Azure VPN Gateway ile BGP hakkında
Bu makalede, Azure VPN Gateway 'da BGP (Sınır Ağ Geçidi Protokolü) desteğine genel bir bakış sunulmaktadır.
BGP iki veya daha fazla ağ arasında yönlendirme ve ulaşılabilirlik bilgilerini takas etmek üzere İnternet’te yaygın olarak kullanılan standart yönlendirme protokolüdür. BGP, Azure Virtual Networks bağlamında kullanıldığında her iki ağ geçidini ön eklerin ilgili ağ geçitlerinden veya yönlendiricilerden geçmeye yönelik kullanılabilirliği ve ulaşılabilirliği konusunda bilgilendiren “yolları” değiştirmek amacıyla, Azure VPN Gateways’i ve BGP eşlikleri veya komşuları olarak adlandırılan şirket içi VPN cihazlarınızı etkinleştirir. BGP ayrıca bir BGP ağ geçidinin öğrendiği yolları bir BGP eşliğinden diğer tüm BGP eşliklerine yayarak birden fazla ağ arasında geçiş yönlendirmesi sağlayabilir.
BGP neden kullanılır?
BGP, Azure Yol Tabanlı VPN ağ geçitleri ile birlikte kullanabileceğiniz isteğe bağlı bir özelliktir. Özelliği etkinleştirmeden önce şirket içi VPN cihazlarınızın da BGP’yi desteklediğinden emin olmanız gerekir. Azure VPN ağ geçitlerini ve şirket içi VPN cihazlarınızı BGP olmadan kullanmaya devam edebilirsiniz. BGP ile ağlarınız ve Azure arasında statik yollar kullanmaya (BGP olmadan) karşılık BGP ile dinamik yönlendirme kullanmanın eşdeğeridir.
BGP’nin çeşitli avantajları ve yeni özellikleri vardır:
Otomatik ve esnek ön ek güncelleştirmelerini destekler
BGP ile yalnızca belirli bir BGP eşliğine IPSec S2S VPN tüneli üzerinden en küçük ön eki bildirmeniz gerekir. Şirket içi VPN cihazınızın BGP eşliği IP adresinin ana bilgisayar ön eki (/32) kadar küçük olabilir. Azure Virtual Network’un erişmesine izin vermek üzere hangi şirket içi ağ ön eklerinin Azure’a tanıtılacağını denetleyebilirsiniz.
Ayrıca, büyük bir özel IP adres alanı (örneğin, 10.0.0.0/8) gibi VNet adres öneklerinizden bazılarını içerebilen daha büyük ön ekler tanıtabilirsiniz. Ön ekler, VNet öneklerinizden herhangi biriyle aynı olamaz. VNet ön eklerinizle aynı olan yollar reddedilir.
Bir VNet ile şirket içi site arasında BGP’yi temel alan otomatik yük devretme ile birden fazla tüneli destekler
Azure VNet ile şirket içi VPN cihazlarınız arasında aynı konumda birden fazla bağlantı kurabilirsiniz. Bu özellik aktif-aktif bir yapılandırmadaki iki ağ arasında birden fazla tünel (yol) sağlar. Tünellerden birinin bağlantısı kesilirse, ilgili yollar BGP üzerinden geri alınacaktır ve trafik otomatik olarak kalan tünellere kayar.
Aşağıdaki diyagramda yüksek oranda kullanılabilen bu kurulumun basit bir örneği gösterilmiştir:
Şirket içi ağlarınız ile birden fazla Azure VNet arasında geçiş yönlendirme desteği
BGP, doğrudan veya dolaylı olarak bağlı olmasına bakılmaksızın birden fazla ağ geçidinin farklı ağlardaki ön ekleri öğrenmesini ve yaymasını sağlar. Bu özellik şirket içi siteleriniz arasında veya birden fazla Azure Sanal Ağında Azure VPN ağ geçitleri ile geçiş yönlendirmesi sağlayabilir.
Aşağıdaki diyagramda Microsoft Networks içindeki Azure VPN ağ geçitleri üzerinden iki şirket içi ağ arasındaki trafiği geçebilen birden fazla yola sahip çoklu atlamalı bir topolojinin örneği gösterilmektedir:
BGP SSS
BGP tüm Azure VPN Gateway SKU'larında destekleniyor mu?
BGP, temel SKU hariç tüm Azure VPN Gateway SKU 'Larında desteklenir.
BGP 'yi Azure Policy VPN Gateway 'ler ile kullanabilir miyim?
Hayır, BGP yalnızca rota tabanlı VPN ağ geçitlerinde desteklenir.
Hangi ASNs (özerk sistem numaraları) kullanabilirim?
Hem şirket içi ağlarınız hem de Azure sanal ağlarınız için kendi genel Ilişkinizi veya özel ans 'leri kullanabilirsiniz. Azure veya ıANA tarafından ayrılan aralıkları kullanamazsınız.
Aşağıdaki ASNs 'ler Azure veya ıANA tarafından ayrılmıştır:
Azure tarafından ayrılan ASNs:
- Ortak ASN’ler: 8074, 8075, 12076
- Özel ASN’ler: 65515, 65517, 65518, 65519, 65520
-
- 23456, 64496-64511, 65535-65551 and 429496729
Azure VPN ağ geçitlerine bağlanırken şirket içi VPN cihazlarınız için bu ASNs belirtemezsiniz.
32 bit (4 baytlık) ASNs kullanabilir miyim?
Evet, VPN Gateway artık 32-bit (4 baytlık) ASNs 'yi destekliyor. ASN 'yi ondalık biçimde kullanarak yapılandırmak için PowerShell, Azure CLı veya Azure SDK 'yı kullanın.
Hangi özel ASNs 'yi kullanabilirim?
Kullanılabilen özel ASNs aralıkları şunlardır:
- 64512-65514 ve 65521-65534
Bu ASNs 'ler ıANA veya Azure tarafından kullanılmak üzere ayrılmamıştır ve bu nedenle Azure VPN Gateway 'e atamak için kullanılabilir.
BGP eşi IP 'si için hangi adresi VPN Gateway kullanır?
Varsayılan olarak, VPN Gateway Active-standby VPN Gateway 'ler için Gatewaysubnet aralığından tek bir IP adresi ayırır veya etkin-etkin VPN ağ geçitleri IÇIN iki IP adresi ayırır. VPN ağ geçidini oluşturduğunuzda bu adresler otomatik olarak ayrılır. PowerShell kullanarak veya Azure portal bularak, ayrılmış gerçek BGP IP adresini alabilirsiniz. PowerShell 'de Get-AzVirtualNetworkGateway' i kullanın ve Bgppeeringaddress özelliğini arayın. Azure portal, ağ geçidi yapılandırması SAYFASıNDA BGP ASN özelliğini yapılandırma ' ya bakın.
Şirket içi VPN yönlendiricileriniz, BGP IP adresleri olarak APIPA IP adreslerini (169.254. x. x) kullanıyorsa, Azure VPN ağ geçidiniz üzerinde ek BIR Azure APIPA BGP IP adresi belirtmeniz gerekir. Azure VPN Gateway, yerel ağ geçidinde belirtilen şirket içi APIPA BGP eşi veya APIPA olmayan, şirket içi BGP eşi için özel IP adresi ile kullanılacak APIPA adresini seçer. Daha fazla bilgi için bkz. BGP 'Yi yapılandırma.
VPN cihazımın BGP eşi IP adresleri için gereksinimler nelerdir?
Şirket içi BGP eş adresiniz, VPN cihazınızın genel IP adresiyle veya VPN ağ geçidinin sanal ağ adresi alanından aynı olmamalıdır. BGP eşi IP 'niz için VPN cihazında farklı bir IP adresi kullanın. Bu, cihazdaki geri döngü arabirimine atanmış bir adres olabilir (normal bir IP adresi veya bir APIPA adresi). Cihazınız BGP için bir APIPA adresi kullanıyorsa, BGP 'Yi yapılandırmabölümünde açıklandığı gibi, Azure VPN ağ GEÇIDINIZDE BIR APIPA BGP IP adresi belirtmeniz gerekir. Bu adresi, konumu temsil eden karşılık gelen yerel ağ geçidinde belirtin.
BGP 'yi kullandığım sırada yerel ağ geçidi için adres ön ekleri olarak ne belirtmem gerekir?
Önemli
Bu, daha önce belgelenen gereksinimin bir değişikidir. Bir bağlantı için BGP kullanıyorsanız, karşılık gelen yerel ağ geçidi kaynağı için Adres alanı alanını boş bırakın. Azure VPN Gateway, IPSec tüneli üzerinden şirket içi BGP eşi IP 'ye dahili olarak bir ana bilgisayar yolu ekler. Adres alanı alanına/32 yolunu eklemeyin. Bu, yedekli ve şirket içi VPN cihazı BGP IP 'si olarak bir APIPA adresi kullanırsanız, bu alana eklenemez. Adres alanı alanına başka ön ekler eklersenız, BGP aracılığıyla öğrenilen yolların yanı sıra Azure VPN Gateway 'e statik yollar olarak eklenirler.
Aynı ASN 'yi hem şirket içi VPN ağları hem de Azure sanal ağları için kullanabilir miyim?
Hayır, şirket içi ağlarınız ve Azure sanal ağlarınız arasında, bunları BGP ile birlikte bağlıyorsanız, farklı ASNs atamanız gerekir. Azure VPN ağ geçitlerinde, şirket içi bağlantınız için BGP 'nin etkin olup olmadığı için varsayılan ASN 65515 ' dir. VPN ağ geçidini oluştururken farklı bir ASN atayarak bu varsayılanı geçersiz kılabilirsiniz veya ağ geçidi oluşturulduktan sonra ASN 'yi değiştirebilirsiniz. Şirket içi güvenlerinizi ilgili Azure yerel ağ geçitlerine atamanız gerekir.
Azure VPN Gateway’ler bana hangi adres öneklerini tanıtacak?
Ağ geçitleri, şirket içi BGP cihazlarınıza aşağıdaki yolları duyurur:
- Sanal ağ adresi ön ekleri.
- Azure VPN Gateway 'e bağlı her yerel ağ geçidi için adres ön ekleri.
- Azure VPN Gateway 'e bağlı diğer BGP eşleme oturumlarından öğrenilen yollar, herhangi bir sanal ağ öneki ile çakışan varsayılan yol veya rotalar dışında.
Azure VPN Gateway 'de kaç önek tanıtırım?
Azure VPN Gateway en fazla 4000 ön eki destekler. Ön ek sayısı bu sınırı aşarsa BGP oturumu düşürülür.
Varsayılan yolu (0.0.0.0/0) Azure VPN ağ geçitlerine tanıtabilir miyim?
Evet. Bunun, tüm sanal ağ çıkış trafiğini şirket içi sitenize doğru zoryacağını unutmayın. Ayrıca, sanal ağ VM 'lerinin internet 'ten VM 'lere, RDP veya SSH gibi genel iletişimi kabul etmesini engeller.
Sanal ağ öneklerim olarak tam önekleri tanıtımda yapabilir miyim?
Hayır, sanal ağ adresi öneklerinizden herhangi biri ile aynı önekleri duyurmak, Azure tarafından engellenecek veya filtrelenecektir. Bununla birlikte, sanal ağınızın içinde sahip olduğunuz bir üst küme olan bir ön ek tanıtabilirsiniz.
Örneğin, sanal ağınız 10.0.0.0/16 adres alanını kullandıysanız 10.0.0.0/8 ' i tanıtabilirsiniz. Ancak 10.0.0.0/16 veya 10.0.0.0/24 ' i duyuramıyoruz.
Sanal ağlar arasındaki bağlantılarıma sahip BGP kullanabilir miyim?
Evet, BGP 'yi şirket içi bağlantılar ve sanal ağlar arasındaki bağlantılar için kullanabilirsiniz.
Azure VPN Gateway’lerim için BGP’yi BGP olmayan bağlantılarla karıştırabilir miyim?
Evet, aynı Azure VPN Gateway için BGP ve BGP olmayan bağlantıları karıştırabilirsiniz.
Azure VPN Gateway BGP geçiş yönlendirmesini destekliyor mu?
Evet, Azure VPN ağ geçitlerinin diğer BGP eşlerine varsayılan yollar bildirmeyen özel durum ile BGP aktarma yönlendirmesi desteklenir. Birden çok Azure VPN ağ geçidi arasında geçiş yönlendirmeyi etkinleştirmek için sanal ağlar arasındaki tüm ara bağlantılarda BGP 'yi etkinleştirmeniz gerekir. Daha fazla bilgi için bkz. BGP hakkında.
Azure VPN ağ geçidi ve şirket içi ağlarım arasında birden fazla tünele sahip olabilir miyim?
Evet, bir Azure VPN ağ geçidi ve şirket içi ağınız arasında birden çok siteden siteye (S2S) VPN tüneli oluşturabilirsiniz. Bu tünellerin tümü, Azure VPN ağ geçitleriniz için Toplam Tünel sayısına göre sayılır ve her iki tünelde BGP 'yi etkinleştirmeniz gerekir.
Örneğin, Azure VPN ağ geçidiniz ile şirket içi ağlarınızdan biri arasında iki yedekli Tüneliniz varsa, Azure VPN ağ geçidinizin toplam kotasının 2 tünellerini tüketir.
BGP ile iki Azure sanal ağı arasında birden fazla tünele sahip olabilir miyim?
Evet, ancak sanal ağ geçitlerinden en az birinin etkin-etkin yapılandırmada olması gerekir.
Azure ExpressRoute ve S2S VPN birlikte bulunma yapılandırmasında S2S VPN için BGP kullanabilir miyim?
Evet.
BGP eşdeğer oturumu için şirket içi VPN cihazıma ne eklemeliyim?
VPN cihazınıza Azure BGP eş IP adresinin bir konak yolunu ekleyin. Bu yol, IPSec S2S VPN tünelini işaret eder. Örneğin, Azure VPN eş IP 'si 10.12.255.30 ise, VPN cihazınızda eşleşen IPSec tüneli arabiriminin bir sonraki atlama arabirimine sahip 10.12.255.30 için bir ana bilgisayar yolu eklersiniz.
Sanal ağ geçidi, BGP ile S2S bağlantıları için BFD 'yi destekliyor mu?
Hayır. Çift yönlü Iletme algılaması (BFD) BGP ile birlikte kullanabileceğiniz ve standart BGP "keepkeep" kullanarak daha hızlı komşu kesinti süresini tespit eden bir protokoldür. BFD, genel İnternet veya geniş alan ağı bağlantılarında değil, LAN ortamlarında çalışmak için tasarlanan alt saniye zamanlayıcıları kullanır.
Genel internet üzerinden yapılan bağlantılar için, belirli paketlerin gecikilmesi veya hatta bırakılması olağandışı olmadığından, bu ısrarlı zamanlayıcılar için bir tutarsızlık eklenebilir. Bu kararsızlık, yolların BGP tarafından sönmesine neden olabilir. Alternatif olarak, şirket içi cihazınızı varsayılan, 60-ikinci "KeepAlive" aralığından ve 180 saniyelik ayrı tutma zamanlayıcıdan daha düşük zamanlayıcılar ile yapılandırabilirsiniz. Bu, daha hızlı yakınsama süresine neden olur.
Azure VPN ağ geçitleri BGP eşleme oturumları veya bağlantıları başlatır mi?
Ağ Geçidi, VPN ağ geçitlerinde özel IP adresleri kullanılarak yerel ağ geçidi kaynaklarında belirtilen şirket içi BGP eşi IP adreslerine BGP eşleme oturumları başlatacak. Bu, şirket içi BGP IP adreslerinin APIPA aralığında veya normal özel IP adreslerinde olup olmadığına bakılmaksızın olur. Şirket içi VPN cihazlarınız APIPA adreslerini BGP IP 'si olarak kullanıyorsa, bağlantıları başlatmak için BGP konuşmacıyı yapılandırmanız gerekir.
Sonraki adımlar
BGP’yi şirketler arası ve VNet’ten VNet’te bağlantılar için yapılandırma adımları için bkz. Azure VPN ağ geçitlerinde BGP kullanmaya başlama.