Utilize o Azure ExpressRoute para ligar o Azure Stack Hub ao Azure

Este artigo descreve como ligar uma rede virtual do Azure Stack Hub a uma rede virtual do Azure com uma ligação direta do Microsoft Azure ExpressRoute .

Pode utilizar este artigo como um tutorial e utilizar os exemplos para configurar o mesmo ambiente de teste. Em alternativa, pode ler o artigo como instruções que o orientam ao longo da configuração do seu próprio ambiente do ExpressRoute.

Descrição geral, pressupostos e pré-requisitos

O Azure ExpressRoute permite-lhe expandir as suas redes no local para a cloud da Microsoft através de uma ligação privada fornecida por um fornecedor de conectividade. O ExpressRoute não é uma ligação VPN através da Internet pública.

Para obter mais informações sobre o Azure ExpressRoute, veja a descrição geral do ExpressRoute.

Pressupostos

Este artigo pressupõe que:

• Tem um conhecimento funcional do Azure.
• Tem uma compreensão básica do Azure Stack Hub.
• Tem uma compreensão básica da rede.

Pré-requisitos

Para ligar o Azure Stack Hub e o Azure com o ExpressRoute, tem de cumprir os seguintes requisitos:

• Um circuito expressRoute aprovisionado através de um fornecedor de conectividade.
• Uma subscrição do Azure para criar um circuito do ExpressRoute e VNets no Azure.
• Um router que tem de:
  • Suporte para ligações VPN site a site entre a interface LAN e o gateway multi-inquilino do Azure Stack Hub.
  • Suporte para a criação de vários VRFs (Encaminhamento e Reencaminhamento Virtual) se existir mais do que um inquilino na implementação do Azure Stack Hub.
• Um router que tem:
  • Uma porta WAN ligada ao circuito do ExpressRoute.
  • Uma porta LAN ligada ao gateway multi-inquilino do Azure Stack Hub.

Arquitetura de rede do ExpressRoute

A figura seguinte mostra os ambientes do Azure Stack Hub e do Azure depois de concluir a configuração do ExpressRoute com os exemplos neste artigo:

A seguinte figura mostra como vários inquilinos se ligam a partir da infraestrutura do Azure Stack Hub através do router do ExpressRoute para o Azure:

O exemplo neste artigo utiliza a mesma arquitetura multi-inquilino mostrada neste diagrama para ligar o Azure Stack Hub ao Azure através do peering privado do ExpressRoute. A ligação é feita com uma ligação VPN site a site do gateway de rede virtual no Azure Stack Hub para um router do ExpressRoute.

Os passos neste artigo mostram-lhe como criar uma ligação ponto a ponto entre duas VNets de dois inquilinos diferentes no Azure Stack Hub para VNets correspondentes no Azure. A configuração de dois inquilinos é opcional; também pode utilizar estes passos para um único inquilino.

Configurar o Azure Stack Hub

Para configurar o ambiente do Azure Stack Hub para o primeiro inquilino, utilize os seguintes passos como guia. Se estiver a configurar mais do que um inquilino, repita estes passos:

Nota

Estes passos mostram como criar recursos com o portal do Azure Stack Hub, mas também pode utilizar o PowerShell.

Antes de começar

Antes de começar a configurar o Azure Stack Hub, precisa de:

• Uma implementação do Azure Stack Hub.
• Uma oferta no Azure Stack Hub à qual os seus utilizadores podem subscrever. Para obter mais informações, consulte Descrição geral do serviço, plano, oferta e subscrição.

Criar recursos de rede no Azure Stack Hub

Utilize os seguintes procedimentos para criar os recursos de rede necessários no Azure Stack Hub para um inquilino.

Criar a rede virtual e a sub-rede VM

1. Inicie sessão no portal de utilizadores do Azure Stack Hub.

2. No portal, selecione + Criar um recurso.

3. Em Azure Marketplace, selecione Rede.

4. Em Destaque, selecione Rede virtual.

5. Em Criar rede virtual, introduza os valores apresentados na tabela seguinte nos campos adequados:

   Campo	Valor
   Nome	Tenant1VNet1
   Espaço de endereços	10.1.0.0/16
   Nome da sub-rede	Tenant1-Sub1
   Intervalo de endereços da sub-rede	10.1.1.0/24

6. Deverá ver a subscrição que criou anteriormente preenchida no campo Subscrição . Para os restantes campos:

   • Em Grupo de recursos, selecione Criar novo para criar um novo grupo de recursos ou, se já tiver um, selecione Utilizar existente.
   • Verifique a Localização predefinida.
   • Clique em Criar.
   • (Opcional) Clique em Afixar ao dashboard.

Criar a sub-rede de gateway

1. Em Rede virtual, selecione Inquilino1VNet1.
2. Em DEFINIÇÕES, selecione Sub-redes.
3. Selecione + Sub-rede do Gateway para adicionar uma sub-rede de gateway à rede virtual.
4. O nome da sub-rede está predefinido como GatewaySubnet. As sub-redes do gateway são um caso especial e têm de utilizar este nome para funcionar corretamente.
5. Verifique se o intervalo de endereços é 10.1.0.0/24.
6. Clique em OK para criar a sub-rede do gateway.

Criar o gateway de rede virtual

1. No portal de utilizadores do Azure Stack Hub, clique em + Criar um recurso.
2. Em Azure Marketplace, selecione Rede.
3. Selecione Gateway de rede virtual na lista de recursos de rede.
4. No campo Nome , introduza GW1.
5. Selecione Rede virtual.
6. Selecione Inquilino1VNet1 na lista pendente.
7. Selecione Endereço IP público, selecione Escolher endereço IP público e, em seguida, clique em Criar novo.
8. No campo Nome , escreva GW1-PiP e, em seguida, clique em OK.
9. O Tipo de VPN deve ter a opção Baseado na rota selecionada por predefinição. Mantenha esta definição.
10. Certifique-se de que a Subscrição e a Localização estão corretas. Clique em Criar.

Criar o gateway de rede local

O recurso de gateway de rede local identifica o gateway remoto na outra extremidade da ligação VPN. Para este exemplo, o fim remoto da ligação é a sub-interface LAN do router do ExpressRoute. Para o Inquilino 1 no diagrama anterior, o endereço remoto é 10.60.3.255.

1. Inicie sessão no portal de utilizadores do Azure Stack Hub e selecione + Criar um recurso.

2. Em Azure Marketplace, selecione Rede.

3. Selecione Gateway de rede local na lista de recursos.

4. No campo Nome , escreva ER-Router-GW.

5. Para o campo endereço IP , veja a figura anterior. O endereço IP da sub-interface LAN do router do ExpressRoute para Inquilino 1 é 10.60.3.255. Para o seu próprio ambiente, introduza o endereço IP da interface correspondente do router.

6. No campo Espaço de Endereços , introduza o espaço de endereços das VNets às quais pretende ligar no Azure. As sub-redes do Inquilino 1 são as seguintes:

   • 192.168.2.0/24 é a VNet do hub no Azure.
   • 10.100.0.0/16 é a VNet spoke no Azure.

   Importante

   Este exemplo pressupõe que está a utilizar rotas estáticas para a ligação VPN site a site entre o gateway do Azure Stack Hub e o router do ExpressRoute.

7. Verifique se a Subscrição, o Grupo de Recursos e a Localização estão corretos. Em seguida, selecione Criar.

Criar a ligação

1. No portal de utilizadores do Azure Stack Hub, selecione + Criar um recurso.
2. Em Azure Marketplace, selecione Rede.
3. Selecione Ligação na lista de recursos.
4. Em Noções básicas, selecione Site a Site (IPSec) como o Tipo de ligação.
5. Selecione a Subscrição, o Grupo de recursos e a Localização. Clique em OK.
6. Em Definições, selecione Gateway de rede virtual e, em seguida, selecione GW1.
7. Selecione Gateway de rede local e, em seguida, selecione GW do Router ER.
8. No campo Nome da ligação , introduza ConnectToAzure.
9. No campo Chave partilhada (PSK ), introduza abc123 e, em seguida, selecione OK.
10. Em Resumo, selecione OK.

Obter o endereço IP público do gateway de rede virtual

Depois de criar o gateway de rede virtual, pode obter o endereço IP público do gateway. Tome nota deste endereço caso precise dele mais tarde para a sua implementação. Consoante a sua implementação, este endereço é utilizado como o endereço IP interno.

1. No portal de utilizadores do Azure Stack Hub, selecione Todos os recursos.
2. Em Todos os recursos, selecione o gateway de rede virtual, que é GW1 no exemplo.
3. Em Gateway de rede virtual, selecione Descrição geral na lista de recursos. Em alternativa, pode selecionar Propriedades.
4. O endereço IP que pretende anotar está listado em Endereço IP Público. Para a configuração de exemplo, este endereço é 192.68.102.1.

Criar uma VM (máquina virtual)

Para testar o tráfego de dados através da ligação VPN, precisa de VMs para enviar e receber dados na VNet do Azure Stack Hub. Crie uma VM e implemente-a na sub-rede da VM para a sua rede virtual.

1. No portal de utilizadores do Azure Stack Hub, selecione + Criar um recurso.

2. Em Azure Marketplace, selecione Computação.

3. Na lista de imagens de VM, selecione a imagem Windows Server 2016 Datacenter Eval.

   Nota

   Se a imagem utilizada para este artigo não estiver disponível, peça ao operador do Azure Stack Hub para fornecer uma imagem diferente do Windows Server.

4. Em Criar máquina virtual, selecione Básicos e, em seguida, escreva VM01 como o Nome.

5. Introduza um nome de utilizador e palavra-passe válidos. Irá utilizar esta conta para iniciar sessão na VM depois de ter sido criada.

6. Forneça uma Subscrição, um Grupo de recursos e uma Localização. Selecione OK.

7. Em Escolher um tamanho, selecione um tamanho de VM para esta instância e, em seguida, selecione Selecionar.

8. Em Definições, confirme que:

   • A rede virtual é Tenant1VNet1.
   • A sub-rede está definida como 10.1.1.0/24.

   Utilize as predefinições e clique em OK.

9. Em Resumo, reveja a configuração da VM e, em seguida, clique em OK.

Para adicionar mais inquilinos, repita os passos que seguiu nestas secções:

• Criar a rede virtual e a sub-rede VM
• Criar a sub-rede de gateway
• Criar o gateway de rede virtual
• Criar o gateway de rede local
• Criar a ligação
• Criar uma máquina virtual

Se estiver a utilizar o Inquilino 2 como exemplo, lembre-se de alterar os endereços IP para evitar sobreposições.

Configurar a VM NAT para o percurso de gateway

Importante

Esta secção destina-se apenas a implementações do ASDK. O NAT não é necessário para implementações de vários nós.

O ASDK é autónomo e isolado da rede onde o anfitrião físico é implementado. A rede VIP à qual os gateways estão ligados não é externa; está oculto atrás de um router que executa a Tradução de Endereços de Rede (NAT).

O router é o anfitrião ASDK que executa a função Serviços de Encaminhamento e Acesso Remoto (RRAS). Tem de configurar o NAT no anfitrião do ASDK para ativar a ligação VPN site a site para ligar em ambas as extremidades.

Configurar o NAT

1. Inicie sessão no computador anfitrião do Azure Stack Hub com a sua conta de administrador.

2. Execute o script num ISE do PowerShell elevado. Este script devolve o seu endereço BGPNAT Externo.

   Get-NetNatExternalAddress
   

3. Para configurar o NAT, copie e edite o seguinte script do PowerShell. Edite o script para substituir e External BGPNAT addressInternal IP address pelos seguintes valores de exemplo:

   • Para endereço BGPNAT externo , utilize 10.10.0.62
   • Para endereços IP internos , utilize 192.168.102.1

   Execute o seguinte script a partir de um ISE elevado do PowerShell:

   $ExtBgpNat = 'External BGPNAT address'
   $IntBgpNat = 'Internal IP address'
   
   # Designate the external NAT address for the ports that use the IKE authentication.
   Add-NetNatExternalAddress `
      -NatName BGPNAT `
      -IPAddress $Using:ExtBgpNat `
      -PortStart 499 `
      -PortEnd 501
   Add-NetNatExternalAddress `
      -NatName BGPNAT `
      -IPAddress $Using:ExtBgpNat `
      -PortStart 4499 `
      -PortEnd 4501
   # Create a static NAT mapping to map the external address to the Gateway public IP address to map the ISAKMP port 500 for PHASE 1 of the IPSEC tunnel.
   Add-NetNatStaticMapping `
      -NatName BGPNAT `
      -Protocol UDP `
      -ExternalIPAddress $Using:ExtBgpNat `
      -InternalIPAddress $Using:IntBgpNat `
      -ExternalPort 500 `
      -InternalPort 500
   # Configure NAT traversal which uses port 4500 to  establish the complete IPSEC tunnel over NAT devices.
   Add-NetNatStaticMapping `
      -NatName BGPNAT `
      -Protocol UDP `
      -ExternalIPAddress $Using:ExtBgpNat `
      -InternalIPAddress $Using:IntBgpNat `
      -ExternalPort 4500 `
      -InternalPort 4500
   

Configurar o Azure

Depois de concluir a configuração do Azure Stack Hub, pode implementar os recursos do Azure. A figura seguinte mostra um exemplo de uma rede virtual de inquilinos no Azure. Pode utilizar qualquer nome e esquema de endereçamento para a sua VNet no Azure. No entanto, o intervalo de endereços das VNets no Azure e no Azure Stack Hub tem de ser exclusivo e não pode sobrepor-se:

Os recursos que implementar no Azure são semelhantes aos recursos que implementou no Azure Stack Hub. Implemente os seguintes componentes:

• Redes virtuais e sub-redes
• Uma sub-rede de gateway
• Um gateway de rede virtual
• Uma ligação
• Um circuito do ExpressRoute

A infraestrutura de rede do Azure de exemplo está configurada da seguinte forma:

• Um hub padrão (192.168.2.0/24) e um modelo de VNet spoke (10.100.0.0./16). Para obter mais informações sobre a topologia de rede hub-spoke, veja Implementar uma topologia de rede hub-spoke no Azure.
• As cargas de trabalho são implementadas na VNet spoke e o circuito do ExpressRoute está ligado à VNet do hub.
• As duas VNets estão ligadas através do VNet Peering.

Configurar as VNets do Azure

1. Inicie sessão no portal do Azure com as suas credenciais do Azure.
2. Crie a VNet do hub com o intervalo de endereços 192.168.2.0/24.
3. Crie uma sub-rede com o intervalo de endereços 192.168.2.0/25 e adicione uma sub-rede de gateway com o intervalo de endereços 192.168.2.128/27.
4. Crie a VNet spoke e a sub-rede com o intervalo de endereços 10.100.0.0/16.

Para obter mais informações sobre como criar redes virtuais no Azure, veja Criar uma rede virtual.

Configurar um circuito do ExpressRoute

1. Reveja os pré-requisitos do ExpressRoute na lista de verificação de pré-requisitos do ExpressRoute &.

2. Siga os passos em Criar e modificar um circuito do ExpressRoute para criar um circuito do ExpressRoute com a sua subscrição do Azure.

   Nota

   Atribua a chave de serviço do circuito ao seu serviço para que possa configurar o circuito do ExpressRoute no final.

3. Siga os passos em Criar e modificar o peering de um circuito do ExpressRoute para configurar o peering privado no circuito do ExpressRoute.

Criar o gateway de rede virtual

Siga os passos em Configurar um gateway de rede virtual para o ExpressRoute com o PowerShell para criar um gateway de rede virtual para o ExpressRoute na VNet do hub.

Criar a ligação

Para ligar o circuito do ExpressRoute à VNet do hub, siga os passos em Ligar uma rede virtual a um circuito do ExpressRoute.

Configurar o peering entre as VNets

Peering das VNets hub-and-spoke com os passos em Criar um peering de rede virtual com o portal do Azure. Ao configurar o VNet Peering, certifique-se de que utiliza as seguintes opções:

• Do hub para o spoke, permita o trânsito do gateway.
• Do spoke para o hub, utilize o gateway remoto.

Criar uma máquina virtual

Implemente as VMs de carga de trabalho na VNet spoke.

Repita estes passos para quaisquer VNets de inquilino adicionais que pretenda ligar no Azure através dos respetivos circuitos do ExpressRoute.

Configurar o router

Pode utilizar o seguinte diagrama de configuração do router do ExpressRoute como um guia para configurar o Router do ExpressRoute. Esta figura mostra dois inquilinos (Inquilino 1 e Inquilino 2) com os respetivos circuitos do ExpressRoute. Cada inquilino está ligado ao seu próprio VRF (Encaminhamento Virtual e Reencaminhamento) no lado LAN e WAN do router do ExpressRoute. Esta configuração garante o isolamento ponto a ponto entre os dois inquilinos. Tome nota dos endereços IP utilizados nas interfaces do router à medida que segue o exemplo de configuração.

Pode utilizar qualquer router que suporte VPN IKEv2 e BGP para terminar a ligação de VPN site a site a partir do Azure Stack Hub. O mesmo router é utilizado para ligar ao Azure com um circuito do ExpressRoute.

O seguinte exemplo de configuração do Router dos Serviços de Agregação da Série Cisco ASR 1000 suporta a infraestrutura de rede apresentada no diagrama de configuração do router do ExpressRoute .

ip vrf Tenant 1
 description Routing Domain for PRIVATE peering to Azure for Tenant 1
 rd 1:1
!
ip vrf Tenant 2
 description Routing Domain for PRIVATE peering to Azure for Tenant 2
 rd 1:5
!
crypto ikev2 proposal V2-PROPOSAL2
description IKEv2 proposal for Tenant 1
encryption aes-cbc-256
 integrity sha256
 group 2
crypto ikev2 proposal V4-PROPOSAL2
description IKEv2 proposal for Tenant 2
encryption aes-cbc-256
 integrity sha256
 group 2
!
crypto ikev2 policy V2-POLICY2
description IKEv2 Policy for Tenant 1
match fvrf Tenant 1
 match address local 10.60.3.255
 proposal V2-PROPOSAL2
description IKEv2 Policy for Tenant 2
crypto ikev2 policy V4-POLICY2
 match fvrf Tenant 2
 match address local 10.60.3.251
 proposal V4-PROPOSAL2
!
crypto ikev2 profile V2-PROFILE
description IKEv2 profile for Tenant 1
match fvrf Tenant 1
 match address local 10.60.3.255
 match identity remote any
 authentication remote pre-share key abc123
 authentication local pre-share key abc123
 ivrf Tenant 1
!
crypto ikev2 profile V4-PROFILE
description IKEv2 profile for Tenant 2
 match fvrf Tenant 2
 match address local 10.60.3.251
 match identity remote any
 authentication remote pre-share key abc123
 authentication local pre-share key abc123
 ivrf Tenant 2
!
crypto ipsec transform-set V2-TRANSFORM2 esp-gcm 256
 mode tunnel
crypto ipsec transform-set V4-TRANSFORM2 esp-gcm 256
 mode tunnel
!
crypto ipsec profile V2-PROFILE
 set transform-set V2-TRANSFORM2
 set ikev2-profile V2-PROFILE
!
crypto ipsec profile V4-PROFILE
 set transform-set V4-TRANSFORM2
 set ikev2-profile V4-PROFILE
!
interface Tunnel10
description S2S VPN Tunnel for Tenant 1
 ip vrf forwarding Tenant 1
 ip address 11.0.0.2 255.255.255.252
 ip tcp adjust-mss 1350
 tunnel source TenGigabitEthernet0/1/0.211
 tunnel mode ipsec ipv4
 tunnel destination 10.10.0.62
 tunnel vrf Tenant 1
 tunnel protection ipsec profile V2-PROFILE
!
interface Tunnel20
description S2S VPN Tunnel for Tenant 2
 ip vrf forwarding Tenant 2
 ip address 11.0.0.2 255.255.255.252
 ip tcp adjust-mss 1350
 tunnel source TenGigabitEthernet0/1/0.213
 tunnel mode ipsec ipv4
 tunnel destination 10.10.0.62
 tunnel vrf VNET3
 tunnel protection ipsec profile V4-PROFILE
!
interface GigabitEthernet0/0/1
 description PRIMARY ExpressRoute Link to AZURE over Equinix
 no ip address
 negotiation auto
!
interface GigabitEthernet0/0/1.100
description Primary WAN interface of Tenant 1
 description PRIMARY ER link supporting Tenant 1 to Azure
 encapsulation dot1Q 101
 ip vrf forwarding Tenant 1
 ip address 192.168.1.1 255.255.255.252
!
interface GigabitEthernet0/0/1.102
description Primary WAN interface of Tenant 2
 description PRIMARY ER link supporting Tenant 2 to Azure
 encapsulation dot1Q 102
 ip vrf forwarding Tenant 2
 ip address 192.168.1.17 255.255.255.252
!
interface GigabitEthernet0/0/2
 description BACKUP ExpressRoute Link to AZURE over Equinix
 no ip address
 negotiation auto
!
interface GigabitEthernet0/0/2.100
description Secondary WAN interface of Tenant 1
 description BACKUP ER link supporting Tenant 1 to Azure
 encapsulation dot1Q 101
 ip vrf forwarding Tenant 1
 ip address 192.168.1.5 255.255.255.252
!
interface GigabitEthernet0/0/2.102
description Secondary WAN interface of Tenant 2
description BACKUP ER link supporting Tenant 2 to Azure
 encapsulation dot1Q 102
 ip vrf forwarding Tenant 2
 ip address 192.168.1.21 255.255.255.252
!
interface TenGigabitEthernet0/1/0
 description Downlink to ---Port 1/47
 no ip address
!
interface TenGigabitEthernet0/1/0.211
 description LAN interface of Tenant 1
description Downlink to --- Port 1/47.211
 encapsulation dot1Q 211
 ip vrf forwarding Tenant 1
 ip address 10.60.3.255 255.255.255.254
!
interface TenGigabitEthernet0/1/0.213
description LAN interface of Tenant 2
 description Downlink to --- Port 1/47.213
 encapsulation dot1Q 213
 ip vrf forwarding Tenant 2
 ip address 10.60.3.251 255.255.255.254
!
router bgp 65530
 bgp router-id <removed>
 bgp log-neighbor-changes
 description BGP neighbor config and route advertisement for Tenant 1 VRF
 address-family ipv4 vrf Tenant 1
  network 10.1.0.0 mask 255.255.0.0
  network 10.60.3.254 mask 255.255.255.254
  network 192.168.1.0 mask 255.255.255.252
  network 192.168.1.4 mask 255.255.255.252
  neighbor 10.10.0.62 remote-as 65100
  neighbor 10.10.0.62 description VPN-BGP-PEER-for-Tenant 1
  neighbor 10.10.0.62 ebgp-multihop 5
  neighbor 10.10.0.62 activate
  neighbor 10.60.3.254 remote-as 4232570301
  neighbor 10.60.3.254 description LAN peer for CPEC:INET:2112 VRF
  neighbor 10.60.3.254 activate
  neighbor 10.60.3.254 route-map BLOCK-ALL out
  neighbor 192.168.1.2 remote-as 12076
  neighbor 192.168.1.2 description PRIMARY ER peer for Tenant 1 to Azure
  neighbor 192.168.1.2 ebgp-multihop 5
  neighbor 192.168.1.2 activate
  neighbor 192.168.1.2 soft-reconfiguration inbound
  neighbor 192.168.1.2 route-map Tenant 1-ONLY out
  neighbor 192.168.1.6 remote-as 12076
  neighbor 192.168.1.6 description BACKUP ER peer for Tenant 1 to Azure
  neighbor 192.168.1.6 ebgp-multihop 5
  neighbor 192.168.1.6 activate
  neighbor 192.168.1.6 soft-reconfiguration inbound
  neighbor 192.168.1.6 route-map Tenant 1-ONLY out
  maximum-paths 8
 exit-address-family
 !
description BGP neighbor config and route advertisement for Tenant 2 VRF
address-family ipv4 vrf Tenant 2
  network 10.1.0.0 mask 255.255.0.0
  network 10.60.3.250 mask 255.255.255.254
  network 192.168.1.16 mask 255.255.255.252
  network 192.168.1.20 mask 255.255.255.252
  neighbor 10.10.0.62 remote-as 65300
  neighbor 10.10.0.62 description VPN-BGP-PEER-for-Tenant 2
  neighbor 10.10.0.62 ebgp-multihop 5
  neighbor 10.10.0.62 activate
  neighbor 10.60.3.250 remote-as 4232570301
  neighbor 10.60.3.250 description LAN peer for CPEC:INET:2112 VRF
  neighbor 10.60.3.250 activate
  neighbor 10.60.3.250 route-map BLOCK-ALL out
  neighbor 192.168.1.18 remote-as 12076
  neighbor 192.168.1.18 description PRIMARY ER peer for Tenant 2 to Azure
  neighbor 192.168.1.18 ebgp-multihop 5
  neighbor 192.168.1.18 activate
  neighbor 192.168.1.18 soft-reconfiguration inbound
  neighbor 192.168.1.18 route-map VNET-ONLY out
  neighbor 192.168.1.22 remote-as 12076
  neighbor 192.168.1.22 description BACKUP ER peer for Tenant 2 to Azure
  neighbor 192.168.1.22 ebgp-multihop 5
  neighbor 192.168.1.22 activate
  neighbor 192.168.1.22 soft-reconfiguration inbound
  neighbor 192.168.1.22 route-map VNET-ONLY out
  maximum-paths 8
 exit-address-family
!
ip forward-protocol nd
!
ip as-path access-list 1 permit ^$
ip route vrf Tenant 1 10.1.0.0 255.255.0.0 Tunnel10
ip route vrf Tenant 2 10.1.0.0 255.255.0.0 Tunnel20
!
ip prefix-list BLOCK-ALL seq 5 deny 0.0.0.0/0 le 32
!
route-map BLOCK-ALL permit 10
 match ip address prefix-list BLOCK-ALL
!
route-map VNET-ONLY permit 10
 match as-path 1
!

Testar a ligação

Teste a ligação depois de estabelecer a ligação site a site e o circuito do ExpressRoute.

Efetue os seguintes testes de ping:

• Inicie sessão numa das VMs na VNet do Azure e envie um ping à VM que criou no Azure Stack Hub.
• Inicie sessão numa das VMs que criou no Azure Stack Hub e envie um ping à VM que criou na VNet do Azure.

Nota

Para se certificar de que está a enviar tráfego através das ligações site a site e ExpressRoute, tem de enviar um ping ao endereço IP dedicado (DIP) da VM em ambas as extremidades e não no endereço VIP da VM.

Permitir a entrada do ICMP através da firewall

Por predefinição, Windows Server 2016 não permite pacotes ICMP recebidos através da firewall. Para cada VM que utiliza para testes de ping, tem de permitir pacotes ICMP recebidos. Para criar uma regra de firewall para ICMP, execute o seguinte cmdlet numa janela elevada do PowerShell:

# Create ICMP firewall rule.
New-NetFirewallRule `
  -DisplayName "Allow ICMPv4-In" `
  -Protocol ICMPv4

Enviar ping à VM do Azure Stack Hub

1. Inicie sessão no portal de utilizadores do Azure Stack Hub.

2. Localize a VM que criou e selecione-a.

3. Selecione Ligar.

4. A partir de uma linha de comandos elevada do Windows ou do PowerShell, introduza ipconfig /all. Tenha em atenção o endereço IPv4 devolvido na saída.

5. Envie um ping ao endereço IPv4 a partir da VM na VNet do Azure.

   No ambiente de exemplo, o endereço IPv4 é da sub-rede 10.1.1.x/24. No seu ambiente, o endereço pode ser diferente, mas deve estar na sub-rede que criou para a sub-rede VNet do inquilino.

Ver estatísticas de transferência de dados

Se quiser saber quanto tráfego está a passar pela sua ligação, pode encontrar estas informações no portal de utilizadores do Azure Stack Hub. Ver estatísticas de transferência de dados também é uma boa forma de saber se os dados de teste de ping passaram ou não pelas ligações VPN e ExpressRoute:

1. Inicie sessão no portal de utilizadores do Azure Stack Hub e selecione Todos os recursos.
2. Navegue para o grupo de recursos da sua Gateway de VPN e selecione o tipo de objeto Ligação.
3. Selecione a ligação ConnectToAzure na lista.
4. EmDescrição Geral das Ligações>, pode ver as estatísticas de Entrada e Saída de dados. Deverá ver alguns valores que não são zero.

Passos seguintes

Implementar aplicações no Azure e no Azure Stack Hub