Gelijktijdige ExpressRoute- en site-naar-site-verbindingen configureren met behulp van Azure Portal

  • Artikel

In dit artikel leest u hoe u ExpressRoute- en site-naar-site-VPN-verbindingen configureert die naast elkaar kunnen worden gebruikt. De mogelijkheid om site-naar-site-VPN en ExpressRoute te configureren heeft verschillende voordelen. U kunt site-naar-site-VPN configureren als een beveiligd failoverpad voor ExpressRoute of site-naar-site-VPN's gebruiken om verbinding te maken met sites die niet zijn verbonden via ExpressRoute. In dit artikel gaan we in op de stappen voor het configureren van beide scenario's. Dit artikel is van toepassing op het Resource Manager-implementatiemodel.

Configuratie van gelijktijdige site-naar-site-VPN- en ExpressRoute-verbindingen heeft verschillende voordelen:

  • U kunt een site-naar-site-VPN configureren als een beveiligd failoverpad voor ExpressRoute.
  • U kunt ook site-naar-site-VPN's gebruiken om verbinding te maken met sites die niet zijn verbonden via ExpressRoute.

In dit artikel worden de stappen beschreven voor het configureren van beide scenario's. U kunt beide gateways eerst configureren. Normaal gesproken treedt er geen downtime op bij het toevoegen van een nieuwe gateway of gatewayverbinding.

Notitie

Als u een site-naar-site-VPN wilt maken via een ExpressRoute-verbinding, raadpleegt u Site-naar-site via Microsoft-peering.

Limieten en beperkingen

  • Alleen een op route gebaseerde VPN-gateway wordt ondersteund. U moet een op route gebaseerde VPN-gateway gebruiken. U kunt ook een op route gebaseerde VPN-gateway gebruiken met een VPN-verbinding die is geconfigureerd voor op beleid gebaseerde verkeersselectors, zoals beschreven in Verbinding maken naar meerdere op beleid gebaseerde VPN-apparaten.
  • Co-existentieconfiguraties van ExpressRoute-VPN Gateway worden niet ondersteund in de Basic-SKU.
  • Zowel de ExpressRoute- als DE VPN-gateways moeten met elkaar kunnen communiceren via BGP om goed te kunnen functioneren. Als u een UDR op het gatewaysubnet gebruikt, moet u ervoor zorgen dat er geen route voor het gatewaysubnetbereik zelf wordt opgenomen, omdat dit BGP-verkeer beïnvloedt.
  • Als u transitroutering tussen ExpressRoute en VPN wilt gebruiken, moet de ASN van Azure VPN Gateway zijn ingesteld op 65515. Azure VPN Gateway ondersteunt het BGP-routeringsprotocol. Als ExpressRoute en Azure VPN samenwerken, moet u het autonome systeemnummer van uw Azure VPN-gateway behouden op de standaardwaarde 65515. Als u eerder een andere ASN dan 65515 hebt geselecteerd en u de instelling wijzigt in 65515, moet u de VPN-gateway opnieuw instellen om de instelling van kracht te laten worden.
  • Het gatewaysubnet moet /27 of een korter voorvoegsel zijn, zoals /26, /25, of u ontvangt een foutbericht wanneer u de gateway van het virtuele ExpressRoute-netwerk toevoegt.
  • Co-existentie voor IPv4-verkeer alleen. ExpressRoute-co-existentie met VPN-gateway wordt ondersteund, maar alleen voor IPv4-verkeer. IPv6-verkeer wordt niet ondersteund voor VPN-gateways.

Configuratie-ontwerpen

Een site-naar-site-VPN configureren als een failoverpad voor ExpressRoute

U kunt een site-naar-site-VPN-verbinding configureren als een back-up voor ExpressRoute. Deze verbinding geldt alleen voor virtuele netwerken die zijn gekoppeld aan het pad voor Azure Privépeering. Er is geen op VPN gebaseerde failoveroplossing voor services die toegankelijk zijn via Azure Microsoft-peering. Het ExpressRoute-circuit is altijd de primaire koppeling. Gegevens worden alleen via het site-naar-site-VPN-pad geleid als het ExpressRoute-circuit niet beschikbaar is. Om asymmetrische routering te voorkomen, moet ook in uw lokale netwerkconfiguratie de voorkeur zijn gegeven aan het ExpressRoute-circuit via de site-naar-site-VPN. U kunt het ExpressRoute-pad de voorkeur geven door een hogere lokale voorkeur in te stellen voor de routes die de ExpressRoute heeft ontvangen.

Notitie

Als ExpressRoute Microsoft-peering is ingeschakeld, kunt u het openbare IP-adres van uw Azure VPN-gateway ontvangen op de ExpressRoute-verbinding. Als u uw site-naar-site-VPN-verbinding wilt instellen als back-up, moet u uw on-premises netwerk zo configureren dat de VPN-verbinding naar internet wordt gerouteerd.

Notitie

Hoewel een ExpressRoute-circuit de voorkeur heeft boven site-naar-site-VPN wanneer beide routes hetzelfde zijn, gebruikt Azure de langste voorvoegselovereenkomst om de route naar de bestemming van het pakket te kiezen.

Diagram van een site-naar-site-VPN-verbinding die wordt gebruikt als back-up voor ExpressRoute.

Een site-naar-site-VPN configureren om verbinding te maken met sites die niet zijn verbonden via ExpressRoute

U kunt uw netwerk zodanig configureren dat sommige sites rechtstreeks verbinding maken met Azure via site-naar-site-VPN en sommige sites verbinding maken via ExpressRoute.

Diagram van een site-naar-site-VPN-verbinding die naast een ExpressRoute-verbinding voor twee verschillende sites bestaat.

De stappen selecteren die u gaat gebruiken

Er zijn twee verschillende procedures waaruit u kunt kiezen. Welke configuratieprocedure u selecteert, is afhankelijk van het gegeven of u een nieuw virtueel netwerk wilt maken of een bestaand virtueel netwerk hebt waarmee u verbinding wilt maken.

  • Ik heb geen VNet en moet er een maken.

    Als u nog geen virtueel netwerk hebt, begeleidt deze procedure u bij het maken van een nieuw virtueel netwerk met behulp van de Resource Manager-implementatie, en bij het maken van nieuwe ExpressRoute- en site-naar-site-VPN-verbindingen. Volg voor het configureren van een virtueel netwerk de stappen in Een nieuw virtueel netwerk en naast elkaar bestaande verbindingen maken.

  • Ik heb al een VNet van het Resource Manager-implementatiemodel.

    Mogelijk hebt u al een virtueel netwerk met een bestaande site-naar-site-VPN-verbinding of ExpressRoute-verbinding. In dit scenario moet u de bestaande gateway verwijderen als het voorvoegsel van het gatewaysubnet /28 of langer is (/29, /30, enzovoort). Het gedeelte Naast elkaar bestaande verbindingen configureren voor een bestaand VNet begeleidt u bij het verwijderen van de gateway en vervolgens bij het maken van nieuwe ExpressRoute- en site-naar-site-VPN-verbindingen.

    Als u uw gateway verwijdert en opnieuw maakt, hebt u downtime voor uw cross-premises verbindingen. Uw VM's en services kunnen echter communiceren via de load balancer terwijl u uw gateway configureert als ze hiervoor zijn geconfigureerd.

Een nieuw virtueel netwerk en naast elkaar bestaande verbindingen maken

Deze procedure helpt u bij het maken van een VNet- en site-naar-site- en ExpressRoute-verbindingen die naast elkaar bestaan.

  1. Meld u aan bij het Azure-portaal.

  2. Selecteer in de linkerbovenhoek van het scherm de optie + Een resource maken en zoek naar virtueel netwerk.

  3. Selecteer Maken om te beginnen met het configureren van het virtuele netwerk.

    Schermopname van de pagina Een virtueel netwerk maken.

  4. Selecteer of maak op het tabblad Basisinformatie een nieuwe resourcegroep om het virtuele netwerk op te slaan. Voer vervolgens de naam in en selecteer de regio om het virtuele netwerk te implementeren. Selecteer Volgende: IP-adressen > om de adresruimte en subnetten te configureren.

    Schermopname van het tabblad Basisbeginselen voor het maken van een virtueel netwerk.

  5. Configureer op het tabblad IP-adressen de adresruimte van het virtuele netwerk. Definieer vervolgens de subnetten die u wilt maken, inclusief het gatewaysubnet. Selecteer Beoordelen en maken en maak vervolgens* om het virtuele netwerk te implementeren. Zie Een virtueel netwerk maken voor meer informatie over het maken van een virtueel netwerk. Zie Een subnet maken voor meer informatie over het maken van subnets.

    Belangrijk

    Het gatewaysubnet moet /27 of een korter voorvoegsel (zoals /26 of /25) zijn.

    Schermopname van het tabblad IP-adressen voor het maken van een virtueel netwerk.

  6. Maak de site-naar-site-VPN-gateway en de lokale netwerkgateway. Zie Een VNet met een site-naar-site-verbinding configureren voor meer informatie over de configuratie van de VPN-gateway. De GatewaySku wordt alleen ondersteund voor de VPN-gateways VpnGw1, VpnGw2, VpnGw3, Standard en HighPerformance. Co-existentieconfiguraties voor ExpressRoute-VPN Gateway worden niet ondersteund in de Basic-SKU. Het VpnType moet RouteBased zijn.

  7. Configureer het lokale VPN-apparaat om verbinding te maken met de nieuwe Azure VPN-gateway. Zie VPN-apparaatconfiguratie voor meer informatie over het configureren van een VPN-apparaat.

  8. Als u verbinding maakt met een bestaand ExpressRoute-circuit, slaat u stap 8 & 9 over en gaat u naar stap 10. Configureer ExpressRoute-circuits. Zie Een ExpressRoute-circuit maken voor meer informatie over het configureren van een ExpressRoute-circuit.

  9. Configureer Azure Privépeering via het ExpressRoute-circuit. Zie Peering configureren voor meer informatie over het configureren van Azure Privépeering via het ExpressRoute-circuit

  10. Selecteer + Een resource maken en zoek naar de gateway van het virtuele netwerk. Selecteer vervolgens Maken.

  11. Selecteer het ExpressRoute-gatewaytype , de juiste SKU en het virtuele netwerk waar de gateway naar moet worden geïmplementeerd.

    Schermopname van het maken van een virtuele netwerkgateway voor ExpressRoute.

  12. Koppel de ExpressRoute-gateway aan het ExpressRoute-circuit. Nadat deze stap is voltooid, wordt de verbinding tussen uw on-premises netwerk en Azure tot stand gebracht via ExpressRoute. Zie VNets koppelen aan ExpressRoute voor meer informatie over de koppelingsbewerking.

Naast elkaar bestaande verbindingen configureren voor een bestaand VNet

Als u een virtueel netwerk hebt met slechts één virtuele netwerkgateway, bijvoorbeeld een site-naar-site-VPN-gateway en u een andere gateway van een ander type wilt toevoegen, bijvoorbeeld ExpressRoute-gateway, controleert u de grootte van het gatewaysubnet. Als het gatewaysubnet /27 of groter is, kunt u de volgende stappen overslaan en de stappen in de vorige sectie volgen om een site-naar-site-VPN-gateway of een ExpressRoute-gateway toe te voegen. Als het gatewaysubnet /28 of /29 is, verwijdert u eerst de gateway van het virtuele netwerk en verhoogt u het gatewaysubnet. In de stappen in dit gedeelte wordt beschreven hoe u dat doet.

  1. Verwijder de bestaande ExpressRoute- of site-naar-site-VPN-gateway.

  2. Verwijder en maak het GatewaySubnet opnieuw om het voorvoegsel /27 of korter te hebben.

  3. Configureer een VNet met een site-naar-site-verbinding en configureer vervolgens de ExpressRoute-gateway.

  4. Zodra de ExpressRoute-gateway is geïmplementeerd, kunt u het virtuele netwerk koppelen aan het ExpressRoute-circuit.

Punt-naar-site-configuratie toevoegen aan de VPN-gateway

U kunt een punt-naar-site-configuratie toevoegen aan uw naast elkaar bestaande set door de instructies te volgen in het configureren van punt-naar-site-VPN-verbinding met behulp van Azure-certificaatverificatie

Transitroutering tussen ExpressRoute en Azure VPN inschakelen

Als u connectiviteit wilt inschakelen tussen een van uw lokale netwerken die is verbonden met ExpressRoute en een ander van uw lokale netwerk dat is verbonden met een site-naar-site-VPN-verbinding, moet u Azure Route Server instellen.

Volgende stappen

Voor meer informatie over ExpressRoute raadpleegt u de Veelgestelde vragen over ExpressRoute.