen Ihren lokalen BGP-Geräten gegenüber folgende Routen an:

  • Ihre Adresspräfixe des virtuellen Netzwerks
  • Adresspräfixe für die einzelnen lokalen Netzwerkgateways, die mit dem Azure-VPN-Gateway verbunden sind
  • Routen, die in anderen, mit dem Azure-VPN-Gateway verbundenen BGP-Peeringsitzungen ermittelt wurden (mit Ausnahme der Standardrouten, die sich mit VNET-Präfixen überschneiden)

Wie viele Präfixe kann ich Azure VPN Gateway ankündigen?

Azure VPN Gateway unterstützt bis zu 4.000 Präfixe. Die BGP-Sitzung wird verworfen, wenn die Anzahl von Präfixen den Grenzwert überschreitet.

Kann ich die Standardroute (0.0.0.0/0) für Azure VPN Gateways ankündigen?

Ja. Beachten Sie, dass dadurch der gesamte ausgehende Datenverkehr des virtuellen Netzwerks zwangsweise an den lokalen Standort geleitet wird. Außerdem wird verhindert, dass die VMs des virtuellen Netzwerks die öffentliche Kommunikation aus dem Internet direkt akzeptieren, etwa RDP oder SSH aus dem Internet an die VMs.

Kann ich die gleichen Präfixe wie meine Präfixe des virtuellen Netzwerks ankündigen?

Nein. Das Ankündigen der gleichen Präfixe wie Ihre Adresspräfixe des virtuellen Netzwerks wird von Azure blockiert oder gefiltert. Sie können jedoch ein Präfix ankündigen, das eine Obermenge der Inhalte Ihres virtuellen Netzwerks ist.

Sie können beispielsweise 10.0.0.0/8 ankündigen, wenn für Ihr virtuelles Netzwerk der Adressraum 10.0.0.0/16 verwendet wird. Das Ankündigen von 10.0.0.0/16 oder 10.0.0.0/24 ist dagegen nicht möglich.

Kann ich BGP für meine Verbindungen zwischen virtuellen Netzwerken verwenden?

Ja. BGP kann sowohl für standortübergreifende Verbindungen als auch für Verbindungen zwischen virtuellen Netzwerken verwendet werden.

Kann ich BGP-Verbindungen mit BGP-fremden Verbindungen für meine Azure-VPN-Gateways kombinieren?

Ja. Für ein Azure-VPN-Gateway kann eine Kombination aus BGP-Verbindungen und BGP-fremden Verbindungen verwendet werden.

Wird BGP-Transitrouting von Azure VPN Gateway unterstützt?

Ja. BGP-Transitrouting wird unterstützt. Einzige Einschränkung: Azure-VPN-Gateways kündigen gegenüber anderen BGP-Peers keine Standardrouten an. Wenn Sie Transitrouting über mehrere Azure-VPN-Gateways hinweg nutzen möchten, müssen Sie BGP für alle Zwischenverbindungen für virtuelle Netzwerke aktivieren. Weitere Informationen finden Sie in der Übersicht über BGP.

Kann ich zwischen einem Azure-VPN-Gateway und meinem lokalen Netzwerk mehrere Tunnel verwenden?

Ja. Zwischen einem Azure-VPN-Gateway und Ihrem lokalen Netzwerk können mehrere Site-to-Site-VPN-Tunnel (S2S) eingerichtet werden. Beachten Sie, dass diese Tunnel alle auf die Gesamtanzahl von Tunneln für Ihre Azure-VPN-Gateways angerechnet werden und dass Sie BGP für beide Tunnel aktivieren müssen.

Wenn also etwa zwischen Ihrem Azure-VPN-Gateway und einem Ihrer lokalen Netzwerke zwei redundante Tunnel bestehen, werden dadurch zwei Tunnel des Gesamtkontingents für Ihr Azure-VPN-Gateway belegt.

Kann ich zwischen zwei virtuellen Azure-Netzwerken mit BGP mehrere Tunnel verwenden?

Ja. Aber mindestens eines der virtuellen Netzwerkgateways muss über eine Aktiv/Aktiv-Konfiguration verfügen.

Kann ich BGP für S2S-VPN-Verbindungen in einer Konfiguration mit Azure ExpressRoute und S2S-VPN verwenden?

Ja.

Was muss ich meinem lokalen VPN-Gerät für die BGP-Peeringsitzung hinzufügen?

Fügen Sie auf Ihrem VPN-Gerät eine Hostroute der IP-Adresse des Azure-BGP-Peers hinzu. Diese Route verweist auf den IPsec-S2S-VPN-Tunnel. Lautet die Azure-VPN-Peer-IP-Adresse also etwa 10.12.255.30, müssen Sie eine Hostroute für 10.12.255.30 mit einer Nexthop-Schnittstelle der entsprechenden IPSec-Tunnelschnittstelle auf Ihrem VPN-Gerät hinzufügen.

Unterstützt das Gateway des virtuellen Netzwerks BFD für Site-to-Site-Verbindungen mit BGP?

Nein. Bidirectional Forwarding Detection (BFD) ist ein Protokoll, das mit BGP verwendet werden kann, um Nachbar-Downtime schneller zu erkennen als bei Verwendung standardmäßiger BGP-Keepalives. BFD verwendet Zeitgeber im Sekundenbruchteilbereich. Diese sind für den Einsatz in LAN-Umgebungen konzipiert, aber nicht für öffentliche Internetverbindungen oder für WAN-Verbindungen geeignet.

Bei Verbindungen über das öffentliche Internet ist es nicht ungewöhnlich, dass bestimmte Pakete verzögert oder sogar verworfen werden. Daher würde die Einführung dieser aggressiven Zeitgeber zu mehr Instabilität führen. Dies hätte unter Umständen eine Dämpfung von Routen durch BGP zur Folge. Alternativ können Sie Ihr lokales Gerät mit Zeitgebern konfigurieren, die niedriger sind als das standardmäßige Keepalive-Intervall von 60 Sekunden und der Hold-Zeitgeber von 180 Sekunden. Damit wird eine schnellere Konvergenz erreicht.

Werden von Azure-VPN-Gateways BGP-Peeringsitzungen oder -verbindungen initiiert?

Das Gateway initiiert mithilfe der privaten IP-Adressen der VPN-Gateways BGP-Peeringsitzungen für die lokalen BGP-Peer-IP-Adressen, die in den Ressourcen des lokalen Netzwerkgateways angegeben sind. Dies ist unabhängig davon, ob sich die lokalen BGP-IP-Adressen im APIPA-Bereich befinden oder ob es sich dabei um reguläre private IP-Adressen handelt. Nutzen Ihre lokalen VPN-Geräte APIPA-Adressen als BGP-IP-Adresse, müssen Sie den BGP-Sprecher zum Initiieren der Verbindungen konfigurieren.

Nächste Schritte

Schritte zum Konfigurieren von BGP für standortübergreifende Verbindungen und VNET-zu-VNET-Verbindungen finden Sie unter Konfigurieren von BGP auf Azure VPN Gateways mithilfe von Azure Resource Manager und PowerShell .