Sobre o BGP com a Azure VPN GatewayAbout BGP with Azure VPN Gateway

Este artigo fornece uma visão geral do suporte do BGP (Border Gateway Protocol) em Azure VPN Gateway.This article provides an overview of BGP (Border Gateway Protocol) support in Azure VPN Gateway.

O BGP é o protocolo de encaminhamento padrão utilizado normalmente na Internet para trocar informações de encaminhamento e acessibilidade entre duas ou mais redes.BGP is the standard routing protocol commonly used in the Internet to exchange routing and reachability information between two or more networks. Quando utilizado no contexto das Redes Virtuais do Azure,o BGP permite que os Gateways de VPN do Azure e os seus dispositivos VPN no local, conhecidos como elementos de rede ou vizinhos BGP, troquem “rotas” que informarão ambos os gateways da disponibilidade e acessibilidade para esses prefixos percorrerem os gateways ou routers envolvidos.When used in the context of Azure Virtual Networks, BGP enables the Azure VPN Gateways and your on-premises VPN devices, called BGP peers or neighbors, to exchange "routes" that will inform both gateways on the availability and reachability for those prefixes to go through the gateways or routers involved. O BGP também pode permitir o encaminhamento de tráfego entre várias redes ao propagar rotas para todos os outros elementos de rede BGP, que um gateway BGP aprende de um elemento de rede BGP.BGP can also enable transit routing among multiple networks by propagating routes a BGP gateway learns from one BGP peer to all other BGP peers.

Porquê utilizar o BGP?Why use BGP?

O BGP é uma funcionalidade opcional que pode utilizar com os gateways de VPN do Azure Baseados na Rota.BGP is an optional feature you can use with Azure Route-Based VPN gateways. Antes de ativar esta funcionalidade, deve verificar se os seus dispositivos VPN no local suportam o BGP.You should also make sure your on-premises VPN devices support BGP before you enable the feature. Pode continuar a utilizar os gateways de VPN do Azure e os seus dispositivos VPN no local sem o BGP.You can continue to use Azure VPN gateways and your on-premises VPN devices without BGP. É o equivalente a utilizar rotas estáticas (sem BGP) vs. utilizar encaminhamento dinâmico com BGP entre as suas redes e o Azure.It is the equivalent of using static routes (without BGP) vs. using dynamic routing with BGP between your networks and Azure.

O BGP possui várias vantagens e novas capacidades:There are several advantages and new capabilities with BGP:

Suporte de atualizações de prefixos automáticas e flexíveisSupport automatic and flexible prefix updates

Com o BGP, só tem de declarar um prefixo mínimo para um elemento de rede BGP específico no túnel VPN S2S de IPsec.With BGP, you only need to declare a minimum prefix to a specific BGP peer over the IPsec S2S VPN tunnel. Pode ser tão pequeno como um prefixo de anfitrião (/32) do endereço IP do elemento de rede BGP do seu dispositivo VPN no local.It can be as small as a host prefix (/32) of the BGP peer IP address of your on-premises VPN device. Pode controlar que prefixos da rede no local pretende anunciar no Azure, para permitir o acesso da sua Rede Virtual do Azure.You can control which on-premises network prefixes you want to advertise to Azure to allow your Azure Virtual Network to access.

Também pode anunciar prefixos maiores que podem incluir alguns dos seus prefixos de endereço VNet, como um grande espaço de endereço IP privado (por exemplo, 10.0.0.0/8).You can also advertise larger prefixes that may include some of your VNet address prefixes, such as a large private IP address space (for example, 10.0.0.0/8). Note que os prefixos não podem ser idênticos a qualquer um dos seus prefixos VNet.Note though the prefixes cannot be identical with any one of your VNet prefixes. As rotas idênticas aos prefixos VNet serão rejeitadas.Those routes identical to your VNet prefixes will be rejected.

Suporte de vários túneis entre uma VNet e um site no local, com ativação pós-falha automática baseada no BGPSupport multiple tunnels between a VNet and an on-premises site with automatic failover based on BGP

Pode estabelecer várias ligações na mesma localização entre a VNet do Azure e os dispositivos VPN no local.You can establish multiple connections between your Azure VNet and your on-premises VPN devices in the same location. Esta capacidade proporciona vários túneis (caminhos) entre as duas redes numa configuração no modo ativo-ativo.This capability provides multiple tunnels (paths) between the two networks in an active-active configuration. Se um dos túneis for desligado, as vias correspondentes serão retiradas via BGP e o tráfego deslocar-se-á automaticamente para os restantes túneis.If one of the tunnels is disconnected, the corresponding routes will be withdrawn via BGP and the traffic automatically shifts to the remaining tunnels.

O diagrama seguinte mostra um exemplo simples desta configuração de elevada disponibilidade:The following diagram shows a simple example of this highly available setup:

Vários caminhos ativos

Suporte do encaminhamento do tráfego entre as suas redes no local e várias VNets do AzureSupport transit routing between your on-premises networks and multiple Azure VNets

O BGP permite que vários gateways aprendam e propaguem os prefixos a partir de redes diferentes, quer estejam direta ou indiretamente ligadas.BGP enables multiple gateways to learn and propagate prefixes from different networks, whether they are directly or indirectly connected. Esta opção pode ativar o encaminhamento de tráfego com os gateways de VPN do Azure entre os sites no local ou entre várias Redes Virtuais do Azure.This can enable transit routing with Azure VPN gateways between your on-premises sites or across multiple Azure Virtual Networks.

O diagrama seguinte mostra um exemplo de uma topologia multi-hop com vários caminhos em que o tráfego pode transitar entre as duas redes no local através de gateways de VPN do Azure dentro de Redes da Microsoft:The following diagram shows an example of a multi-hop topology with multiple paths that can transit traffic between the two on-premises networks through Azure VPN gateways within the Microsoft Networks:

Tráfego multi-hop

BGP FAQBGP FAQ

O BGP é suportado em todos os SKUs do VPN Gateway do Azure?Is BGP supported on all Azure VPN Gateway SKUs?

O BGP é suportado em todos os SKUs Azure VPN Gateway, exceto o Basic SKU.BGP is supported on all Azure VPN Gateway SKUs except Basic SKU.

Posso usar o BGP com gateways VPN da Política Azure?Can I use BGP with Azure Policy VPN gateways?

Não, o BGP é suportado apenas em gateways VPN baseados em rotas.No, BGP is supported on route-based VPN gateways only.

Que ASNs (Números de Sistema Autónomos) posso usar?What ASNs (Autonomous System Numbers) can I use?

Você pode usar as suas próprias ASNs públicas ou ASNs privadas tanto para as suas redes no local como para redes virtuais Azure.You can use your own public ASNs or private ASNs for both your on-premises networks and Azure virtual networks. Não pode utilizar as gamas reservadas pela Azure ou pela IANA.You can't use the ranges reserved by Azure or IANA.

As seguintes ASNs são reservadas pela Azure ou pela IANA:The following ASNs are reserved by Azure or IANA:

  • ASNs reservadas por Azure:ASNs reserved by Azure:

    • Public ASNs: 8074, 8075, 12076Public ASNs: 8074, 8075, 12076
    • ASNs privados: 65515 65517, 65518, 65519, 65520Private ASNs: 65515, 65517, 65518, 65519, 65520
  • ASNs reservadas pela IANA:ASNs reserved by IANA:

    • 23456, 64496-64511, 65535-65551 e 42949672923456, 64496-64511, 65535-65551 and 429496729

Não é possível especificar estas ASNs para os seus dispositivos VPN no local quando estiver a ligar-se aos gateways Azure VPN.You can't specify these ASNs for your on-premises VPN devices when you're connecting to Azure VPN gateways.

Posso usar ASNs de 32 bits (4 bytes).Can I use 32-bit (4-byte) ASNs?

Sim, o VPN Gateway agora suporta ASNs de 32 bits (4 bytes).Yes, VPN Gateway now supports 32-bit (4-byte) ASNs. Para configurar utilizando a ASN em formato decimal, utilize o PowerShell, o Azure CLI ou o Azure SDK.To configure by using ASN in decimal format, use PowerShell, the Azure CLI, or the Azure SDK.

Que ASNs privada posso usar?What private ASNs can I use?

As gamas utilizáveis de ASNs privadas são:The useable ranges of private ASNs are:

  • 64512-65514 e 65521-6553464512-65514 and 65521-65534

Estas ASNs não são reservadas pela IANA ou pela Azure para utilização, pelo que podem ser usadas para atribuir ao seu gateway Azure VPN.These ASNs aren't reserved by IANA or Azure for use, and therefore can be used to assign to your Azure VPN gateway.

Que endereço utiliza o Gateway VPN para o IP peer peer BGP?What address does VPN Gateway use for BGP peer IP?

Por predefinição, o VPN Gateway atribui um único endereço IP da gama GatewaySubnet para gateways VPN de standby ativo, ou dois endereços IP para gateways VPN ativos.By default, VPN Gateway allocates a single IP address from the GatewaySubnet range for active-standby VPN gateways, or two IP addresses for active-active VPN gateways. Estes endereços são atribuídos automaticamente quando cria o gateway VPN.These addresses are allocated automatically when you create the VPN gateway. Pode obter o endereço IP real do BGP atribuído utilizando o PowerShell ou localizando-o no portal Azure.You can get the actual BGP IP address allocated by using PowerShell or by locating it in the Azure portal. Em PowerShell, use Get-AzVirtualNetworkGateway e procure a propriedade bgpPeeringAddress.In PowerShell, use Get-AzVirtualNetworkGateway, and look for the bgpPeeringAddress property. No portal Azure, na página de Configuração Gateway, consulte a propriedade Configure BGP ASN.In the Azure portal, on the Gateway Configuration page, look under the Configure BGP ASN property.

Se os seus routers VPN no local utilizarem endereços IP APIPA (169.254.x.x) como endereços IP BGP, deve especificar um endereço IP Azure APIPA BGP adicional no seu gateway Azure VPN.If your on-premises VPN routers use APIPA IP addresses (169.254.x.x) as the BGP IP addresses, you must specify an additional Azure APIPA BGP IP address on your Azure VPN gateway. A Azure VPN Gateway seleciona o endereço APIPA para utilizar com o par APIPA BGP no local especificado no gateway de rede local, ou o endereço IP privado para um par BGP não APIPA, no local.Azure VPN Gateway selects the APIPA address to use with the on-premises APIPA BGP peer specified in the local network gateway, or the private IP address for a non-APIPA, on-premises BGP peer. Para mais informações, consulte o Configure BGP.For more information, see Configure BGP.

Quais são os requisitos para os endereços IP peer BGP no meu dispositivo VPN?What are the requirements for the BGP peer IP addresses on my VPN device?

O seu endereço de pares BGP no local não deve ser o mesmo que o endereço IP público do seu dispositivo VPN ou do espaço de endereço de rede virtual do gateway VPN.Your on-premises BGP peer address must not be the same as the public IP address of your VPN device or from the virtual network address space of the VPN gateway. Utilize um endereço IP diferente no dispositivo VPN para o seu IP de pares BGP.Use a different IP address on the VPN device for your BGP peer IP. Pode ser um endereço atribuído à interface loopback no dispositivo (seja um endereço IP regular ou um endereço APIPA).It can be an address assigned to the loopback interface on the device (either a regular IP address or an APIPA address). Se o seu dispositivo utilizar um endereço APIPA para BGP, tem de especificar um endereço IP APIPA BGP no seu gateway Azure VPN, conforme descrito no Configure BGP.If your device uses an APIPA address for BGP, you must specify an APIPA BGP IP address on your Azure VPN gateway, as described in Configure BGP. Especifique este endereço no portal de rede local correspondente que representa a localização.Specify this address in the corresponding local network gateway representing the location.

O que devo especificar como prefixos de endereço para o gateway de rede local quando uso BGP?What should I specify as my address prefixes for the local network gateway when I use BGP?

Importante

Trata-se de uma alteração da exigência previamente documentada.This is a change from the previously documented requirement. Se utilizar o BGP para uma ligação, deixe o campo de espaço Address vazio para o recurso de gateway de rede local correspondente.If you use BGP for a connection, leave the Address space field empty for the corresponding local network gateway resource. A Azure VPN Gateway adiciona uma rota de anfitrião internamente ao IP de pares BGP no local sobre o túnel IPsec.Azure VPN Gateway adds a host route internally to the on-premises BGP peer IP over the IPsec tunnel. Não adicione a rota /32 no campo espacial Address.Don't add the /32 route in the Address space field. É redundante e se usar um endereço APIPA como o dispositivo VPN no local, O IP BGP, não pode ser adicionado a este campo.It's redundant and if you use an APIPA address as the on-premises VPN device BGP IP, it can't be added to this field. Se adicionar quaisquer outros prefixos no campo espacial Address, são adicionados como rotas estáticas no gateway Azure VPN, além das rotas aprendidas via BGP.If you add any other prefixes in the Address space field, they are added as static routes on the Azure VPN gateway, in addition to the routes learned via BGP.

Posso utilizar a mesma ASN tanto para as redes VPN no local como para as redes virtuais Azure?Can I use the same ASN for both on-premises VPN networks and Azure virtual networks?

Não, deve atribuir diferentes ASNs entre as suas redes no local e as suas redes virtuais Azure se estiver a conectá-las com o BGP.No, you must assign different ASNs between your on-premises networks and your Azure virtual networks if you're connecting them together with BGP. Os gateways Azure VPN têm uma ASN padrão de 65515 atribuída, quer o BGP esteja ativado ou não para a sua conectividade de instalações cruzadas.Azure VPN gateways have a default ASN of 65515 assigned, whether BGP is enabled or not for your cross-premises connectivity. Pode anular este padrão atribuindo uma ASN diferente quando estiver a criar o gateway VPN, ou pode alterar a ASN após a criação do gateway.You can override this default by assigning a different ASN when you're creating the VPN gateway, or you can change the ASN after the gateway is created. Terá de atribuir as suas ASNs no local às respetivas portas de rede locais do Azure.You will need to assign your on-premises ASNs to the corresponding Azure local network gateways.

Que prefixos de endereços irão os gateways de VPN do Azure anunciar-me?What address prefixes will Azure VPN gateways advertise to me?

Os gateways anunciam as seguintes rotas para os seus dispositivos BGP no local:The gateways advertise the following routes to your on-premises BGP devices:

  • Os pré-prefixos do seu endereço de rede virtual.Your virtual network address prefixes.
  • Prefixos de endereço para cada porta de entrada de rede local ligado ao gateway Azure VPN.Address prefixes for each local network gateway connected to the Azure VPN gateway.
  • Rotas aprendidas a partir de outras sessões de observação BGP ligadas ao gateway Azure VPN, exceto para a rota padrão ou rotas que se sobrepõem a qualquer prefixo de rede virtual.Routes learned from other BGP peering sessions connected to the Azure VPN gateway, except for the default route or routes that overlap with any virtual network prefix.

Quantos prefixos posso anunciar ao Azure VPN Gateway?How many prefixes can I advertise to Azure VPN Gateway?

O Azure VPN Gateway suporta até 4000 prefixos.Azure VPN Gateway supports up to 4000 prefixes. A sessão de BGP é ignorada se o número de prefixos exceder o limite.The BGP session is dropped if the number of prefixes exceeds the limit.

Posso anunciar a rota predefinida (0.0.0.0/0) para gateways de VPN do Azure?Can I advertise default route (0.0.0.0/0) to Azure VPN gateways?

Sim.Yes. Note que isto força toda a rede virtual a deslocar tráfego para o seu local.Note that this forces all virtual network egress traffic towards your on-premises site. Também impede que os VMs de rede virtual aceitem a comunicação pública diretamente da internet, tais como RDP ou SSH da internet para os VMs.It also prevents the virtual network VMs from accepting public communication from the internet directly, such RDP or SSH from the internet to the VMs.

Posso anunciar os prefixos exatos como os meus prefixos de rede virtuais?Can I advertise the exact prefixes as my virtual network prefixes?

Não, a publicidade dos mesmos prefixos que qualquer um dos seus prefixos de endereço de rede virtual será bloqueada ou filtrada pelo Azure.No, advertising the same prefixes as any one of your virtual network address prefixes will be blocked or filtered by Azure. Pode, no entanto, anunciar um prefixo que é um superconjunto do que tem dentro da sua rede virtual.You can, however, advertise a prefix that is a superset of what you have inside your virtual network.

Por exemplo, se a sua rede virtual usou o espaço de endereço 10.0.0.0/16, pode anunciar 10.0.0.0/8.For example, if your virtual network used the address space 10.0.0.0/16, you can advertise 10.0.0.0/8. Mas não pode anunciar 10.0.0.0/16 ou 10.0.0.0.0/24.But you can't advertise 10.0.0.0/16 or 10.0.0.0/24.

Posso utilizar o BGP com as minhas ligações entre redes virtuais?Can I use BGP with my connections between virtual networks?

Sim, pode utilizar o BGP para ligações cruzadas e ligações entre redes virtuais.Yes, you can use BGP for both cross-premises connections and connections between virtual networks.

Posso combinar ligações BGP com ligações não BGP para os meus gateways de VPN do Azure?Can I mix BGP with non-BGP connections for my Azure VPN gateways?

Sim, pode misturar ligações BGP e não BGP para o mesmo gateway de VPN do Azure.Yes, you can mix both BGP and non-BGP connections for the same Azure VPN gateway.

A Azure VPN Gateway suporta o encaminhamento de trânsito BGP?Does Azure VPN Gateway support BGP transit routing?

Sim, o encaminhamento de trânsito BGP é suportado, com a exceção de que os gateways Azure VPN não anunciam rotas padrão para outros pares BGP.Yes, BGP transit routing is supported, with the exception that Azure VPN gateways don't advertise default routes to other BGP peers. Para permitir o encaminhamento de trânsito através de vários gateways Azure VPN, deve ativar o BGP em todas as ligações intermédias entre redes virtuais.To enable transit routing across multiple Azure VPN gateways, you must enable BGP on all intermediate connections between virtual networks. Para mais informações, consulte Sobre o BGP.For more information, see About BGP.

Posso ter mais do que um túnel entre uma porta VPN Azure e a minha rede no local?Can I have more than one tunnel between an Azure VPN gateway and my on-premises network?

Sim, pode estabelecer mais de um túnel VPN local-a-local (S2S) entre uma porta VPN Azure e a sua rede no local.Yes, you can establish more than one site-to-site (S2S) VPN tunnel between an Azure VPN gateway and your on-premises network. Note que todos estes túneis são contados contra o número total de túneis para os seus gateways Azure VPN, e você deve ativar BGP em ambos os túneis.Note that all these tunnels are counted against the total number of tunnels for your Azure VPN gateways, and you must enable BGP on both tunnels.

Por exemplo, se tiver dois túneis redundantes entre o seu gateway Azure VPN e uma das suas redes no local, eles consomem 2 túneis fora da quota total para o seu gateway Azure VPN.For example, if you have two redundant tunnels between your Azure VPN gateway and one of your on-premises networks, they consume 2 tunnels out of the total quota for your Azure VPN gateway.

Posso ter vários túneis entre duas redes virtuais Azure com BGP?Can I have multiple tunnels between two Azure virtual networks with BGP?

Sim, mas pelo menos um dos gateways de rede virtual tem de estar na configuração de ativo-ativo.Yes, but at least one of the virtual network gateways must be in active-active configuration.

Posso utilizar o BGP para VPN S2S numa configuração de coexistência Azure ExpressRoute e S2S VPN?Can I use BGP for S2S VPN in an Azure ExpressRoute and S2S VPN coexistence configuration?

Sim.Yes.

O que devo adicionar ao meu dispositivo VPN no local para a sessão de peering de BGP?What should I add to my on-premises VPN device for the BGP peering session?

Adicione uma rota de anfitrião do endereço IP peer Azure BGP no seu dispositivo VPN.Add a host route of the Azure BGP peer IP address on your VPN device. Esta rota aponta para o túnel VPN IPsec S2S.This route points to the IPsec S2S VPN tunnel. Por exemplo, se o Azure VPN peer IP for 10.12.255.30, adicione uma rota de anfitrião para 10.12.255.30 com uma interface de próximo lúpulo da interface do túnel IPsec correspondente no seu dispositivo VPN.For example, if the Azure VPN peer IP is 10.12.255.30, you add a host route for 10.12.255.30 with a next-hop interface of the matching IPsec tunnel interface on your VPN device.

A porta de entrada de rede virtual suporta BFD para ligações S2S com BGP?Does the virtual network gateway support BFD for S2S connections with BGP?

N.ºNo. O Bidirectional Forwarding Detection (BFD) é um protocolo que pode usar com o BGP para detetar o tempo de inatividade do vizinho mais rapidamente do que pode, utilizando "keepalives" padrão do BGP.Bidirectional Forwarding Detection (BFD) is a protocol that you can use with BGP to detect neighbor downtime quicker than you can by using standard BGP "keepalives." O BFD utiliza temporizadores de subsegundos concebidos para trabalhar em ambientes LAN, mas não em toda a internet pública ou ligações de Rede de Vastas Áreas.BFD uses subsecond timers designed to work in LAN environments, but not across the public internet or Wide Area Network connections.

Para ligações através da internet pública, ter certos pacotes atrasados ou mesmo largados não é incomum, por isso introduzir estes temporizadores agressivos pode acrescentar instabilidade.For connections over the public internet, having certain packets delayed or even dropped isn't unusual, so introducing these aggressive timers can add instability. Esta instabilidade pode fazer com que as rotas sejam atenuadas pelo BGP.This instability might cause routes to be dampened by BGP. Como alternativa, pode configurar o seu dispositivo no local com temporizadores inferiores ao padrão, intervalo "keepalive" de 60 segundos e o temporizador de 180 segundos.As an alternative, you can configure your on-premises device with timers lower than the default, 60-second "keepalive" interval, and the 180-second hold timer. Isto resulta num tempo de convergência mais rápido.This results in a quicker convergence time.

As portas de VPN da Azure iniciam sessões ou ligações de observação de BGP?Do Azure VPN gateways initiate BGP peering sessions or connections?

O gateway iniciará sessões de observação BGP para os endereços IP peer peer no local especificados nos recursos de gateway de rede local usando os endereços IP privados nos gateways VPN.The gateway will initiate BGP peering sessions to the on-premises BGP peer IP addresses specified in the local network gateway resources using the private IP addresses on the VPN gateways. Isto não é independente se os endereços IP BGP no local se encontrem na gama APIPA ou endereços IP privados regulares.This is irrespective of whether the on-premises BGP IP addresses are in the APIPA range or regular private IP addresses. Se os seus dispositivos VPN no local utilizarem endereços APIPA como IP BGP, é necessário configurar o seu altifalante BGP para iniciar as ligações.If your on-premises VPN devices use APIPA addresses as BGP IP, you need to configure your BGP speaker to initiate the connections.

Passos seguintesNext steps

Veja Introdução ao BGP nos gateways de VPN do Azure para obter os passos para configurar o BGP para as ligações em vários locais e VNet a VNet.See Getting started with BGP on Azure VPN gateways for steps to configure BGP for your cross-premises and VNet-to-VNet connections.