À propos du protocole BGP avec la passerelle VPN AzureAbout BGP with Azure VPN Gateway

Cet article fournit une vue d’ensemble de la prise en charge du protocole BGP (Border Gateway Protocol) avec la passerelle VPN Azure.This article provides an overview of BGP (Border Gateway Protocol) support in Azure VPN Gateway.

BGP est le protocole de routage standard couramment utilisé sur Internet pour échanger des informations de routage et d’accessibilité entre plusieurs réseaux.BGP is the standard routing protocol commonly used in the Internet to exchange routing and reachability information between two or more networks. Dans le contexte des réseaux virtuels Azure, le protocole BGP permet aux passerelles VPN Azure et à vos périphériques VPN locaux (appelés voisins ou homologues BGP) d’échanger des « itinéraires » qui informent les deux passerelles de la disponibilité et de l’accessibilité de ces préfixes pour transiter par les passerelles ou routeurs impliqués.When used in the context of Azure Virtual Networks, BGP enables the Azure VPN Gateways and your on-premises VPN devices, called BGP peers or neighbors, to exchange "routes" that will inform both gateways on the availability and reachability for those prefixes to go through the gateways or routers involved. Le protocole BGP assure également le routage de transit entre plusieurs réseaux en propageant les itinéraires qu’une passerelle BGP obtient d’un homologue BGP à tous les autres homologues BGP.BGP can also enable transit routing among multiple networks by propagating routes a BGP gateway learns from one BGP peer to all other BGP peers.

Pourquoi utiliser le protocole BGP ?Why use BGP?

Le protocole BGP est une fonctionnalité facultative que vous pouvez utiliser avec les passerelles VPN Azure basées sur des itinéraires.BGP is an optional feature you can use with Azure Route-Based VPN gateways. Vous devez vous assurer que vos périphériques VPN locaux prennent en charge le protocole BGP avant d’activer cette fonctionnalité.You should also make sure your on-premises VPN devices support BGP before you enable the feature. Vous pouvez continuer à utiliser des passerelles VPN Azure et vos périphériques VPN locaux sans le protocole BGP.You can continue to use Azure VPN gateways and your on-premises VPN devices without BGP. Cela revient à utiliser des itinéraires statiques (sans le protocole BGP) au lieu d’utiliser un routage dynamique avec le protocole BGP entre vos réseaux et Azure.It is the equivalent of using static routes (without BGP) vs. using dynamic routing with BGP between your networks and Azure.

Le protocole BGP offre plusieurs avantages et de nouvelles fonctionnalités :There are several advantages and new capabilities with BGP:

Prise en charge de mises à jour de préfixe automatiques et flexiblesSupport automatic and flexible prefix updates

Avec le protocole BGP, il vous suffit de déclarer un préfixe minimal pour un homologue BGP spécifique sur le tunnel VPN S2S IPsec.With BGP, you only need to declare a minimum prefix to a specific BGP peer over the IPsec S2S VPN tunnel. Il peut être aussi réduit que le préfixe d’un hôte (/32) de l’adresse IP de l’homologue BGP de votre périphérique VPN local.It can be as small as a host prefix (/32) of the BGP peer IP address of your on-premises VPN device. Vous pouvez décider des préfixes de réseaux locaux à publier sur Azure, qui pourront accéder à votre réseau virtuel Azure.You can control which on-premises network prefixes you want to advertise to Azure to allow your Azure Virtual Network to access.

Vous pouvez également publier un préfixe plus étendu, qui peut inclure certains préfixes d’adresses de votre réseau virtuel, par exemple un large espace d’adressage IP privé (par exemple, 10.0.0.0/8).You can also advertise larger prefixes that may include some of your VNet address prefixes, such as a large private IP address space (for example, 10.0.0.0/8). Notez cependant que les préfixes ne peuvent en aucun cas être identiques à ceux de votre réseau virtuel.Note though the prefixes cannot be identical with any one of your VNet prefixes. Les itinéraires identiques aux préfixes de votre réseau virtuel seront rejetés.Those routes identical to your VNet prefixes will be rejected.

Prise en charge de plusieurs tunnels entre un réseau virtuel et un site local avec basculement automatique basé sur le protocole BGPSupport multiple tunnels between a VNet and an on-premises site with automatic failover based on BGP

Vous pouvez établir plusieurs connexions entre votre réseau virtuel Azure et vos périphériques VPN locaux au même emplacement.You can establish multiple connections between your Azure VNet and your on-premises VPN devices in the same location. Cette fonctionnalité fournit plusieurs tunnels (chemins) entre les deux réseaux dans une configuration actif-actif.This capability provides multiple tunnels (paths) between the two networks in an active-active configuration. Si l’un des tunnels est déconnecté, les itinéraires correspondants seront retirés par le biais du protocole BGP et le trafic est automatiquement déplacé vers les tunnels restants.If one of the tunnels is disconnected, the corresponding routes will be withdrawn via BGP and the traffic automatically shifts to the remaining tunnels.

Le schéma suivant offre un exemple simple de cette configuration à haute disponibilité :The following diagram shows a simple example of this highly available setup:

Plusieurs chemins actifs

Prise en charge du routage de transit entre vos réseaux locaux et plusieurs réseaux virtuels AzureSupport transit routing between your on-premises networks and multiple Azure VNets

Le protocole BGP permet à plusieurs passerelles d’obtenir des préfixes de différents réseaux et de les propager, que la connexion soit directe ou indirecte.BGP enables multiple gateways to learn and propagate prefixes from different networks, whether they are directly or indirectly connected. Ceci peut permettre un routage de transit avec des passerelles VPN Azure entre vos sites locaux ou sur plusieurs réseaux virtuels Azure.This can enable transit routing with Azure VPN gateways between your on-premises sites or across multiple Azure Virtual Networks.

Le schéma suivant offre un exemple de topologie à tronçons multiples, avec plusieurs chemins permettant de faire transiter le trafic entre les deux réseaux locaux via les passerelles VPN Azure dans les réseaux Microsoft :The following diagram shows an example of a multi-hop topology with multiple paths that can transit traffic between the two on-premises networks through Azure VPN gateways within the Microsoft Networks:

Transit sur plusieurs tronçons

Forum Aux Questions sur le protocole BGPBGP FAQ

Le protocole BGP est-il pris en charge sur toutes les références de passerelle VPN Azure ?Is BGP supported on all Azure VPN Gateway SKUs?

Le protocole BGP est pris en charge sur toutes les références SKU de passerelle VPN Azure, à l’exception de la référence SKU De base.BGP is supported on all Azure VPN Gateway SKUs except Basic SKU.

Est-ce que je peux utiliser BGP avec les passerelles VPN Azure Policy ?Can I use BGP with Azure Policy VPN gateways?

Non, BGP est pris en charge uniquement sur les passerelles VPN basées sur des routes.No, BGP is supported on route-based VPN gateways only.

Est-ce que je peux utiliser des numéros ASN (Autonomous System Numbers) ?What ASNs (Autonomous System Numbers) can I use?

Vous pouvez utiliser vos propres ASN publics ou privés pour vos réseaux locaux et vos réseaux virtuels Azure.You can use your own public ASNs or private ASNs for both your on-premises networks and Azure virtual networks. Vous ne pouvez pas utiliser les plages réservées par Azure ou l’IANA.You can't use the ranges reserved by Azure or IANA.

Les ASN suivants sont réservés par Azure ou l’IANA :The following ASNs are reserved by Azure or IANA:

  • Numéros ASN réservés par Azure :ASNs reserved by Azure:

    • ASN publics : 8074, 8075, 12076Public ASNs: 8074, 8075, 12076
    • ASN privés : 65515, 65517, 65518, 65519, 65520Private ASNs: 65515, 65517, 65518, 65519, 65520
  • ASN réservés par l’IANA :ASNs reserved by IANA:

    • 23456, 64496-64511, 65535-65551 et 429496729.23456, 64496-64511, 65535-65551 and 429496729

Vous ne pouvez pas spécifier ces ASN pour vos périphériques VPN locaux quand vous les connectez à des passerelles VPN Azure.You can't specify these ASNs for your on-premises VPN devices when you're connecting to Azure VPN gateways.

Est-ce que je peux utiliser des ASN 32 bits (4 octets) ?Can I use 32-bit (4-byte) ASNs?

Oui, la passerelle VPN prend désormais en charge les ASN 32 bits (4 octets).Yes, VPN Gateway now supports 32-bit (4-byte) ASNs. Pour configurer en utilisant un ASN au format décimal, utilisez PowerShell, Azure CLI ou le kit SDK Azure.To configure by using ASN in decimal format, use PowerShell, the Azure CLI, or the Azure SDK.

Quels sont les ASN privés que je peux utiliser ?What private ASNs can I use?

Les plages utilisables d’ASN privés sont les suivantes :The useable ranges of private ASNs are:

  • 64512-65514 et 65521-6553464512-65514 and 65521-65534

Ces ASN ne sont pas réservés par IANA ou Azure et peuvent donc être affectés à votre passerelle VPN Azure.These ASNs aren't reserved by IANA or Azure for use, and therefore can be used to assign to your Azure VPN gateway.

Quelle adresse la passerelle VPN utilise pour l’IP de pair BGP ?What address does VPN Gateway use for BGP peer IP?

Par défaut, la passerelle VPN alloue une seule adresse IP de la plage GatewaySubnet pour les passerelles VPN de type actif/passif, ou deux adresses IP pour les passerelles VPN actif-actif.By default, VPN Gateway allocates a single IP address from the GatewaySubnet range for active-standby VPN gateways, or two IP addresses for active-active VPN gateways. Ces adresses sont allouées automatiquement lorsque vous créez la passerelle VPN.These addresses are allocated automatically when you create the VPN gateway. Vous pouvez obtenir l’adresse IP BGP qui a été effectivement allouée en utilisant PowerShell ou en la localisant dans le portail Azure.You can get the actual BGP IP address allocated by using PowerShell or by locating it in the Azure portal. Dans PowerShell, utilisez Get-AzVirtualNetworkGateway et recherchez la propriété bgpPeeringAddress.In PowerShell, use Get-AzVirtualNetworkGateway, and look for the bgpPeeringAddress property. Dans le portail Azure, dans la page Configuration de la passerelle, recherchez la propriété Configurer l’ASN BGP.In the Azure portal, on the Gateway Configuration page, look under the Configure BGP ASN property.

Si vos routeurs VPN locaux utilisent des adresses IP APIPA (169.254. x. x) comme adresses IP BGP, vous devez spécifier une autre adresse IP BGP Azure APIPA sur votre passerelle VPN Azure.If your on-premises VPN routers use APIPA IP addresses (169.254.x.x) as the BGP IP addresses, you must specify an additional Azure APIPA BGP IP address on your Azure VPN gateway. La passerelle VPN Azure sélectionne l’adresse APIPA à utiliser avec le pair BGP APIPA local spécifié dans la passerelle de réseau local ou l’adresse IP privée pour un pair BGP local non-APIPA.Azure VPN Gateway selects the APIPA address to use with the on-premises APIPA BGP peer specified in the local network gateway, or the private IP address for a non-APIPA, on-premises BGP peer. Pour plus d’informations, consultez Configurer BGP.For more information, see Configure BGP.

Quelles sont les conditions requises concernant les adresses IP de pair BGP sur mon périphérique VPN ?What are the requirements for the BGP peer IP addresses on my VPN device?

Votre adresse de pair BGP locale ne doit pas être identique à l’adresse IP publique de votre périphérique VPN ni issue de l’espace d’adressage VNet de la passerelle VPN.Your on-premises BGP peer address must not be the same as the public IP address of your VPN device or from the virtual network address space of the VPN gateway. Utilisez une adresse IP différente sur le périphérique VPN de votre adresse IP BGP homologue.Use a different IP address on the VPN device for your BGP peer IP. Il peut s’agir d’une adresse affectée à l’interface de bouclage sur l’appareil (soit une adresse IP normale, soit une adresse APIPA).It can be an address assigned to the loopback interface on the device (either a regular IP address or an APIPA address). Si votre appareil utilise une adresse APIPA pour BGP, vous devez spécifier une adresse IP BGP APIPA sur votre passerelle VPN Azure, comme décrit dans Configurer BGP.If your device uses an APIPA address for BGP, you must specify an APIPA BGP IP address on your Azure VPN gateway, as described in Configure BGP. Spécifiez cette adresse sur la passerelle de réseau local correspondante, représentant l’emplacement.Specify this address in the corresponding local network gateway representing the location.

Que dois-je spécifier comme préfixes d’adresse pour la passerelle de réseau local lorsque j’utilise BGP ?What should I specify as my address prefixes for the local network gateway when I use BGP?

Important

Il y a un changement par rapport à la spécification précédemment documentée.This is a change from the previously documented requirement. Si vous utilisez BGP pour une connexion, laissez le champ Espace d’adressage vide pour la ressource de passerelle de réseau local correspondante.If you use BGP for a connection, leave the Address space field empty for the corresponding local network gateway resource. La passerelle VPN Azure ajoute en interne une route hôte à l’IP de pair BGP local sur le tunnel IPsec.Azure VPN Gateway adds a host route internally to the on-premises BGP peer IP over the IPsec tunnel. N’ajoutez pas la route /32 dans le champ Espace d’adressage.Don't add the /32 route in the Address space field. C’est redondant et si vous utilisez une adresse APIPA comme IP BGP du périphérique VPN local, vous ne pouvez pas l’ajouter à ce champ.It's redundant and if you use an APIPA address as the on-premises VPN device BGP IP, it can't be added to this field. Si vous ajoutez d’autres préfixes dans le champ Espace d’adressage, ceux-ci sont ajoutés comme routes statiques sur la passerelle VPN Azure, en plus des routes apprises via BGP.If you add any other prefixes in the Address space field, they are added as static routes on the Azure VPN gateway, in addition to the routes learned via BGP.

Est-ce que je peux utiliser le même ASN pour les réseaux VPN locaux et les réseaux virtuels Azure ?Can I use the same ASN for both on-premises VPN networks and Azure virtual networks?

Non, vous devez attribuer des ASN différents à vos réseaux locaux et vos réseaux virtuels Azure si vous les interconnectez avec le protocole BGP.No, you must assign different ASNs between your on-premises networks and your Azure virtual networks if you're connecting them together with BGP. L’ASN 65515 est attribué aux passerelles VPN Azure par défaut, et ce, que le protocole BGP soit activé ou non pour la connectivité entre les sites locaux.Azure VPN gateways have a default ASN of 65515 assigned, whether BGP is enabled or not for your cross-premises connectivity. Vous pouvez remplacer cette valeur par défaut en attribuant un ASN différent quand vous créez la passerelle VPN, ou changer l’ASN après avoir créé la passerelle.You can override this default by assigning a different ASN when you're creating the VPN gateway, or you can change the ASN after the gateway is created. Vous devez affecter vos ASN locaux aux passerelles de réseau local Azure correspondantes.You will need to assign your on-premises ASNs to the corresponding Azure local network gateways.

Quels préfixes d’adresse les passerelles VPN Azure publieront-elles pour moi ?What address prefixes will Azure VPN gateways advertise to me?

Les passerelles publient les routes suivantes sur vos périphériques BGP locaux :The gateways advertise the following routes to your on-premises BGP devices:

  • Vos préfixes d’adresse de réseau virtuel.Your virtual network address prefixes.
  • Les préfixes d’adresse de chaque passerelle de réseau local connectée à la passerelle VPN Azure.Address prefixes for each local network gateway connected to the Azure VPN gateway.
  • Les routes apprises des autres sessions de peering BGP connectées à la passerelle VPN Azure, à l’exception de la route par défaut ou des routes qui se chevauchent avec un préfixe de réseau virtuel.Routes learned from other BGP peering sessions connected to the Azure VPN gateway, except for the default route or routes that overlap with any virtual network prefix.

Combien de préfixes est-ce que je peux publier sur la passerelle VPN Azure ?How many prefixes can I advertise to Azure VPN Gateway?

La passerelle VPN Azure prend en charge jusqu’à 4 000 préfixes.Azure VPN Gateway supports up to 4000 prefixes. La session BGP s’arrête si le nombre de préfixes dépasse la limite.The BGP session is dropped if the number of prefixes exceeds the limit.

Puis-je publier l’itinéraire par défaut (0.0.0.0/0) vers les passerelles VPN Azure ?Can I advertise default route (0.0.0.0/0) to Azure VPN gateways?

Oui.Yes. Notez que cela force tout le trafic de sortie de réseau virtuel vers votre site local.Note that this forces all virtual network egress traffic towards your on-premises site. Cela empêche également les machines virtuelles du réseau virtuel d’accepter la communication publique directement depuis Internet, par exemple RDP ou SSH depuis Internet vers les machines virtuelles.It also prevents the virtual network VMs from accepting public communication from the internet directly, such RDP or SSH from the internet to the VMs.

Est-ce que je peux publier les mêmes préfixes que ceux de mon adresse de réseau virtuel ?Can I advertise the exact prefixes as my virtual network prefixes?

Non, la publication des mêmes préfixes que ceux de votre adresse de réseau virtuel sera bloquée ou filtrée par Azure.No, advertising the same prefixes as any one of your virtual network address prefixes will be blocked or filtered by Azure. Toutefois, vous pouvez publier un préfixe qui soit un sur-ensemble de ce qe vous avez dans votre réseau virtuel.You can, however, advertise a prefix that is a superset of what you have inside your virtual network.

Par exemple, votre réseau virtuel peut utiliser l’espace d’adresse 10.0.0.0/16 et vous pouvez publier 10.0.0.0/8.For example, if your virtual network used the address space 10.0.0.0/16, you can advertise 10.0.0.0/8. Par contre, vous ne pouvez pas publier 10.0.0.0/16 ou 10.0.0.0/24.But you can't advertise 10.0.0.0/16 or 10.0.0.0/24.

Est-ce que je peux utiliser BGP avec mes connexions entre des réseaux virtuels ?Can I use BGP with my connections between virtual networks?

Oui, vous pouvez utiliser BGP pour les connexions entre sites locaux et entre réseaux virtuels.Yes, you can use BGP for both cross-premises connections and connections between virtual networks.

Puis-je combiner des connexions BGP et non-BGP pour mes passerelles VPN Azure ?Can I mix BGP with non-BGP connections for my Azure VPN gateways?

Oui. Vous pouvez combiner des connexions BGP et non-BGP pour la même passerelle VPN Azure.Yes, you can mix both BGP and non-BGP connections for the same Azure VPN gateway.

La passerelle VPN Azure prend-elle en charge le routage de transit BGP ?Does Azure VPN Gateway support BGP transit routing?

Oui, le routage de transit BGP est pris en charge. Cependant, les passerelles VPN Azure ne publient pas les routes par défaut sur les autres pairs BGP.Yes, BGP transit routing is supported, with the exception that Azure VPN gateways don't advertise default routes to other BGP peers. Pour activer le routage de transit via plusieurs passerelles VPN Azure, vous devez activer BGP sur toutes les connexions intermédiaires entre réseaux virtuels.To enable transit routing across multiple Azure VPN gateways, you must enable BGP on all intermediate connections between virtual networks. Pour plus d’informations, consultez À propose de BGP.For more information, see About BGP.

Est-ce que je peux créer plusieurs tunnels entre une passerelle VPN Azure et mon réseau local ?Can I have more than one tunnel between an Azure VPN gateway and my on-premises network?

Oui, vous pouvez établir plusieurs tunnels VPN de site à site (S2S) entre une passerelle VPN Azure et votre réseau local.Yes, you can establish more than one site-to-site (S2S) VPN tunnel between an Azure VPN gateway and your on-premises network. Notez que tous ces tunnels sont comptabilisés dans le nombre total de tunnels pour vos passerelles VPN Azure et que vous devez activer BGP sur les deux tunnels.Note that all these tunnels are counted against the total number of tunnels for your Azure VPN gateways, and you must enable BGP on both tunnels.

Par exemple, si vous établissez deux tunnels redondants entre votre passerelle VPN Azure et l’un de vos réseaux locaux, 2 tunnels sont utilisés sur le quota total de votre passerelle VPN Azure.For example, if you have two redundant tunnels between your Azure VPN gateway and one of your on-premises networks, they consume 2 tunnels out of the total quota for your Azure VPN gateway.

Est-ce que je peux avoir plusieurs tunnels entre deux réseaux virtuels Azure avec BGP ?Can I have multiple tunnels between two Azure virtual networks with BGP?

Oui, mais au moins une des passerelles de réseau virtuel doit être dans une configuration active-active.Yes, but at least one of the virtual network gateways must be in active-active configuration.

Est-ce que je peux utiliser BGP pour un VPN S2S dans une configuration de coexistence Azure ExpressRoute et S2S ?Can I use BGP for S2S VPN in an Azure ExpressRoute and S2S VPN coexistence configuration?

Oui.Yes.

Que dois-je ajouter à mon périphérique VPN local pour la session de peering BGP ?What should I add to my on-premises VPN device for the BGP peering session?

Ajoutez une route hôte de l’adresse IP de pair BGP Azure sur votre périphérique VPN.Add a host route of the Azure BGP peer IP address on your VPN device. Cette route pointe vers le tunnel VPN S2S IPsec.This route points to the IPsec S2S VPN tunnel. Par exemple, si l’IP de pair VPN Azure est 10.12.255.30, ajoutez une route hôte pour 10.12.255.30 avec une interface de tronçon suivant de l’interface de tunnel IPsec correspondante sur votre périphérique VPN.For example, if the Azure VPN peer IP is 10.12.255.30, you add a host route for 10.12.255.30 with a next-hop interface of the matching IPsec tunnel interface on your VPN device.

La passerelle de réseau virtuel prend-elle en charge BFD pour les connexions S2S avec BGP ?Does the virtual network gateway support BFD for S2S connections with BGP?

Non.No. La détection de transfert bidirectionnel (BFD) est un protocole que vous pouvez utiliser avec BGP pour détecter les temps d’arrêt voisins plus vite que si vous utilisez des connexions actives (keepalives) BGP standard.Bidirectional Forwarding Detection (BFD) is a protocol that you can use with BGP to detect neighbor downtime quicker than you can by using standard BGP "keepalives." BFD utilise des minuteurs secondaires conçus pour fonctionner dans des environnements LAN, mais pas avec les connexions WAN ou sur l’Internet public.BFD uses subsecond timers designed to work in LAN environments, but not across the public internet or Wide Area Network connections.

Pour les connexions sur l’Internet public, le fait d’avoir des paquets en retard ou même abandonnés n’est pas rare, donc introduire ces minuteurs agressifs peut ajouter une instabilité.For connections over the public internet, having certain packets delayed or even dropped isn't unusual, so introducing these aggressive timers can add instability. Cette instabilité risque d’entraîner le blocage des routes par BGP.This instability might cause routes to be dampened by BGP. Comme alternative, vous pouvez configurer votre appareil local avec des minuteurs inférieurs à l’intervalle de conservation de 60 secondes par défaut et le minuteur de suspension de 180 secondes.As an alternative, you can configure your on-premises device with timers lower than the default, 60-second "keepalive" interval, and the 180-second hold timer. Vous obtiendrez un temps de convergence plus rapide.This results in a quicker convergence time.

Les passerelles VPN Azure lancent-elles des connexions ou des sessions de peering BGP ?Do Azure VPN gateways initiate BGP peering sessions or connections?

La passerelle lance des sessions de peering BGP sur les adresses IP de pair BGP locales spécifiées dans les ressources de passerelle de réseau local en utilisant les adresses IP privées sur les passerelles VPN.The gateway will initiate BGP peering sessions to the on-premises BGP peer IP addresses specified in the local network gateway resources using the private IP addresses on the VPN gateways. Il en est ainsi, que les adresses IP BGP locales se trouvent dans la plage APIPA ou soient des adresses IP privées standard.This is irrespective of whether the on-premises BGP IP addresses are in the APIPA range or regular private IP addresses. Si vos appareils VPN locaux utilisent des adresses APIPA comme adresse IP BGP, vous devez configurer votre speaker BGP pour lancer les connexions.If your on-premises VPN devices use APIPA addresses as BGP IP, you need to configure your BGP speaker to initiate the connections.

Étapes suivantesNext steps

Consultez la page Getting started with BGP on Azure VPN gateways (Prise en main du protocole BGP sur les passerelles VPN Azure) pour savoir comment configurer le protocole BGP pour vos connexions entre sites locaux et entre réseaux virtuels.See Getting started with BGP on Azure VPN gateways for steps to configure BGP for your cross-premises and VNet-to-VNet connections.