Informazioni su BGP con i gateway VPN di AzureAbout BGP with Azure VPN Gateway

Questo articolo fornisce una panoramica del supporto BGP (Border Gateway Protocol) nei gateway VPN di Azure.This article provides an overview of BGP (Border Gateway Protocol) support in Azure VPN Gateway.

BGP è il protocollo di routing standard comunemente usato in Internet per lo scambio di informazioni di routing e raggiungibilità tra due o più reti.BGP is the standard routing protocol commonly used in the Internet to exchange routing and reachability information between two or more networks. Quando viene usato nel contesto di reti virtuali di Azure, BGP consente ai gateway VPN di Azure e ai dispositivi VPN locali, detti peer BGP o router adiacenti, lo scambio di "route" che indicano a entrambi i gateway la disponibilità e la raggiungibilità di tali prefissi per il passaggio attraverso i gateway o i router coinvolti.When used in the context of Azure Virtual Networks, BGP enables the Azure VPN Gateways and your on-premises VPN devices, called BGP peers or neighbors, to exchange "routes" that will inform both gateways on the availability and reachability for those prefixes to go through the gateways or routers involved. BGP può anche abilitare il routing di transito tra più reti propagando a tutti gli altri peer BGP le route che un gateway BGP apprende da un peer BGP.BGP can also enable transit routing among multiple networks by propagating routes a BGP gateway learns from one BGP peer to all other BGP peers.

Perché usare BGPWhy use BGP?

BGP è una funzionalità facoltativa che può essere usata con i gateway VPN di Azure basati su route.BGP is an optional feature you can use with Azure Route-Based VPN gateways. Prima di abilitare tale funzionalità, assicurarsi che i dispositivi VPN locali supportino BGP.You should also make sure your on-premises VPN devices support BGP before you enable the feature. È possibile continuare a usare i gateway VPN di Azure e i dispositivi VPN locali senza BGP.You can continue to use Azure VPN gateways and your on-premises VPN devices without BGP. In altre parole occorre scegliere tra l'uso delle route statiche, senza BGP, oppure l'uso del routing dinamico con BGP tra le reti e Azure.It is the equivalent of using static routes (without BGP) vs. using dynamic routing with BGP between your networks and Azure.

BGP offre nuove funzionalità e numerosi vantaggi, illustrati di seguito.There are several advantages and new capabilities with BGP:

Supporto per l'aggiornamento automatico e flessibile dei prefissiSupport automatic and flexible prefix updates

Con BGP, è sufficiente dichiarare un prefisso minimo a un peer BGP specifico attraverso il tunnel VPN S2S IPsec.With BGP, you only need to declare a minimum prefix to a specific BGP peer over the IPsec S2S VPN tunnel. La dimensione minima consentita è quella di un prefisso dell'host (/32) dell'indirizzo IP del peer BGP per il dispositivo VPN locale.It can be as small as a host prefix (/32) of the BGP peer IP address of your on-premises VPN device. È possibile controllare quali prefissi di rete locale segnalare in Azure per consentire alla rete virtuale di Azure di accedere.You can control which on-premises network prefixes you want to advertise to Azure to allow your Azure Virtual Network to access.

È anche possibile segnalare prefissi più grandi, che possono includere alcuni dei prefissi di indirizzo della rete virtuale, come uno spazio di indirizzi IP privato di grandi dimensioni, ad esempio 10.0.0.0/8.You can also advertise larger prefixes that may include some of your VNet address prefixes, such as a large private IP address space (for example, 10.0.0.0/8). Si noti che i prefissi non possono essere identici ad alcuno dei prefissi della rete virtuale.Note though the prefixes cannot be identical with any one of your VNet prefixes. Le route identiche ai prefissi della rete virtuale verranno rifiutate.Those routes identical to your VNet prefixes will be rejected.

Supporto di più tunnel tra una rete virtuale e un sito locale con failover automatico basato su BGPSupport multiple tunnels between a VNet and an on-premises site with automatic failover based on BGP

È possibile stabilire più connessioni tra la rete virtuale di Azure e i dispositivi VPN locali nella stessa località.You can establish multiple connections between your Azure VNet and your on-premises VPN devices in the same location. Questa funzionalità fornisce più tunnel, o percorsi, tra le due reti in una configurazione di tipo attivo/attivo.This capability provides multiple tunnels (paths) between the two networks in an active-active configuration. Se uno dei tunnel viene disconnesso, le route corrispondenti vengono ritirate tramite BGP e il traffico si sposta automaticamente nei tunnel restanti.If one of the tunnels is disconnected, the corresponding routes will be withdrawn via BGP and the traffic automatically shifts to the remaining tunnels.

Il diagramma seguente mostra un esempio semplice di questa configurazione a disponibilità elevata:The following diagram shows a simple example of this highly available setup:

Più percorsi attivi

Supporto del routing di transito tra le reti locali e più reti virtuali di AzureSupport transit routing between your on-premises networks and multiple Azure VNets

BGP consente a più gateway di apprendere e propagare i prefissi da reti diverse, connesse sia direttamente che indirettamente.BGP enables multiple gateways to learn and propagate prefixes from different networks, whether they are directly or indirectly connected. Questo consente il routing di transito con i gateway VPN di Azure tra i siti locali o tra più reti virtuali di Azure.This can enable transit routing with Azure VPN gateways between your on-premises sites or across multiple Azure Virtual Networks.

Il diagramma seguente illustra un esempio di una topologia multihop con più percorsi che possono far passare il traffico tra le due reti locali tramite i gateway VPN di Azure all'interno di reti Microsoft:The following diagram shows an example of a multi-hop topology with multiple paths that can transit traffic between the two on-premises networks through Azure VPN gateways within the Microsoft Networks:

Transito multihop

DOMANDE FREQUENTI SU BGPBGP FAQ

BGP è supportato in tutti gli SKU del gateway VPN di Azure?Is BGP supported on all Azure VPN Gateway SKUs?

BGP è supportato in tutti gli SKU del gateway VPN ad eccezione dello SKU Basic.BGP is supported on all Azure VPN Gateway SKUs except Basic SKU.

È possibile usare BGP con i gateway VPN di Criteri di Azure?Can I use BGP with Azure Policy VPN gateways?

No, BGP è supportato unicamente nei gateway VPN basati su route.No, BGP is supported on route-based VPN gateways only.

Quali numeri ASN (Autonomous System Number) è possibile usare?What ASNs (Autonomous System Numbers) can I use?

È possibile usare i propri numeri ASN pubblici o quelli privati sia per le reti locali che per le reti virtuali di Azure.You can use your own public ASNs or private ASNs for both your on-premises networks and Azure virtual networks. Non è possibile usare gli intervalli riservati da Azure o IANA.You can't use the ranges reserved by Azure or IANA.

I seguenti numeri ASN sono riservati da Azure o da IANA:The following ASNs are reserved by Azure or IANA:

  • Numeri ASN riservati da Azure:ASNs reserved by Azure:
    • ASN pubblici: 8074, 8075, 12076Public ASNs: 8074, 8075, 12076
    • ASN privati: 65515, 65517, 65518, 65519, 65520Private ASNs: 65515, 65517, 65518, 65519, 65520
  • ASN riservati da IANA:ASNs reserved by IANA:
    • 23456, 64496-64511, 65535-65551 e 42949672923456, 64496-64511, 65535-65551 and 429496729

Non è possibile specificare questi numeri ASN per connettere i dispositivi VPN locali ai gateway VPN di Azure.You can't specify these ASNs for your on-premises VPN devices when you're connecting to Azure VPN gateways.

È possibile usare numeri ASN a 32 bit (4 byte)?Can I use 32-bit (4-byte) ASNs?

Sì, il gateway VPN ora supporta ASN a 32 bit (4 byte).Yes, VPN Gateway now supports 32-bit (4-byte) ASNs. Per configurare l'uso di ASN in formato decimale, usare PowerShell, l'interfaccia della riga di comando di Azure o Azure SDK.To configure by using ASN in decimal format, use PowerShell, the Azure CLI, or the Azure SDK.

Quali numeri ASN privati è possibile usare?What private ASNs can I use?

Gli intervalli utilizzabili di ASN privati sono:The useable ranges of private ASNs are:

  • 64512-65514 e 65521-6553464512-65514 and 65521-65534

Questi ASN non sono riservati per l'uso in IANA o Azure e possono quindi essere assegnati al gateway VPN di Azure.These ASNs aren't reserved by IANA or Azure for use, and therefore can be used to assign to your Azure VPN gateway.

Quale indirizzo viene usato dal gateway VPN per l'indirizzo IP del peer BGP?What address does VPN Gateway use for BGP peer IP?

Per impostazione predefinita, il gateway VPN alloca un singolo indirizzo IP dall'intervallo di GatewaySubnet per i gateway VPN di tipo attivo-standby oppure due indirizzi IP per i gateway VPN di tipo attivo-attivo.By default, VPN Gateway allocates a single IP address from the GatewaySubnet range for active-standby VPN gateways, or two IP addresses for active-active VPN gateways. Questi indirizzi vengono allocati automaticamente durante la creazione del gateway VPN.These addresses are allocated automatically when you create the VPN gateway. È possibile ottenere l'indirizzo IP BGP effettivo allocato usando PowerShell o individuarlo nel portale di Azure.You can get the actual BGP IP address allocated by using PowerShell or by locating it in the Azure portal. In PowerShell usare Get-AzVirtualNetworkGateway e cercare la proprietà bgpPeeringAddress .In PowerShell, use Get-AzVirtualNetworkGateway , and look for the bgpPeeringAddress property. Nel portale di Azure, nella pagina Configurazione gateway , controllare la proprietà Configura ASN BGP .In the Azure portal, on the Gateway Configuration page, look under the Configure BGP ASN property.

Se i router VPN locali usano indirizzi IP APIPA (169.254.x.x) come indirizzi IP di BGP, è necessario specificare un indirizzo IP di BGP aggiuntivo di Azure APIPA nel gateway VPN di Azure.If your on-premises VPN routers use APIPA IP addresses (169.254.x.x) as the BGP IP addresses, you must specify an additional Azure APIPA BGP IP address on your Azure VPN gateway. Il gateway VPN di Azure seleziona l'indirizzo APIPA da usare con il peer BGP APIPA locale specificato nel gateway di rete locale o un indirizzo IP privato per il peer BGP locale non APIPA.Azure VPN Gateway selects the APIPA address to use with the on-premises APIPA BGP peer specified in the local network gateway, or the private IP address for a non-APIPA, on-premises BGP peer. Per altre informazioni, vedere Configurare BGP.For more information, see Configure BGP.

Quali sono i requisiti per gli indirizzi IP dei peer BGP nel dispositivo VPN?What are the requirements for the BGP peer IP addresses on my VPN device?

L'indirizzo del peer BGP locale non deve essere uguale all'indirizzo IP pubblico del dispositivo VPN né essere incluso nello spazio indirizzi della rete virtuale del gateway VPN.Your on-premises BGP peer address must not be the same as the public IP address of your VPN device or from the virtual network address space of the VPN gateway. Usare un indirizzo IP diverso nel dispositivo VPN per il peer BGP.Use a different IP address on the VPN device for your BGP peer IP. Può essere un indirizzo assegnato all'interfaccia di loopback nel dispositivo, ossia un normale indirizzo IP o un indirizzo APIPA.It can be an address assigned to the loopback interface on the device (either a regular IP address or an APIPA address). Se il dispositivo usa l'indirizzo APIPA per BGP, è necessario specificare un indirizzo IP di BGP APIPA nel gateway VPN di Azure, come descritto in Configurare BGP.If your device uses an APIPA address for BGP, you must specify an APIPA BGP IP address on your Azure VPN gateway, as described in Configure BGP. Specificare questo indirizzo nel gateway di rete locale corrispondente che rappresenta la posizione.Specify this address in the corresponding local network gateway representing the location.

Cosa occorre specificare come prefissi di indirizzo per il gateway di rete locale quando si usa BGP?What should I specify as my address prefixes for the local network gateway when I use BGP?

Importante

Si tratta di una modifica rispetto al requisito precedentemente documentato.This is a change from the previously documented requirement. Se si usa BGP per una connessione, lasciare il campo Spazio indirizzi vuoto per la risorsa gateway di rete locale corrispondente.If you use BGP for a connection, leave the Address space field empty for the corresponding local network gateway resource. Il gateway VPN di Azure aggiunge internamente una route host all'indirizzo IP del peer BGP locale tramite il tunnel IPsec.Azure VPN Gateway adds a host route internally to the on-premises BGP peer IP over the IPsec tunnel. Non aggiungere la route /32 nel campo Spazio indirizzi .Don't add the /32 route in the Address space field. È ridondante e se si usa un indirizzo APIPA come indirizzo IP di BGP del dispositivo VPN locale, non è possibile aggiungerlo a questo campo.It's redundant and if you use an APIPA address as the on-premises VPN device BGP IP, it can't be added to this field. Se si aggiungono altri prefissi nel campo Spazio indirizzi , verranno aggiunti come route statiche sul gateway VPN di Azure, in aggiunta alle route acquisite tramite BGP.If you add any other prefixes in the Address space field, they are added as static routes on the Azure VPN gateway, in addition to the routes learned via BGP.

È possibile usare lo stesso numero ASN sia per le reti VPN locali che per le reti virtuali di Azure?Can I use the same ASN for both on-premises VPN networks and Azure virtual networks?

No, è necessario assegnare ASN diversi alle reti locali e alle reti virtuali di Azure, se vengono connesse insieme tramite BGP.No, you must assign different ASNs between your on-premises networks and your Azure virtual networks if you're connecting them together with BGP. Ai gateway VPN di Azure è assegnato un ASN predefinito 65515, sia che BGP sia abilitato o meno per la connettività cross-premise.Azure VPN gateways have a default ASN of 65515 assigned, whether BGP is enabled or not for your cross-premises connectivity. È possibile sostituire questo valore predefinito assegnando un ASN diverso durante la creazione del gateway VPN. In alternativa è possibile cambiarlo dopo aver creato il gateway.You can override this default by assigning a different ASN when you're creating the VPN gateway, or you can change the ASN after the gateway is created. Sarà necessario assegnare i numeri ASN locali ai gateway di rete locali di Azure corrispondenti.You will need to assign your on-premises ASNs to the corresponding Azure local network gateways.

Quali prefissi di indirizzo vengono segnalati all'utente dai gateway VPN di Azure?What address prefixes will Azure VPN gateways advertise to me?

I gateway annunciano le route seguenti ai dispositivi BGP locali:The gateways advertise the following routes to your on-premises BGP devices:

  • I prefissi degli indirizzi di rete virtuale.Your virtual network address prefixes.
  • I prefissi degli indirizzi per ogni gateway di rete locale connesso al gateway VPN di Azure.Address prefixes for each local network gateway connected to the Azure VPN gateway.
  • Le route ottenute da altre sessioni di peering BGP connesse al gateway VPN di Azure, ad eccezione delle route predefinite o sovrapposte a qualsiasi prefisso di rete virtuale.Routes learned from other BGP peering sessions connected to the Azure VPN gateway, except for the default route or routes that overlap with any virtual network prefix.

Quanti prefissi è possibile annunciare al gateway VPN di Azure?How many prefixes can I advertise to Azure VPN Gateway?

Il gateway VPN di Azure supporta fino a 4000 prefissi.Azure VPN Gateway supports up to 4000 prefixes. La sessione BGP viene eliminata se il numero di prefissi supera il limite.The BGP session is dropped if the number of prefixes exceeds the limit.

È possibile segnalare la route predefinita (0.0.0.0/0) ai gateway VPN di Azure?Can I advertise default route (0.0.0.0/0) to Azure VPN gateways?

Sì.Yes. Si noti che in questo modo tutto il traffico in ingresso nella rete virtuale viene forzato verso il sito locale.Note that this forces all virtual network egress traffic towards your on-premises site. Si impedisce inoltre alle VM della rete virtuale di accettare comunicazioni pubbliche provenienti direttamente da Internet, come RDP o SSH da Internet alle VM.It also prevents the virtual network VMs from accepting public communication from the internet directly, such RDP or SSH from the internet to the VMs.

È possibile annunciare gli stessi prefissi della propria rete virtuale?Can I advertise the exact prefixes as my virtual network prefixes?

No, l'annuncio degli stessi prefissi degli indirizzi della rete virtuale verrà bloccato o filtrato da Azure.No, advertising the same prefixes as any one of your virtual network address prefixes will be blocked or filtered by Azure. È tuttavia possibile annunciare un prefisso che rappresenta un superset di quello interno alla rete virtuale.You can, however, advertise a prefix that is a superset of what you have inside your virtual network.

Ad esempio, se la rete virtuale usa lo spazio di indirizzi 10.0.0.0/16, è possibile annunciare 10.0.0.0/8,For example, if your virtual network used the address space 10.0.0.0/16, you can advertise 10.0.0.0/8. ma non 10.0.0.0/16 o 10.0.0.0/24.But you can't advertise 10.0.0.0/16 or 10.0.0.0/24.

È possibile usare BGP con le connessioni tra reti virtuali?Can I use BGP with my connections between virtual networks?

Sì, è possibile usare BGP sia per connessioni cross-premise che per connessioni tra reti virtuali.Yes, you can use BGP for both cross-premises connections and connections between virtual networks.

È possibile combinare connessioni BGP con connessioni non BGP per i gateway VPN di Azure?Can I mix BGP with non-BGP connections for my Azure VPN gateways?

Sì, è possibile combinare connessioni BGP e connessioni non BGP per lo stesso gateway VPN di Azure.Yes, you can mix both BGP and non-BGP connections for the same Azure VPN gateway.

Il gateway VPN di Azure supporta il routing di transito BGP?Does Azure VPN Gateway support BGP transit routing?

Sì, il routing di transito BGP è supportato, con l'eccezione che i gateway VPN di Azure non annunciano le route predefinite ad altri peer BGP.Yes, BGP transit routing is supported, with the exception that Azure VPN gateways don't advertise default routes to other BGP peers. Per abilitare il routing di transito tra più gateway VPN di Azure, è necessario abilitare BGP in tutte le connessioni intermedie tra reti virtuali.To enable transit routing across multiple Azure VPN gateways, you must enable BGP on all intermediate connections between virtual networks. Per altre informazioni, vedere About BGP (Informazioni su BGP).For more information, see About BGP.

È possibile stabilire più di un tunnel tra il gateway VPN di Azure e la rete locale?Can I have more than one tunnel between an Azure VPN gateway and my on-premises network?

Sì, è possibile stabilire più di un tunnel VPN da sito a sito tra un gateway VPN di Azure e la rete locale.Yes, you can establish more than one site-to-site (S2S) VPN tunnel between an Azure VPN gateway and your on-premises network. Si noti che tutti questi tunnel verranno conteggiati rispetto al numero totale di tunnel per i gateway VPN di Azure ed è necessario abilitare BGP in tutti.Note that all these tunnels are counted against the total number of tunnels for your Azure VPN gateways, and you must enable BGP on both tunnels.

Ad esempio, se sono presenti due tunnel ridondanti tra il gateway VPN di Azure e una delle reti locali, verranno consumati 2 tunnel della quota totale disponibile per il gateway VPN di Azure.For example, if you have two redundant tunnels between your Azure VPN gateway and one of your on-premises networks, they consume 2 tunnels out of the total quota for your Azure VPN gateway.

È possibile stabilire più tunnel tra due reti virtuali di Azure con BGP?Can I have multiple tunnels between two Azure virtual networks with BGP?

Sì, ma almeno uno dei gateway di rete virtuale deve avere la configurazione attiva/attiva.Yes, but at least one of the virtual network gateways must be in active-active configuration.

È possibile usare BGP per una VPN da sito a sito in una configurazione di coesistenza VPN da sito a sito e Azure ExpressRoute?Can I use BGP for S2S VPN in an Azure ExpressRoute and S2S VPN coexistence configuration?

Sì.Yes.

Cosa è necessario aggiungere al dispositivo VPN locale per la sessione di peering BGP?What should I add to my on-premises VPN device for the BGP peering session?

Aggiungere una route host dell'indirizzo IP del peer BGP di Azure nel dispositivo VPN.Add a host route of the Azure BGP peer IP address on your VPN device. Questa route punta al tunnel VPN da sito a sito IPsec.This route points to the IPsec S2S VPN tunnel. Ad esempio, se l'indirizzo IP del peer VPN di Azure è 10.12.255.30, è necessario aggiungere una route host per 10.12.255.30 con un'interfaccia per hop successivo dell'interfaccia del tunnel IPsec corrispondente nel dispositivo VPN.For example, if the Azure VPN peer IP is 10.12.255.30, you add a host route for 10.12.255.30 with a next-hop interface of the matching IPsec tunnel interface on your VPN device.

Il gateway di rete virtuale supporta BFD per le connessioni da sito a sito con BGP?Does the virtual network gateway support BFD for S2S connections with BGP?

No.No. BFD (Bidirectional Forwarding Detection) è un protocollo che può essere usato con BGP per rilevare l'inattività di vicini più rapidamente rispetto ai "keepalive" BGP standard.Bidirectional Forwarding Detection (BFD) is a protocol that you can use with BGP to detect neighbor downtime quicker than you can by using standard BGP "keepalives." BFD usa timer di frazioni di secondo progettati per funzionare in ambienti LAN, ma non in connessioni tramite Internet pubblico o reti WAN.BFD uses subsecond timers designed to work in LAN environments, but not across the public internet or Wide Area Network connections.

Per le connessioni tramite Internet pubblico, la presenza di alcuni pacchetti ritardati o anche eliminati non è insolita, di conseguenza l'introduzione di questi timer aggressivi potrebbe aggiungere instabilitàFor connections over the public internet, having certain packets delayed or even dropped isn't unusual, so introducing these aggressive timers can add instability. che potrebbero causare la conseguente attenuazione delle route da parte di BGP.This instability might cause routes to be dampened by BGP. In alternativa, è possibile configurare il dispositivo locale con timer di durata inferiore all'intervallo di attesa di "keepalive" predefinito di 60 secondi e il timer di attesa di 180 secondi.As an alternative, you can configure your on-premises device with timers lower than the default, 60-second "keepalive" interval, and the 180-second hold timer. In questo modo si ottiene un tempo di convergenza più rapido.This results in a quicker convergence time.

Passaggi successiviNext steps

Per i passaggi di configurazione di BGP per le connessioni cross-premise e tra reti virtuali, vedere Introduzione a BGP nei gateway VPN di Azure.See Getting started with BGP on Azure VPN gateways for steps to configure BGP for your cross-premises and VNet-to-VNet connections.