Conectar o Azure Stack Hub ao Azure usando o Azure ExpressRoute

Este artigo descreve como conectar uma rede virtual do Azure Stack Hub a uma rede virtual do Azure usando uma conexão direta do Microsoft Azure ExpressRoute .

Você pode usar este artigo como um tutorial e usar os exemplos para configurar o mesmo ambiente de teste. Ou você pode ler o artigo como um passo a passo que orienta você na configuração de seu próprio ambiente do ExpressRoute.

Visão geral, suposições e pré-requisitos

O Azure ExpressRoute permite estender suas redes locais para a nuvem da Microsoft por meio de uma conexão privada fornecida por um provedor de conectividade. O ExpressRoute não é uma conexão VPN pela Internet pública.

Para obter mais informações sobre o Azure ExpressRoute, consulte a Visão geral do ExpressRoute.

Suposições

Este artigo supõe que:

• Você tem um conhecimento prático do Azure.
• Você tem uma compreensão básica do Azure Stack Hub.
• Você tem uma compreensão básica da rede.

Pré-requisitos

Para conectar o Azure Stack Hub e o Azure usando o ExpressRoute, você deve atender aos seguintes requisitos:

• Um circuito do ExpressRoute provisionado por meio de um provedor de conectividade.
• Uma assinatura do Azure para criar um circuito do ExpressRoute e VNets no Azure.
• Um roteador que deve:
  • Suporte a conexões VPN site a site entre sua interface LAN e o gateway multilocatário do Azure Stack Hub.
  • Suporte à criação de vários VRFs (Roteamento e Encaminhamento Virtual) se houver mais de um locatário em sua implantação do Azure Stack Hub.
• Um roteador que tem:
  • Uma porta WAN conectada ao circuito do ExpressRoute.
  • Uma porta LAN conectada ao gateway multilocatário do Azure Stack Hub.

Arquitetura de rede do ExpressRoute

A figura a seguir mostra os ambientes do Azure Stack Hub e do Azure depois de concluir a configuração do ExpressRoute usando os exemplos neste artigo:

A figura a seguir mostra como vários locatários se conectam da infraestrutura do Azure Stack Hub por meio do roteador do ExpressRoute ao Azure:

O exemplo neste artigo usa a mesma arquitetura multilocatário mostrada neste diagrama para conectar o Azure Stack Hub ao Azure usando o emparelhamento privado do ExpressRoute. A conexão é feita usando uma conexão VPN site a site do gateway de rede virtual no Azure Stack Hub para um roteador do ExpressRoute.

As etapas neste artigo mostram como criar uma conexão de ponta a ponta entre duas VNets de dois locatários diferentes no Azure Stack Hub para VNets correspondentes no Azure. A configuração de dois locatários é opcional; você também pode usar essas etapas para um único locatário.

Configurar o Azure Stack Hub

Para configurar o ambiente do Azure Stack Hub para o primeiro locatário, use as etapas a seguir como guia. Se você estiver configurando mais de um locatário, repita estas etapas:

Observação

Estas etapas mostram como criar recursos usando o portal do Azure Stack Hub, mas você também pode usar o PowerShell.

Antes de começar

Antes de começar a configurar o Azure Stack Hub, você precisa:

• Uma implantação do Azure Stack Hub.
• Uma oferta no Azure Stack Hub que seus usuários podem assinar. Para obter mais informações, consulte Visão geral de serviço, plano, oferta e assinatura.

Criar recursos de rede no Azure Stack Hub

Use os procedimentos a seguir para criar os recursos de rede necessários no Azure Stack Hub para um locatário.

Criar a rede virtual e sub-rede de VM

1. Entre no portal do usuário do Azure Stack Hub.

2. No portal, selecione + Criar um recurso.

3. Em Azure Marketplace, selecione Rede.

4. Em Em Destaque, selecione Rede virtual.

5. Em Criar rede virtual, insira os valores mostrados na tabela a seguir nos campos apropriados:

   Campo	Valor
   Nome	Tenant1VNet1
   Espaço de endereço	10.1.0.0/16
   Nome da sub-rede	Tenant1-Sub1
   Intervalo de endereços da sub-rede	10.1.1.0/24

6. Você deverá ver a assinatura criada anteriormente no campo Assinatura . Para os campos restantes:

   • Em Grupo de recursos, selecione Criar novo para criar um novo grupo de recursos ou, se você já tiver um, selecione Usar existente.
   • Verifique o Local padrão.
   • Clique em Criar.
   • (Opcional) Clique em Fixar no dashboard.

Criar a sub-rede de gateway

1. Em Rede virtual, selecione Tenant1VNet1.
2. Em CONFIGURAÇÕES, selecione Sub-redes.
3. Selecione + Sub-rede de gateway para adicionar uma sub-rede de gateway à rede virtual.
4. O nome da sub-rede é definido como Sub-rede de Gateway por padrão. As sub-redes de gateway são um caso especial e devem usar esse nome para funcionar corretamente.
5. Verifique se o intervalo de endereços é 10.1.0.0/24.
6. Clique em OK para criar a sub-rede de gateway.

Criar o gateway de rede virtual

1. No portal do usuário do Azure Stack Hub, clique em + Criar um recurso.
2. Em Azure Marketplace, selecione Rede.
3. Selecione Gateway de Rede Virtual na lista de recursos de rede.
4. No campo Nome , insira GW1.
5. Selecione Rede virtual.
6. Selecione Tenant1VNet1 na lista suspensa.
7. Selecione Endereço IP público, escolha endereço IP público e clique em Criar novo.
8. No campo Nome , digite GW1-PiP e clique em OK.
9. O Tipo de VPN deve ter Baseado em rota selecionado por padrão. Mantenha essa configuração.
10. Verifique se Assinatura e Local estão corretos. Clique em Criar.

Criar o gateway de rede local

O recurso de gateway de rede local identifica o gateway remoto na outra extremidade da conexão VPN. Para este exemplo, o final remoto da conexão é a sub-interface LAN do roteador do ExpressRoute. Para o Locatário 1 no diagrama anterior, o endereço remoto é 10.60.3.255.

1. Entre no portal do usuário do Azure Stack Hub e selecione + Criar um recurso.

2. Em Azure Marketplace, selecione Rede.

3. Selecione gateway de rede local na lista de recursos.

4. No campo Nome , digite ER-Router-GW.

5. Para o campo Endereço IP , consulte a figura anterior. O endereço IP da sub-interface LAN do roteador do ExpressRoute para o Locatário 1 é 10.60.3.255. Para seu próprio ambiente, insira o endereço IP da interface correspondente do roteador.

6. No campo Espaço de Endereço , insira o espaço de endereço das VNets às quais você deseja se conectar no Azure. As sub-redes do Locatário 1 são as seguintes:

   • 192.168.2.0/24 é a VNet do hub no Azure.
   • 10.100.0.0/16 é a VNet spoke no Azure.

   Importante

   Este exemplo pressupõe que você esteja usando rotas estáticas para a conexão VPN site a site entre o gateway do Azure Stack Hub e o roteador do ExpressRoute.

7. Verifique se a Assinatura, o Grupo de Recursos e o Local estão corretos. Em seguida, selecione Criar.

Criar a conexão

1. No portal do usuário do Azure Stack Hub, selecione + Criar um recurso.
2. Em Azure Marketplace, selecione Rede.
3. Selecione Conexão na lista de recursos.
4. Em Noções básicas, escolha IPSec (site a site) como o Tipo de conexão.
5. Selecione Assinatura, Grupo de recursos e Local. Clique em OK.
6. Em Configurações, selecione Gateway de rede virtual e, em seguida, selecione GW1.
7. Selecione Gateway de rede local e, em seguida, selecione GW do Roteador ER.
8. No campo Nome da conexão , insira ConnectToAzure.
9. No campo Chave compartilhada (PSK), insira abc123 e selecione OK.
10. Em Resumo, selecione OK.

Obter o endereço IP público do gateway de rede virtual

Depois de criar o gateway de rede virtual, você pode obter o endereço IP público do gateway. Anote esse endereço caso precise dele mais tarde para sua implantação. Dependendo da implantação, esse endereço é usado como o endereço IP interno.

1. No portal do usuário do Azure Stack Hub, selecione Todos os recursos.
2. Em Todos os recursos, selecione o gateway de rede virtual, que é GW1 no exemplo.
3. Em Gateway de rede virtual, selecione Visão geral na lista de recursos. Como alternativa, você pode selecionar Propriedades.
4. O endereço IP que você deseja anotar está listado em Endereço IP público. Para a configuração de exemplo, esse endereço é 192.68.102.1.

Criar uma VM (máquina virtual)

Para testar o tráfego de dados pela conexão VPN, você precisa que as VMs enviem e recebam dados na VNet do Azure Stack Hub. Crie uma VM e implante-a na sub-rede da VM para sua rede virtual.

1. No portal do usuário do Azure Stack Hub, selecione + Criar um recurso.

2. Em Azure Marketplace, selecione Computação.

3. Na lista de imagens de VM, selecione a imagem Windows Server 2016 Datacenter Eval.

   Observação

   Se a imagem usada para este artigo não estiver disponível, peça ao operador do Azure Stack Hub para fornecer uma imagem diferente do Windows Server.

4. Em Criar máquina virtual, selecione Noções básicas e digite VM01 como o Nome.

5. Insira um nome de usuário e uma senha válidos. Você usará essa conta para entrar na VM depois que ela for criada.

6. Forneça uma Assinatura, um Grupo de recursos e um Local. Selecione OK.

7. Em Escolher um tamanho, selecione um tamanho de VM para essa instância e selecione Selecionar.

8. Em Configurações, confirme que:

   • A rede virtual é Tenant1VNet1.
   • A sub-rede é definida como 10.1.1.0/24.

   Use as configurações padrão e clique em OK.

9. Em Resumo, examine a configuração da VM e clique em OK.

Para adicionar mais locatários, repita as etapas que você seguiu nestas seções:

• Criar a rede virtual e sub-rede de VM
• Criar a sub-rede de gateway
• Criar o gateway de rede virtual
• Criar o gateway de rede local
• Criar a conexão
• Criar uma máquina virtual

Se você estiver usando o Locatário 2 como exemplo, lembre-se de alterar os endereços IP para evitar sobreposições.

Configurar a VM NAT para passagem de gateway

Importante

Esta seção destina-se apenas a implantações do ASDK. O NAT não é necessário para implantações de vários nós.

O ASDK é autocontido e isolado da rede em que o host físico é implantado. A rede VIP à qual os gateways estão conectados não é externa; ele está oculto atrás de um roteador que executa a NAT (Conversão de Endereços de Rede).

O roteador é o host ASDK que executa a função RRAS (Serviços de Roteamento e Acesso Remoto). Você deve configurar o NAT no host do ASDK para habilitar a conexão VPN site a site para se conectar em ambas as extremidades.

Configurar o NAT

1. Entre no computador host do Azure Stack Hub com sua conta de administrador.

2. Execute o script em um ISE do PowerShell com privilégios elevados. Esse script retorna o endereço BGPNAT externo.

   Get-NetNatExternalAddress
   

3. Para configurar o NAT, copie e edite o script do PowerShell a seguir. Edite o script para substituir o External BGPNAT address e Internal IP address pelos seguintes valores de exemplo:

   • Para endereço BGPNAT externo , use 10.10.0.62
   • Para endereço IP interno , use 192.168.102.1

   Execute o seguinte script de um ISE do PowerShell com privilégios elevados:

   $ExtBgpNat = 'External BGPNAT address'
   $IntBgpNat = 'Internal IP address'
   
   # Designate the external NAT address for the ports that use the IKE authentication.
   Add-NetNatExternalAddress `
      -NatName BGPNAT `
      -IPAddress $Using:ExtBgpNat `
      -PortStart 499 `
      -PortEnd 501
   Add-NetNatExternalAddress `
      -NatName BGPNAT `
      -IPAddress $Using:ExtBgpNat `
      -PortStart 4499 `
      -PortEnd 4501
   # Create a static NAT mapping to map the external address to the Gateway public IP address to map the ISAKMP port 500 for PHASE 1 of the IPSEC tunnel.
   Add-NetNatStaticMapping `
      -NatName BGPNAT `
      -Protocol UDP `
      -ExternalIPAddress $Using:ExtBgpNat `
      -InternalIPAddress $Using:IntBgpNat `
      -ExternalPort 500 `
      -InternalPort 500
   # Configure NAT traversal which uses port 4500 to  establish the complete IPSEC tunnel over NAT devices.
   Add-NetNatStaticMapping `
      -NatName BGPNAT `
      -Protocol UDP `
      -ExternalIPAddress $Using:ExtBgpNat `
      -InternalIPAddress $Using:IntBgpNat `
      -ExternalPort 4500 `
      -InternalPort 4500
   

Configurar o Azure

Depois de concluir a configuração do Azure Stack Hub, você poderá implantar os recursos do Azure. A figura a seguir mostra um exemplo de uma rede virtual de locatário no Azure. Você pode usar qualquer esquema de nome e endereçamento para sua VNet no Azure. No entanto, o intervalo de endereços das VNets no Azure e no Azure Stack Hub deve ser exclusivo e não deve se sobrepor:

Os recursos implantados no Azure são semelhantes aos recursos implantados no Azure Stack Hub. Você implanta os seguintes componentes:

• Redes virtuais e sub-redes
• Uma sub-rede de gateway
• Um gateway de rede virtual
• Uma conexão
• Um circuito do ExpressRoute

O exemplo de infraestrutura de rede do Azure é configurado da seguinte maneira:

• Um hub padrão (192.168.2.0/24) e um modelo de VNet (10.100.0.0./16). Para obter mais informações sobre a topologia de rede hub-spoke, consulte Implementar uma topologia de rede hub-spoke no Azure.
• As cargas de trabalho são implantadas na VNet spoke e o circuito do ExpressRoute está conectado à VNet do hub.
• As duas VNets estão conectadas usando o emparelhamento VNet.

Configurar as VNets do Azure

1. Entre no portal do Azure com suas credenciais do Azure.
2. Crie a VNet do hub usando o intervalo de endereços 192.168.2.0/24.
3. Crie uma sub-rede usando o intervalo de endereços 192.168.2.0/25 e adicione uma sub-rede de gateway usando o intervalo de endereços 192.168.2.128/27.
4. Crie a VNet e a sub-rede spoke usando o intervalo de endereços 10.100.0.0/16.

Para obter mais informações sobre como criar redes virtuais no Azure, consulte Criar uma rede virtual.

Configurar um circuito do ExpressRoute

1. Examine os pré-requisitos do ExpressRoute nos pré-requisitos do ExpressRoute & lista de verificação.

2. Siga as etapas em Criar e modificar um circuito do ExpressRoute para criar um circuito do ExpressRoute usando sua assinatura do Azure.

   Observação

   Forneça a chave de serviço do circuito ao seu serviço para que eles possam configurar o circuito do ExpressRoute no final.

3. Siga as etapas em Criar e modificar o emparelhamento para um circuito do ExpressRoute para configurar o emparelhamento privado no circuito do ExpressRoute.

Criar o gateway de rede virtual

Siga as etapas em Configurar um gateway de rede virtual para o ExpressRoute usando o PowerShell para criar um gateway de rede virtual para o ExpressRoute na VNet do hub.

Criar a conexão

Para vincular o circuito do ExpressRoute à VNet do hub, siga as etapas em Conectar uma rede virtual a um circuito do ExpressRoute.

Emparelhar as redes virtuais

Emparelhe as VNets de hub e spoke usando as etapas em Criar um emparelhamento de rede virtual usando o portal do Azure. Ao configurar o emparelhamento VNet, use as seguintes opções:

• Do hub para o spoke, permita o trânsito do gateway.
• Do spoke para o hub, use o gateway remoto.

Criar uma máquina virtual

Implante suas VMs de carga de trabalho na VNet spoke.

Repita estas etapas para todas as VNets de locatário adicionais que você deseja conectar no Azure por meio de seus respectivos circuitos do ExpressRoute.

Configurar o roteador

Você pode usar o diagrama de configuração do roteador do ExpressRoute a seguir como um guia para configurar o Roteador do ExpressRoute. Essa figura mostra dois locatários (Locatário 1 e Locatário 2) com seus respectivos circuitos do ExpressRoute. Cada locatário está vinculado a seu próprio VRF (Roteamento e Encaminhamento Virtual) no lado LAN e WAN do roteador do ExpressRoute. Essa configuração garante o isolamento de ponta a ponta entre os dois locatários. Anote os endereços IP usados nas interfaces do roteador conforme você segue o exemplo de configuração.

Você pode usar qualquer roteador que dê suporte a VPN IKEv2 e BGP para encerrar a conexão VPN site a site do Azure Stack Hub. O mesmo roteador é usado para se conectar ao Azure usando um circuito do ExpressRoute.

O exemplo de configuração do Roteador dos Serviços de Agregação do Cisco ASR série 1000 a seguir dá suporte à infraestrutura de rede mostrada no diagrama de configuração do roteador do ExpressRoute .

ip vrf Tenant 1
 description Routing Domain for PRIVATE peering to Azure for Tenant 1
 rd 1:1
!
ip vrf Tenant 2
 description Routing Domain for PRIVATE peering to Azure for Tenant 2
 rd 1:5
!
crypto ikev2 proposal V2-PROPOSAL2
description IKEv2 proposal for Tenant 1
encryption aes-cbc-256
 integrity sha256
 group 2
crypto ikev2 proposal V4-PROPOSAL2
description IKEv2 proposal for Tenant 2
encryption aes-cbc-256
 integrity sha256
 group 2
!
crypto ikev2 policy V2-POLICY2
description IKEv2 Policy for Tenant 1
match fvrf Tenant 1
 match address local 10.60.3.255
 proposal V2-PROPOSAL2
description IKEv2 Policy for Tenant 2
crypto ikev2 policy V4-POLICY2
 match fvrf Tenant 2
 match address local 10.60.3.251
 proposal V4-PROPOSAL2
!
crypto ikev2 profile V2-PROFILE
description IKEv2 profile for Tenant 1
match fvrf Tenant 1
 match address local 10.60.3.255
 match identity remote any
 authentication remote pre-share key abc123
 authentication local pre-share key abc123
 ivrf Tenant 1
!
crypto ikev2 profile V4-PROFILE
description IKEv2 profile for Tenant 2
 match fvrf Tenant 2
 match address local 10.60.3.251
 match identity remote any
 authentication remote pre-share key abc123
 authentication local pre-share key abc123
 ivrf Tenant 2
!
crypto ipsec transform-set V2-TRANSFORM2 esp-gcm 256
 mode tunnel
crypto ipsec transform-set V4-TRANSFORM2 esp-gcm 256
 mode tunnel
!
crypto ipsec profile V2-PROFILE
 set transform-set V2-TRANSFORM2
 set ikev2-profile V2-PROFILE
!
crypto ipsec profile V4-PROFILE
 set transform-set V4-TRANSFORM2
 set ikev2-profile V4-PROFILE
!
interface Tunnel10
description S2S VPN Tunnel for Tenant 1
 ip vrf forwarding Tenant 1
 ip address 11.0.0.2 255.255.255.252
 ip tcp adjust-mss 1350
 tunnel source TenGigabitEthernet0/1/0.211
 tunnel mode ipsec ipv4
 tunnel destination 10.10.0.62
 tunnel vrf Tenant 1
 tunnel protection ipsec profile V2-PROFILE
!
interface Tunnel20
description S2S VPN Tunnel for Tenant 2
 ip vrf forwarding Tenant 2
 ip address 11.0.0.2 255.255.255.252
 ip tcp adjust-mss 1350
 tunnel source TenGigabitEthernet0/1/0.213
 tunnel mode ipsec ipv4
 tunnel destination 10.10.0.62
 tunnel vrf VNET3
 tunnel protection ipsec profile V4-PROFILE
!
interface GigabitEthernet0/0/1
 description PRIMARY ExpressRoute Link to AZURE over Equinix
 no ip address
 negotiation auto
!
interface GigabitEthernet0/0/1.100
description Primary WAN interface of Tenant 1
 description PRIMARY ER link supporting Tenant 1 to Azure
 encapsulation dot1Q 101
 ip vrf forwarding Tenant 1
 ip address 192.168.1.1 255.255.255.252
!
interface GigabitEthernet0/0/1.102
description Primary WAN interface of Tenant 2
 description PRIMARY ER link supporting Tenant 2 to Azure
 encapsulation dot1Q 102
 ip vrf forwarding Tenant 2
 ip address 192.168.1.17 255.255.255.252
!
interface GigabitEthernet0/0/2
 description BACKUP ExpressRoute Link to AZURE over Equinix
 no ip address
 negotiation auto
!
interface GigabitEthernet0/0/2.100
description Secondary WAN interface of Tenant 1
 description BACKUP ER link supporting Tenant 1 to Azure
 encapsulation dot1Q 101
 ip vrf forwarding Tenant 1
 ip address 192.168.1.5 255.255.255.252
!
interface GigabitEthernet0/0/2.102
description Secondary WAN interface of Tenant 2
description BACKUP ER link supporting Tenant 2 to Azure
 encapsulation dot1Q 102
 ip vrf forwarding Tenant 2
 ip address 192.168.1.21 255.255.255.252
!
interface TenGigabitEthernet0/1/0
 description Downlink to ---Port 1/47
 no ip address
!
interface TenGigabitEthernet0/1/0.211
 description LAN interface of Tenant 1
description Downlink to --- Port 1/47.211
 encapsulation dot1Q 211
 ip vrf forwarding Tenant 1
 ip address 10.60.3.255 255.255.255.254
!
interface TenGigabitEthernet0/1/0.213
description LAN interface of Tenant 2
 description Downlink to --- Port 1/47.213
 encapsulation dot1Q 213
 ip vrf forwarding Tenant 2
 ip address 10.60.3.251 255.255.255.254
!
router bgp 65530
 bgp router-id <removed>
 bgp log-neighbor-changes
 description BGP neighbor config and route advertisement for Tenant 1 VRF
 address-family ipv4 vrf Tenant 1
  network 10.1.0.0 mask 255.255.0.0
  network 10.60.3.254 mask 255.255.255.254
  network 192.168.1.0 mask 255.255.255.252
  network 192.168.1.4 mask 255.255.255.252
  neighbor 10.10.0.62 remote-as 65100
  neighbor 10.10.0.62 description VPN-BGP-PEER-for-Tenant 1
  neighbor 10.10.0.62 ebgp-multihop 5
  neighbor 10.10.0.62 activate
  neighbor 10.60.3.254 remote-as 4232570301
  neighbor 10.60.3.254 description LAN peer for CPEC:INET:2112 VRF
  neighbor 10.60.3.254 activate
  neighbor 10.60.3.254 route-map BLOCK-ALL out
  neighbor 192.168.1.2 remote-as 12076
  neighbor 192.168.1.2 description PRIMARY ER peer for Tenant 1 to Azure
  neighbor 192.168.1.2 ebgp-multihop 5
  neighbor 192.168.1.2 activate
  neighbor 192.168.1.2 soft-reconfiguration inbound
  neighbor 192.168.1.2 route-map Tenant 1-ONLY out
  neighbor 192.168.1.6 remote-as 12076
  neighbor 192.168.1.6 description BACKUP ER peer for Tenant 1 to Azure
  neighbor 192.168.1.6 ebgp-multihop 5
  neighbor 192.168.1.6 activate
  neighbor 192.168.1.6 soft-reconfiguration inbound
  neighbor 192.168.1.6 route-map Tenant 1-ONLY out
  maximum-paths 8
 exit-address-family
 !
description BGP neighbor config and route advertisement for Tenant 2 VRF
address-family ipv4 vrf Tenant 2
  network 10.1.0.0 mask 255.255.0.0
  network 10.60.3.250 mask 255.255.255.254
  network 192.168.1.16 mask 255.255.255.252
  network 192.168.1.20 mask 255.255.255.252
  neighbor 10.10.0.62 remote-as 65300
  neighbor 10.10.0.62 description VPN-BGP-PEER-for-Tenant 2
  neighbor 10.10.0.62 ebgp-multihop 5
  neighbor 10.10.0.62 activate
  neighbor 10.60.3.250 remote-as 4232570301
  neighbor 10.60.3.250 description LAN peer for CPEC:INET:2112 VRF
  neighbor 10.60.3.250 activate
  neighbor 10.60.3.250 route-map BLOCK-ALL out
  neighbor 192.168.1.18 remote-as 12076
  neighbor 192.168.1.18 description PRIMARY ER peer for Tenant 2 to Azure
  neighbor 192.168.1.18 ebgp-multihop 5
  neighbor 192.168.1.18 activate
  neighbor 192.168.1.18 soft-reconfiguration inbound
  neighbor 192.168.1.18 route-map VNET-ONLY out
  neighbor 192.168.1.22 remote-as 12076
  neighbor 192.168.1.22 description BACKUP ER peer for Tenant 2 to Azure
  neighbor 192.168.1.22 ebgp-multihop 5
  neighbor 192.168.1.22 activate
  neighbor 192.168.1.22 soft-reconfiguration inbound
  neighbor 192.168.1.22 route-map VNET-ONLY out
  maximum-paths 8
 exit-address-family
!
ip forward-protocol nd
!
ip as-path access-list 1 permit ^$
ip route vrf Tenant 1 10.1.0.0 255.255.0.0 Tunnel10
ip route vrf Tenant 2 10.1.0.0 255.255.0.0 Tunnel20
!
ip prefix-list BLOCK-ALL seq 5 deny 0.0.0.0/0 le 32
!
route-map BLOCK-ALL permit 10
 match ip address prefix-list BLOCK-ALL
!
route-map VNET-ONLY permit 10
 match as-path 1
!

Testar a conexão

Teste sua conexão depois de estabelecer a conexão site a site e o circuito do ExpressRoute.

Execute os seguintes testes de ping:

• Entre em uma das VMs em sua VNet do Azure e execute ping na VM criada no Azure Stack Hub.
• Entre em uma das VMs criadas no Azure Stack Hub e faça ping na VM criada na VNet do Azure.

Observação

Para garantir que você esteja enviando tráfego pelas conexões site a site e ExpressRoute, execute ping no endereço IP dedicado (DIP) da VM em ambas as extremidades e não no endereço VIP da VM.

Permitir o ICMP por meio do firewall

Por padrão, Windows Server 2016 não permite pacotes ICMP de entrada por meio do firewall. Para cada VM que você usa para testes de ping, você deve permitir pacotes ICMP de entrada. Para criar uma regra de firewall para o ICMP, execute o seguinte cmdlet em uma janela elevada do PowerShell:

# Create ICMP firewall rule.
New-NetFirewallRule `
  -DisplayName "Allow ICMPv4-In" `
  -Protocol ICMPv4

Executar ping na VM do Azure Stack Hub

1. Entre no portal do usuário do Azure Stack Hub.

2. Localize a VM que você criou e selecione-a.

3. Selecione Conectar.

4. Em um prompt de comando do Windows ou do PowerShell com privilégios elevados, insira ipconfig /all. Observe o endereço IPv4 retornado na saída.

5. Faça ping no endereço IPv4 da VM na VNet do Azure.

   No ambiente de exemplo, o endereço IPv4 é da sub-rede 10.1.1.x/24. Em seu ambiente, o endereço pode ser diferente, mas deve estar na sub-rede que você criou para a sub-rede VNet do locatário.

Exibir estatísticas de transferência de dados

Se você quiser saber quanto tráfego está passando pela sua conexão, encontre essas informações no portal do usuário do Azure Stack Hub. Exibir estatísticas de transferência de dados também é uma boa maneira de descobrir se os dados de teste de ping passaram ou não pelas conexões VPN e ExpressRoute:

1. Entre no portal do usuário do Azure Stack Hub e selecione Todos os recursos.
2. Navegue até o grupo de recursos do Gateway de VPN e selecione o tipo de objeto Connection.
3. Selecione a conexão ConnectToAzure na lista.
4. EmVisão geral deconexões>, você pode ver estatísticas de Entrada e Saída de dados. Você deve ver alguns valores diferentes de zero.

Próximas etapas

Implantar aplicativos no Azure e no Azure Stack Hub