Så här konfigurerar du BGP för Azure VPN Gateway

  • Artikel

Den här artikeln hjälper dig att aktivera BGP på vpn-anslutningar mellan platser (S2S) och VNet-till-VNet-anslutningar med hjälp av Azure Portal. Du kan också skapa den här konfigurationen med hjälp av Azure CLI - eller PowerShell-stegen .

BGP är ett standardroutningsprotokoll som vanligen används på Internet för att utbyta information om routning och åtkomst mellan två eller flera nätverk. BGP gör det möjligt för VPN-gatewayerna och dina lokala VPN-enheter, som kallas BGP-peer-datorer eller grannar, att utbyta "vägar" som informerar båda gatewayerna om tillgängligheten och nåbarheten för dessa prefix att gå igenom de gatewayer eller routrar som är inblandade. BGP kan också möjliggöra överföringsroutning mellan flera nätverk genom att sprida vägar som BGP-gatewayen får information om från en BGP-peer till alla andra BGP-peers.

Mer information om fördelarna med BGP och för att förstå de tekniska kraven och övervägandena med att använda BGP finns i Om BGP och Azure VPN Gateway.

Komma igång

Varje del av den här artikeln hjälper dig att skapa en grundläggande byggsten för att aktivera BGP i nätverksanslutningen. Om du slutför alla tre delarna (konfigureraR BGP på gatewayen, S2S-anslutningen och VNet-till-VNet-anslutningen) skapar du topologin enligt diagram 1. Du kan kombinera delar för att skapa ett mer komplext transitnätverk med flera hopp som uppfyller dina behov.

Diagram 1

Diagram som visar nätverksarkitektur och inställningar.

Om BGP skulle inaktiveras mellan TestVNet2 och TestVNet1 skulle TestVNet2 inte lära sig vägarna för det lokala nätverket, Site5, och kunde därför inte kommunicera med plats 5. När du aktiverar BGP kan alla tre nätverken kommunicera över S2S IPsec- och VNet-till-VNet-anslutningarna.

Förutsättningar

Kontrollera att du har en Azure-prenumeration. Om du inte har någon Azure-prenumeration kan du aktivera dina MSDN-prenumerantförmåner eller registrera dig för ett kostnadsfritt konto.

Aktivera BGP för VPN-gatewayen

Det här avsnittet krävs innan du utför något av stegen i de andra två konfigurationsavsnitten. Följande konfigurationssteg konfigurerar BGP-parametrarna för VPN-gatewayen enligt diagram 2.

Diagram 2

Diagram som visar inställningar för den virtuella nätverksgatewayen.

1. Skapa TestVNet1

I det här steget skapar och konfigurerar du TestVNet1. Använd stegen i självstudien Skapa en gateway för att skapa och konfigurera ditt virtuella Azure-nätverk och VPN-gateway.

Exempelvärden för virtuellt nätverk:

  • Resursgrupp: TestRG1
  • VNet: TestVNet1
  • Plats/region: EastUS
  • Adressutrymme: 10.11.0.0/16, 10.12.0.0/16
  • Undernät:
    • FrontEnd: 10.11.0.0/24
    • BackEnd: 10.12.0.0/24
    • GatewaySubnet: 10.12.255.0/27

2. Skapa TestVNet1-gateway med BGP

I det här steget skapar du en VPN-gateway med motsvarande BGP-parametrar.

  1. Använd stegen i Skapa och hantera en VPN-gateway för att skapa en gateway med följande parametrar:

    • Instansinformation:

      • Namn: VNet1GW
      • Region: EastUS
      • Gateway-typ: VPN
      • VPN-typ: Routningsbaserad
      • SKU: VpnGW1 eller senare
      • Generation: välj en generation
      • Virtuellt nätverk: TestVNet1

    • Offentlig IP-adress

      • Offentlig IP-adresstyp: Basic eller Standard
      • Offentlig IP-adress: Skapa ny
      • Namn på offentlig IP-adress: VNet1GWIP
      • Aktivera aktiv-aktiv: Inaktiverad
      • Konfigurera BGP: Aktiverat

  2. I det markerade avsnittet Konfigurera BGP på sidan konfigurerar du följande inställningar:

    • Välj Konfigurera BGP - Aktiverat för att visa avsnittet BGP-konfiguration.

    • Fyll i ditt ASN (autonomt systemnummer).

    • Fältet Azure APIPA BGP IP-adress är valfritt. Om dina lokala VPN-enheter använder APIPA-adress för BGP måste du välja en adress från det Azure-reserverade APIPA-adressintervallet för VPN, som är från 169.254.21.0 till 169.254.22.255.

    • Om du skapar en aktiv-aktiv VPN-gateway visar BGP-avsnittet ytterligare en second custom Azure APIPA BGP IP-adress. Varje adress som du väljer måste vara unik och vara i det tillåtna APIPA-intervallet (169.254.21.0 till 169.254.22.255). Aktiva-aktiva gatewayer stöder också flera adresser för både Azure APIPA BGP IP-adress och Second Custom Azure APIPA BGP IP-adress. Ytterligare indata visas bara när du har angett din första APIPA BGP IP-adress.

      Viktigt

      • Som standard tilldelar Azure automatiskt en privat IP-adress från prefixintervallet GatewaySubnet som Azure BGP IP-adress på VPN-gatewayen. Den anpassade Azure APIPA BGP-adressen behövs när dina lokala VPN-enheter använder en APIPA-adress (169.254.0.1 till 169.254.255.254) som BGP IP. VPN Gateway väljer den anpassade APIPA-adressen om motsvarande lokala nätverksgatewayresurs (lokalt nätverk) har en APIPA-adress som BGP-peer-IP. Om den lokala nätverksgatewayen använder en vanlig IP-adress (inte APIPA) återgår VPN Gateway till den privata IP-adressen från GatewaySubnet-intervallet.

      • APIPA BGP-adresserna får inte överlappa mellan de lokala VPN-enheterna och alla anslutna VPN-gatewayer.

      • När APIPA-adresser används på VPN-gatewayer initierar gatewayerna inte BGP-peeringsessioner med APIPA-käll-IP-adresser. Den lokala VPN-enheten måste initiera BGP-peeringanslutningar.

  3. Välj Granska + skapa för att köra verifieringen. När valideringen har godkänts väljer du Skapa för att distribuera VPN-gatewayen. Att skapa en gateway kan ofta ta 45 minuter eller mer, beroende på vald gateway-SKU. Du kan se distributionsstatusen på sidan Översikt för din gateway.

3. Hämta Ip-adresser för Azure BGP-peer

När gatewayen har skapats kan du hämta BGP-peer-IP-adresserna på VPN-gatewayen. Dessa adresser behövs för att konfigurera dina lokala VPN-enheter för att upprätta BGP-sessioner med VPN-gatewayen.

På sidan Konfiguration av virtuell nätverksgateway kan du visa BGP-konfigurationsinformationen på din VPN-gateway: ASN, offentlig IP-adress och motsvarande BGP-peer-IP-adresser på Azure-sidan (standard och APIPA). Du kan också göra följande konfigurationsändringar:

  • Du kan uppdatera ASN- eller APIPA BGP-IP-adressen om det behövs.
  • Om du har en aktiv-aktiv VPN-gateway visar den här sidan den offentliga IP-adressen, standardadressen och APIPA BGP-IP-adresserna för den andra VPN-gatewayinstansen.

Så här hämtar du IP-adressen för Azure BGP-peer:

  1. Gå till resursen för den virtuella nätverksgatewayen och välj sidan Konfiguration för att se BGP-konfigurationsinformationen.
  2. Anteckna BGP-peer-IP-adressen.

Så här konfigurerar du BGP på S2S-anslutningar mellan platser

Anvisningarna i det här avsnittet gäller för plats-till-plats-konfigurationer mellan platser.

För att upprätta en anslutning mellan platser måste du skapa en lokal nätverksgateway som representerar din lokala VPN-enhet och en anslutning för att ansluta VPN-gatewayen till den lokala nätverksgatewayen enligt beskrivningen i Skapa plats-till-plats-anslutning. Följande avsnitt innehåller de ytterligare egenskaper som krävs för att ange BGP-konfigurationsparametrarna, enligt diagram 3.

Diagram 3

Diagram som visar IPsec-konfiguration.

Kontrollera att du har aktiverat BGP för VPN-gatewayen innan du fortsätter.

1. Skapa en lokal nätverksgateway

Konfigurera en lokal nätverksgateway med BGP-inställningar.

  • Information och steg finns i avsnittet lokal nätverksgateway i artikeln plats-till-plats-anslutning.
  • Om du redan har en lokal nätverksgateway kan du ändra den. Om du vill ändra en lokal nätverksgateway går du till den lokala nätverksgatewayresursens konfigurationssida och gör nödvändiga ändringar.

  1. När du skapar den lokala nätverksgatewayen använder du följande värden för den här övningen:

    • Namn: Site5
    • IP-adress: IP-adressen för den gatewayslutpunkt som du vill ansluta till. Exempel: 128.9.9.9
    • Adressutrymmen: Om BGP är aktiverat krävs inget adressutrymme.

  2. Om du vill konfigurera BGP-inställningar går du till sidan Avancerat . Använd följande exempelvärden (visas i diagram 3). Ändra de värden som krävs för att matcha din miljö.

    • Konfigurera BGP-inställningar: Ja
    • Autonomt systemnummer (ASN): 65050
    • IP-adress för BGP-peer: Adressen till den lokala VPN-enheten. Exempel: 10.51.255.254

  3. Klicka på Granska + skapa för att skapa den lokala nätverksgatewayen.

Viktiga konfigurationsöverväganden

  • ASN och BGP-peer-IP-adressen måste matcha din lokala VPN-routerkonfiguration.
  • Du kan bara lämna adressutrymmet tomt om du använder BGP för att ansluta till det här nätverket. Azure VPN-gatewayen lägger internt till en väg för din BGP-peer-IP-adress till motsvarande IPsec-tunnel. Om du INTE använder BGP mellan VPN-gatewayen och det här nätverket måste du ange en lista med giltiga adressprefix för adressutrymmet.
  • Du kan också använda en APIPA IP-adress (169.254.x.x) som din lokala BGP-peer-IP om det behövs. Men du måste också ange en APIPA IP-adress enligt beskrivningen tidigare i den här artikeln för din VPN-gateway, annars kan BGP-sessionen inte upprättas för den här anslutningen.
  • Du kan ange BGP-konfigurationsinformationen när du skapar den lokala nätverksgatewayen, eller så kan du lägga till eller ändra BGP-konfigurationen från konfigurationssidan för den lokala nätverksgatewayresursen.

2. Konfigurera en S2S-anslutning med BGP aktiverat

I det här steget skapar du en ny anslutning som har BGP aktiverat. Om du redan har en anslutning och vill aktivera BGP på den kan du uppdatera den.

Skapa en anslutning

  1. Om du vill skapa en ny anslutning går du till sidan Anslutningar för den virtuella nätverksgatewayen.
  2. Välj +Lägg till för att öppna sidan Lägg till en anslutning.
  3. Fyll i nödvändiga värden.
  4. Välj Aktivera BGP för att aktivera BGP för den här anslutningen.
  5. Spara ändringarna genom att välja OK .

Uppdatera en befintlig anslutning

  1. Gå till sidan Anslutningar för den virtuella nätverksgatewayen.
  2. Välj den anslutning som du vill ändra.
  3. Gå till sidan Konfiguration för anslutningen.
  4. Ändra BGP-inställningen till Aktiverad.
  5. Spara ändringarna.

Lokal enhetskonfiguration

I följande exempel visas de parametrar som du anger i avsnittet BGP-konfiguration på din lokala VPN-enhet för den här övningen:

- Site5 ASN            : 65050
- Site5 BGP IP         : 10.51.255.254
- Prefixes to announce : (for example) 10.51.0.0/16
- Azure VNet ASN       : 65010
- Azure VNet BGP IP    : 10.12.255.30
- Static route         : Add a route for 10.12.255.30/32, with nexthop being the VPN tunnel interface on your device
- eBGP Multihop        : Ensure the "multihop" option for eBGP is enabled on your device if needed

Så här aktiverar du BGP för VNet-till-VNet-anslutningar

Stegen i det här avsnittet gäller för VNet-till-VNet-anslutningar.

Om du vill aktivera eller inaktivera BGP för en VNet-till-VNet-anslutning använder du samma steg som stegen mellan olika platser i föregående avsnitt. Du kan aktivera BGP när du skapar anslutningen eller uppdatera konfigurationen på en befintlig VNet-till-VNet-anslutning.

Anteckning

En VNet-till-VNet-anslutning utan BGP begränsar endast kommunikationen till de två anslutna virtuella nätverken. Aktivera BGP för att tillåta överföringsroutning till andra S2S- eller VNet-till-VNet-anslutningar för dessa två virtuella nätverk.

Nästa steg

Mer information om BGP finns i Om BGP och VPN Gateway.