Configurar ligações coexistentes do ExpressRoute e de Site a Site (clássico)

• PowerShell – Resource Manager
• PowerShell - Clássico

Este artigo ajuda-o a configurar ligações VPN do ExpressRoute e site a site que coexistem. A capacidade de configurar o ExpressRoute e a Rede de VPNs tem várias vantagens. Pode configurar a VPN Site a Site como um caminho de ativação pós-falha seguro para o ExpressRoute ou utilizar VPNs Site a Site para ligar a sites que não estão ligados através do ExpressRoute. Abordamos os passos para configurar ambos os cenários neste artigo. Este artigo aplica-se ao modelo de implementação clássica. Esta configuração não está disponível no portal.

Importante

A partir de 1 de março de 2017, não é possível criar os novos circuitos do ExpressRoute no modelo de implementação clássico.

• Pode mover um circuito do ExpressRoute existente a partir do modelo de implementação clássica para o modelo de implementação do Gestor de Recursos, sem experienciar qualquer período de inatividade de conectividade. Para obter mais informações, consulte Move an existing circuit (Mover um circuito existente).
• Pode ligar a redes virtuais no modelo de implementação clássica ao definir allowClassicOperations como TRUE.

Utilize as seguintes ligações para criar e gerir circuitos do ExpressRoute no modelo de implementação do Gestor de Recursos:

• Criar e gerir circuitos do ExpressRoute
  
• Configurar o encaminhamento (peering) dos circuitos do ExpressRoute

Acerca dos modelos de implementação do Azure

O Azure funciona atualmente com dois modelos de implementação: Resource Manager e clássica. Os dois modelos não são totalmente compatíveis entre si. Antes de começar, deve saber em que modelo pretende trabalhar. Para obter informações sobre os modelos de implementação, veja Compreender os modelos de implementação. Se estiver familiarizado com o Azure, recomendamos que utilize o modelo de implementação do Resource Manager.

Importante

Um circuito do ExpressRoute tem de estar pré-configurado antes de seguir as instruções neste artigo. Certifique-se de que seguiu os guias para criar um circuito do ExpressRoute e configurar o encaminhamento antes de continuar.

Limites e limitações

• Encaminhamento de tráfego não suportado. Não pode encaminhar (através do Azure) entre a rede local ligada através da VPN Site a Site e a rede local ligada através do ExpressRoute.
• Ligação ponto a site não suportada. Não pode ativar ligações VPN ponto a site para a mesma VNet que está ligada ao ExpressRoute. A VPN ponto a site e o ExpressRoute não podem coexistir para a mesma VNet.
• Não pode ativar o túnel forçado no Gateway de Rede de VPNs. Pode apenas “forçar” todo o tráfego da Internet a voltar à sua rede no local através do ExpressRoute.
• Gateway do SKU Básico não suportado. Tem de utilizar um gateway do SKU não Básico para o Gateway do ExpressRoute e para o Gateway de VPN.
• É apenas suportado o Gateway de VPN baseado na rota. Tem de utilizar um Gateway de VPN baseado na rota.
• A rota estática deve ser configurada para o seu Gateway de VPN. Se a sua rede local estiver ligada ao ExpressRoute e a uma Rede de VPNs, terá de ter uma rota estática configurada na rede local para encaminhar a ligação de Rede de VPNs para a Internet pública.

Estruturas de configuração

Configurar uma Rede de VPNs como um caminho de ativação pós-falha para o ExpressRoute

Pode configurar uma ligação de Rede de VPNs como uma cópia de segurança para o ExpressRoute. Esta configuração aplica-se apenas a redes virtuais ligadas ao caminho de peering privado do Azure. Não existe nenhuma solução de ativação pós-falha baseada em VPN para serviços acessíveis através de peerings públicos e da Microsoft do Azure. O circuito ExpressRoute é sempre a ligação primária. Os dados fluem através do caminho de VPN Site a Site apenas se o circuito do ExpressRoute falhar.

Nota

Apesar de o circuito do ExpressRoute ser preferível face à Rede de VPNs quando ambas as rotas são as mesmas, o Azure irá utilizar a correspondência de prefixo mais longo para escolher a rota de acordo com o destino do pacote.

Configurar uma Rede de VPNs para se ligar a sites não ligados através do ExpressRoute

Pode configurar a sua rede para um local no qual alguns sites se ligam diretamente ao Azure através da Rede de VPNs e alguns sites estabelecem ligação através do ExpressRoute.

Nota

Não pode configurar uma rede virtual como um router de tráfego.

Selecionar os passos a utilizar

Existem dois conjuntos diferentes de procedimentos à sua escolha para configurar ligações que podem coexistir. O procedimento de configuração que selecionar depende do facto de pretender ligar-se a uma rede virtual já existente ou criar uma nova.

• Não tenho uma VNet e preciso de criar uma.

  Se ainda não tiver uma rede virtual, este procedimento orienta-o ao longo da criação de uma nova rede virtual com o modelo de implementação clássica e da criação de novas ligações VPN do ExpressRoute e site a site. Para configurar, siga os passos na secção do artigo Para criar uma nova rede virtual e ligações coexistentes.

• Já tenho um modelo de implementação clássica VNet.

  Pode já ter uma rede virtual no local com uma ligação ExpressRoute ou de Rede de VPNs existente. A secção de artigo Para configurar ligações coexistentes para uma VNet já existente, guie-o ao longo da eliminação do gateway e, em seguida, crie novas ligações VPN do ExpressRoute e Site a Site. Quando cria novas ligações, os passos têm de ser concluídos por uma ordem específica. Não utilize as instruções de outros artigos para criar os seus gateways e ligações.

  Neste procedimento, a criação de ligações que podem coexistir implica eliminar o seu gateway e, em seguida, configurar novos gateways. Tem um período de indisponibilidade para as suas ligações entre locais enquanto elimina e recria o gateway e as ligações, mas não precisa de migrar nenhuma das suas VMs ou serviços para uma nova rede virtual. As VMs e os serviços ainda podem comunicar através do balanceador de carga enquanto configura o gateway, se estiverem configurados para o fazer.

Instalar cmdlets do PowerShell

Instale as versões mais recentes dos módulos do PowerShell do Azure Service Management (SM) e do módulo ExpressRoute. Não pode utilizar o ambiente do Azure CloudShell para executar módulos de SM.

1. Utilize as instruções no artigo Instalar o módulo Gestão de Serviços para instalar o Módulo de Gestão de Serviços do Azure. Se já tiver o módulo Az ou RM instalado, certifique-se de que utiliza "-AllowClobber".

2. Importe os módulos instalados. Ao utilizar o exemplo seguinte, ajuste o caminho para refletir a localização e a versão dos módulos do PowerShell instalados.

   Import-Module 'C:\Program Files\WindowsPowerShell\Modules\Azure\5.3.0\Azure.psd1'
   Import-Module 'C:\Program Files\WindowsPowerShell\Modules\Azure\5.3.0\ExpressRoute\ExpressRoute.psd1'
   

3. Para iniciar sessão na sua conta do Azure, abra a consola do PowerShell com direitos elevados e ligue-se à sua conta. Utilize o exemplo seguinte para o ajudar a ligar-se com o módulo Gestão de Serviços:

   Add-AzureAccount
   

Para criar uma nova rede virtual e ligações coexistentes

Este procedimento orienta-o ao longo da criação de uma VNet e cria ligações Site a Site e ExpressRoute que coexistem.

1. Tem de instalar a versão mais recente dos cmdlets Azure PowerShell. Os cmdlets que vai utilizar para esta configuração podem ser ligeiramente diferentes do que poderá estar familiarizado. Confirme que utiliza os cmdlets especificados nestas instruções.

2. Crie um esquema para a sua rede virtual. Para obter mais informações sobre a configuração do esquema, veja Esquema de configuração da Virtual Network do Azure.

   Quando cria o seu esquema, confirme que utiliza os seguintes valores:

   • A sub-rede do gateway para a rede virtual tem de ser /27 ou ter um prefixo mais curto (como /26 ou /25).
   • O tipo de ligação do gateway é Dedicado.

   <VirtualNetworkSite name="MyAzureVNET" Location="Central US">
     <AddressSpace>
       <AddressPrefix>10.17.159.192/26</AddressPrefix>
     </AddressSpace>
     <Subnets>
       <Subnet name="Subnet-1">
         <AddressPrefix>10.17.159.192/27</AddressPrefix>
       </Subnet>
       <Subnet name="GatewaySubnet">
         <AddressPrefix>10.17.159.224/27</AddressPrefix>
         /Subnet>
     </Subnets>
     <Gateway>
       <ConnectionsToLocalNetwork>
         <LocalNetworkSiteRef name="MyLocalNetwork">
           <Connection type="Dedicated" />
         </LocalNetworkSiteRef>
       </ConnectionsToLocalNetwork>
     </Gateway>
   </VirtualNetworkSite>
   

3. Depois de criar e configurar o ficheiro de esquema xml, carregue o ficheiro para criar a sua rede virtual.

   Utilize o seguinte cmdlet para carregar o seu ficheiro, substituindo o valor com o seu próprio.

   Set-AzureVNetConfig -ConfigurationPath 'C:\NetworkConfig.xml'
   

4. Crie um Gateway do ExpressRoute. Verifique se especifica o GatewaySKU como Standard, HighPerformance ou UltraPerformance e o GatewayType como DynamicRouting.

   Utilize o exemplo seguinte, substituindo os valores pelos seus próprios.

   New-AzureVNetGateway -VNetName MyAzureVNET -GatewayType DynamicRouting -GatewaySKU HighPerformance
   

5. Ligue o gateway ExpressRoute ao circuito ExpressRoute. Quando tiver concluído este passo, a ligação entre a sua rede no local e do Azure, através do ExpressRoute, é estabelecida.

   New-AzureDedicatedCircuitLink -ServiceKey <service-key> -VNetName MyAzureVNET
   

6. Em seguida, crie o gateway de Rede de VPNs. O GatewaySKU tem de ser Standard, HighPerformance ou UltraPerformance e o GatewayType tem de ser DynamicRouting.

   New-AzureVirtualNetworkGateway -VNetName MyAzureVNET -GatewayName S2SVPN -GatewayType DynamicRouting -GatewaySKU  HighPerformance
   

   Para obter as definições do gateway de rede virtual, incluindo o ID do gateway e o IP público, utilize o cmdlet Get-AzureVirtualNetworkGateway.

   Get-AzureVirtualNetworkGateway
   
   GatewayId            : 348ae011-ffa9-4add-b530-7cb30010565e
   GatewayName          : S2SVPN
   LastEventData        :
   GatewayType          : DynamicRouting
   LastEventTimeStamp   : 5/29/2015 4:41:41 PM
   LastEventMessage     : Successfully created a gateway for the following virtual network: GNSDesMoines
   LastEventID          : 23002
   State                : Provisioned
   VIPAddress           : 104.43.x.y
   DefaultSite          :
   GatewaySKU           : HighPerformance
   Location             :
   VnetId               : 979aabcf-e47f-4136-ab9b-b4780c1e1bd5
   SubnetId             :
   EnableBgp            : False
   OperationDescription : Get-AzureVirtualNetworkGateway
   OperationId          : 42773656-85e1-a6b6-8705-35473f1e6f6a
   OperationStatus      : Succeeded
   

7. Crie uma entidade de gateway de VPN de site local. Este comando não configurar o seu gateway de VPN no local. Em vez disso, este permite-lhe fornecer as definições do gateway local, tal como o IP público e o espaço de endereço no local, para que o gateway de VPN do Azure se possa ligar a este.

   Importante

   O site local para a VPN de Site a Site não está definido no netcfg. Em vez disso, tem de utilizar este cmdlet para especificar os parâmetros do site local. Não pode defini-lo, nem através do portal nem do ficheiro netcfg.

   Utilize o exemplo seguinte, substituindo os valores com os seus próprios.

   New-AzureLocalNetworkGateway -GatewayName MyLocalNetwork -IpAddress <MyLocalGatewayIp> -AddressSpace <MyLocalNetworkAddress>
   

   Nota

   Se a sua rede local tiver várias rotas, pode passá-las a todas como uma matriz. $MyLocalNetworkAddress = @("10.1.2.0/24","10.1.3.0/24","10.2.1.0/24")

   Para obter as definições do gateway de rede virtual, incluindo o ID do gateway e o IP público, utilize o cmdlet Get-AzureVirtualNetworkGateway. Veja o seguinte exemplo.

   Get-AzureLocalNetworkGateway
   
   GatewayId            : 532cb428-8c8c-4596-9a4f-7ae3a9fcd01b
   GatewayName          : MyLocalNetwork
   IpAddress            : 23.39.x.y
   AddressSpace         : {10.1.2.0/24}
   OperationDescription : Get-AzureLocalNetworkGateway
   OperationId          : ddc4bfae-502c-adc7-bd7d-1efbc00b3fe5
   OperationStatus      : Succeeded
   

8. Configure o seu dispositivo VPN local para estabelecer ligação com o novo gateway. Utilize as informações que obteve no passo 6 quando configurar o seu dispositivo VPN. Para obter mais informações sobre a configuração do dispositivo VPN, veja Configuração do Dispositivo VPN.

9. Ligue o gateway de Rede de VPNs no Azure ao gateway local.

   Neste exemplo, o connectedEntityId é o ID local do gateway, o qual pode encontrar executando Get-AzureLocalNetworkGateway. Pode encontrar o virtualNetworkGatewayId com o cmdlet Get-AzureVirtualNetworkGateway. Após este passo, é estabelecida a ligação entre a rede local e o Azure através da ligação VPN Site a Site.

   New-AzureVirtualNetworkGatewayConnection -connectedEntityId <local-network-gateway-id> -gatewayConnectionName Azure2Local -gatewayConnectionType IPsec -sharedKey abc123 -virtualNetworkGatewayId <azure-s2s-vpn-gateway-id>
   

Para configurar ligações coexistentes a uma VNet já existente

Se tiver uma rede virtual existente, verifique o tamanho da sub-rede do gateway. Se a sub-rede do gateway é /28 ou /29, tem primeiro de eliminar o gateway da rede virtual e aumentar o tamanho da sub-rede do gateway. Os passos nesta secção mostram-lhe como o fazer.

Se a sub-rede do gateway for /27 ou superior e a rede virtual estiver ligada através do ExpressRoute, pode ignorar estes passos e avançar para "Passo 6 – Criar um gateway de Rede de VPNs" na secção anterior.

Nota

Ao eliminar o gateway existente, o local irá perder a ligação à sua rede virtual enquanto estiver a trabalhar nesta configuração.

1. Tem de instalar a versão mais recente dos cmdlets do Azure Resource Manager PowerShell. Os cmdlets que vai utilizar para esta configuração podem ser ligeiramente diferentes do que poderá estar familiarizado. Confirme que utiliza os cmdlets especificados nestas instruções.

2. Elimine o gateway ExpressRoute ou de Rede de VPNs existente. Utilize o cmdlet seguinte, substituindo os valores com os seus próprios.

   Remove-AzureVNetGateway –VnetName MyAzureVNET
   

3. Exporte o esquema de rede virtual. Utilize o cmdlet PowerShell seguinte, substituindo os valores com os seus próprios.

   Get-AzureVNetConfig –ExportToFile "C:\NetworkConfig.xml"
   

4. Edite o esquema do ficheiro de configuração de rede para que a sub-rede do gateway seja /27 ou um prefixo mais curto (como /26 ou /25). Veja o seguinte exemplo.

   Nota

   Se não tem endereços IP suficientes na sua rede virtual para aumentar o tamanho da sub-rede do gateway, tem de adicionar mais espaço de endereços IP. Para obter mais informações sobre a configuração do esquema, veja Esquema de configuração da Virtual Network do Azure.

   <Subnet name="GatewaySubnet">
     <AddressPrefix>10.17.159.224/27</AddressPrefix>
   </Subnet>
   

5. Se o seu gateway anterior foi uma VPN de Site a Site, também tem de alterar o tipo de ligação para Dedicado.

   <Gateway>
     <ConnectionsToLocalNetwork>
       <LocalNetworkSiteRef name="MyLocalNetwork">
         <Connection type="Dedicated" />
       </LocalNetworkSiteRef>
     </ConnectionsToLocalNetwork>
   </Gateway>
   

6. Nesta fase, já tem uma VNet sem quaisquer gateways. Para criar gateways novos e concluir as suas ligações, pode continuar com Passo 4 – Criar um gateway ExpressRoute, presente no conjunto de passos anterior.

Passos seguintes

Para obter mais informações acerca do ExpressRoute, veja as FAQs do ExpressRoute