Настройка параллельных подключений "сеть — сеть" и ExpressRoute с помощью портала Azure

• Портал Azure
• PowerShell — Resource Manager
• PowerShell — классическая модель

Сведения в этой статье помогут настроить параллельные соединения ExpressRoute и соединения VPN типа "сеть — сеть". Возможность настройки VPN типа "сеть-сеть" и ExpressRoute дает целый ряд преимуществ. Вы можете настроить VPN-подключение "сеть — сеть" как защищенный путь отработки отказа для ExressRoute или использовать эту сеть VPN для подключения к сайтам, не подключенным через ExpressRoute. В этой статье мы рассмотрим порядок действия в каждом из этих вариантов. Эта статья посвящена модели развертывания Resource Manager.

Настройка параллельных VPN-подключений типа "сеть — сеть" и ExpressRoute дает ряд преимуществ.

• VPN типа "сеть — сеть" можно настроить как безопасный путь отработки отказа для ExpressRoute.
• Кроме того, VPN типа "сеть — сеть" можно использовать для подключения к сайтам, которые не подключены через ExpressRoute.

В этой статье описан порядок действий для каждого из этих вариантов. Вы можете начать настройку c любого шлюза. Как правило, при добавлении нового шлюза или подключения шлюза не возникает простоя.

Примечание.

Если вы хотите создать VPN типа "сеть — сеть" через подключение ExpressRoute, см. раздел Соединение типа "сеть — сеть" через пиринг Майкрософт.

Квоты и ограничения

• Поддерживается только VPN-шлюз на основе маршрутов. Необходимо использовать VPN-шлюз на основе маршрутов. Также вы можете использовать VPN-шлюз на основе маршрутов с VPN-подключением, настроенным для селекторов трафика на основе политик, как описано в статье Подключение к нескольким VPN-устройствам на основе политик.
• Одновременное использование конфигураций VPN-шлюзов и ExpressRoute не поддерживается в SKU "Базовый".
• Как ExpressRoute, так и VPN-шлюзы должны иметь возможность взаимодействовать друг с другом через BGP для правильной работы. Если вы используете UDR в подсети шлюза, убедитесь, что он не включает маршрут для самого диапазона подсети шлюза, так как это будет препятствовать трафику BGP.
• Если вы хотите использовать транзитную маршрутизацию между ExpressRoute и VPN, для ASN VPN-шлюза Azure укажите 65515. VPN-шлюз Azure поддерживает протокол маршрутизации BGP. Для совместной работы ExpressRoute и Azure VPN необходимо, чтобы номер автономной системы (ASN) VPN-шлюза Azure был равен значению по умолчанию 65515. Если ранее был установлен другой ASN, но затем вы изменили параметр на 65515, сбросьте VPN-шлюз, чтобы этот параметр вступил в силу.
• Подсеть шлюза должна быть /27 или более коротким префиксом, например /26, /25 или при добавлении шлюза виртуальной сети ExpressRoute.
• Сосуществование только для трафика IPv4. Поддерживается совместное существование ExpressRoute с VPN-шлюзом, но только для трафика IPv4. Трафик IPv6 не поддерживается для VPN-шлюзов.

Схемы конфигурации

Настройка VPN типа "сеть-сеть" как пути отработки отказа для ExpressRoute

VPN-подключение типа "сеть-сеть" можно настроить как службу архивации для ExpressRoute. Это подключение применяется только к виртуальным сетям, связанным с путем частного пиринга Azure. Для служб, доступ к которым осуществляется через пиринг Microsoft Azure, решения для отработки отказа на основе VPN не существует. Канал ExpressRoute всегда является основной ссылкой. Данные передаются по пути VPN "сеть — сеть", только если канал ExpressRoute не справляется с этой задачей. Во избежание ассиметричной маршрутизации конфигурация локальной сети должна предпочитать канал ExpressRoute, а не VPN типа "сеть — сеть". Чтобы настроить предпочтение для канала ExpressRoute, задайте для маршрутов, полученных через ExpressRoute, более высокий локальный приоритет.

Примечание.

Если пиринг Майкрософт для ExpressRoute включен, вы можете получить общедоступный IP-адрес VPN-шлюза Azure в подключении ExpressRoute. Чтобы задать VPN-подключение типа "сеть — сеть" в качестве резервного, настройте локальную сеть таким образом, чтобы VPN-подключение направлялось в Интернет.

Примечание.

Хотя канал ExpressRoute лучше использовать для VPN типа "сеть — сеть", когда оба маршрута одинаковы, Azure будет выбирать маршрут для назначения пакета по совпадению самого длинного префикса.

Настройка VPN типа "сеть-сеть" для подключения к сайтам, не подключенным через ExpressRoute

Сети можно настроить таким образом, чтобы одни из них подключались непосредственно к Azure по VPN типа "сеть-сеть", а другие — через ExpressRoute.

Выбор действий для использования

Существует два типа процедур. Выбор процедуры настройки зависит от того, существует ли уже виртуальная сеть, к которой необходимо подключиться, или требуется создать ее.

• У меня нет виртуальной сети, и мне нужно ее создать.

  Если у вас еще нет виртуальной сети, выполните эти шаги, чтобы создать ее с помощью модели развертывания Resource Manager, а также создать подключение ExpressRoute и VPN типа "сеть — сеть". Чтобы настроить виртуальную сеть, выполните шаги, описанные в разделе Создание виртуальной сети и параллельных подключений.

• У меня уже есть виртуальная сеть с моделью развертывания Resource Manager.

  Возможно, у вас уже имеется виртуальная сеть, а также подключения к VPN типа "сеть-сеть" или к ExpressRoute. В этом случае, если размер префикса подсети шлюза составляет не меньше /28 (например, /29, /30 и т. д.), существующий шлюз нужно удалить. В разделе Настройка параллельных подключений для существующей виртуальной сети представлены пошаговые инструкции по удалению шлюза и созданию подключений ExpressRoute и VPN типа "сеть — сеть".

  При удалении и повторном создании шлюза время простоя для локальных подключений. Однако виртуальные машины и службы могут взаимодействовать через подсистему балансировки нагрузки при настройке шлюза, если они настроены для этого.

Создание новой виртуальной сети и параллельных подключений

В этой процедуре описывается создание виртуальных сетей и подключений типа "сеть — сеть" и ExpressRoute, которые сосуществуют.

1. Войдите на портал Azure.

2. В левой верхней части экрана выберите +Создать ресурс и найдите элемент Виртуальная сеть.

3. Выберите Создать, чтобы начать настройку виртуальной сети.

   

4. На вкладке Основные выберите или создайте группу ресурсов для хранения виртуальной сети. Затем введите имя и выберите регион для развертывания виртуальной сети. Нажмите Далее: IP-адреса >, чтобы настроить адресное пространство и подсети.

   

5. На вкладке IP-адреса настройте диапазон адресов виртуальной сети. Затем определите подсети, которые необходимо создать, включая подсеть шлюза. Выберите Проверить и создать, а затем Создать*, чтобы развернуть виртуальную сеть. См. дополнительные сведения в статье о создании виртуальной сети. См. дополнительные сведения в статье о создании подсети.

   Внимание

   Подсеть шлюза должна иметь префикс /27 или более короткий префикс (например, /26 или /25).

   

6. Создайте VPN-шлюз типа "сеть — сеть" и шлюз локальной сети. Дополнительные сведения о настройке VPN-шлюза см. в статье Создание виртуальной сети с подключением типа "сеть — сеть" с помощью PowerShell. GatewaySku поддерживается только в VPN-шлюзах VpnGw1, VpnGw2, VpnGw3, Standard и HighPerformance. Одновременное использование конфигураций VPN-шлюзов и ExpressRoute не поддерживается в SKU "Базовый". Параметр VpnType должен иметь значение RouteBased.

7. Настройте локальное VPN-устройство для подключения к новому VPN-шлюзу Azure. Дополнительные сведения о настройке VPN-устройства см. в статье О VPN-устройствах для подключений VPN-шлюзов типа "сеть — сеть".

8. Если вы подключаетесь к существующему каналу ExpressRoute, пропустите шаги 8 и 9 и перейдите к шагу 10. Настройте каналы ExpressRoute. Дополнительные сведения о настройке каналов ExpressRoute см. в статье о создании канала ExpressRoute.

9. Настройте частный пиринг Azure через канал ExpressRoute. Дополнительные сведения о настройке частного пиринга Azure через канал ExpressRoute см. в этой статье

10. Выберите +Создать ресурс и выполните поиск по фразе шлюз виртуальной сети. Затем выберите Создать.

11. Выберите тип шлюза ExpressRoute, соответствующий SKU и виртуальную сеть для развертывания шлюза.

    

12. Свяжите шлюз ExpressRoute с каналом ExpressRoute. После выполнения этого действия подключение локальной сети к Azure через ExpressRoute будет установлено. Дополнительные сведения об операции связывания см. в статье Связывание виртуальной сети с каналом ExpressRoute.

Настройка параллельных подключений для существующей виртуальной сети

Если у вас есть виртуальная сеть, которая имеет только один шлюз виртуальной сети, например VPN-шлюз типа "сеть — сеть" и требуется добавить другой шлюз другого типа, например шлюз ExpressRoute, проверка размер подсети шлюза. Если подсеть шлюза имеет значение /27 или больше, можно пропустить следующие действия и выполнить действия, описанные в предыдущем разделе, чтобы добавить VPN-шлюз типа "сеть — сеть" или шлюз ExpressRoute. Если размер подсети шлюза — /28 или /29, необходимо сначала удалить шлюз виртуальной сети и увеличить размер подсети шлюза. В этом разделе показано, как это сделать.

1. Удалите существующий VPN-шлюз типа "сеть — сеть" или шлюз ExpressRoute.

2. Удалите и повторно создайте GatewaySubnet, чтобы длина префикса не превышала /27.

3. Настройте виртуальную сеть с подключением типа "сеть — сеть", а затем настройте шлюз ExpressRoute.

4. После развертывания шлюза ExpressRoute можно связать виртуальную сеть с каналом ExpressRoute.

Добавление конфигурации "точка — сеть" к VPN-шлюзу

Вы можете добавить конфигурацию "точка — сеть" в сосуществующую настройку, выполнив инструкцию по настройке VPN-подключения "точка — сеть" с помощью проверки подлинности сертификата Azure.

Включение транзитной маршрутизации между ExpressRoute и VPN Azure

Если вы хотите включить подключение между одной из локальных сетей, подключенных к ExpressRoute и другой локальной сети, подключенной к VPN-подключению типа "сеть — сеть", необходимо настроить сервер маршрутизации Azure.

Дальнейшие действия

Дополнительные сведения об ExpressRoute см. в статье Вопросы и ответы по ExpressRoute.