Como configurar o BGP para o Gateway de VPN do Azure

  • Artigo

Este artigo ajuda a habilitar o BGP em conexões VPN S2S (site a site) entre locais e conexões VNet para VNet usando o portal do Azure. Você também pode criar essa configuração usando a CLI do Azure ou as etapas do PowerShell.

O BGP é o protocolo de roteamento padrão usado na Internet para a troca de informações de roteamento e acessibilidade entre duas ou mais redes. O BGP habilita os gateways de VPN e os dispositivos de VPN locais, chamados de pares ou vizinhos BGP, para trocar "rotas" que informarão ambos os gateways sobre a disponibilidade e a acessibilidade para que esses prefixos percorram os gateways ou os roteadores envolvidos. O BGP também pode habilitar o roteamento de trânsito entre várias redes propagando rotas que um gateway BGP obtém de um par no nível de protocolo BGP para todos os outros pares no nível de protocolo BGP.

Para obter mais informações sobre os benefícios do BGP e entender os requisitos técnicos e as considerações de uso do BGP, consulte Sobre o BGP e o Gateway de VPN do Azure.

Introdução

Cada parte deste artigo ajuda a constituir um bloco de construção básico para habilitar o BGP em sua conectividade de rede. Se você concluir todas as três partes (configurar o BGP no gateway, na conexão site a site, na conexão VNet a VNet), construirá a topologia conforme mostrado no Diagrama 1. Você pode combinar essas partes para criar uma rede de trânsito mais complexa, com saltos múltiplos e que atenda às suas necessidades.

Diagrama 1

Diagrama mostrando a arquitetura e as configurações de rede.

Para contextualizar, consultando o Diagrama 1, se o BGP fosse desativado entre o TestVNet2 e TestVNet1, o TestVnet2 não aprenderia as rotas para a rede local, o Site5, e, portanto, não conseguiria se comunicar com o Site 5. Uma vez habilitado o BGP, todas as três redes poderão se comunicar pelas conexões VNet a VNet e IPsec site a site.

Pré-requisitos

Verifique se você tem uma assinatura do Azure. Se ainda não tiver uma assinatura do Azure, você poderá ativar os Benefícios do assinante do MSDN ou inscrever-se para obter uma conta gratuita.

Habilitar o BGP para o gateway de VPN

Esta seção é necessária antes de executar qualquer uma das etapas nas outras duas seções de configuração. As etapas de configuração a seguir definem os parâmetros de BGP do gateway de VPN, conforme mostrado no Diagrama 2.

Diagrama 2

Diagrama mostrando as configurações do gateway de rede virtual.

1. Criar a TestVNet1

Nesta etapa, você cria e configura o TestVNet1. Use as etapas no tutorial Criar um gateway para criar e configurar sua rede virtual do Azure e o gateway de VPN.

Valores de exemplo de rede virtual:

  • Grupo de recursos: TestRG1
  • VNet: TestVNet1
  • Localização/região: Leste dos Estados Unidos
  • Espaço de endereço: 10.11.0.0/16, 10.12.0.0/16
  • Sub-redes:
    • FrontEnd: 10.11.0.0/24
    • BackEnd: 10.12.0.0/24
    • GatewaySubnet: 10.12.255.0/27

2. Criar gateway TestVNet1 com BGP

Nesta etapa, você cria um gateway de VPN com os parâmetros de BGP correspondentes.

  1. Use as etapas em Criar e gerenciar um gateway de VPN para criar um gateway com os seguintes parâmetros:

    • Detalhes da instância:

      • Nome: VNet1GW
      • Região: Leste dos Estados Unidos
      • Tipo de gateway: VPN
      • Tipo de VPN: baseada em rota
      • SKU: VpnGW1 ou superior
      • Geração: selecione uma geração
      • Rede virtual: TestVNet1

    • Endereço IP público

      • Tipo de endereço IP público: Básico ou Standard
      • Endereço IP público: Criar Novo
      • Nome do endereço IP público: VNet1GWIP
      • Habilitar ativo-ativo: desabilitado
      • Configurar o BGP: habilitado

  2. Na seção Configurar BGP realçada da página, defina as seguintes configurações:

    • Selecione Configurar BGP - Habilitado para exibir a seção de configuração de BGP.

    • P com seu ASN (Número de Sistema Autônomo).

    • O campo Endereço IP APIPA para BGP do Azure é opcional. Se os dispositivos VPN locais usarem endereço APIPA para BGP, você deverá selecionar um endereço do intervalo de endereços APIPA reservado do Azure para VPN, que é de 169.254.21.0 a 169.254.22.255.

    • Se você estiver criando um gateway de VPN ativo-ativo, a seção BGP mostrará um Segundo endereço IP APIPA para BGP do Azure personalizadoadicional. Cada endereço selecionado deve ser exclusivo e estar no intervalo de APIPA permitido (169.254.21.0 a 169.254.22.255). Os gateways ativos também dão suporte a vários endereços para o endereço IP BGP da APIPA do Azure e o segundo endereço IP BGP da APIPA do Azure Personalizado. Entradas adicionais só serão exibidas depois que você inserir seu primeiro endereço IP BGP da APIPA.

      Importante

      • Por padrão, o Azure atribui um endereço IP privado do intervalo de prefixo GatewaySubnet automaticamente como o endereço IP para BGP do Azure no gateway de VPN. O endereço APIPA para BGP do Azure personalizado é necessário quando os dispositivos VPN locais usam um endereço APIPA (169.254.0.1 a 169.254.255.254) como o IP do BGP. O Gateway de VPN escolherá o endereço APIPA personalizado se o recurso de gateway de rede local correspondente (rede no local) tiver um endereço APIPA como o IP do par de BGP. Se o gateway de rede local usar um endereço IP regular (não APIPA), o Gateway de VPN será revertido para o endereço IP privado do intervalo de GatewaySubnet.

      • Os endereços para BGP APIPA não devem se sobrepor entre os dispositivos VPN locais e todos os gateways de VPN conectados.

      • Quando os endereços APIPA são usados em gateways de VPN, os gateways não iniciam sessões de emparelhamento via protocolo BGP com endereços IP de origem APIPA. O dispositivo VPN local deve iniciar conexões de emparelhamento via protocolo BGP.

  3. Selecione Examinar + criar para executar a validação. Depois que a validação for aprovada, selecione Criar para implantar o Gateway de VPN. Criar um gateway pode levar 45 minutos ou mais, dependendo do SKU de gateway selecionado. Você poderá ver o status de implantação na página de Visão Geral do gateway.

3. Obter os endereços IP do par no nível de protocolo BGP do Azure

Depois de criar o gateway, você poderá obter o endereço IP do par no nível de protocolo BGP no Gateway de VPN. Esses endereços são necessários para configurar seus dispositivos VPN locais para estabelecer sessões BGP com o gateway de VPN.

Na página de Configuração do gateway de rede virtual, exiba as informações de configuração do BGP no gateway de VPN: ASN, endereço IP público e endereços IP do par de BGP correspondentes no lado do Azure (padrão e APIPA). Você também pode fazer as seguintes alterações de configuração:

  • Você pode atualizar o ASN ou o endereço IP APIPA para BGP, se necessário.
  • Caso tenha um gateway de VPN ativo-ativo, essa página mostrará o endereço IP público, o padrão e os endereços IP APIPA para BGP da segunda instância do gateway de VPN.

Para obter o endereço IP do par no nível de protocolo BGP do Azure:

  1. Acesse o recurso de gateway de rede virtual e selecione a página Configuração para ver as informações de configuração de BGP.
  2. Anote o endereço IP do par BGP.

Para configurar o BGP em conexão site a site entre instalações

As instruções nesta seção se aplicam às configurações entre locais, site a site.

Para estabelecer uma conexão entre instalações, você precisará criar um Gateway de rede local para representar o dispositivo VPN local e uma Conexão para conectar o gateway de VPN com ao gateway de rede local conforme explicado em Criar conexão site a site. As seções a seguir contêm as propriedades adicionais necessárias para especificar os parâmetros de configuração do BGP, conforme mostrados no Diagrama 3.

Diagrama 3

Diagrama mostrando a configuração do IPsec.

Antes de continuar, verifique se você habilitou o BGP para o gateway de VPN.

1. Criar um gateway de rede local

Defina um gateway de rede local com configurações de BGP.

  • Para obter informações e etapas, consulte a seção gateway de rede local no artigo conexão site a site.
  • Caso já tenha um gateway de rede local, poderá modificá-lo. Para modificar um gateway de rede local, acesse a página Configuração do recurso de gateway de rede local e faça as alterações necessárias.

  1. Ao criar o gateway de rede local, para este exercício, use os seguintes valores:

    • Nome: Site5
    • Endereço IP: o endereço IP do ponto de extremidade do gateway ao qual você deseja se conectar. Exemplo: 128.9.9.9
    • Espaços de endereço: se o BGP estiver habilitado, nenhum espaço de endereço será necessário.

  2. Para definir as configurações de BGP, acesse a página Avançado. Use os valores de exemplo a seguir (mostrados no Diagrama 3). Modifique os valores necessários para corresponder ao seu ambiente.

    • Configurar as definições de BGP: Sim
    • ASN (número do sistema autônomo): 65050
    • Endereço IP do par de BGP: o endereço do dispositivo VPN local. Exemplo: 10.51.255.254

  3. Clique em Revisar e criar para criar o gateway de rede local.

Importantes considerações de configuração

  • O endereço IP do par de BGP e do ASN deve corresponder à configuração do roteador VPN local.
  • Deixe o Espaço de endereço vazio somente se estiver usando o BGP para se conectar a essa rede. O gateway de VPN do Azure adicionará internamente uma rota de seu endereço IP de par de BGP ao túnel IPsec correspondente. Caso NÃO esteja usando o BGP entre o gateway de VPN e essa rede específica, deverá fornecer uma lista de prefixos de endereço válidos para o espaço de endereço.
  • Opcionalmente, você pode usar um endereço IP APIPA (169.254.x.x) como seu IP de par de BGP local, se necessário. Mas você também precisará especificar um endereço IP APIPA, conforme descrito anteriormente neste artigo, para o gateway de VPN, caso contrário, a sessão BGP não poderá ser estabelecida para essa conexão.
  • Você pode inserir as informações de configuração de BGP durante a criação do gateway de rede local ou pode adicionar ou alterar a configuração de BGP na página de Configuração do recurso de gateway de rede local.

2. Configurar uma conexão site a site com BGP habilitado

Nesta etapa, você cria uma nova conexão que tem o BGP habilitado. Se você já tiver uma conexão e quiser habilitar o BGP nela, poderá atualizá-la.

Para criar uma conexão

  1. Para criar uma nova conexão, acesse a página Conexões do gateway de rede virtual.
  2. Clique em + Adicionar para abrir a página Adicionar uma conexão.
  3. Preencha os valores necessários.
  4. Selecione Habilitar BGP para habilitar o BGP nessa conexão.
  5. Selecione OK para salvar as alterações.

Atualizar uma conexão existente

  1. Acesse a página Conexões do gateway de rede virtual.
  2. Clique na conexão que você quer modificar.
  3. Acesse a página Configuração da conexão.
  4. Altere a configuração de BGP para Habilitado.
  5. Salve suas alterações.

Configurar o dispositivo local

O exemplo a seguir lista os parâmetros que você inserirá na seção de configuração de BGP em seu dispositivo VPN local para este exercício:

- Site5 ASN            : 65050
- Site5 BGP IP         : 10.51.255.254
- Prefixes to announce : (for example) 10.51.0.0/16
- Azure VNet ASN       : 65010
- Azure VNet BGP IP    : 10.12.255.30
- Static route         : Add a route for 10.12.255.30/32, with nexthop being the VPN tunnel interface on your device
- eBGP Multihop        : Ensure the "multihop" option for eBGP is enabled on your device if needed

Para habilitar o BGP em conexões VNet a VNet

As etapas desta seção se aplicam às conexões VNET a VNet.

Para habilitar ou desabilitar o BGP em uma conexão VNet a VNet, você usa as mesmas etapas das etapas entre instalações site a site na seção anterior. Você pode habilitar o BGP ao criar a conexão ou atualizar a configuração em uma conexão de VNet a VNet existente.

Observação

Uma conexão VNet a VNet sem BGP limitará a comunicação com as duas VNets conectadas. Habilite o BGP para permitir o recurso de roteamento de trânsito para outras conexões site a site ou VNet a VNet desses dois VNets.

Próximas etapas

Para obter mais informações sobre o BGP, confira Sobre o BGP e o Gateway de VPN.