Panoramica di BGP con i gateway VPN di AzureOverview of BGP with Azure VPN Gateways

Questo articolo fornisce una panoramica di BGP (Border Gateway Protocol) nei gateway VPN di Azure.This article provides an overview of BGP (Border Gateway Protocol) support in Azure VPN Gateways.

BGP è il protocollo di routing standard comunemente usato in Internet per lo scambio di informazioni di routing e raggiungibilità tra due o più reti.BGP is the standard routing protocol commonly used in the Internet to exchange routing and reachability information between two or more networks. Quando viene usato nel contesto di reti virtuali di Azure, BGP consente ai gateway VPN di Azure e ai dispositivi VPN locali, detti peer BGP o router adiacenti, lo scambio di "route" che indicano a entrambi i gateway la disponibilità e la raggiungibilità di tali prefissi per il passaggio attraverso i gateway o i router coinvolti.When used in the context of Azure Virtual Networks, BGP enables the Azure VPN Gateways and your on-premises VPN devices, called BGP peers or neighbors, to exchange "routes" that will inform both gateways on the availability and reachability for those prefixes to go through the gateways or routers involved. BGP può anche abilitare il routing di transito tra più reti propagando a tutti gli altri peer BGP le route che un gateway BGP apprende da un peer BGP.BGP can also enable transit routing among multiple networks by propagating routes a BGP gateway learns from one BGP peer to all other BGP peers.

Perché usare BGPWhy use BGP?

BGP è una funzionalità facoltativa che può essere usata con i gateway VPN di Azure basati su route.BGP is an optional feature you can use with Azure Route-Based VPN gateways. Prima di abilitare tale funzionalità, assicurarsi che i dispositivi VPN locali supportino BGP.You should also make sure your on-premises VPN devices support BGP before you enable the feature. È possibile continuare a usare i gateway VPN di Azure e i dispositivi VPN locali senza BGP.You can continue to use Azure VPN gateways and your on-premises VPN devices without BGP. In altre parole occorre scegliere tra l'uso delle route statiche, senza BGP, oppure l'uso del routing dinamico con BGP tra le reti e Azure.It is the equivalent of using static routes (without BGP) vs. using dynamic routing with BGP between your networks and Azure.

BGP offre nuove funzionalità e numerosi vantaggi, illustrati di seguito.There are several advantages and new capabilities with BGP:

Supporto per l'aggiornamento automatico e flessibile dei prefissiSupport automatic and flexible prefix updates

Con BGP, è sufficiente dichiarare un prefisso minimo a un peer BGP specifico attraverso il tunnel VPN S2S IPsec.With BGP, you only need to declare a minimum prefix to a specific BGP peer over the IPsec S2S VPN tunnel. La dimensione minima consentita è quella di un prefisso dell'host (/32) dell'indirizzo IP del peer BGP per il dispositivo VPN locale.It can be as small as a host prefix (/32) of the BGP peer IP address of your on-premises VPN device. È possibile controllare quali prefissi di rete locale segnalare in Azure per consentire alla rete virtuale di Azure di accedere.You can control which on-premises network prefixes you want to advertise to Azure to allow your Azure Virtual Network to access.

È anche possibile segnalare prefissi più grandi, che possono includere alcuni dei prefissi di indirizzo della rete virtuale, come uno spazio di indirizzi IP privato di grandi dimensioni, ad esempio 10.0.0.0/8.You can also advertise larger prefixes that may include some of your VNet address prefixes, such as a large private IP address space (for example, 10.0.0.0/8). Si noti che i prefissi non possono essere identici ad alcuno dei prefissi della rete virtuale.Note though the prefixes cannot be identical with any one of your VNet prefixes. Le route identiche ai prefissi della rete virtuale verranno rifiutate.Those routes identical to your VNet prefixes will be rejected.

Supporto di più tunnel tra una rete virtuale e un sito locale con failover automatico basato su BGPSupport multiple tunnels between a VNet and an on-premises site with automatic failover based on BGP

È possibile stabilire più connessioni tra la rete virtuale di Azure e i dispositivi VPN locali nella stessa località.You can establish multiple connections between your Azure VNet and your on-premises VPN devices in the same location. Questa funzionalità fornisce più tunnel, o percorsi, tra le due reti in una configurazione di tipo attivo/attivo.This capability provides multiple tunnels (paths) between the two networks in an active-active configuration. Se uno dei tunnel viene disconnesso, le route corrispondenti vengono ritirate tramite BGP e il traffico si sposta automaticamente nei tunnel restanti.If one of the tunnels is disconnected, the corresponding routes will be withdrawn via BGP and the traffic automatically shifts to the remaining tunnels.

Il diagramma seguente mostra un esempio semplice di questa configurazione a disponibilità elevata:The following diagram shows a simple example of this highly available setup:

Più percorsi attivi

Supporto del routing di transito tra le reti locali e più reti virtuali di AzureSupport transit routing between your on-premises networks and multiple Azure VNets

BGP consente a più gateway di apprendere e propagare i prefissi da reti diverse, connesse sia direttamente che indirettamente.BGP enables multiple gateways to learn and propagate prefixes from different networks, whether they are directly or indirectly connected. Questo consente il routing di transito con i gateway VPN di Azure tra i siti locali o tra più reti virtuali di Azure.This can enable transit routing with Azure VPN gateways between your on-premises sites or across multiple Azure Virtual Networks.

Il diagramma seguente illustra un esempio di una topologia multihop con più percorsi che possono far passare il traffico tra le due reti locali tramite i gateway VPN di Azure all'interno di reti Microsoft:The following diagram shows an example of a multi-hop topology with multiple paths that can transit traffic between the two on-premises networks through Azure VPN gateways within the Microsoft Networks:

Transito multihop

DOMANDE FREQUENTI SU BGPBGP FAQ

BGP è supportato in tutti gli SKU del gateway VPN di Azure?Is BGP supported on all Azure VPN Gateway SKUs?

No, BGP è supportato nei gateway VPN VpnGw1, VpnGw2, VpnGw3, Standard e HighPerformance di Azure.No, BGP is supported on Azure VpnGw1, VpnGw2, VpnGw3, Standard and HighPerformance VPN gateways. Basic NON è supportato.Basic SKU is NOT supported.

È possibile usare il protocollo BGP con i gateway VPN di Azure basati su criteri?Can I use BGP with Azure Policy-Based VPN gateways?

No, BGP è supportato unicamente nei gateway VPN basati su route.No, BGP is supported on Route-Based VPN gateways only.

È possibile usare un numero sistema autonomo (ASN) privato?Can I use private ASNs (Autonomous System Numbers)?

Sì, è possibile usare il proprio ASN privato o ASN pubblici sia per le reti locali che per le reti virtuali di Azure.Yes, you can use your own public ASNs or private ASNs for both your on-premises networks and Azure virtual networks.

Esistono ASN riservati da Azure?Are there ASNs reserved by Azure?

Sì, gli ASN seguenti sono riservati da Azure per peering interno ed esterno:Yes, the following ASNs are reserved by Azure for both internal and external peerings:

  • ASN pubblici: 8075, 8076, 12076Public ASNs: 8075, 8076, 12076
  • ASN privati: 65515, 65517, 65518, 65519, 65520Private ASNs: 65515, 65517, 65518, 65519, 65520

Non è possibile specificare questi ASN per i dispositivi VPN locali nella connessione ai gateway VPN di Azure.You cannot specify these ASNs for your on premises VPN devices when connecting to Azure VPN gateways.

Ci sono altri ASN che non è possibile usare?Are there any other ASNs that I can't use?

Sì, gli ASN seguenti sono riservati da IANA e non possono essere configurati nel Gateway VPN di Azure:Yes, the following ASNs are reserved by IANA and can't be configured on your Azure VPN Gateway:

23456, 64496-64511, 65535-65551 e 42949672923456, 64496-64511, 65535-65551 and 429496729

È possibile usare lo stesso ASN sia per le reti VPN locali che per le reti virtuali di Azure?Can I use the same ASN for both on-premises VPN networks and Azure VNets?

No, è necessario assegnare ASN diversi alle reti locali e alle reti virtuali di Azure, se vengono connesse insieme tramite BGP.No, you must assign different ASNs between your on-premises networks and your Azure VNets if you are connecting them together with BGP. Ai gateway VPN di Azure è assegnato un ASN predefinito di 65515, sia che BGP sia abilitato o meno per la connettività cross-premise.Azure VPN Gateways have a default ASN of 65515 assigned, whether BGP is enabled or not for your cross-premises connectivity. È possibile eseguire l'override di questo valore predefinito assegnando un ASN diverso durante la creazione del gateway VPN. In alternativa è possibile modificare l'ASN dopo aver creato il gateway.You can override this default by assigning a different ASN when creating the VPN gateway, or change the ASN after the gateway is created. Sarà necessario assegnare gli ASN locali ai gateway di rete locali di Azure corrispondenti.You will need to assign your on-premises ASNs to the corresponding Azure Local Network Gateways.

Quali prefissi di indirizzo vengono segnalati all'utente dai gateway VPN di Azure?What address prefixes will Azure VPN gateways advertise to me?

Il gateway VPN di Azure segnala le route seguenti ai dispositivi BGP locali:Azure VPN gateway will advertise the following routes to your on-premises BGP devices:

  • Prefissi di indirizzo di rete virtuale.Your VNet address prefixes
  • Prefissi di indirizzo per ogni gateway di rete locale connesso al gateway VPN di Azure.Address prefixes for each Local Network Gateways connected to the Azure VPN gateway
  • Route ottenute da altre sessioni di peering BGP connesse al gateway VPN di Azure, ad eccezione delle route predefinite o sovrapposte a qualsiasi prefisso di rete virtuale.Routes learned from other BGP peering sessions connected to the Azure VPN gateway, except default route or routes overlapped with any VNet prefix.

È possibile segnalare la route predefinita (0.0.0.0/0) ai gateway VPN di Azure?Can I advertise default route (0.0.0.0/0) to Azure VPN gateways?

Sì.Yes.

Si noti che questo forzerà tutto il traffico in uscita della rete virtuale verso il sito locale e impedirà alle macchine virtuali della rete virtuale di accettare direttamente le comunicazioni pubbliche da Internet, come RDP o SSH da Internet verso le macchine virtuali.Please note this will force all VNet egress traffic towards your on-premises site, and will prevent the VNet VMs from accepting public communication from the Internet directly, such RDP or SSH from the Internet to the VMs.

È possibile segnalare gli stessi prefissi della propria rete virtuale?Can I advertise the exact prefixes as my Virtual Network prefixes?

No, la segnalazione degli stessi prefissi degli indirizzi della rete virtuale verrà bloccata o filtrata dalla piattaforma Azure.No, advertising the same prefixes as any one of your Virtual Network address prefixes will be blocked or filtered by the Azure platform. È tuttavia possibile pubblicizzare un prefisso che rappresenta un superset di ciò che si trova all'interno della rete virtuale.However you can advertise a prefix that is a superset of what you have inside your Virtual Network.

Ad esempio, se la rete virtuale usa lo spazio di indirizzi 10.0.0.0/16, è possibile pubblicizzare 10.0.0.0/8,For example, if your virtual network used the address space 10.0.0.0/16, you could advertise 10.0.0.0/8. ma non 10.0.0.0/16 o 10.0.0.0/24.But you cannot advertise 10.0.0.0/16 or 10.0.0.0/24.

È possibile usare BGP con le connessioni tra reti virtuali?Can I use BGP with my VNet-to-VNet connections?

Sì, è possibile usare BGP sia per connessioni cross-premise che per connessioni tra reti virtuali.Yes, you can use BGP for both cross-premises connections and VNet-to-VNet connections.

È possibile combinare connessioni BGP con connessioni non BGP per i gateway VPN di Azure?Can I mix BGP with non-BGP connections for my Azure VPN gateways?

Sì, è possibile combinare connessioni BGP e connessioni non BGP per lo stesso gateway VPN di Azure.Yes, you can mix both BGP and non-BGP connections for the same Azure VPN gateway.

Il gateway VPN di Azure supporta il routing di transito BGP?Does Azure VPN gateway support BGP transit routing?

Sì, il routing di transito BGP è supportato, con l'eccezione che i gateway VPN di Azure NON segnalano le route predefinite agli altri peer BGP.Yes, BGP transit routing is supported, with the exception that Azure VPN gateways will NOT advertise default routes to other BGP peers. Per abilitare il routing di transito tra più gateway VPN di Azure, è necessario abilitare BGP su tutte le connessioni tra reti virtuali intermedie.To enable transit routing across multiple Azure VPN gateways, you must enable BGP on all intermediate VNet-to-VNet connections.

È possibile stabilire più di un tunnel tra il gateway VPN di Azure e la rete locale?Can I have more than one tunnel between Azure VPN gateway and my on-premises network?

Sì, è possibile stabilire più di un tunnel VPN S2S tra un gateway VPN di Azure e la rete locale.Yes, you can establish more than one S2S VPN tunnel between an Azure VPN gateway and your on-premises network. Si noti che tutti i tunnel verranno conteggiati rispetto al numero totale di tunnel per i gateway VPN di Azure ed è necessario abilitare BGP in entrambi i tunnel.Please note that all these tunnels will be counted against the total number of tunnels for your Azure VPN gateways and you must enable BGP on both tunnels.

Ad esempio, se sono presenti due tunnel ridondanti tra il gateway VPN di Azure e una delle reti locali, vengono utilizzati 2 tunnel della quota totale per il gateway VPN di Azure, ovvero 10 per il livello Standard e 30 per il livello HighPerformance.For example, if you have two redundant tunnels between your Azure VPN gateway and one of your on-premises networks, they will consume 2 tunnels out of the total quota for your Azure VPN gateway (10 for Standard and 30 for HighPerformance).

È possibile stabilire più tunnel tra due reti virtuali di Azure con BGP?Can I have multiple tunnels between two Azure VNets with BGP?

Sì, ma almeno uno dei gateway di rete virtuale deve avere la configurazione attiva/attiva.Yes, but at least one of the virtual network gateways must be in active-active configuration.

È possibile usare BGP per VPN S2S in una configurazione di coesistenza tra VPN ExpressRoute/S2S?Can I use BGP for S2S VPN in an ExpressRoute/S2S VPN co-existence configuration?

Sì.Yes.

Quale indirizzo viene usato dal gateway VPN di Azure per l'indirizzo IP del peer BGP?What address does Azure VPN gateway use for BGP Peer IP?

Il gateway VPN di Azure alloca un unico indirizzo IP incluso nell'intervallo GatewaySubnet definito per la rete virtuale.The Azure VPN gateway will allocate a single IP address from the GatewaySubnet range defined for the virtual network. Per impostazione predefinita, si tratta del penultimo indirizzo dell'intervallo.By default, it is the second last address of the range. Ad esempio, se il valore di GatewaySubnet è 10.12.255.0/27, compreso tra 10.12.255.0 e 10.12.255.31, l'indirizzo IP del peer BGP nel gateway VPN di Azure sarà 10.12.255.30.For example, if your GatewaySubnet is 10.12.255.0/27, ranging from 10.12.255.0 to 10.12.255.31, the BGP Peer IP address on the Azure VPN gateway will be 10.12.255.30. Queste informazioni sono reperibili quando si elencano le informazioni sul gateway VPN di Azure.You can find this information when you list the Azure VPN gateway information.

Quali sono i requisiti per gli indirizzi IP dei peer BGP nel dispositivo VPN?What are the requirements for the BGP Peer IP addresses on my VPN device?

L'indirizzo del peer BGP locale NON DEVE essere uguale all'indirizzo IP pubblico del dispositivo VPN.Your on-premises BGP peer address MUST NOT be the same as the public IP address of your VPN device. Usare un indirizzo IP diverso nel dispositivo VPN per l'indirizzo IP del peer BGP.Use a different IP address on the VPN device for your BGP Peer IP. Può trattarsi di un indirizzo assegnato all'interfaccia di loopback nel dispositivo.It can be an address assigned to the loopback interface on the device. Specificare questo indirizzo nel gateway di rete locale corrispondente che rappresenta la posizione.Specify this address in the corresponding Local Network Gateway representing the location.

Cosa occorre specificare come prefissi di indirizzo per il gateway di rete locale quando si usa BGP?What should I specify as my address prefixes for the Local Network Gateway when I use BGP?

Il gateway di rete locale di Azure specifica i prefissi di indirizzo iniziali per la rete locale.Azure Local Network Gateway specifies the initial address prefixes for the on-premises network. Con BGP è necessario allocare il prefisso dell'host, ovvero il prefisso /32, dell'indirizzo IP del peer BGP come spazio di indirizzi per la rete locale.With BGP, you must allocate the host prefix (/32 prefix) of your BGP Peer IP address as the address space for that on-premises network. Se l'indirizzo IP del peer BGP è 10.52.255.254, specificare "10.52.255.254/32" come localNetworkAddressSpace per il gateway di rete locale che rappresenta la rete locale.If your BGP Peer IP is 10.52.255.254, you should specify "10.52.255.254/32" as the localNetworkAddressSpace of the Local Network Gateway representing this on-premises network. Questo permette al gateway VPN di Azure di stabilire la sessione BGP attraverso il tunnel VPN S2S.This is to ensure that the Azure VPN gateway establishes the BGP session through the S2S VPN tunnel.

Cosa è necessario aggiungere al dispositivo VPN locale per la sessione di peering BGP?What should I add to my on-premises VPN device for the BGP peering session?

È necessario aggiungere una route host dell'indirizzo IP del peer BGP di Azure nel dispositivo VPN che punta al tunnel VPN S2S IPsec.You should add a host route of the Azure BGP Peer IP address on your VPN device pointing to the IPsec S2S VPN tunnel. Ad esempio, se l'indirizzo IP del peer VPN di Azure è "10.12.255.30", è necessario aggiungere una route host per "10.12.255.30" con un'interfaccia nexthop dell'interfaccia del tunnel IPsec corrispondente nel dispositivo VPN.For example, if the Azure VPN Peer IP is "10.12.255.30", you should add a host route for "10.12.255.30" with a nexthop interface of the matching IPsec tunnel interface on your VPN device.

Passaggi successiviNext steps

Per i passaggi di configurazione di BGP per le connessioni cross-premise e tra reti virtuali, vedere Introduzione a BGP nei gateway VPN di Azure .See Getting started with BGP on Azure VPN gateways for steps to configure BGP for your cross-premises and VNet-to-VNet connections.