BGP configureren voor Azure VPN Gateway

  • Artikel

Dit artikel helpt u BGP in te schakelen op cross-premises site-naar-site (S2S) VPN-verbindingen en VNet-naar-VNet-verbindingen met behulp van de Azure Portal. U kunt deze configuratie ook maken met behulp van de Azure CLI - of PowerShell-stappen .

BGP is het standaardprotocol voor routering dat doorgaans op internet wordt gebruikt voor het uitwisselen van routerings- en bereikbaarheidsgegevens tussen twee of meer netwerken. BGP stelt de VPN-gateways en uw on-premises VPN-apparaten, zogenaamde BGP-peers of neighbors, in staat om 'routes' uit te wisselen die beide gateways informeren over de beschikbaarheid en bereikbaarheid van deze voorvoegsels om via de betrokken gateways of routers te gaan. Met BGP kan ook transitroutering tussen meerdere netwerken worden ingeschakeld door routes die een BGP-gateway leert van één BGP te propageren naar alle andere BGP-peers.

Zie Over BGP en Azure VPN Gateway voor meer informatie over de voordelen van BGP en om inzicht te hebben in de technische vereisten en overwegingen van het gebruik van BGP.

Aan de slag

Elk deel van dit artikel helpt u bij het vormen van een basisbouwsteen voor het inschakelen van BGP in uw netwerkconnectiviteit. Als u alle drie de onderdelen hebt voltooid (BGP configureren op de gateway, S2S-verbinding en VNet-naar-VNet-verbinding), bouwt u de topologie op zoals weergegeven in diagram 1. U kunt onderdelen combineren om een complexer, multi-hop, transitnetwerk op te bouwen dat aan uw behoeften voldoet.

Diagram 1

Diagram met netwerkarchitectuur en -instellingen.

Voor de context, verwijzend naar diagram 1: als BGP zou worden uitgeschakeld tussen TestVNet2 en TestVNet1, zou TestVNet2 de routes voor het on-premises netwerk Site5 niet leren en daarom niet communiceren met site 5. Zodra u BGP hebt ingeschakeld, kunnen alle drie de netwerken communiceren via de S2S IPsec- en VNet-naar-VNet-verbindingen.

Vereisten

Controleer of u een Azure-abonnement hebt. Als u nog geen Azure-abonnement hebt, kunt u uw voordelen als MSDN-abonnee activeren of u aanmelden voor een gratis account.

BGP inschakelen voor de VPN-gateway

Deze sectie is vereist voordat u een van de stappen in de andere twee configuratiesecties uitvoert. Met de volgende configuratiestappen worden de BGP-parameters van de VPN-gateway ingesteld, zoals wordt weergegeven in diagram 2.

Diagram 2

Diagram met instellingen voor de gateway van het virtuele netwerk.

1. TestVNet1 maken

In deze stap maakt en configureert u TestVNet1. Gebruik de stappen in de zelfstudie Een gateway maken om uw virtuele Azure-netwerk en VPN-gateway te maken en te configureren.

Voorbeeldwaarden van virtueel netwerk:

  • Resourcegroep: TestRG1
  • VNet: TestVNet1
  • Locatie/regio: EastUS
  • Adresruimte: 10.11.0.0/16, 10.12.0.0/16
  • Subnetten:
    • FrontEnd: 10.11.0.0/24
    • BackEnd: 10.12.0.0/24
    • GatewaySubnet: 10.12.255.0/27

2. TestVNet1-gateway maken met BGP

In deze stap maakt u een VPN-gateway met de bijbehorende BGP-parameters.

  1. Gebruik de stappen in Een VPN-gateway maken en beheren om een gateway te maken met de volgende parameters:

    • Exemplaardetails:

      • Naam: VNet1GW
      • Regio: EastUS
      • Gatewaytype: VPN
      • VPN-type: op route gebaseerd
      • SKU: VpnGW1 of hoger
      • Generatie: selecteer een generatie
      • Virtueel netwerk: TestVNet1

    • Openbaar IP-adres

      • Type openbaar IP-adres: Basic of Standard
      • Openbaar IP-adres: Nieuwe maken
      • Naam van openbaar IP-adres: VNet1GWIP
      • Actief-actief inschakelen: uitgeschakeld
      • BGP configureren: ingeschakeld

  2. Configureer in de gemarkeerde sectie BGP configureren van de pagina de volgende instellingen:

    • Selecteer BGP - configureren ingeschakeld om de sectie BGP-configuratie weer te geven.

    • Vul uw ASN (autonoom systeemnummer) in.

    • Het veld BGP IP-adres van Azure APIPA is optioneel. Als uw on-premises VPN-apparaten gebruikmaken van APIPA-adres voor BGP, moet u een adres selecteren in het door Azure gereserveerde APIPA-adresbereik voor VPN, dat van 169.254.21.0 tot 169.254.22.255 is.

    • Als u een actief-actief VPN-gateway maakt, wordt in de sectie BGP een extra tweede aangepastE Azure APIPA BGP-IP-adres weergegeven. Elk adres dat u selecteert, moet uniek zijn en binnen het toegestane APIPA-bereik liggen (169.254.21.0 tot 169.254.22.255). Actief-actief-gateways ondersteunen ook meerdere adressen voor zowel azure APIPA BGP IP-adres als tweede aangepast Azure APIPA BGP IP-adres. Aanvullende invoer wordt alleen weergegeven nadat u uw eerste APIPA BGP-IP-adres hebt ingevoerd.

      Belangrijk

      • Standaard wijst Azure automatisch een privé-IP-adres uit het gatewaysubnet-voorvoegselbereik toe als het Azure BGP-IP-adres op de VPN-gateway. Het aangepaste Azure APIPA BGP-adres is nodig wanneer uw on-premises VPN-apparaten een APIPA-adres (169.254.0.1 tot 169.254.255.254) gebruiken als het BGP-IP-adres. VPN Gateway kiest het aangepaste APIPA-adres als de bijbehorende lokale netwerkgatewayresource (on-premises netwerk) een APIPA-adres heeft als het IP-adres van de BGP-peer. Als de lokale netwerkgateway een gewoon IP-adres (niet APIPA) gebruikt, gaat VPN Gateway terug naar het privé-IP-adres uit het GatewaySubnet-bereik.

      • De BGP-adressen van APIPA mogen niet overlappen tussen de on-premises VPN-apparaten en alle verbonden VPN-gateways.

      • Wanneer APIPA-adressen worden gebruikt op VPN-gateways, starten de gateways geen BGP-peeringsessies met APIPA-bron-IP-adressen. Het on-premises VPN-apparaat moet BGP-peeringverbindingen initiëren.

  3. Selecteer Beoordelen en maken om de validatie uit te voeren. Wanneer de validatie is geslaagd, selecteert u Maken om de VPN-gateway te implementeren. Het maken van een gateway duurt vaak 45 minuten of langer, afhankelijk van de geselecteerde gateway-SKU. U kunt de implementatiestatus bekijken op de overzichtspagina van uw gateway.

3. De AZURE BGP-peer-IP-adressen ophalen

Zodra de gateway is gemaakt, kunt u de BGP-peer-IP-adressen verkrijgen op de VPN-gateway. Deze adressen zijn nodig om uw on-premises VPN-apparaten te configureren om BGP-sessies met de VPN-gateway tot stand te brengen.

Op de pagina Configuratie van de virtuele netwerkgateway kunt u de BGP-configuratiegegevens op uw VPN-gateway bekijken: ASN, openbaar IP-adres en de bijbehorende BGP-peer-IP-adressen aan de Azure-zijde (standaard en APIPA). U kunt ook de volgende configuratiewijzigingen aanbrengen:

  • U kunt indien nodig het ASN of het BGP-IP-adres van de APIPA bijwerken.
  • Als u een actief-actief VPN-gateway hebt, worden op deze pagina het openbare IP-adres, de standaard- en BGP-IP-adressen van de APIPA van het tweede VPN-gatewayexemplaar weergegeven.

Het IP-adres van de Azure BGP-peer ophalen:

  1. Ga naar de resource van de virtuele netwerkgateway en selecteer de pagina Configuratie om de BGP-configuratiegegevens weer te geven.
  2. Noteer het IP-adres van de BGP-peer.

BGP configureren op cross-premises S2S-verbindingen

De instructies in deze sectie zijn van toepassing op cross-premises site-naar-site-configuraties.

Als u een cross-premises verbinding tot stand wilt brengen, moet u een lokale netwerkgateway maken die uw on-premises VPN-apparaat vertegenwoordigt en een verbinding maken om de VPN-gateway te verbinden met de lokale netwerkgateway, zoals uitgelegd in Site-naar-site-verbinding maken. De volgende secties bevatten de aanvullende eigenschappen die nodig zijn om de BGP-configuratieparameters op te geven, zoals wordt weergegeven in diagram 3.

Diagram 3

Diagram met IPsec-configuratie.

Voordat u doorgaat, moet u ervoor zorgen dat u BGP hebt ingeschakeld voor de VPN-gateway.

1. Een lokale netwerkgateway maken

Configureer een lokale netwerkgateway met BGP-instellingen.

  • Zie de sectie lokale netwerkgateway in het artikel site-naar-site-verbinding voor informatie en stappen.
  • Als u al een lokale netwerkgateway hebt, kunt u deze wijzigen. Als u een lokale netwerkgateway wilt wijzigen, gaat u naar de pagina Configuratie van de lokale netwerkgateway en voert u de benodigde wijzigingen aan.

  1. Wanneer u de lokale netwerkgateway maakt, gebruikt u voor deze oefening de volgende waarden:

    • Naam: Site5
    • IP-adres: het IP-adres van het gateway-eindpunt waarmee u verbinding wilt maken. Voorbeeld: 128.9.9.9
    • Adresruimten: als BGP is ingeschakeld, is er geen adresruimte vereist.

  2. Als u BGP-instellingen wilt configureren, gaat u naar de pagina Geavanceerd . Gebruik de volgende voorbeeldwaarden (weergegeven in diagram 3). Wijzig de waarden die nodig zijn om aan uw omgeving te voldoen.

    • BGP-instellingen configureren: Ja
    • Autonoom systeemnummer (ASN): 65050
    • IP-adres van BGP-peer: het adres van het on-premises VPN-apparaat. Voorbeeld: 10.51.255.254

  3. Klik op Controleren en maken om de lokale netwerkgateway te maken.

Belangrijke configuratieoverwegingen

  • De ASN en het IP-adres van de BGP-peer moeten overeenkomen met de configuratie van uw on-premises VPN-router.
  • U kunt de adresruimte alleen leeg laten als u BGP gebruikt om verbinding te maken met dit netwerk. Azure VPN Gateway voegt intern een route van uw BGP-peer-IP-adres toe aan de bijbehorende IPsec-tunnel. Als u geen BGP gebruikt tussen de VPN-gateway en dit specifieke netwerk, moet u een lijst met geldige adresvoorvoegsels voor de adresruimte opgeven.
  • U kunt desgewenst een IP-adres van APIPA (169.254.x.x) gebruiken als uw on-premises BGP-peer-IP-adres, indien nodig. Maar u moet ook een APIPA-IP-adres opgeven zoals eerder in dit artikel is beschreven voor uw VPN-gateway, anders kan de BGP-sessie niet tot stand worden gebracht voor deze verbinding.
  • U kunt de BGP-configuratiegegevens invoeren tijdens het maken van de lokale netwerkgateway, of u kunt de BGP-configuratie toevoegen of wijzigen vanaf de pagina Configuratie van de resource van de lokale netwerkgateway.

2. Een S2S-verbinding configureren met BGP ingeschakeld

In deze stap maakt u een nieuwe verbinding waarvoor BGP is ingeschakeld. Als u al een verbinding hebt en U wilt BGP hiervoor inschakelen, kunt u deze bijwerken.

Een verbinding maken

  1. Als u een nieuwe verbinding wilt maken, gaat u naar de pagina Verbindingen van uw virtuele netwerkgateway.
  2. Selecteer +Toevoegen om de pagina Een verbinding toevoegen te openen.
  3. Vul de benodigde waarden in.
  4. Selecteer BGP inschakelen om BGP in te schakelen voor deze verbinding.
  5. Selecteer OK om de wijzigingen op te slaan.

Een bestaande verbinding bijwerken

  1. Ga naar de pagina Verbindingen van uw virtuele netwerkgateway.
  2. Selecteer de verbinding die u wilt wijzigen.
  3. Ga naar de pagina Configuratie voor de verbinding.
  4. Wijzig de BGP-instelling in Ingeschakeld.
  5. U moet vervolgens de wijzigingen Opslaan.

On-premises apparaatconfiguratie

In het volgende voorbeeld worden de parameters vermeld die u voor deze oefening invoert in de sectie BGP-configuratie op uw on-premises VPN-apparaat:

- Site5 ASN            : 65050
- Site5 BGP IP         : 10.51.255.254
- Prefixes to announce : (for example) 10.51.0.0/16
- Azure VNet ASN       : 65010
- Azure VNet BGP IP    : 10.12.255.30
- Static route         : Add a route for 10.12.255.30/32, with nexthop being the VPN tunnel interface on your device
- eBGP Multihop        : Ensure the "multihop" option for eBGP is enabled on your device if needed

BGP inschakelen voor VNet-naar-VNet-verbindingen

De stappen in deze sectie zijn van toepassing op VNet-naar-VNet-verbindingen.

Als u BGP op een VNet-naar-VNet-verbinding wilt in- of uitschakelen, gebruikt u dezelfde stappen als de cross-premises S2S-stappen in de vorige sectie. U kunt BGP inschakelen bij het maken van de verbinding of de configuratie bijwerken op een bestaande VNet-naar-VNet-verbinding.

Notitie

Een VNet-naar-VNet-verbinding zonder BGP beperkt de communicatie tot alleen de twee verbonden VNets. Schakel BGP in om transitroutering toe te staan naar andere S2S- of VNet-naar-VNet-verbindingen van deze twee VNets.

Volgende stappen

Zie Over BGP en VPN Gateway voor meer informatie over BGP.