Azure Stack Hub verbinden met Azure met behulp van ExpressRoute

In dit artikel wordt beschreven hoe u een virtueel Azure Stack Hub-netwerk verbindt met een virtueel Azure-netwerk met behulp van een directe microsoft Azure ExpressRoute-verbinding .

U kunt dit artikel gebruiken als zelfstudie en de voorbeelden gebruiken om dezelfde testomgeving in te stellen. U kunt het artikel ook lezen als een walkthrough die u begeleidt bij het instellen van uw eigen ExpressRoute-omgeving.

Overzicht, veronderstellingen en vereisten

Met Azure ExpressRoute kunt u uw on-premises netwerken uitbreiden naar de Microsoft-cloud via een privéverbinding die wordt geleverd door een connectiviteitsprovider. ExpressRoute is geen VPN-verbinding via het openbare internet.

Zie overzicht van ExpressRoute voor meer informatie over Azure ExpressRoute.

Aannames

In dit artikel wordt ervan uitgegaan dat:

• U hebt praktische kennis van Azure.
• U hebt een basiskennis van Azure Stack Hub.
• U hebt een basiskennis van netwerken.

Vereisten

Als u Azure Stack Hub en Azure wilt verbinden met behulp van ExpressRoute, moet u aan de volgende vereisten voldoen:

• Een ingericht ExpressRoute-circuit via een connectiviteitsprovider.
• Een Azure-abonnement voor het maken van een ExpressRoute-circuit en VNets in Azure.
• Een router die het volgende moet doen:
  • Ondersteuning voor site-naar-site-VPN-verbindingen tussen de LAN-interface en azure Stack Hub-gateway voor meerdere tenants.
  • Ondersteuning voor het maken van meerdere VRF's (virtuele routering en doorsturen) als uw Azure Stack Hub-implementatie meer dan één tenant bevat.
• Een router met:
  • Een WAN-poort die is verbonden met het ExpressRoute-circuit.
  • Een LAN-poort die is verbonden met de Azure Stack Hub-gateway met meerdere tenants.

ExpressRoute-netwerkarchitectuur

In de volgende afbeelding ziet u de Azure Stack Hub- en Azure-omgevingen nadat u het instellen van ExpressRoute hebt voltooid aan de hand van de voorbeelden in dit artikel:

In de volgende afbeelding ziet u hoe meerdere tenants verbinding maken vanuit de Azure Stack Hub-infrastructuur via de ExpressRoute-router naar Azure:

In het voorbeeld in dit artikel wordt dezelfde architectuur met meerdere tenants gebruikt die in dit diagram wordt weergegeven om Azure Stack Hub te verbinden met Azure met behulp van persoonlijke ExpressRoute-peering. De verbinding wordt uitgevoerd met behulp van een site-naar-site-VPN-verbinding van de virtuele netwerkgateway in Azure Stack Hub naar een ExpressRoute-router.

De stappen in dit artikel laten zien hoe u een end-to-end-verbinding maakt tussen twee VNets van twee verschillende tenants in Azure Stack Hub naar overeenkomende VNets in Azure. Het instellen van twee tenants is optioneel; u kunt deze stappen ook gebruiken voor één tenant.

Azure Stack Hub configureren

Als u de Azure Stack Hub-omgeving voor de eerste tenant wilt instellen, gebruikt u de volgende stappen als richtlijn. Als u meer dan één tenant instelt, herhaalt u deze stappen:

Notitie

Deze stappen laten zien hoe u resources maakt met behulp van de Azure Stack Hub-portal, maar u kunt ook PowerShell gebruiken.

Voordat u begint

Voordat u begint met het configureren van Azure Stack Hub, hebt u het volgende nodig:

• Een Azure Stack Hub-implementatie.
• Een aanbieding in Azure Stack Hub waarop uw gebruikers zich kunnen abonneren. Zie Service, plan, aanbieding, abonnementsoverzicht voor meer informatie.

Netwerkresources maken in Azure Stack Hub

Gebruik de volgende procedures om de vereiste netwerkresources te maken in Azure Stack Hub voor een tenant.

Het virtuele netwerk en VM-subnet maken

1. Meld u aan bij de Azure Stack Hub-gebruikersportal.

2. Selecteer in de portal + Een resource maken.

3. Selecteer onder Azure Marketplacede optie Netwerken.

4. Selecteer onder Aanbevolen de optie Virtueel netwerk.

5. Voer onder Virtueel netwerk maken de waarden in de volgende tabel in de juiste velden in:

   Veld	Waarde
   Naam	Tenant1VNet1
   Adresruimte	10.1.0.0/16
   Subnetnaam	Tenant1-Sub1
   Subnetadresbereik	10.1.1.0/24

6. U ziet dat het abonnement dat u eerder hebt gemaakt, is ingevuld in het veld Abonnement . Voor de resterende velden:

   • Selecteer onder Resourcegroepde optie Nieuwe maken om een nieuwe resourcegroep te maken of selecteer Bestaande gebruiken als u er al een hebt.
   • Controleer de standaardlocatie.
   • Klik op Create.
   • (Optioneel) Klik op Vastmaken aan dashboard.

Her gatewaysubnet maken

1. Selecteer onder Virtueel netwerkde optie Tenant1VNet1.
2. Selecteer onder INSTELLINGENSubnetten.
3. Selecteer + Gatewaysubnet om een gatewaysubnet toe te voegen aan het virtuele netwerk.
4. De naam van het subnet is standaard ingesteld op Gatewaysubnet. Gatewaysubnetten zijn een speciaal geval en moeten deze naam gebruiken om correct te werken.
5. Controleer of het adresbereik10.1.0.0/24 is.
6. Klik op OK om het gatewaysubnet te maken.

De gateway van het virtuele netwerk maken

1. Klik in de Azure Stack Hub-gebruikersportal op + Een resource maken.
2. Selecteer onder Azure Marketplacede optie Netwerken.
3. Selecteer Gateway van het virtuele netwerk in de lijst met netwerkresources.
4. Voer gw1 in het veld Naam in.
5. Selecteer Virtueel netwerk.
6. Selecteer Tenant1VNet1 in de vervolgkeuzelijst.
7. Selecteer Openbaar IP-adres, kies openbaar IP-adres en klik vervolgens op Nieuw maken.
8. Typ GW1-PiP in het veld Naam en klik vervolgens op OK.
9. Bij VPN-type moet standaard Op basis van route zijn geselecteerd. Behoud deze instelling.
10. Controleer of Abonnement en Locatie juist zijn. Klik op Create.

De lokale netwerkgateway maken

De resource van de lokale netwerkgateway identificeert de externe gateway aan het andere einde van de VPN-verbinding. In dit voorbeeld is het externe uiteinde van de verbinding de LAN-subinterface van de ExpressRoute-router. Voor Tenant 1 in het vorige diagram is het externe adres 10.60.3.255.

1. Meld u aan bij de Azure Stack Hub-gebruikersportal en selecteer + Een resource maken.

2. Selecteer onder Azure Marketplacede optie Netwerken.

3. Selecteer lokale netwerkgateway in de lijst met resources.

4. Typ ER-Router-GW in het veld Naam.

5. Zie de vorige afbeelding voor het veld IP-adres . Het IP-adres van de LAN-subinterface van de ExpressRoute-router voor Tenant 1 is 10.60.3.255. Voer voor uw eigen omgeving het IP-adres van de bijbehorende interface van uw router in.

6. Voer in het veld Adresruimte de adresruimte in van de VNets waarmee u verbinding wilt maken in Azure. De subnetten voor tenant 1 zijn als volgt:

   • 192.168.2.0/24 is het hub-VNet in Azure.
   • 10.100.0.0/16 is het spoke-VNet in Azure.

   Belangrijk

   In dit voorbeeld wordt ervan uitgegaan dat u statische routes gebruikt voor de site-naar-site-VPN-verbinding tussen de Azure Stack Hub-gateway en de ExpressRoute-router.

7. Controleer of uw abonnement, resourcegroep en locatie juist zijn. Selecteer vervolgens Maken.

De verbinding maken

1. Selecteer in de Azure Stack Hub-gebruikersportal de optie + Een resource maken.
2. Selecteer onder Azure Marketplacede optie Netwerken.
3. Selecteer Verbinding in de lijst met resources.
4. Kies onder Basisbeginselende optie Site-naar-site (IPSec) als verbindingstype.
5. Selecteer abonnement,resourcegroep en locatie. Klik op OK.
6. Selecteer onder Instellingende optie Gateway van virtueel netwerk en selecteer vervolgens GW1.
7. Selecteer Lokale netwerkgateway en selecteer vervolgens ER Router GW.
8. Voer in het veld VerbindingsnaamConnectToAzure in.
9. Voer in het veld Gedeelde sleutel (PSK)abc123 inen selecteer ok.
10. Selecteer onder Samenvattingde optie OK.

Het openbare IP-adres van de virtuele netwerkgateway ophalen

Nadat u de virtuele netwerkgateway hebt gemaakt, kunt u het openbare IP-adres van de gateway ophalen. Noteer dit adres voor het geval u dit later nodig hebt voor uw implementatie. Afhankelijk van uw implementatie wordt dit adres gebruikt als het interne IP-adres.

1. Selecteer in de Azure Stack Hub-gebruikersportal de optie Alle resources.
2. Selecteer onder Alle resources de gateway van het virtuele netwerk. Dit is GW1 in het voorbeeld.
3. Selecteer onder Gateway van virtueel netwerkde optie Overzicht in de lijst met resources. U kunt ook Eigenschappen selecteren.
4. Het IP-adres dat u wilt noteren, wordt vermeld onder Openbaar IP-adres. Voor de voorbeeldconfiguratie is dit adres 192.68.102.1.

Een virtuele machine (VM) maken

Als u het gegevensverkeer via de VPN-verbinding wilt testen, hebt u VM's nodig om gegevens te verzenden en te ontvangen in het VNet van Azure Stack Hub. Maak een virtuele machine en implementeer deze in het VM-subnet voor uw virtuele netwerk.

1. Selecteer in de Azure Stack Hub-gebruikersportal de optie + Een resource maken.

2. Selecteer onder Azure Marketplacede optie Compute.

3. Selecteer in de lijst met VM-installatiekopieën de installatiekopie Windows Server 2016 Datacenter Eval.

   Notitie

   Als de installatiekopieën die voor dit artikel worden gebruikt, niet beschikbaar zijn, vraagt u uw Azure Stack Hub-operator om een andere Windows Server-installatiekopieën op te geven.

4. Selecteer in Virtuele machine makende optie Basisbeginselen en typ vm01 als de naam.

5. Voer een geldige gebruikersnaam en een geldig wachtwoord in. U gebruikt dit account om u aan te melden bij de VM nadat deze is gemaakt.

6. Geef een abonnement, resourcegroep en een locatie op. Selecteer OK.

7. Selecteer onder Kies een grootte een VM-grootte voor dit exemplaar en selecteer vervolgens Selecteren.

8. Controleer onder Instellingen of:

   • Het virtuele netwerk is Tenant1VNet1.
   • Het subnet is ingesteld op 10.1.1.0/24.

   Gebruik de standaardinstellingen en klik op OK.

9. Controleer onder Samenvatting de VM-configuratie en klik vervolgens op OK.

Als u meer tenants wilt toevoegen, herhaalt u de stappen die u in deze secties hebt gevolgd:

• Het virtuele netwerk en VM-subnet maken
• Her gatewaysubnet maken
• De gateway van het virtuele netwerk maken
• De lokale netwerkgateway maken
• De verbinding maken
• Een virtuele machine maken

Als u tenant 2 als voorbeeld gebruikt, moet u de IP-adressen wijzigen om overlappingen te voorkomen.

De NAT-VM configureren voor gateway-traversal

Belangrijk

Deze sectie is alleen bedoeld voor ASDK-implementaties. De NAT is niet nodig voor implementaties met meerdere knooppunten.

De ASDK staat op zichzelf en is geïsoleerd van het netwerk waarop de fysieke host is geïmplementeerd. Het VIP-netwerk waarmee de gateways zijn verbonden, is niet extern; het is verborgen achter een router die Network Address Translation (NAT) uitvoert.

De router is de ASDK-host waarop de RRAS-rol (Routing and Remote Access Services) wordt uitgevoerd. U moet NAT op de ASDK-host configureren om de site-naar-site-VPN-verbinding in te schakelen om aan beide uiteinden verbinding te maken.

De NAT configureren

1. Meld u aan bij de Azure Stack Hub-hostcomputer met uw beheerdersaccount.

2. Voer het script uit in een PowerShell ISE met verhoogde bevoegdheid. Dit script retourneert uw externe BGPNAT-adres.

   Get-NetNatExternalAddress
   

3. Als u de NAT wilt configureren, kopieert en bewerkt u het volgende PowerShell-script. Bewerk het script om de External BGPNAT address en Internal IP address te vervangen door de volgende voorbeeldwaarden:

   • Voor extern BGPNAT-adres gebruikt u 10.10.0.62
   • Gebruik voor intern IP-adres 192.168.102.1

   Voer het volgende script uit vanuit een PowerShell ISE met verhoogde bevoegdheid:

   $ExtBgpNat = 'External BGPNAT address'
   $IntBgpNat = 'Internal IP address'
   
   # Designate the external NAT address for the ports that use the IKE authentication.
   Add-NetNatExternalAddress `
      -NatName BGPNAT `
      -IPAddress $Using:ExtBgpNat `
      -PortStart 499 `
      -PortEnd 501
   Add-NetNatExternalAddress `
      -NatName BGPNAT `
      -IPAddress $Using:ExtBgpNat `
      -PortStart 4499 `
      -PortEnd 4501
   # Create a static NAT mapping to map the external address to the Gateway public IP address to map the ISAKMP port 500 for PHASE 1 of the IPSEC tunnel.
   Add-NetNatStaticMapping `
      -NatName BGPNAT `
      -Protocol UDP `
      -ExternalIPAddress $Using:ExtBgpNat `
      -InternalIPAddress $Using:IntBgpNat `
      -ExternalPort 500 `
      -InternalPort 500
   # Configure NAT traversal which uses port 4500 to  establish the complete IPSEC tunnel over NAT devices.
   Add-NetNatStaticMapping `
      -NatName BGPNAT `
      -Protocol UDP `
      -ExternalIPAddress $Using:ExtBgpNat `
      -InternalIPAddress $Using:IntBgpNat `
      -ExternalPort 4500 `
      -InternalPort 4500
   

Azure configureren

Nadat u klaar bent met het configureren van Azure Stack Hub, kunt u de Azure-resources implementeren. In de volgende afbeelding ziet u een voorbeeld van een virtueel tenantnetwerk in Azure. U kunt elke naam en adresseringsschema gebruiken voor uw VNet in Azure. Het adresbereik van de VNets in Azure en Azure Stack Hub moet echter uniek zijn en mag niet overlappen:

De resources die u in Azure implementeert, zijn vergelijkbaar met de resources die u hebt geïmplementeerd in Azure Stack Hub. U implementeert de volgende onderdelen:

• Virtuele netwerken en subnetten
• Een gatewaysubnet
• Een virtuele netwerkgateway
• Een verbinding
• Een ExpressRoute-circuit

De voorbeeld-Azure-netwerkinfrastructuur is als volgt geconfigureerd:

• Een standaard hub (192.168.2.0/24) en spoke (10.100.0.0./16) VNet-model. Zie Een hub-spoke-netwerktopologie implementeren in Azure voor meer informatie over hub-spoke-netwerktopologie.
• De workloads worden geïmplementeerd in het spoke-VNet en het ExpressRoute-circuit is verbonden met het hub-VNet.
• De twee VNets zijn verbonden met behulp van VNet-peering.

De Azure VNets configureren

1. Meld u aan bij de Azure Portal met uw Azure-referenties.
2. Maak het hub-VNet met behulp van het adresbereik 192.168.2.0/24.
3. Maak een subnet met het adresbereik 192.168.2.0/25 en voeg een gatewaysubnet toe met het adresbereik 192.168.2.128/27.
4. Maak het spoke-VNet en subnet met behulp van het adresbereik 10.100.0.0/16.

Zie Een virtueel netwerk maken voor meer informatie over het maken van virtuele netwerken in Azure.

Een ExpressRoute-circuit configureren

1. Bekijk de vereisten voor ExpressRoute in de controlelijst voor Vereisten voor ExpressRoute &.

2. Volg de stappen in Een ExpressRoute-circuit maken en wijzigen om een ExpressRoute-circuit te maken met behulp van uw Azure-abonnement.

   Notitie

   Geef de servicesleutel voor uw circuit door aan uw service, zodat ze uw ExpressRoute-circuit aan hun kant kunnen instellen.

3. Volg de stappen in Peering maken en wijzigen voor een ExpressRoute-circuit om persoonlijke peering op het ExpressRoute-circuit te configureren.

De gateway van het virtuele netwerk maken

Volg de stappen in Een virtuele netwerkgateway voor ExpressRoute configureren met behulp van PowerShell om een virtuele netwerkgateway voor ExpressRoute te maken in het hub-VNet.

De verbinding maken

Als u het ExpressRoute-circuit wilt koppelen aan het hub-VNet, volgt u de stappen in Een virtueel netwerk verbinden met een ExpressRoute-circuit.

De VNets instellen als peers

Koppel de hub- en spoke-VNets met behulp van de stappen in Een peering voor een virtueel netwerk maken met behulp van de Azure Portal. Wanneer u VNet-peering configureert, moet u de volgende opties gebruiken:

• Van de hub naar de spoke : Gatewayoverdracht toestaan.
• Van de spoke naar de hub , Externe gateway gebruiken.

Een virtuele machine maken

Implementeer uw workload-VM's in het spoke-VNet.

Herhaal deze stappen voor alle extra tenant-VNets die u wilt verbinden in Azure via hun respectieve ExpressRoute-circuits.

De router configureren

U kunt het volgende configuratiediagram van de ExpressRoute-router gebruiken als richtlijn voor het configureren van uw ExpressRoute-router. In deze afbeelding ziet u twee tenants (tenant 1 en tenant 2) met hun respectieve ExpressRoute-circuits. Elke tenant is gekoppeld aan een eigen VRF (Virtual Routing and Forwarding) in de LAN- en WAN-zijde van de ExpressRoute-router. Deze configuratie zorgt voor end-to-end isolatie tussen de twee tenants. Noteer de IP-adressen die worden gebruikt in de routerinterfaces terwijl u het configuratievoorbeeld volgt.

U kunt elke router gebruiken die IKEv2 VPN en BGP ondersteunt om de site-naar-site-VPN-verbinding van Azure Stack Hub te beëindigen. Dezelfde router wordt gebruikt om verbinding te maken met Azure met behulp van een ExpressRoute-circuit.

Het volgende voorbeeld van de cisco ASR 1000 Series Aggregation Services Router-configuratie ondersteunt de netwerkinfrastructuur die wordt weergegeven in het configuratiediagram van de ExpressRoute-router .

ip vrf Tenant 1
 description Routing Domain for PRIVATE peering to Azure for Tenant 1
 rd 1:1
!
ip vrf Tenant 2
 description Routing Domain for PRIVATE peering to Azure for Tenant 2
 rd 1:5
!
crypto ikev2 proposal V2-PROPOSAL2
description IKEv2 proposal for Tenant 1
encryption aes-cbc-256
 integrity sha256
 group 2
crypto ikev2 proposal V4-PROPOSAL2
description IKEv2 proposal for Tenant 2
encryption aes-cbc-256
 integrity sha256
 group 2
!
crypto ikev2 policy V2-POLICY2
description IKEv2 Policy for Tenant 1
match fvrf Tenant 1
 match address local 10.60.3.255
 proposal V2-PROPOSAL2
description IKEv2 Policy for Tenant 2
crypto ikev2 policy V4-POLICY2
 match fvrf Tenant 2
 match address local 10.60.3.251
 proposal V4-PROPOSAL2
!
crypto ikev2 profile V2-PROFILE
description IKEv2 profile for Tenant 1
match fvrf Tenant 1
 match address local 10.60.3.255
 match identity remote any
 authentication remote pre-share key abc123
 authentication local pre-share key abc123
 ivrf Tenant 1
!
crypto ikev2 profile V4-PROFILE
description IKEv2 profile for Tenant 2
 match fvrf Tenant 2
 match address local 10.60.3.251
 match identity remote any
 authentication remote pre-share key abc123
 authentication local pre-share key abc123
 ivrf Tenant 2
!
crypto ipsec transform-set V2-TRANSFORM2 esp-gcm 256
 mode tunnel
crypto ipsec transform-set V4-TRANSFORM2 esp-gcm 256
 mode tunnel
!
crypto ipsec profile V2-PROFILE
 set transform-set V2-TRANSFORM2
 set ikev2-profile V2-PROFILE
!
crypto ipsec profile V4-PROFILE
 set transform-set V4-TRANSFORM2
 set ikev2-profile V4-PROFILE
!
interface Tunnel10
description S2S VPN Tunnel for Tenant 1
 ip vrf forwarding Tenant 1
 ip address 11.0.0.2 255.255.255.252
 ip tcp adjust-mss 1350
 tunnel source TenGigabitEthernet0/1/0.211
 tunnel mode ipsec ipv4
 tunnel destination 10.10.0.62
 tunnel vrf Tenant 1
 tunnel protection ipsec profile V2-PROFILE
!
interface Tunnel20
description S2S VPN Tunnel for Tenant 2
 ip vrf forwarding Tenant 2
 ip address 11.0.0.2 255.255.255.252
 ip tcp adjust-mss 1350
 tunnel source TenGigabitEthernet0/1/0.213
 tunnel mode ipsec ipv4
 tunnel destination 10.10.0.62
 tunnel vrf VNET3
 tunnel protection ipsec profile V4-PROFILE
!
interface GigabitEthernet0/0/1
 description PRIMARY ExpressRoute Link to AZURE over Equinix
 no ip address
 negotiation auto
!
interface GigabitEthernet0/0/1.100
description Primary WAN interface of Tenant 1
 description PRIMARY ER link supporting Tenant 1 to Azure
 encapsulation dot1Q 101
 ip vrf forwarding Tenant 1
 ip address 192.168.1.1 255.255.255.252
!
interface GigabitEthernet0/0/1.102
description Primary WAN interface of Tenant 2
 description PRIMARY ER link supporting Tenant 2 to Azure
 encapsulation dot1Q 102
 ip vrf forwarding Tenant 2
 ip address 192.168.1.17 255.255.255.252
!
interface GigabitEthernet0/0/2
 description BACKUP ExpressRoute Link to AZURE over Equinix
 no ip address
 negotiation auto
!
interface GigabitEthernet0/0/2.100
description Secondary WAN interface of Tenant 1
 description BACKUP ER link supporting Tenant 1 to Azure
 encapsulation dot1Q 101
 ip vrf forwarding Tenant 1
 ip address 192.168.1.5 255.255.255.252
!
interface GigabitEthernet0/0/2.102
description Secondary WAN interface of Tenant 2
description BACKUP ER link supporting Tenant 2 to Azure
 encapsulation dot1Q 102
 ip vrf forwarding Tenant 2
 ip address 192.168.1.21 255.255.255.252
!
interface TenGigabitEthernet0/1/0
 description Downlink to ---Port 1/47
 no ip address
!
interface TenGigabitEthernet0/1/0.211
 description LAN interface of Tenant 1
description Downlink to --- Port 1/47.211
 encapsulation dot1Q 211
 ip vrf forwarding Tenant 1
 ip address 10.60.3.255 255.255.255.254
!
interface TenGigabitEthernet0/1/0.213
description LAN interface of Tenant 2
 description Downlink to --- Port 1/47.213
 encapsulation dot1Q 213
 ip vrf forwarding Tenant 2
 ip address 10.60.3.251 255.255.255.254
!
router bgp 65530
 bgp router-id <removed>
 bgp log-neighbor-changes
 description BGP neighbor config and route advertisement for Tenant 1 VRF
 address-family ipv4 vrf Tenant 1
  network 10.1.0.0 mask 255.255.0.0
  network 10.60.3.254 mask 255.255.255.254
  network 192.168.1.0 mask 255.255.255.252
  network 192.168.1.4 mask 255.255.255.252
  neighbor 10.10.0.62 remote-as 65100
  neighbor 10.10.0.62 description VPN-BGP-PEER-for-Tenant 1
  neighbor 10.10.0.62 ebgp-multihop 5
  neighbor 10.10.0.62 activate
  neighbor 10.60.3.254 remote-as 4232570301
  neighbor 10.60.3.254 description LAN peer for CPEC:INET:2112 VRF
  neighbor 10.60.3.254 activate
  neighbor 10.60.3.254 route-map BLOCK-ALL out
  neighbor 192.168.1.2 remote-as 12076
  neighbor 192.168.1.2 description PRIMARY ER peer for Tenant 1 to Azure
  neighbor 192.168.1.2 ebgp-multihop 5
  neighbor 192.168.1.2 activate
  neighbor 192.168.1.2 soft-reconfiguration inbound
  neighbor 192.168.1.2 route-map Tenant 1-ONLY out
  neighbor 192.168.1.6 remote-as 12076
  neighbor 192.168.1.6 description BACKUP ER peer for Tenant 1 to Azure
  neighbor 192.168.1.6 ebgp-multihop 5
  neighbor 192.168.1.6 activate
  neighbor 192.168.1.6 soft-reconfiguration inbound
  neighbor 192.168.1.6 route-map Tenant 1-ONLY out
  maximum-paths 8
 exit-address-family
 !
description BGP neighbor config and route advertisement for Tenant 2 VRF
address-family ipv4 vrf Tenant 2
  network 10.1.0.0 mask 255.255.0.0
  network 10.60.3.250 mask 255.255.255.254
  network 192.168.1.16 mask 255.255.255.252
  network 192.168.1.20 mask 255.255.255.252
  neighbor 10.10.0.62 remote-as 65300
  neighbor 10.10.0.62 description VPN-BGP-PEER-for-Tenant 2
  neighbor 10.10.0.62 ebgp-multihop 5
  neighbor 10.10.0.62 activate
  neighbor 10.60.3.250 remote-as 4232570301
  neighbor 10.60.3.250 description LAN peer for CPEC:INET:2112 VRF
  neighbor 10.60.3.250 activate
  neighbor 10.60.3.250 route-map BLOCK-ALL out
  neighbor 192.168.1.18 remote-as 12076
  neighbor 192.168.1.18 description PRIMARY ER peer for Tenant 2 to Azure
  neighbor 192.168.1.18 ebgp-multihop 5
  neighbor 192.168.1.18 activate
  neighbor 192.168.1.18 soft-reconfiguration inbound
  neighbor 192.168.1.18 route-map VNET-ONLY out
  neighbor 192.168.1.22 remote-as 12076
  neighbor 192.168.1.22 description BACKUP ER peer for Tenant 2 to Azure
  neighbor 192.168.1.22 ebgp-multihop 5
  neighbor 192.168.1.22 activate
  neighbor 192.168.1.22 soft-reconfiguration inbound
  neighbor 192.168.1.22 route-map VNET-ONLY out
  maximum-paths 8
 exit-address-family
!
ip forward-protocol nd
!
ip as-path access-list 1 permit ^$
ip route vrf Tenant 1 10.1.0.0 255.255.0.0 Tunnel10
ip route vrf Tenant 2 10.1.0.0 255.255.0.0 Tunnel20
!
ip prefix-list BLOCK-ALL seq 5 deny 0.0.0.0/0 le 32
!
route-map BLOCK-ALL permit 10
 match ip address prefix-list BLOCK-ALL
!
route-map VNET-ONLY permit 10
 match as-path 1
!

De verbinding testen

Test uw verbinding nadat u de site-naar-site-verbinding en het ExpressRoute-circuit tot stand hebt gebracht.

Voer de volgende pingtests uit:

• Meld u aan bij een van de VM's in uw Azure VNet en ping de VM die u hebt gemaakt in Azure Stack Hub.
• Meld u aan bij een van de VM's die u hebt gemaakt in Azure Stack Hub en ping de VM die u hebt gemaakt in het Azure VNet.

Notitie

Om ervoor te zorgen dat u verkeer verzendt via de site-naar-site- en ExpressRoute-verbindingen, moet u het toegewezen IP-adres (DIP) van de VM aan beide uiteinden pingen en niet het VIP-adres van de VM.

ICMP toestaan via de firewall

Standaard staat Windows Server 2016 binnenkomende ICMP-pakketten via de firewall niet toe. Voor elke VM die u gebruikt voor pingtests, moet u binnenkomende ICMP-pakketten toestaan. Als u een firewallregel voor ICMP wilt maken, voert u de volgende cmdlet uit in een PowerShell-venster met verhoogde bevoegdheid:

# Create ICMP firewall rule.
New-NetFirewallRule `
  -DisplayName "Allow ICMPv4-In" `
  -Protocol ICMPv4

Ping de Azure Stack Hub-VM

1. Meld u aan bij de Azure Stack Hub-gebruikersportal.

2. Zoek de VM die u hebt gemaakt en selecteer deze.

3. Selecteer Verbinding maken.

4. Voer ipconfig /all in vanaf een Windows- of PowerShell-opdrachtprompt met verhoogde bevoegdheid. Noteer het IPv4-adres dat in de uitvoer wordt geretourneerd.

5. Ping het IPv4-adres van de VM in het Azure VNet.

   In de voorbeeldomgeving is het IPv4-adres afkomstig van het subnet 10.1.1.x/24. In uw omgeving kan het adres afwijken, maar het moet zich in het subnet bevinden dat u hebt gemaakt voor het tenant-VNet-subnet.

Statistieken voor gegevensoverdracht weergeven

Als u wilt weten hoeveel verkeer uw verbinding passeert, kunt u deze informatie vinden in de Gebruikersportal van Azure Stack Hub. Het weergeven van gegevensoverdrachtsstatistieken is ook een goede manier om erachter te komen of uw pingtestgegevens al dan niet via de VPN- en ExpressRoute-verbindingen zijn gegaan:

1. Meld u aan bij de Azure Stack Hub-gebruikersportal en selecteer Alle resources.
2. Navigeer naar de resourcegroep voor uw VPN Gateway en selecteer het objecttype Verbinding.
3. Selecteer de verbinding ConnectToAzure in de lijst.
4. Onder Overzicht van verbindingen> ziet u statistieken voor Gegevens in en Gegevens uit. Als het goed is, ziet u enkele niet-nulwaarden.

Volgende stappen

Apps implementeren in Azure en Azure Stack Hub