À propos du protocole BGP avec la passerelle VPN AzureAbout BGP with Azure VPN Gateway

Cet article fournit une vue d’ensemble de la prise en charge du protocole BGP (Border Gateway Protocol) avec la passerelle VPN Azure.This article provides an overview of BGP (Border Gateway Protocol) support in Azure VPN Gateway.

BGP est le protocole de routage standard couramment utilisé sur Internet pour échanger des informations de routage et d’accessibilité entre plusieurs réseaux.BGP is the standard routing protocol commonly used in the Internet to exchange routing and reachability information between two or more networks. Dans le contexte des réseaux virtuels Azure, le protocole BGP permet aux passerelles VPN Azure et à vos périphériques VPN locaux (appelés voisins ou homologues BGP) d’échanger des « itinéraires » qui informent les deux passerelles de la disponibilité et de l’accessibilité de ces préfixes pour transiter par les passerelles ou routeurs impliqués.When used in the context of Azure Virtual Networks, BGP enables the Azure VPN Gateways and your on-premises VPN devices, called BGP peers or neighbors, to exchange "routes" that will inform both gateways on the availability and reachability for those prefixes to go through the gateways or routers involved. Le protocole BGP assure également le routage de transit entre plusieurs réseaux en propageant les itinéraires qu’une passerelle BGP obtient d’un homologue BGP à tous les autres homologues BGP.BGP can also enable transit routing among multiple networks by propagating routes a BGP gateway learns from one BGP peer to all other BGP peers.

Pourquoi utiliser le protocole BGP ?Why use BGP?

Le protocole BGP est une fonctionnalité facultative que vous pouvez utiliser avec les passerelles VPN Azure basées sur des itinéraires.BGP is an optional feature you can use with Azure Route-Based VPN gateways. Vous devez vous assurer que vos périphériques VPN locaux prennent en charge le protocole BGP avant d’activer cette fonctionnalité.You should also make sure your on-premises VPN devices support BGP before you enable the feature. Vous pouvez continuer à utiliser des passerelles VPN Azure et vos périphériques VPN locaux sans le protocole BGP.You can continue to use Azure VPN gateways and your on-premises VPN devices without BGP. Cela revient à utiliser des itinéraires statiques (sans le protocole BGP) au lieu d’utiliser un routage dynamique avec le protocole BGP entre vos réseaux et Azure.It is the equivalent of using static routes (without BGP) vs. using dynamic routing with BGP between your networks and Azure.

Le protocole BGP offre plusieurs avantages et de nouvelles fonctionnalités :There are several advantages and new capabilities with BGP:

Prise en charge de mises à jour de préfixe automatiques et flexiblesSupport automatic and flexible prefix updates

Avec le protocole BGP, il vous suffit de déclarer un préfixe minimal pour un homologue BGP spécifique sur le tunnel VPN S2S IPsec.With BGP, you only need to declare a minimum prefix to a specific BGP peer over the IPsec S2S VPN tunnel. Il peut être aussi réduit que le préfixe d’un hôte (/32) de l’adresse IP de l’homologue BGP de votre périphérique VPN local.It can be as small as a host prefix (/32) of the BGP peer IP address of your on-premises VPN device. Vous pouvez décider des préfixes de réseaux locaux à publier sur Azure, qui pourront accéder à votre réseau virtuel Azure.You can control which on-premises network prefixes you want to advertise to Azure to allow your Azure Virtual Network to access.

Vous pouvez également publier un préfixe plus étendu, qui peut inclure certains préfixes d’adresses de votre réseau virtuel, par exemple un large espace d’adressage IP privé (par exemple, 10.0.0.0/8).You can also advertise larger prefixes that may include some of your VNet address prefixes, such as a large private IP address space (for example, 10.0.0.0/8). Notez cependant que les préfixes ne peuvent en aucun cas être identiques à ceux de votre réseau virtuel.Note though the prefixes cannot be identical with any one of your VNet prefixes. Les itinéraires identiques aux préfixes de votre réseau virtuel seront rejetés.Those routes identical to your VNet prefixes will be rejected.

Prise en charge de plusieurs tunnels entre un réseau virtuel et un site local avec basculement automatique basé sur le protocole BGPSupport multiple tunnels between a VNet and an on-premises site with automatic failover based on BGP

Vous pouvez établir plusieurs connexions entre votre réseau virtuel Azure et vos périphériques VPN locaux au même emplacement.You can establish multiple connections between your Azure VNet and your on-premises VPN devices in the same location. Cette fonctionnalité fournit plusieurs tunnels (chemins) entre les deux réseaux dans une configuration actif-actif.This capability provides multiple tunnels (paths) between the two networks in an active-active configuration. Si l’un des tunnels est déconnecté, les itinéraires correspondants seront retirés par le biais du protocole BGP et le trafic est automatiquement déplacé vers les tunnels restants.If one of the tunnels is disconnected, the corresponding routes will be withdrawn via BGP and the traffic automatically shifts to the remaining tunnels.

Le schéma suivant offre un exemple simple de cette configuration à haute disponibilité :The following diagram shows a simple example of this highly available setup:

Plusieurs chemins actifs

Prise en charge du routage de transit entre vos réseaux locaux et plusieurs réseaux virtuels AzureSupport transit routing between your on-premises networks and multiple Azure VNets

Le protocole BGP permet à plusieurs passerelles d’obtenir des préfixes de différents réseaux et de les propager, que la connexion soit directe ou indirecte.BGP enables multiple gateways to learn and propagate prefixes from different networks, whether they are directly or indirectly connected. Ceci peut permettre un routage de transit avec des passerelles VPN Azure entre vos sites locaux ou sur plusieurs réseaux virtuels Azure.This can enable transit routing with Azure VPN gateways between your on-premises sites or across multiple Azure Virtual Networks.

Le schéma suivant offre un exemple de topologie à tronçons multiples, avec plusieurs chemins permettant de faire transiter le trafic entre les deux réseaux locaux via les passerelles VPN Azure dans les réseaux Microsoft :The following diagram shows an example of a multi-hop topology with multiple paths that can transit traffic between the two on-premises networks through Azure VPN gateways within the Microsoft Networks:

Transit sur plusieurs tronçons

Forum Aux Questions sur le protocole BGPBGP FAQ

Le protocole BGP est-il pris en charge sur toutes les références de passerelle VPN Azure ?Is BGP supported on all Azure VPN Gateway SKUs?

Non, le protocole BGP est pris en charge sur les passerelles VPN Azure VpnGw1, VpnGw2, VpnGw3, Standard et HighPerformance.No, BGP is supported on Azure VpnGw1, VpnGw2, VpnGw3, Standard and HighPerformance VPN gateways. La référence De base N’EST PAS prise en charge.Basic SKU is NOT supported.

Puis-je utiliser le protocole BGP avec les passerelles VPN Azure basées sur des stratégies ?Can I use BGP with Azure Policy-Based VPN gateways?

Non. Le protocole BGP est pris en charge uniquement sur les passerelles VPN basées sur des itinéraires.No, BGP is supported on Route-Based VPN gateways only.

Puis-je utiliser des NSA (numéros de système autonomes) privés ?Can I use private ASNs (Autonomous System Numbers)?

Oui, vous pouvez utiliser vos propres NSA publics ou privés pour vos réseaux locaux et les réseaux virtuels Azure.Yes, you can use your own public ASNs or private ASNs for both your on-premises networks and Azure virtual networks.

Puis-je utiliser des NSA (numéros de système autonomes) 32 bits ?Can I use 32-bit ASNs (Autonomous System Numbers)?

Non, les passerelles VPN Azure ne prennent en charge que les NSA 16 bits pour le moment.No, the Azure VPN Gateways support 16-Bit ASNs today.

Existe-t-il des NSA réservés par Azure ?Are there ASNs reserved by Azure?

Oui. Les NSA suivants sont réservés par Azure pour les homologations internes et externes :Yes, the following ASNs are reserved by Azure for both internal and external peerings:

  • NSA publics : 8074, 8075, 12076Public ASNs: 8074, 8075, 12076
  • NSA privés : 65515, 65517, 65518, 65519, 65520Private ASNs: 65515, 65517, 65518, 65519, 65520

Vous ne pouvez pas spécifier ces NSA pour vos périphériques VPN locaux lors de la connexion à des passerelles VPN Azure.You cannot specify these ASNs for your on premises VPN devices when connecting to Azure VPN gateways.

Existe-t-il d’autres NSA que je ne peux pas utiliser ?Are there any other ASNs that I can't use?

Oui, les NSA ci-après sont réservés par l’IANA et ne sont pas configurables sur votre passerelle VPN Azure :Yes, the following ASNs are reserved by IANA and can't be configured on your Azure VPN Gateway:

23456, 64496-64511, 65535-65551 et 429496729.23456, 64496-64511, 65535-65551 and 429496729

Puis-je utiliser le même NSA pour les réseaux VPN locaux et les réseaux virtuels Azure ?Can I use the same ASN for both on-premises VPN networks and Azure VNets?

Non. Vous devez attribuer des NSA différents à vos réseaux locaux et vos réseaux virtuels Azure si vous les interconnectez avec le protocole BGP.No, you must assign different ASNs between your on-premises networks and your Azure VNets if you are connecting them together with BGP. Le NSA 65515 est attribué aux passerelles VPN Azure par défaut, et ce, que le protocole BGP soit activé ou non pour la connectivité entre les sites locaux.Azure VPN Gateways have a default ASN of 65515 assigned, whether BGP is enabled or not for your cross-premises connectivity. Vous pouvez remplacer cette valeur par défaut en attribuant un NSA différent lors de la création de la passerelle VPN, ou modifier le NSA après avoir créé la passerelle.You can override this default by assigning a different ASN when creating the VPN gateway, or change the ASN after the gateway is created. Vous devez affecter vos NSA locaux aux passerelles de réseau local Azure correspondantes.You will need to assign your on-premises ASNs to the corresponding Azure Local Network Gateways.

Quels préfixes d’adresse les passerelles VPN Azure publieront-elles pour moi ?What address prefixes will Azure VPN gateways advertise to me?

La passerelle VPN Azure publiera les itinéraires suivants pour vos périphériques BGP locaux :Azure VPN gateway will advertise the following routes to your on-premises BGP devices:

  • préfixes d’adresse de votre réseau virtuel ;Your VNet address prefixes
  • préfixes d’adresse de chaque passerelle de réseau local connectée à la passerelle VPN Azure ;Address prefixes for each Local Network Gateways connected to the Azure VPN gateway
  • itinéraires obtenus à partir d’autres sessions d’homologation BGP connectées à la passerelle VPN Azure, à l’exception de l’itinéraire par défaut ou des itinéraires se chevauchant avec un préfixe de réseau virtuel.Routes learned from other BGP peering sessions connected to the Azure VPN gateway, except default route or routes overlapped with any VNet prefix.

Combien de préfixes puis-je publier sur la passerelle VPN Azure ?How many prefixes can I advertise to Azure VPN gateway?

Nous prenons en charge jusqu’à 4 000 préfixes.We support up to 4000 prefixes. La session BGP s’arrête si le nombre de préfixes dépasse la limite.The BGP session is dropped if the number of prefixes exceeds the limit.

Puis-je publier l’itinéraire par défaut (0.0.0.0/0) vers les passerelles VPN Azure ?Can I advertise default route (0.0.0.0/0) to Azure VPN gateways?

Oui.Yes.

Notez que cela dirigera tout le trafic de sortie du réseau virtuel vers votre site local et empêchera les machines virtuelles du réseau virtuel d’accepter des communications publiques directement à partir d’Internet, par exemple RDP ou SSH d’Internet vers les machines virtuelles.Please note this will force all VNet egress traffic towards your on-premises site, and will prevent the VNet VMs from accepting public communication from the Internet directly, such RDP or SSH from the Internet to the VMs.

Puis-je publier les mêmes préfixes que ceux de mon adresse de réseau virtuel ?Can I advertise the exact prefixes as my Virtual Network prefixes?

Non. La publication des mêmes préfixes que ceux de votre adresse de réseau virtuel est bloquée ou filtrée par la plateforme Azure.No, advertising the same prefixes as any one of your Virtual Network address prefixes will be blocked or filtered by the Azure platform. Toutefois, vous pouvez publier un préfixe qui soit un sur-ensemble des éléments de votre réseau virtuel.However you can advertise a prefix that is a superset of what you have inside your Virtual Network.

Par exemple, votre réseau virtuel peut utiliser l’espace d’adresse 10.0.0.0/16 et vous pouvez publier 10.0.0.0/8.For example, if your virtual network used the address space 10.0.0.0/16, you could advertise 10.0.0.0/8. Par contre, vous ne pouvez pas publier 10.0.0.0/16 ou 10.0.0.0/24.But you cannot advertise 10.0.0.0/16 or 10.0.0.0/24.

Puis-je utiliser le protocole BGP avec des connexions entre réseaux virtuels ?Can I use BGP with my VNet-to-VNet connections?

Oui. Vous pouvez utiliser le protocole BGP pour les connexions entre sites locaux et entre réseaux virtuels.Yes, you can use BGP for both cross-premises connections and VNet-to-VNet connections.

Puis-je combiner des connexions BGP et non-BGP pour mes passerelles VPN Azure ?Can I mix BGP with non-BGP connections for my Azure VPN gateways?

Oui. Vous pouvez combiner des connexions BGP et non-BGP pour la même passerelle VPN Azure.Yes, you can mix both BGP and non-BGP connections for the same Azure VPN gateway.

La passerelle VPN Azure prend-elle en charge le routage de transit BGP ?Does Azure VPN gateway support BGP transit routing?

Oui. Le routage de transit BGP est pris en charge. Cependant, les passerelles VPN Azure ne publient PAS les routes par défaut sur les autres pairs BGP.Yes, BGP transit routing is supported, with the exception that Azure VPN gateways will NOT advertise default routes to other BGP peers. Pour activer le routage de transit via plusieurs passerelles VPN Azure, vous devez activer le protocole BGP sur toutes les connexions intermédiaires entre réseaux virtuels.To enable transit routing across multiple Azure VPN gateways, you must enable BGP on all intermediate VNet-to-VNet connections. Pour plus d’informations, consultez À propose de BGP.For more information, see About BGP.

Puis-je créer plusieurs tunnels entre ma passerelle VPN Azure et mon réseau local ?Can I have more than one tunnel between Azure VPN gateway and my on-premises network?

Oui. Vous pouvez établir plusieurs tunnels VPN S2S entre une passerelle VPN Azure et votre réseau local.Yes, you can establish more than one S2S VPN tunnel between an Azure VPN gateway and your on-premises network. Tous ces tunnels seront comptabilisés par rapport au nombre total de tunnels pour vos passerelles VPN Azure et vous devez activer le protocole BGP sur les deux tunnels.Please note that all these tunnels will be counted against the total number of tunnels for your Azure VPN gateways and you must enable BGP on both tunnels.

Par exemple, si vous établissez deux tunnels redondants entre votre passerelle VPN Azure et l’un de vos réseaux locaux, 2 tunnels seront utilisés sur le quota total de votre passerelle VPN Azure (10 pour la référence Standard et 30 pour la référence HighPerformance).For example, if you have two redundant tunnels between your Azure VPN gateway and one of your on-premises networks, they will consume 2 tunnels out of the total quota for your Azure VPN gateway (10 for Standard and 30 for HighPerformance).

Puis-je avoir plusieurs tunnels entre deux réseaux virtuels Azure avec protocole BGP ?Can I have multiple tunnels between two Azure VNets with BGP?

Oui, mais au moins une des passerelles de réseau virtuel doit être dans une configuration active-active.Yes, but at least one of the virtual network gateways must be in active-active configuration.

Puis-je utiliser BGP pour les passerelles VPN S2S dans une configuration de coexistence entre des passerelles ExpressRoute/S2S ?Can I use BGP for S2S VPN in an ExpressRoute/S2S VPN co-existence configuration?

Oui.Yes.

Quelle adresse la passerelle VPN Azure utilise-t-elle pour l’IP d’homologue BGP ?What address does Azure VPN gateway use for BGP Peer IP?

La passerelle VPN Azure alloue une adresse IP unique à partir de la plage de sous-réseau de passerelle pour les passerelles VPN de type actif/passif, ou deux adresses IP pour les passerelles VPN actif-actif.The Azure VPN gateway will allocate a single IP address from the GatewaySubnet range for active-standby VPN gateways, or two IP addresses for active-active VPN gateways. Vous pouvez obtenir les adresses IP BGP réelles allouées à l’aide de PowerShell (Get-AzVirtualNetworkGateway, recherchez la propriété « bgpPeeringAddress »), ou dans le portail Azure (sous la propriété « Configurer un ASN BGP » sur la page Configuration de la passerelle).You can get the actual BGP IP address(es) allocated by using PowerShell (Get-AzVirtualNetworkGateway, look for the “bgpPeeringAddress” property), or in the Azure portal (under the “Configure BGP ASN” property on the Gateway Configuration page).

Quelles sont les conditions requises concernant les adresses IP d’homologue BGP sur mon périphérique VPN ?What are the requirements for the BGP Peer IP addresses on my VPN device?

Votre adresse d’homologue BGP locale ne doit pas être identique à l’adresse IP publique de votre appareil VPN ni à l’espace d’adresse de la passerelle VPN.Your on-premises BGP peer address MUST NOT be the same as the public IP address of your VPN device or the Vnet address space of the VPN Gateway. Utilisez une adresse IP différente de l’IP d’homologue BGP pour votre périphérique VPN.Use a different IP address on the VPN device for your BGP Peer IP. Il peut s’agir d’une adresse affectée à l’interface de bouclage sur l’appareil, mais veuillez noter qu’il ne peut pas s’agir d’une adresse APIPA (169.254.x.x).It can be an address assigned to the loopback interface on the device, but please note that it cannot be an APIPA (169.254.x.x) address. Spécifiez cette adresse sur la passerelle de réseau local correspondante, représentant l’emplacement.Specify this address in the corresponding Local Network Gateway representing the location.

Que dois-je spécifier comme préfixes d’adresse pour la passerelle de réseau local lorsque j’utilise le protocole BGP ?What should I specify as my address prefixes for the Local Network Gateway when I use BGP?

La passerelle de réseau local Azure spécifie les préfixes d’adresse initiaux pour le réseau local.Azure Local Network Gateway specifies the initial address prefixes for the on-premises network. Avec le protocole BGP, vous devez allouer le préfixe de l’hôte (préfixe /32) de votre adresse IP d’homologue BGP en tant qu’espace d’adressage pour ce réseau local.With BGP, you must allocate the host prefix (/32 prefix) of your BGP Peer IP address as the address space for that on-premises network. Si votre adresse IP d’homologue BGP est 10.52.255.254, vous devez spécifier « 10.52.255.254/32 » comme espace localNetworkAddressSpace de la passerelle de réseau local, représentant ce réseau local.If your BGP Peer IP is 10.52.255.254, you should specify "10.52.255.254/32" as the localNetworkAddressSpace of the Local Network Gateway representing this on-premises network. Ainsi, vous vous assurez que la passerelle VPN Azure établit la session BGP via le tunnel VPN S2S.This is to ensure that the Azure VPN gateway establishes the BGP session through the S2S VPN tunnel.

Que dois-je ajouter à mon périphérique VPN local pour la session d’homologation BGP ?What should I add to my on-premises VPN device for the BGP peering session?

Vous devez ajouter un itinéraire hôte de l’adresse IP d’homologue BGP Azure sur votre périphérique VPN pointant vers le tunnel VPN S2S IPsec.You should add a host route of the Azure BGP Peer IP address on your VPN device pointing to the IPsec S2S VPN tunnel. Par exemple, si l’adresse IP d’homologue VPN Azure est « 10.12.255.30 », vous devez ajouter un itinéraire hôte pour « 10.12.255.30 » avec l’interface de tronçon suivant de l’interface de tunnel IPsec correspondante sur votre périphérique VPN.For example, if the Azure VPN Peer IP is "10.12.255.30", you should add a host route for "10.12.255.30" with a nexthop interface of the matching IPsec tunnel interface on your VPN device.

Étapes suivantesNext steps

Consultez la page Getting started with BGP on Azure VPN gateways (Prise en main du protocole BGP sur les passerelles VPN Azure) pour savoir comment configurer le protocole BGP pour vos connexions entre sites locaux et entre réseaux virtuels.See Getting started with BGP on Azure VPN gateways for steps to configure BGP for your cross-premises and VNet-to-VNet connections.