BGP と Azure VPN Gateway についてAbout BGP with Azure VPN Gateway

この記事では、Azure VPN ゲートウェイでの BGP (Border Gateway Protocol) のサポートの概要を説明します。This article provides an overview of BGP (Border Gateway Protocol) support in Azure VPN Gateway.

BGP は、2 つ以上のネットワーク間でルーティングと到達可能性の情報を交換するためにインターネット上で広く使用されている標準のルーティング プロトコルです。BGP is the standard routing protocol commonly used in the Internet to exchange routing and reachability information between two or more networks. Azure Virtual Networks のコンテキストでは、Azure VPN ゲートウェイとオンプレミスの VPN デバイス (BGP ピアまたは BGP 近隣ノードと呼ばれる) が BGP を使用して "ルート" を交換します。これによって、関連するゲートウェイまたはルーターの可用性と、BGP のプレフィックスが到達できる可能性に関する情報が両方のゲートウェイに伝達されます。When used in the context of Azure Virtual Networks, BGP enables the Azure VPN Gateways and your on-premises VPN devices, called BGP peers or neighbors, to exchange "routes" that will inform both gateways on the availability and reachability for those prefixes to go through the gateways or routers involved. また、BGP では、BGP ゲートウェイが特定の BGP ピアから学習したルートを他のすべての BGP ピアに伝達することで、複数のネットワークでトランジット ルーティングを行うこともできます。BGP can also enable transit routing among multiple networks by propagating routes a BGP gateway learns from one BGP peer to all other BGP peers.

BGP を使用する理由Why use BGP?

BGP は、Azure のルートベースの VPN ゲートウェイで使用できるオプションの機能です。BGP is an optional feature you can use with Azure Route-Based VPN gateways. この機能を有効にするには、オンプレミスの VPN デバイスが BGP をサポートしていることを事前に確認する必要があります。You should also make sure your on-premises VPN devices support BGP before you enable the feature. BGP を使用せずに Azure VPN ゲートウェイとオンプレミスの VPN デバイスを使用することもできます。You can continue to use Azure VPN gateways and your on-premises VPN devices without BGP. これ (BGP を使用しない方法) は静的ルートを使用するのと同等で、BGP を使用する方法はネットワークと Azure の間で動的ルーティングを使用するのに "相当します"。It is the equivalent of using static routes (without BGP) vs. using dynamic routing with BGP between your networks and Azure.

BGP の使用に関して、いくつかの利点と新しい機能があります。There are several advantages and new capabilities with BGP:

自動的で柔軟なプレフィックスの更新のサポートSupport automatic and flexible prefix updates

BGP を使用する場合は、IPsec S2S VPN トンネル経由で特定の BGP ピアに最小限のプレフィックスを宣言するだけで済みます。With BGP, you only need to declare a minimum prefix to a specific BGP peer over the IPsec S2S VPN tunnel. オンプレミス VPN デバイスの BGP ピア IP アドレスのホスト プレフィックス (/32) のような小さいプレフィックスも指定できます。It can be as small as a host prefix (/32) of the BGP peer IP address of your on-premises VPN device. どのオンプレミス ネットワーク プレフィックスを Azure にアドバタイズして、Azure 仮想ネットワーク (VNet) にアクセスを許可するかを制御できます。You can control which on-premises network prefixes you want to advertise to Azure to allow your Azure Virtual Network to access.

また、大規模なプライベート IP アドレス空間 (例: 10.0.0.0/8) など、VNet アドレス プレフィックスがいくつか含まれた大規模なプレフィックスをアドバタイズすることもできます。You can also advertise larger prefixes that may include some of your VNet address prefixes, such as a large private IP address space (for example, 10.0.0.0/8). ただし、このプレフィックスを VNet プレフィックスのいずれかと同じにすることはできませんので注意してください。Note though the prefixes cannot be identical with any one of your VNet prefixes. VNet プレフィックスと同一のルートは拒否されます。Those routes identical to your VNet prefixes will be rejected.

BGP ベースの自動フェールオーバーを使用した VNet とオンプレミス サイト間の複数のトンネルのサポートSupport multiple tunnels between a VNet and an on-premises site with automatic failover based on BGP

同じ場所にある複数のオンプレミス VPN デバイスと Azure VNet の間に複数の接続を確立できます。You can establish multiple connections between your Azure VNet and your on-premises VPN devices in the same location. この機能により、2 つのネットワークの間に複数のトンネル (パス) がアクティブ/アクティブ構成で提供されます。This capability provides multiple tunnels (paths) between the two networks in an active-active configuration. トンネルの 1 つが切断された場合は、対応するルートが BGP によって無効にされ、トラフィックが残りのトンネルに自動的に移行されます。If one of the tunnels is disconnected, the corresponding routes will be withdrawn via BGP and the traffic automatically shifts to the remaining tunnels.

次の図は、この高可用性セットアップの単純な例を示しています。The following diagram shows a simple example of this highly available setup:

Multiple active paths

オンプレミスのネットワークと複数の Azure Vnet の間のトランジット ルーティングのサポートSupport transit routing between your on-premises networks and multiple Azure VNets

BGP では、接続が直接か間接的かにかかわらず、複数のゲートウェイが異なるネットワークからプレフィックスを学習して伝達することができます。BGP enables multiple gateways to learn and propagate prefixes from different networks, whether they are directly or indirectly connected. これにより、オンプレミス サイト間または複数の Azure Virtual Networks 間で Azure VPN ゲートウェイを使用したトランジット ルーティングを実行できます。This can enable transit routing with Azure VPN gateways between your on-premises sites or across multiple Azure Virtual Networks.

次の図は、Microsoft ネットワーク内の Azure VPN ゲートウェイを通じて 2 つのオンプレミス ネットワーク間でトラフィックをやり取りできる複数のパスを使用したマルチホップ トポロジの例を示しています。The following diagram shows an example of a multi-hop topology with multiple paths that can transit traffic between the two on-premises networks through Azure VPN gateways within the Microsoft Networks:

Multi-hop transit

BGP のよくある質問BGP FAQ

BGP はすべての Azure VPN Gateway SKU でサポートされていますか。Is BGP supported on all Azure VPN Gateway SKUs?

BGP は、Basic SKU を除くすべての Azure VPN Gateway SKU でサポートされています。BGP is supported on all Azure VPN Gateway SKUs except Basic SKU.

Azure Policy の VPN ゲートウェイでは BGP を使用できますか。Can I use BGP with Azure Policy VPN gateways?

いいえ、BGP は、ルートベースの VPN ゲートウェイでのみサポートされています。No, BGP is supported on route-based VPN gateways only.

どの AS 番号 (自律システム番号) を使用できますか。What ASNs (Autonomous System Numbers) can I use?

オンプレミスのネットワークと Azure 仮想ネットワークの両方に対して独自のパブリック AS 番号またはプライベート AS 番号を使用できます。You can use your own public ASNs or private ASNs for both your on-premises networks and Azure virtual networks. Azure または IANA によって予約されている範囲を使用することはできません。You can't use the ranges reserved by Azure or IANA.

次の ASN は、Azure または IANA によって予約されています。The following ASNs are reserved by Azure or IANA:

  • Azure によって予約済みの ASN:ASNs reserved by Azure:
    • パブリック ASN: 8074、8075、12076Public ASNs: 8074, 8075, 12076
    • プライベート ASN: 65515、65517、65518、65519、65520Private ASNs: 65515, 65517, 65518, 65519, 65520
  • IANA によって予約済みの ASN:ASNs reserved by IANA:
    • 23456、64496 ~ 64511、65535 ~ 65551、および 42949672923456, 64496-64511, 65535-65551 and 429496729

これらの ASN は、Azure VPN ゲートウェイに接続する際にオンプレミスの VPN デバイスには指定できません。You can't specify these ASNs for your on-premises VPN devices when you're connecting to Azure VPN gateways.

32 ビット (4 バイト) の AS 番号を使用できますか。Can I use 32-bit (4-byte) ASNs?

はい、VPN Gateway では 32 ビット (4 バイト) の AS 番号がサポートされるようになりました。Yes, VPN Gateway now supports 32-bit (4-byte) ASNs. 10 進数形式の AS 番号を使用してを構成するには、PowerShell、Azure CLI、または Azure SDK を使用します。To configure by using ASN in decimal format, use PowerShell, the Azure CLI, or the Azure SDK.

どのプライベート AS 番号を使用できますか。What private ASNs can I use?

プライベート AS 番号の有効な範囲は次のとおりです。The useable ranges of private ASNs are:

  • 64512から 65514 および 65521 から 6553464512-65514 and 65521-65534

これらの AS 番号は、IANA または Azure で使用するために予約されていないため、Azure VPN ゲートウェイに割り当てるために使用できます。These ASNs aren't reserved by IANA or Azure for use, and therefore can be used to assign to your Azure VPN gateway.

VPN Gateway では、BGP ピア IP にどのようなアドレスが使用されますか。What address does VPN Gateway use for BGP peer IP?

VPN Gateway は、既定では GatewaySubnet 範囲から 1 つの IP アドレスをアクティブ/スタンバイ VPN ゲートウェイに割り当てるか、2 つの IP アドレスをアクティブ/アクティブ VPN ゲートウェイに割り当てます。By default, VPN Gateway allocates a single IP address from the GatewaySubnet range for active-standby VPN gateways, or two IP addresses for active-active VPN gateways. これらのアドレスは、VPN ゲートウェイの作成時に自動的に割り当てられます。These addresses are allocated automatically when you create the VPN gateway. PowerShell を使用するか、Azure portal で特定することによって、実際に割り当てられた BGP IP アドレスを取得できます。You can get the actual BGP IP address allocated by using PowerShell or by locating it in the Azure portal. PowerShell で Get-AzVirtualNetworkGateway を使用し、 bgpPeeringAddress プロパティを探します。In PowerShell, use Get-AzVirtualNetworkGateway , and look for the bgpPeeringAddress property. Azure portal の [ゲートウェイの構成] ページで、 [BGP AS 番号の構成] プロパティを確認します。In the Azure portal, on the Gateway Configuration page, look under the Configure BGP ASN property.

オンプレミスの VPN ルーターが BGP IP アドレスとして APIPA IP アドレス (169.254.x.x) を使用している場合は、Azure VPN ゲートウェイで、追加の Azure APIPA BGP IP アドレス を指定する必要があります。If your on-premises VPN routers use APIPA IP addresses (169.254.x.x) as the BGP IP addresses, you must specify an additional Azure APIPA BGP IP address on your Azure VPN gateway. Azure VPN Gateway では、ローカル ネットワーク ゲートウェイに指定されているオンプレミスの APIPA BGP ピアで使用する APIPA アドレス、または非 APIPA のオンプレミス BGP ピア用のプライベート IP アドレスが選択されます。Azure VPN Gateway selects the APIPA address to use with the on-premises APIPA BGP peer specified in the local network gateway, or the private IP address for a non-APIPA, on-premises BGP peer. 詳細については、「BGP を構成する」を参照してください。For more information, see Configure BGP.

VPN デバイスの BGP ピア IP アドレスに関する要件はどんなものですか。What are the requirements for the BGP peer IP addresses on my VPN device?

オンプレミスの BGP ピア アドレスを、ご使用の VPN デバイスまたは VPN ゲートウェイの VNet アドレス空間のパブリック IP アドレスと同じにすることはできません。Your on-premises BGP peer address must not be the same as the public IP address of your VPN device or from the virtual network address space of the VPN gateway. VPN デバイスでは BGP ピア IP に別の IP アドレスを使用してください。Use a different IP address on the VPN device for your BGP peer IP. デバイス上のループバック インターフェイスに割り当てられたアドレス (通常の IP アドレスまたは APIPA アドレス) を使用することができます。It can be an address assigned to the loopback interface on the device (either a regular IP address or an APIPA address). デバイスで BGP に APIPA アドレスを使用する場合は、「BGP を構成する」の説明に従って、Azure VPN ゲートウェイで APIPA BGP IP アドレスを指定する必要があります。If your device uses an APIPA address for BGP, you must specify an APIPA BGP IP address on your Azure VPN gateway, as described in Configure BGP. この場所を表している、対応するローカル ネットワーク ゲートウェイにこのアドレスを指定します。Specify this address in the corresponding local network gateway representing the location.

BGP を使用する際、ローカル ネットワーク ゲートウェイのアドレス プレフィックスとして何を指定する必要がありますか。What should I specify as my address prefixes for the local network gateway when I use BGP?

重要

これは、以前に記載された要件からの変更です。This is a change from the previously documented requirement. 接続に BGP を使用する場合は、対応するローカル ネットワーク ゲートウェイ リソースの [アドレス空間] フィールドを空のままにしておきます。If you use BGP for a connection, leave the Address space field empty for the corresponding local network gateway resource. Azure VPN Gateway では、IPsec トンネルを介したオンプレミスの BGP ピア IP へのホスト ルートが内部的に追加されます。Azure VPN Gateway adds a host route internally to the on-premises BGP peer IP over the IPsec tunnel. [アドレス空間] フィールドに /32 ルートを追加しないでください。Don't add the /32 route in the Address space field. これは冗長であり、APIPA アドレスをオンプレミスの VPN デバイスの BGP IP として使用する場合、このフィールドに追加することはできません。It's redundant and if you use an APIPA address as the on-premises VPN device BGP IP, it can't be added to this field. [アドレス空間] フィールドにその他のプレフィックスを追加すると、BGP 経由で学習したルートに加えて、Azure VPN ゲートウェイで静的ルートとして追加されます。If you add any other prefixes in the Address space field, they are added as static routes on the Azure VPN gateway, in addition to the routes learned via BGP.

オンプレミスの VPN ネットワークと Azure 仮想ネットワークの両方に同じ AS 番号を使用できますか。Can I use the same ASN for both on-premises VPN networks and Azure virtual networks?

いいえ、BGP を使用して接続している場合は、オンプレミスのネットワークと Azure 仮想ネットワークに異なる AS 番号を割り当てる必要があります。No, you must assign different ASNs between your on-premises networks and your Azure virtual networks if you're connecting them together with BGP. Azure VPN ゲートウェイには、クロスプレミス接続向けに BGP が有効になっているかどうかにかかわらず、AS 番号の既定値として 65515 が割り当てられています。Azure VPN gateways have a default ASN of 65515 assigned, whether BGP is enabled or not for your cross-premises connectivity. VPN ゲートウェイを作成する際に異なる AS 番号を割り当てて既定値をオーバーライドするか、ゲートウェイの作成後に AS 番号を変更することができます。You can override this default by assigning a different ASN when you're creating the VPN gateway, or you can change the ASN after the gateway is created. 対応する Azure ローカル ネットワーク ゲートウェイにオンプレミスの AS 番号を割り当てる必要があります。You will need to assign your on-premises ASNs to the corresponding Azure local network gateways.

Azure VPN ゲートウェイはどのようなアドレス プレフィックスをアドバタイズしますか。What address prefixes will Azure VPN gateways advertise to me?

ゲートウェイでは、オンプレミスの BGP デバイスに次のルートをアドバタイズします。The gateways advertise the following routes to your on-premises BGP devices:

  • 仮想ネットワークのアドレス プレフィックス。Your virtual network address prefixes.
  • Azure VPN ゲートウェイに接続されている各ローカル ネットワーク ゲートウェイのアドレス プレフィックス。Address prefixes for each local network gateway connected to the Azure VPN gateway.
  • Azure VPN ゲートウェイに接続されている他の BGP ピアリング セッションから学習したルート。ただし、既定のルートまたは仮想ネットワーク プレフィックスと重複しているルートは除外されます。Routes learned from other BGP peering sessions connected to the Azure VPN gateway, except for the default route or routes that overlap with any virtual network prefix.

何個のプレフィックスを Azure VPN Gateway にアドバタイズできますか。How many prefixes can I advertise to Azure VPN Gateway?

Azure VPN Gateway では最大 4,000 個のプレフィックスがサポートされます。Azure VPN Gateway supports up to 4000 prefixes. プレフィックスの数がこの制限を超えると、BGP セッションは切断されます。The BGP session is dropped if the number of prefixes exceeds the limit.

Azure VPN ゲートウェイへの既定のルート (0.0.0.0/0) をアドバタイズすることはできますか。Can I advertise default route (0.0.0.0/0) to Azure VPN gateways?

はい。Yes. これにより、すべての仮想ネットワークのエグレス トラフィックがオンプレミス サイトに強制的に送信されることに注意してください。Note that this forces all virtual network egress traffic towards your on-premises site. また、仮想ネットワーク VM が、インターネットからのパブリック通信 (RDP や SSH など) をインターネットから VM に直接受け入れなくなります。It also prevents the virtual network VMs from accepting public communication from the internet directly, such RDP or SSH from the internet to the VMs.

自分の仮想ネットワーク プレフィックスとまったく同じプレフィックスをアドバタイズすることはできますか。Can I advertise the exact prefixes as my virtual network prefixes?

いいえ、お使いの仮想ネットワーク アドレス プレフィックスのいずれかと同じプレフィックスのアドバタイズは、Azure によってブロックされるか、フィルター処理されます。No, advertising the same prefixes as any one of your virtual network address prefixes will be blocked or filtered by Azure. ただし、仮想ネットワークの内部に存在するアドレス空間のスーパーセットであるプレフィックスをアドバタイズすることができます。You can, however, advertise a prefix that is a superset of what you have inside your virtual network.

たとえば、仮想ネットワークでアドレス空間 10.0.0.0/16 を使用した場合、10.0.0.0/8 をアドバタイズすることができます。For example, if your virtual network used the address space 10.0.0.0/16, you can advertise 10.0.0.0/8. しかし、10.0.0.0/16 や 10.0.0.0/24 をアドバタイズすることはできません。But you can't advertise 10.0.0.0/16 or 10.0.0.0/24.

仮想ネットワーク間の接続に BGP を使用できますか。Can I use BGP with my connections between virtual networks?

はい、クロスプレミス接続と仮想ネットワーク間接続の両方で BGP を使用できます。Yes, you can use BGP for both cross-premises connections and connections between virtual networks.

Azure VPN ゲートウェイで BGP 接続を BGP 以外の接続と混在させることはできますか。Can I mix BGP with non-BGP connections for my Azure VPN gateways?

はい、同じ Azure VPN ゲートウェイに対して BGP 接続と非 BGP 接続の両方を混在させることができます。Yes, you can mix both BGP and non-BGP connections for the same Azure VPN gateway.

Azure VPN Gateway では、BGP トランジット ルーティングをサポートしていますか。Does Azure VPN Gateway support BGP transit routing?

はい。BGP トランジット ルーティングはサポートされています。ただし、Azure VPN ゲートウェイは既定のルートを他の BGP ピアにアドバタイズしません。Yes, BGP transit routing is supported, with the exception that Azure VPN gateways don't advertise default routes to other BGP peers. 複数の Azure VPN ゲートウェイでトランジット ルーティングを有効にするには、仮想ネットワーク間のすべての中間接続で BGP を有効にする必要があります。To enable transit routing across multiple Azure VPN gateways, you must enable BGP on all intermediate connections between virtual networks. 詳細については、BGP に関する記事を参照してください。For more information, see About BGP.

Azure VPN ゲートウェイとオンプレミス ネットワークの間で複数のトンネルを確立することはできますか。Can I have more than one tunnel between an Azure VPN gateway and my on-premises network?

はい、Azure VPN ゲートウェイとオンプレミス ネットワークの間に複数のサイト間 (S2S) VPN トンネルを確立することができます。Yes, you can establish more than one site-to-site (S2S) VPN tunnel between an Azure VPN gateway and your on-premises network. これらのトンネルはすべて Azure VPN ゲートウェイのトンネルの合計数にカウントされる点に注意してください。さらに、両方のトンネルの BGP を有効にする必要があります。Note that all these tunnels are counted against the total number of tunnels for your Azure VPN gateways, and you must enable BGP on both tunnels.

たとえば、Azure VPN ゲートウェイとオンプレミス ネットワークのいずれかの間に 2 つの冗長トンネルがある場合は、Azure VPN ゲートウェイの合計クォータから 2 つのトンネルが消費されることになります。For example, if you have two redundant tunnels between your Azure VPN gateway and one of your on-premises networks, they consume 2 tunnels out of the total quota for your Azure VPN gateway.

BGP で 2 つの Azure 仮想ネットワークの間に複数のトンネルを確立することはできますか。Can I have multiple tunnels between two Azure virtual networks with BGP?

はい。ただし、少なくとも 1 つの仮想ネットワーク ゲートウェイが、アクティブ/アクティブ構成になっている必要があります。Yes, but at least one of the virtual network gateways must be in active-active configuration.

Azure ExpressRoute とサイト間 VPN の共存構成でサイト間 VPN に BGP を使用することはできますか。Can I use BGP for S2S VPN in an Azure ExpressRoute and S2S VPN coexistence configuration?

はい。Yes.

BGP ピアリング セッション向けにオンプレミスの VPN デバイスに何を追加する必要がありますか。What should I add to my on-premises VPN device for the BGP peering session?

VPN デバイスに Azure BGP ピア IP アドレスのホスト ルートを追加します。Add a host route of the Azure BGP peer IP address on your VPN device. このルートは、IPsec サイト間 VPN トンネルを指しています。This route points to the IPsec S2S VPN tunnel. たとえば、Azure VPN ピア IP が 10.12.255.30 の場合は、10.12.255.30 のホスト ルートを VPN デバイスに追加し、対応する IPsec トンネル インターフェイスの次ホップ インターフェイスを指定する必要があります。For example, if the Azure VPN peer IP is 10.12.255.30, you add a host route for 10.12.255.30 with a next-hop interface of the matching IPsec tunnel interface on your VPN device.

仮想ネットワーク ゲートウェイは、BGP を使用したサイト間接続用の BFD をサポートしていますか。Does the virtual network gateway support BFD for S2S connections with BGP?

いいえ。No. 双方向転送検出 (BFD) は、標準の BGP "keepalive" を使用するよりも、近隣のダウンタイムを迅速に検出するために BGP で使用できるプロトコルです。Bidirectional Forwarding Detection (BFD) is a protocol that you can use with BGP to detect neighbor downtime quicker than you can by using standard BGP "keepalives." BFD では、LAN 環境で動作するように設計された秒未満タイマーが使用されますが、パブリック インターネットやワイド エリア ネットワーク接続向けであはりません。BFD uses subsecond timers designed to work in LAN environments, but not across the public internet or Wide Area Network connections.

パブリック インターネット経由の接続では、特定のパケットが遅延したりドロップされたりすることは珍しくありません。そのため、これらの積極的なタイマーの導入は不安定さを増長する可能性があります。For connections over the public internet, having certain packets delayed or even dropped isn't unusual, so introducing these aggressive timers can add instability. この不安定さによって、ルートが BGP によって抑制される可能性があります。This instability might cause routes to be dampened by BGP. 別の方法として、既定の 60 秒の "keepalive" 間隔と 180 秒のホールド タイマーより低いタイマーを使用してオンプレミスのデバイスを構成することができます。As an alternative, you can configure your on-premises device with timers lower than the default, 60-second "keepalive" interval, and the 180-second hold timer. その結果、収束時間が短縮されます。This results in a quicker convergence time.

次のステップNext steps

クロスプレミス接続と VNet 間接続向けに BGP を構成する手順については、 Azure VPN ゲートウェイでの BGP の使用 に関する記事を参照してください。See Getting started with BGP on Azure VPN gateways for steps to configure BGP for your cross-premises and VNet-to-VNet connections.