Azure VPN ゲートウェイを使用した BGP の概要Overview of BGP with Azure VPN Gateways

この記事では、Azure VPN ゲートウェイの BGP (ボーダー ゲートウェイ プロトコル) サポートの概要を説明します。This article provides an overview of BGP (Border Gateway Protocol) support in Azure VPN Gateways.

BGP は、2 つ以上のネットワーク間でルーティングと到達可能性の情報を交換するためにインターネット上で広く使用されている標準のルーティング プロトコルです。BGP is the standard routing protocol commonly used in the Internet to exchange routing and reachability information between two or more networks. Azure Virtual Networks のコンテキストでは、Azure VPN ゲートウェイとオンプレミスの VPN デバイス (BGP ピアまたは BGP 近隣ノードと呼ばれる) が BGP を使用して "ルート" を交換します。これによって、関連するゲートウェイまたはルーターの可用性と、BGP のプレフィックスが到達できる可能性に関する情報が両方のゲートウェイに伝達されます。When used in the context of Azure Virtual Networks, BGP enables the Azure VPN Gateways and your on-premises VPN devices, called BGP peers or neighbors, to exchange "routes" that will inform both gateways on the availability and reachability for those prefixes to go through the gateways or routers involved. また、BGP では、BGP ゲートウェイが特定の BGP ピアから学習したルートを他のすべての BGP ピアに伝達することで、複数のネットワークでトランジット ルーティングを行うこともできます。BGP can also enable transit routing among multiple networks by propagating routes a BGP gateway learns from one BGP peer to all other BGP peers.

BGP を使用する理由Why use BGP?

BGP は、Azure のルートベースの VPN ゲートウェイで使用できるオプションの機能です。BGP is an optional feature you can use with Azure Route-Based VPN gateways. この機能を有効にするには、オンプレミスの VPN デバイスが BGP をサポートしていることを事前に確認する必要があります。You should also make sure your on-premises VPN devices support BGP before you enable the feature. BGP を使用せずに Azure VPN ゲートウェイとオンプレミスの VPN デバイスを使用することもできます。You can continue to use Azure VPN gateways and your on-premises VPN devices without BGP. これ (BGP を使用しない方法) は静的ルートを使用するのと同等で、BGP を使用する方法はネットワークと Azure の間で動的ルーティングを使用するのに "相当します"。It is the equivalent of using static routes (without BGP) vs. using dynamic routing with BGP between your networks and Azure.

BGP の使用に関して、いくつかの利点と新しい機能があります。There are several advantages and new capabilities with BGP:

自動的で柔軟なプレフィックスの更新のサポートSupport automatic and flexible prefix updates

BGP を使用する場合は、IPsec S2S VPN トンネル経由で特定の BGP ピアに最小限のプレフィックスを宣言するだけで済みます。With BGP, you only need to declare a minimum prefix to a specific BGP peer over the IPsec S2S VPN tunnel. オンプレミス VPN デバイスの BGP ピア IP アドレスのホスト プレフィックス (/32) のような小さいプレフィックスも指定できます。It can be as small as a host prefix (/32) of the BGP peer IP address of your on-premises VPN device. どのオンプレミス ネットワーク プレフィックスを Azure にアドバタイズして、Azure 仮想ネットワーク (VNet) にアクセスを許可するかを制御できます。You can control which on-premises network prefixes you want to advertise to Azure to allow your Azure Virtual Network to access.

また、大規模なプライベート IP アドレス空間 (例: 10.0.0.0/8) など、VNet アドレス プレフィックスがいくつか含まれた大規模なプレフィックスをアドバタイズすることもできます。You can also advertise larger prefixes that may include some of your VNet address prefixes, such as a large private IP address space (for example, 10.0.0.0/8). ただし、このプレフィックスを VNet プレフィックスのいずれかと同じにすることはできませんので注意してください。Note though the prefixes cannot be identical with any one of your VNet prefixes. VNet プレフィックスと同一のルートは拒否されます。Those routes identical to your VNet prefixes will be rejected.

BGP ベースの自動フェールオーバーを使用した VNet とオンプレミス サイト間の複数のトンネルのサポートSupport multiple tunnels between a VNet and an on-premises site with automatic failover based on BGP

同じ場所にある複数のオンプレミス VPN デバイスと Azure VNet の間に複数の接続を確立できます。You can establish multiple connections between your Azure VNet and your on-premises VPN devices in the same location. この機能により、2 つのネットワークの間に複数のトンネル (パス) がアクティブ/アクティブ構成で提供されます。This capability provides multiple tunnels (paths) between the two networks in an active-active configuration. トンネルの 1 つが切断された場合は、対応するルートが BGP によって無効にされ、トラフィックが残りのトンネルに自動的に移行されます。If one of the tunnels is disconnected, the corresponding routes will be withdrawn via BGP and the traffic automatically shifts to the remaining tunnels.

次の図は、この高可用性セットアップの単純な例を示しています。The following diagram shows a simple example of this highly available setup:

Multiple active paths

オンプレミスのネットワークと複数の Azure Vnet の間のトランジット ルーティングのサポートSupport transit routing between your on-premises networks and multiple Azure VNets

BGP では、接続が直接か間接的かにかかわらず、複数のゲートウェイが異なるネットワークからプレフィックスを学習して伝達することができます。BGP enables multiple gateways to learn and propagate prefixes from different networks, whether they are directly or indirectly connected. これにより、オンプレミス サイト間または複数の Azure Virtual Networks 間で Azure VPN ゲートウェイを使用したトランジット ルーティングを実行できます。This can enable transit routing with Azure VPN gateways between your on-premises sites or across multiple Azure Virtual Networks.

次の図は、Microsoft ネットワーク内の Azure VPN ゲートウェイを通じて 2 つのオンプレミス ネットワーク間でトラフィックをやり取りできる複数のパスを使用したマルチホップ トポロジの例を示しています。The following diagram shows an example of a multi-hop topology with multiple paths that can transit traffic between the two on-premises networks through Azure VPN gateways within the Microsoft Networks:

Multi-hop transit

BGP のよくある質問BGP FAQ

BGP はすべての Azure VPN Gateway SKU でサポートされていますか。Is BGP supported on all Azure VPN Gateway SKUs?

いいえ、BGP は Azure VpnGw1VpnGw2VpnGw3StandardHighPerformance の各 VPN ゲートウェイでサポートされています。No, BGP is supported on Azure VpnGw1, VpnGw2, VpnGw3, Standard and HighPerformance VPN gateways. Basic SKU はサポートされていません。Basic SKU is NOT supported.

Azure のポリシーベースの VPN ゲートウェイでは BGP を使用できますか。Can I use BGP with Azure Policy-Based VPN gateways?

いいえ、BGP は、ルートベースの VPN ゲートウェイでのみサポートされています。No, BGP is supported on Route-Based VPN gateways only.

プライベート ASN (自律システム番号) は使用できますか。Can I use private ASNs (Autonomous System Numbers)?

はい、オンプレミスのネットワークと Azure 仮想ネットワークの両方に対して独自のパブリック ASN またはプライベート ASN を使用できます。Yes, you can use your own public ASNs or private ASNs for both your on-premises networks and Azure virtual networks.

Azure によって予約済みの ASN はありますか。Are there ASNs reserved by Azure?

はい、次の ASN は、内外両方のピアリング用に Azure によって予約されています。Yes, the following ASNs are reserved by Azure for both internal and external peerings:

  • パブリック ASN: 8074、8075、12076Public ASNs: 8074, 8075, 12076
  • プライベート ASN: 65515、65517、65518、65519、65520Private ASNs: 65515, 65517, 65518, 65519, 65520

これらの ASN は、Azure VPN ゲートウェイに接続する際にオンプレミスの VPN デバイスには指定できません。You cannot specify these ASNs for your on premises VPN devices when connecting to Azure VPN gateways.

使用できないその他の ASN はありますか。Are there any other ASNs that I can't use?

はい。以下の ASN は IANA によって予約済みであり、Azure VPN Gateway では構成できません。Yes, the following ASNs are reserved by IANA and can't be configured on your Azure VPN Gateway:

23456、64496 ~ 64511、65535 ~ 65551、および 42949672923456, 64496-64511, 65535-65551 and 429496729

オンプレミスの VPN ネットワークと Azure Vnet の両方に同じ ASN を使用できますか。Can I use the same ASN for both on-premises VPN networks and Azure VNets?

いいえ、BGP を使用して接続している場合は、オンプレミスのネットワークと Azure Vnet に異なる ASN を割り当てる必要があります。No, you must assign different ASNs between your on-premises networks and your Azure VNets if you are connecting them together with BGP. Azure VPN Gateway には、クロスプレミス接続向けに BGP が有効になっているかどうかにかかわらず、ASN の既定値として 65515 が割り当てられています。Azure VPN Gateways have a default ASN of 65515 assigned, whether BGP is enabled or not for your cross-premises connectivity. VPN ゲートウェイを作成する際に異なる ASN を割り当てて既定値を上書きするか、ゲートウェイの作成後に ASN を変更することができます。You can override this default by assigning a different ASN when creating the VPN gateway, or change the ASN after the gateway is created. 対応する Azure ローカル ネットワーク ゲートウェイにオンプレミスの ASN を割り当てる必要があります。You will need to assign your on-premises ASNs to the corresponding Azure Local Network Gateways.

Azure VPN ゲートウェイはどのようなアドレス プレフィックスをアドバタイズしますか。What address prefixes will Azure VPN gateways advertise to me?

Azure VPN ゲートウェイでは、オンプレミスの BGP デバイスに次のルートをアドバタイズします。Azure VPN gateway will advertise the following routes to your on-premises BGP devices:

  • VNet のアドレス プレフィックスYour VNet address prefixes
  • Azure VPN ゲートウェイに接続されている各ローカル ネットワーク ゲートウェイのアドレス プレフィックスAddress prefixes for each Local Network Gateways connected to the Azure VPN gateway
  • Azure VPN Gateway に接続されている他の BGP ピアリング セッションから学習したルート。ただし、VNet プレフィックスと重複している既定のルートは除外されます。Routes learned from other BGP peering sessions connected to the Azure VPN gateway, except default route or routes overlapped with any VNet prefix.

Azure VPN ゲートウェイへの既定のルート (0.0.0.0/0) をアドバタイズすることはできますか。Can I advertise default route (0.0.0.0/0) to Azure VPN gateways?

はい。Yes.

その場合、すべてのオンプレミス サイトへの VNet エグレス トラフィックが強制され、インターネットから VM への RDP や SSH など、インターネットからのパブリックな通信を VNet VM が直接受信できなくなることに注意してください。Please note this will force all VNet egress traffic towards your on-premises site, and will prevent the VNet VMs from accepting public communication from the Internet directly, such RDP or SSH from the Internet to the VMs.

自分の仮想ネットワーク プレフィックスとまったく同じプレフィックスをアドバタイズすることはできますか。Can I advertise the exact prefixes as my Virtual Network prefixes?

いいえ、お使いの仮想ネットワーク アドレス プレフィックスのいずれかと同じプレフィックスのアドバタイズは、Azure プラットフォームによってブロックされるか、フィルター処理されます。No, advertising the same prefixes as any one of your Virtual Network address prefixes will be blocked or filtered by the Azure platform. ただし、仮想ネットワークの内部に存在するアドレス空間のスーパーセットであるプレフィックスをアドバタイズすることができます。However you can advertise a prefix that is a superset of what you have inside your Virtual Network.

たとえば、仮想ネットワークでアドレス空間 10.0.0.0/16 を使用した場合、10.0.0.0/8 をアドバタイズすることができます。For example, if your virtual network used the address space 10.0.0.0/16, you could advertise 10.0.0.0/8. しかし、10.0.0.0/16 や 10.0.0.0/24 をアドバタイズすることはできません。But you cannot advertise 10.0.0.0/16 or 10.0.0.0/24.

VNet 間の接続で BGP を使用できますか。Can I use BGP with my VNet-to-VNet connections?

はい、クロスプレミス接続と VNet 間接続の両方で BGP を使用できます。Yes, you can use BGP for both cross-premises connections and VNet-to-VNet connections.

Azure VPN ゲートウェイで BGP 接続を BGP 以外の接続と混在させることはできますか。Can I mix BGP with non-BGP connections for my Azure VPN gateways?

はい、同じ Azure VPN ゲートウェイに対して BGP 接続と非 BGP 接続の両方を混在させることができます。Yes, you can mix both BGP and non-BGP connections for the same Azure VPN gateway.

Azure VPN ゲートウェイでは、BGP トランジット ルーティングをサポートしていますか。Does Azure VPN gateway support BGP transit routing?

はい。BGP トランジット ルーティングはサポートされています。ただし、Azure VPN Gateway は既定のルートを他の BGP ピアにアドバタイズしませんYes, BGP transit routing is supported, with the exception that Azure VPN gateways will NOT advertise default routes to other BGP peers. 複数の Azure VPN ゲートウェイでトランジット ルーティングを有効にするには、中間にあるすべての VNet 接続で BGP を有効にする必要があります。To enable transit routing across multiple Azure VPN gateways, you must enable BGP on all intermediate VNet-to-VNet connections.

Azure VPN ゲートウェイとオンプレミス ネットワークの間で複数のトンネルを確立することはできますか。Can I have more than one tunnel between Azure VPN gateway and my on-premises network?

はい、Azure VPN ゲートウェイとオンプレミス ネットワークの間に複数の S2S VPN トンネルを確立することができます。Yes, you can establish more than one S2S VPN tunnel between an Azure VPN gateway and your on-premises network. これらのトンネルはすべて Azure VPN ゲートウェイのトンネルの合計数にカウントされる点に注意してください。さらに、両方のトンネルの BGP を有効にする必要があります。Please note that all these tunnels will be counted against the total number of tunnels for your Azure VPN gateways and you must enable BGP on both tunnels.

たとえば、Azure VPN ゲートウェイとオンプレミス ネットワークのいずれかの間に 2 つの冗長トンネルがある場合は、Azure VPN ゲートウェイの合計クォータ (Standard の場合は 10、HighPerformance の場合は 30) から 2 つのトンネルが消費されることになります。For example, if you have two redundant tunnels between your Azure VPN gateway and one of your on-premises networks, they will consume 2 tunnels out of the total quota for your Azure VPN gateway (10 for Standard and 30 for HighPerformance).

BGP で 2 つの Azure Vnet の間に複数のトンネルを確立することはできますか。Can I have multiple tunnels between two Azure VNets with BGP?

はい。ただし、少なくとも 1 つの仮想ネットワーク ゲートウェイが、アクティブ/アクティブ構成になっている必要があります。Yes, but at least one of the virtual network gateways must be in active-active configuration.

ExpressRoute/S2S VPN 共存構成で S2S VPN に BGP を使用することはできますか。Can I use BGP for S2S VPN in an ExpressRoute/S2S VPN co-existence configuration?

はい。Yes.

Azure VPN ゲートウェイでは、BGP ピア IP にどのようなアドレスが使用されますか。What address does Azure VPN gateway use for BGP Peer IP?

Azure VPN ゲートウェイでは、仮想ネットワークに対して定義されている GatewaySubnet 範囲から 1 つの IP アドレスを割り当てます。The Azure VPN gateway will allocate a single IP address from the GatewaySubnet range defined for the virtual network. 既定では、範囲内で最後から 2 つ目のアドレスが使用されます。By default, it is the second last address of the range. たとえば、GatewaySubnet が 10.12.255.0/27 で、範囲が 10.12.255.0 から 10.12.255.31 となる場合、Azure VPN ゲートウェイの BGP ピア IP アドレスは 10.12.255.30 になります。For example, if your GatewaySubnet is 10.12.255.0/27, ranging from 10.12.255.0 to 10.12.255.31, the BGP Peer IP address on the Azure VPN gateway will be 10.12.255.30. Azure VPN ゲートウェイの情報を表示すると、この情報を確認できます。You can find this information when you list the Azure VPN gateway information.

VPN デバイスの BGP ピア IP アドレスに関する要件はどんなものですか。What are the requirements for the BGP Peer IP addresses on my VPN device?

オンプレミスの BGP ピア アドレスを VPN デバイスのパブリック IP アドレスと 同じにすることはできませんYour on-premises BGP peer address MUST NOT be the same as the public IP address of your VPN device. VPN デバイスでは BGP ピア IP に別の IP アドレスを使用してください。Use a different IP address on the VPN device for your BGP Peer IP. デバイスのループバック インターフェイスに割り当てられたアドレスを使用できます。It can be an address assigned to the loopback interface on the device. この場所を表している、対応するローカル ネットワーク ゲートウェイにこのアドレスを指定します。Specify this address in the corresponding Local Network Gateway representing the location.

BGP を使用する際、ローカル ネットワーク ゲートウェイのアドレス プレフィックスとして何を指定する必要がありますか。What should I specify as my address prefixes for the Local Network Gateway when I use BGP?

Azure のローカル ネットワーク ゲートウェイでは、オンプレミス ネットワークに初期アドレス プレフィックスが指定されます。Azure Local Network Gateway specifies the initial address prefixes for the on-premises network. BGP を使用する際は、BGP ピア IP アドレスのホスト プレフィックス (/32 プレフィックス) をオンプレミス ネットワークのアドレス空間として割り当てる必要があります。With BGP, you must allocate the host prefix (/32 prefix) of your BGP Peer IP address as the address space for that on-premises network. BGP ピア IP アドレスが 10.52.255.254 の場合は、このオンプレミス ネットワークを表しているローカル ネットワーク ゲートウェイの localNetworkAddressSpace として "10.52.255.254/32" を指定します。If your BGP Peer IP is 10.52.255.254, you should specify "10.52.255.254/32" as the localNetworkAddressSpace of the Local Network Gateway representing this on-premises network. これにより、Azure VPN ゲートウェイで S2S VPN トンネルを経由する BGP セッションが確立されます。This is to ensure that the Azure VPN gateway establishes the BGP session through the S2S VPN tunnel.

BGP ピアリング セッション向けにオンプレミスの VPN デバイスに何を追加する必要がありますか。What should I add to my on-premises VPN device for the BGP peering session?

IPsec S2S VPN トンネルを示す Azure BGP ピア IP アドレスのホスト ルートを VPN デバイスに追加する必要があります。You should add a host route of the Azure BGP Peer IP address on your VPN device pointing to the IPsec S2S VPN tunnel. たとえば、Azure VPN ピア IP が "10.12.255.30" の場合は、"10.12.255.30" のホスト ルートを VPN デバイスに追加し、対応する IPsec トンネル インターフェイスの次ホップ インターフェイスを指定する必要があります。For example, if the Azure VPN Peer IP is "10.12.255.30", you should add a host route for "10.12.255.30" with a nexthop interface of the matching IPsec tunnel interface on your VPN device.

次のステップNext steps

クロスプレミス接続と VNet 間接続向けに BGP を構成する手順については、 Azure VPN ゲートウェイでの BGP の使用 に関する記事を参照してください。See Getting started with BGP on Azure VPN gateways for steps to configure BGP for your cross-premises and VNet-to-VNet connections.