Om BGP med Azure VPN Gateway

Den här artikeln innehåller en översikt över stöd för BGP (Border Gateway Protocol) i Azure VPN Gateway.

BGP är ett standardprotokoll för dirigering som ofta används på Internet för att utbyta information om routning och tillämplighet mellan två eller flera nätverk. När BGP används i sammanhang med virtuella Azure-nätverk gör BGP att Azure VPN Gateways och dina lokala VPN-enheter, som kallas BGP-peers eller närliggande, kan utbyta "routes" som informerar båda gateways om tillgängligheten och tillgängligheten för att de prefixen ska kunna gå genom de gatewayer eller routrar som ingår. BGP kan också möjliggöra överföringsdirigering mellan flera nätverk genom att dirigera en BGP-gateway som en BGP-gateway lär sig från en BGP-peer till alla andra BGP-peers.

Varför ska jag använda BGP?

BGP är en valfri funktion som du kan använda med Azure Route-Based VPN-gateways. Du bör också se till att dina lokala VPN-enheter har stöd för BGP innan du aktiverar funktionen. Du kan fortsätta att använda Azure VPN-gateways och dina lokala VPN-enheter utan BGP. Det motsvarar att använda statiska vägar (utan BGP) jämfört med att använda dynamisk dirigering med BGP mellan dina nätverk och Azure.

Det finns flera fördelar och nya funktioner med BGP:

Stöd för automatiska och flexibla prefixuppdateringar

Med BGP behöver du bara deklarera ett minimiprefix till en viss BGP-peer över VPN-tunneln i IPsec S2S. Det kan vara så litet som ett värdprefix (/32) för BGP-peer-IP-adressen för din lokala VPN-enhet. Du kan styra vilka lokala nätverksprefix som du vill annonsera till Azure så att ditt virtuella Azure-nätverk får åtkomst.

Du kan också annonsera större prefix som kan innehålla några av VNet-adressprefixen, till exempel ett stort privat IP-adressutrymme (till exempel 10.0.0.0/8). Observera att prefixen inte kan vara identiska med något av dina VNet-prefix. De vägar som är identiska med dina VNet-prefix avvisas.

Stöd för flera tunnlar mellan ett VNet och en lokal plats med automatisk redundans baserat på BGP

Du kan upprätta flera anslutningar mellan ditt Azure VNet och dina lokala VPN-enheter på samma plats. Den här funktionen förser flera tunnlar (sökvägar) mellan de två nätverken i en aktiv konfiguration. Om någon av tunnelerna kopplas ned återkallas motsvarande vägar via BGP och trafiken förskjuts automatiskt till de återstående tunnlarna.

I följande diagram visas ett enkelt exempel på den här tillgängliga konfigurationen:

Flera aktiva sökvägar

Stöd för överföring av routning mellan dina lokala nätverk och flera Azure VNets

Med BGP kan flera gateways lära sig och sprida prefix från olika nätverk, oavsett om de är direkt eller indirekt anslutna. Detta kan aktivera överföringsdirigering med Azure VPN-gateways mellan dina lokala webbplatser eller över flera virtuella Azure-nätverk.

Följande diagram visar ett exempel på en flerhoppstopologi med flera sökvägar som kan leda trafik mellan de två lokala nätverken via Azure VPN-gateways i Microsoft Networks:

Flerhoppstransit

Vanliga frågor och svar om BGP

Stöds BGP på alla Azure VPN Gateway-SKU:er?

BGP stöds på alla Azure VPN Gateway-SKU:er utom Basic SKU.

Kan jag använda BGP med Azure Policy VPN gateways?

Nej, BGP stöds endast för routebaserade VPN-gatewayer.

Vilka ASN (autonoma systemtal) kan jag använda?

Du kan använda dina egna offentliga ASN eller privata ASN för både lokala nätverk och virtuella Azure-nätverk. Du kan inte använda intervallen som reserverats av Azure eller IANA.

Följande ASN är reserverade av Azure eller IANA:

  • ASN som är reserverade för Azure:

    • Offentliga ASN: 8074, 8075, 12076
    • Privata ASN: 65515, 65517, 65518, 65519, 65520
  • ASN-reserverade av IANA:

    • 23456, 64496-64511, 65535-65551 och 429496729

Du kan inte ange dessa ASN för dina lokala VPN-enheter när du ansluter till Azure VPN gateways.

Kan jag använda 32-bitars (4-byte) ASN?

Ja, VPN Gateway har nu stöd för 32-bitars (4-byte) ASN. Om du vill konfigurera med ASN i decimalformat använder du PowerShell, Azure CLI eller Azure SDK.

Vilka privata ASN kan jag använda?

De användningsbara intervallen för privata ASN är:

  • 64512-65514 och 65521-65534

Dessa ASN är inte reserverade av IANA eller Azure för användning och kan därför användas för att tilldela till din Azure VPN-gateway.

Vilken adress använder VPN Gateway för BGP-peer-IP?

Som standard avsätter VPN Gateway en enda IP-adress från GatewaySubnet-intervallet för VPN-gatewayer i aktivt vänteläge eller två IP-adresser för aktiva VPN-gatewayer. De här adresserna tilldelas automatiskt när du skapar VPN-gatewayen. Du kan få den faktiska BGP IP-adressen tilldelad med hjälp av PowerShell eller genom att hitta den i Azure-portalen. I PowerShell använder du Get-AzVirtualNetworkGatewayoch letar efter egenskapen bgpPeeringAddress. Titta under egenskapen Konfigurera BGP ASN i Azure-portalen på sidan Gatewaykonfiguration.

Om dina lokala VPN-routrar använder APIPA IP-adresser (169.254.x.x) som BGP-IP-adresser måste du ange ytterligare en Azure APIPA BGP IP-adress på din Azure VPN-gateway. Azure VPN Gateway väljer DEN APIPA-adress som ska användas med den lokala APIPA BGP-peer som angetts i den lokala nätverksgatewayen, eller den privata IP-adressen för en icke-APIPA lokal BGP-peer. Mer information finns i Konfigurera BGP.

Vilka är kraven för BGP-peer IP-adresser på min VPN-enhet?

Din lokala BGP-peer-adress får inte vara samma som den offentliga IP-adressen för din VPN-enhet eller från VPN-gatewayens virtuella nätverksadressutrymme. Använd en annan IP-adress på VPN-enheten för din BGP-peer IP. Det kan vara en adress som tilldelats till loopback-gränssnittet på enheten (antingen en vanlig IP-adress eller en APIPA-adress). Om enheten använder en APIPA-adress för BGP måste du ange en APIPA BGP IP-adress på din Azure VPN-gateway enligt beskrivningen i Konfigurera BGP. Ange den här adressen i motsvarande lokal nätverksgateway som representerar platsen.

Vad ska jag ange som adressprefix för den lokala nätverksgatewayen när jag använder BGP?

Viktigt

Det här är en ändring från det tidigare bedokumenterade kravet. Om du använder BGP för en anslutning lämnar du fältet Adressutrymme tomt för motsvarande lokal nätverksgatewayresurs. Azure VPN Gateway lägger till en värdväg internt till den lokala BGP-peer-IP:en över IPsec-tunneln. Lägg inte till routen /32 i fältet Adressutrymme. Den är redundant och om du använder en APIPA-adress som lokal VPN-enhet BGP IP kan den inte läggas till i det här fältet. Om du lägger till andra prefix i fältet Adressutrymme läggs de till som statiska vägar på Azure VPN-gatewayen, utöver de vägar som lärts via BGP.

Kan jag använda samma ASN för både lokala VPN-nätverk och virtuella Azure-nätverk?

Nej, du måste tilldela olika ASN mellan dina lokala nätverk och dina virtuella Azure-nätverk om du ansluter dem till dem med BGP. Azure VPN-gateways har standard-ASN på 65515 tilldelade, oavsett om BGP är aktiverat eller inte för din tvärlokala anslutning. Du kan åsidosätta den här standardinställningen genom att tilldela ett annat ASN när du skapar VPN-gatewayen, eller så kan du ändra ASN när gatewayen har skapats. Du måste tilldela dina lokala ASN till motsvarande lokala Azure-nätverksgateway.

Vilka adressprefix annonserar Azure VPN Gateways till mig?

Gatewayerna annonserar följande vägar till dina lokala BGP-enheter:

  • Dina prefix för din virtuella nätverksadress.
  • Adressprefix för varje lokal nätverksgateway som är ansluten till Azure VPN-gatewayen.
  • Vägar som lärts från andra BGP-peeringsessioner som är anslutna till Azure VPN-gatewayen, förutom standardrutter som överlappar med eventuella virtuella nätverksprefix.

Hur många prefix kan jag annonsera till Azure VPN Gateway?

Azure VPN Gateway har stöd för upp till 4 000 prefix. BGP-sessionen ignoreras om antalet prefix överskrider gränsen.

Kan jag annonsera standardvägen (0.0.0.0/0) till Azure VPN gateways?

Ja. Observera att detta tvingar all utgående trafik i virtuellt nätverk mot din lokala webbplats. Dessutom förhindrar det virtuella nätverkets virtuella maskiner från att acceptera offentlig kommunikation från internet direkt, t.ex. RDP eller SSH från Internet till de virtuella maskinerna.

Kan jag annonsera de exakta prefixen som mina virtuella nätverksprefix?

Nej, reklam av samma prefix som något av dina prefix för virtuella nätverksadresser kommer att blockeras eller filtreras av Azure. Du kan däremot annonsera ett prefix som är så stort som det du har i det virtuella nätverket.

Om det virtuella nätverket till exempel använde adressutrymmet 10.0.0.0/16 kan du annonsera 10.0.0.0/8. Men du kan inte annonsera 10.0.0.0/16 eller 10.0.0.0/24.

Kan jag använda BGP med mina anslutningar mellan virtuella nätverk?

Ja, du kan använda BGP för både lokala anslutningar och anslutningar mellan virtuella nätverk.

Kan jag blanda BGP med icke-BGP-anslutningar för mina Azure VPN-gateways?

Ja, du kan blanda både BGP- och icke-BGP-anslutningar för samma Azure VPN-gateway.

Stöder Azure VPN Gateway BGP-överföringsdirigering?

Ja, BGP-överföringsdirigering stöds, med undantag för att Azure VPN-gatewayer inte annonserar standardvägar till andra BGP-peers. Om du vill aktivera överföringsdirigering över flera Azure VPN-gateways måste du aktivera BGP på alla mellanliggande anslutningar mellan virtuella nätverk. Mer information finns i Om BGP.

Kan jag ha mer än en tunnel mellan en Azure VPN-gateway och mitt lokala nätverk?

Ja, du kan upprätta mer än en S2S-VPN-tunnel (site-to-site) mellan en Azure VPN-gateway och ditt lokala nätverk. Observera att alla dessa tunnlar räknas mot det totala antalet tunnlar för Dina Azure VPN-gateways, och du måste aktivera BGP på båda tunnelerna.

Om du till exempel har två redundanta tunnlar mellan din Azure VPN-gateway och ett av dina lokala nätverk använder de två tunnlar från den totala kvoten för din Azure VPN-gateway.

Kan jag ha flera tunnlar mellan två virtuella Azure-nätverk med BGP?

Ja, men minst en av de virtuella nätverksgatewayen måste vara i aktiv konfiguration.

Kan jag använda BGP för S2S VPN i en konfiguration med Azure ExpressRoute och S2S VPN-samexistens?

Ja.

Vad ska jag lägga till i min lokala VPN-enhet för BGP-peeringsessionen?

Lägg till en värdväg för Azure BGP-peer-IP-adressen på din VPN-enhet. Den här vägen pekar till VPN-tunneln IPsec S2S. Om Till exempel Azure VPN peer IP är 10.12.255.30 lägger du till en värdväg för 10.12.255.30 med ett nästa hopp-gränssnitt i det matchande IPsec-tunnelgränssnittet på VPN-enheten.

Stöder den virtuella nätverksgatewayen BFD för S2S-anslutningar med BGP?

Nej. BFD (Bidirectional Forwarding Detection) är ett protokoll som du kan använda med BGP för att hitta närliggande driftstopp snabbare än du kan genom att använda vanliga BGP-"keepalives". BFD använder undersekunder timers som är utformade för att fungera i LAN-miljöer, men inte över offentliga internet- eller wide area-nätverksanslutningar.

För anslutningar över det offentliga Internet är det inte ovanligt att vissa paket försenas eller till och med ignoreras, så att introduktion av dessa aggressiva timers kan skapa instabilitet. Den här instabiliteten kan leda till att vägar fuktas av BGP. Alternativt kan du konfigurera din lokala enhet med timers som är lägre än standardintervallet, 60-sekundersintervallet "keepalive" och den 180 sekunders hållna timern. Det leder till en snabbare tid för tids övertid.

Initierar Azure VPN gateways BGP-peeringsessioner eller anslutningar?

Gatewayen initierar BGP-peeringsessioner till de lokala BGP-peer IP-adresserna som anges i de lokala nätverksgatewayresurserna med privata IP-adresser på VPN-gatewayerna. Detta oavsett om de lokala BGP-IP-adresserna finns i APIPA-intervallet eller vanliga privata IP-adresser. Om dina lokala VPN-enheter använder APIPA-adresser som BGP IP måste du konfigurera BGP-högtalaren för att initiera anslutningarna.

Nästa steg

Instruktioner för hur du konfigurerar BGP för dina lokala anslutningar och VNet-till-VNet-anslutningar finns i Komma igång med BGP på Azure VPN-gateways.