Azure VPN Gateway ile BGP hakkındaAbout BGP with Azure VPN Gateway

Bu makalede, Azure VPN Gateway 'da BGP (Sınır Ağ Geçidi Protokolü) desteğine genel bir bakış sunulmaktadır.This article provides an overview of BGP (Border Gateway Protocol) support in Azure VPN Gateway.

BGP iki veya daha fazla ağ arasında yönlendirme ve ulaşılabilirlik bilgilerini takas etmek üzere İnternet’te yaygın olarak kullanılan standart yönlendirme protokolüdür.BGP is the standard routing protocol commonly used in the Internet to exchange routing and reachability information between two or more networks. BGP, Azure Virtual Networks bağlamında kullanıldığında her iki ağ geçidini ön eklerin ilgili ağ geçitlerinden veya yönlendiricilerden geçmeye yönelik kullanılabilirliği ve ulaşılabilirliği konusunda bilgilendiren “yolları” değiştirmek amacıyla, Azure VPN Gateways’i ve BGP eşlikleri veya komşuları olarak adlandırılan şirket içi VPN cihazlarınızı etkinleştirir.When used in the context of Azure Virtual Networks, BGP enables the Azure VPN Gateways and your on-premises VPN devices, called BGP peers or neighbors, to exchange "routes" that will inform both gateways on the availability and reachability for those prefixes to go through the gateways or routers involved. BGP ayrıca bir BGP ağ geçidinin öğrendiği yolları bir BGP eşliğinden diğer tüm BGP eşliklerine yayarak birden fazla ağ arasında geçiş yönlendirmesi sağlayabilir.BGP can also enable transit routing among multiple networks by propagating routes a BGP gateway learns from one BGP peer to all other BGP peers.

BGP neden kullanılmalıdır?Why use BGP?

BGP, Azure Yol Tabanlı VPN ağ geçitleri ile birlikte kullanabileceğiniz isteğe bağlı bir özelliktir.BGP is an optional feature you can use with Azure Route-Based VPN gateways. Özelliği etkinleştirmeden önce şirket içi VPN cihazlarınızın da BGP’yi desteklediğinden emin olmanız gerekir.You should also make sure your on-premises VPN devices support BGP before you enable the feature. Azure VPN ağ geçitlerini ve şirket içi VPN cihazlarınızı BGP olmadan kullanmaya devam edebilirsiniz.You can continue to use Azure VPN gateways and your on-premises VPN devices without BGP. BGP ile ağlarınız ve Azure arasında statik yollar kullanmaya (BGP olmadan) karşılık BGP ile dinamik yönlendirme kullanmanın eşdeğeridir.It is the equivalent of using static routes (without BGP) vs. using dynamic routing with BGP between your networks and Azure.

BGP’nin çeşitli avantajları ve yeni özellikleri vardır:There are several advantages and new capabilities with BGP:

Otomatik ve esnek ön ek güncelleştirmelerini desteklemeSupport automatic and flexible prefix updates

BGP ile yalnızca belirli bir BGP eşliğine IPSec S2S VPN tüneli üzerinden en küçük ön eki bildirmeniz gerekir.With BGP, you only need to declare a minimum prefix to a specific BGP peer over the IPsec S2S VPN tunnel. Şirket içi VPN cihazınızın BGP eşliği IP adresinin ana bilgisayar ön eki (/32) kadar küçük olabilir.It can be as small as a host prefix (/32) of the BGP peer IP address of your on-premises VPN device. Azure Virtual Network’un erişmesine izin vermek üzere hangi şirket içi ağ ön eklerinin Azure’a tanıtılacağını denetleyebilirsiniz.You can control which on-premises network prefixes you want to advertise to Azure to allow your Azure Virtual Network to access.

Ayrıca, büyük bir özel IP adres alanı (örneğin, 10.0.0.0/8) gibi VNet adres öneklerinizden bazılarını içerebilen daha büyük ön ekler tanıtabilirsiniz.You can also advertise larger prefixes that may include some of your VNet address prefixes, such as a large private IP address space (for example, 10.0.0.0/8). Ön ekler, VNet öneklerinizden herhangi biriyle aynı olamaz.Note though the prefixes cannot be identical with any one of your VNet prefixes. VNet ön eklerinizle aynı olan yollar reddedilir.Those routes identical to your VNet prefixes will be rejected.

Sanal ağ ile şirket içi site arasında BGP 'ye dayalı otomatik yük devretme ile birden çok tüneli desteklemeSupport multiple tunnels between a VNet and an on-premises site with automatic failover based on BGP

Azure VNet ile şirket içi VPN cihazlarınız arasında aynı konumda birden fazla bağlantı kurabilirsiniz.You can establish multiple connections between your Azure VNet and your on-premises VPN devices in the same location. Bu özellik aktif-aktif bir yapılandırmadaki iki ağ arasında birden fazla tünel (yol) sağlar.This capability provides multiple tunnels (paths) between the two networks in an active-active configuration. Tünellerden birinin bağlantısı kesilirse, ilgili yollar BGP üzerinden geri alınacaktır ve trafik otomatik olarak kalan tünellere kayar.If one of the tunnels is disconnected, the corresponding routes will be withdrawn via BGP and the traffic automatically shifts to the remaining tunnels.

Aşağıdaki diyagramda yüksek oranda kullanılabilen bu kurulumun basit bir örneği gösterilmiştir:The following diagram shows a simple example of this highly available setup:

Birden fazla etkin yol

Şirket içi ağlarınız ile birden çok Azure sanal ağı arasında geçiş yönlendirme desteğiSupport transit routing between your on-premises networks and multiple Azure VNets

BGP, doğrudan veya dolaylı olarak bağlı olmasına bakılmaksızın birden fazla ağ geçidinin farklı ağlardaki ön ekleri öğrenmesini ve yaymasını sağlar.BGP enables multiple gateways to learn and propagate prefixes from different networks, whether they are directly or indirectly connected. Bu özellik şirket içi siteleriniz arasında veya birden fazla Azure Sanal Ağında Azure VPN ağ geçitleri ile geçiş yönlendirmesi sağlayabilir.This can enable transit routing with Azure VPN gateways between your on-premises sites or across multiple Azure Virtual Networks.

Aşağıdaki diyagramda Microsoft Networks içindeki Azure VPN ağ geçitleri üzerinden iki şirket içi ağ arasındaki trafiği geçebilen birden fazla yola sahip çoklu atlamalı bir topolojinin örneği gösterilmektedir:The following diagram shows an example of a multi-hop topology with multiple paths that can transit traffic between the two on-premises networks through Azure VPN gateways within the Microsoft Networks:

Çoklu atlamalı geçiş

BGP SSSBGP FAQ

BGP tüm Azure VPN Gateway SKU'larında destekleniyor mu?Is BGP supported on all Azure VPN Gateway SKUs?

Hayır, BGP Azure VpnGw1, VpnGw2, VpnGw3, Standard ve HighPerformance VPN ağ geçitlerinde desteklenir.No, BGP is supported on Azure VpnGw1, VpnGw2, VpnGw3, Standard and HighPerformance VPN gateways. Temel SKU DESTEKLENMEZ.Basic SKU is NOT supported.

Azure İlke Temelli VPN ağ geçitleriyle BGP kullanabilir miyim?Can I use BGP with Azure Policy-Based VPN gateways?

Hayır, BGP yalnızca Rota Temelli VPN Gateway’lerinde desteklenir.No, BGP is supported on Route-Based VPN gateways only.

Özel ASN’ler (Otonom Sistem Numaralarını) kullanabilir miyim?Can I use private ASNs (Autonomous System Numbers)?

Evet, kendi ortak ASN’lerinizi veya özel ASN’lerinizi hem şirket içi ağlarda, hem de Azure sanal ağlarda kullanabilirsiniz.Yes, you can use your own public ASNs or private ASNs for both your on-premises networks and Azure virtual networks.

32 bit ASN’ler (Otonom Sistem Numaraları) kullanabilir miyim?Can I use 32-bit ASNs (Autonomous System Numbers)?

Hayır, Azure VPN Gateway’ler şu anda 16 bit ASN’leri destekler.No, the Azure VPN Gateways support 16-Bit ASNs today.

Azure tarafından ayrılan bir ASN var mı?Are there ASNs reserved by Azure?

Evet, aşağıdaki ASN’ler iç ve dış eşlemeler için Azure tarafından ayrılmıştır:Yes, the following ASNs are reserved by Azure for both internal and external peerings:

  • Genel ASNs 'ler: 8074, 8075, 12076Public ASNs: 8074, 8075, 12076
  • Özel ASNs: 65515, 65517, 65518, 65519, 65520Private ASNs: 65515, 65517, 65518, 65519, 65520

Bu ASN’leri Azure VPN ağ geçitlerine bağlanırken şirket içi VPN cihazlarınız için belirtemezsiniz.You cannot specify these ASNs for your on premises VPN devices when connecting to Azure VPN gateways.

Kullanamayacağım başka ASN var mı?Are there any other ASNs that I can't use?

Evet, aşağıdaki ASN'ler IANA tarafından ayrılmıştır ve Azure VPN ağ geçidinizde yapılandırılamaz:Yes, the following ASNs are reserved by IANA and can't be configured on your Azure VPN Gateway:

23456, 64496-64511, 65535-65551 and 42949672923456, 64496-64511, 65535-65551 and 429496729

Hangi özel ASNs 'yi kullanabilirim?What Private ASNs can I use?

Kullanılabilecek kullanılabilir özel ASNs aralığı şunlardır:The useable range of Private ASNs that can be used are:

  • 64512-65514, 65521-6553464512-65514, 65521-65534

Bu ASNs 'ler ıANA veya Azure tarafından kullanılmak üzere ayrılmamıştır ve bu nedenle Azure VPN Gateway atamak için kullanılabilir.These ASNs are not reserved by IANA or Azure for use and therefore can be used to assign to your Azure VPN Gateway.

Aynı ASN’yi hem şirket içi VPN ağlarında, hem de Azure VNet'lerde kullanabilir miyim?Can I use the same ASN for both on-premises VPN networks and Azure VNets?

Hayır, BGP’yle bunlara birlikte bağlanıyorsanız, şirket içi ağlar ve Azure VNet'ler arasında farklı ASN’ler atamanız gerekir.No, you must assign different ASNs between your on-premises networks and your Azure VNets if you are connecting them together with BGP. Şirket içi ve dışı karışık bağlantınız için BGP'nin etkin olup olmamasından bağımsız olarak Azure VPN Ağ Geçitlerine varsayılan 65515 ASN'si atanmıştır.Azure VPN Gateways have a default ASN of 65515 assigned, whether BGP is enabled or not for your cross-premises connectivity. VPN Gateway oluştururken farklı ASN atayarak bu varsayılan değeri geçersiz kılabilir veya ağ geçidini oluşturduktan sonra ASN’yi değiştirebilirsiniz.You can override this default by assigning a different ASN when creating the VPN gateway, or change the ASN after the gateway is created. Şirket içi ASN’lerinizi ilgili Azure Yerel Ağ Geçitlerine atamanız gerekir.You will need to assign your on-premises ASNs to the corresponding Azure Local Network Gateways.

Azure VPN Gateway’ler bana hangi adres öneklerini tanıtacak?What address prefixes will Azure VPN gateways advertise to me?

Azure VPN Gateway şirket içi BGP cihazlarınıza şu rotaları tanıtacaktır:Azure VPN gateway will advertise the following routes to your on-premises BGP devices:

  • VNet adres öneklerinizYour VNet address prefixes
  • Azure VPN Gateway’e bağlı her Yerel Ağ Geçidi için adres önekleriAddress prefixes for each Local Network Gateways connected to the Azure VPN gateway
  • Azure VPN Gateway’e bağlı diğer BGP eşdeğer oturumlarından öğrenilen rotalar; varsayılan rota ve herhangi bir VNet önekiyle çakışan rotalar dışında.Routes learned from other BGP peering sessions connected to the Azure VPN gateway, except default route or routes overlapped with any VNet prefix.

Azure VPN Gateway 'e kaç önek tanıtırım?How many prefixes can I advertise to Azure VPN gateway?

En fazla 4000 ön eki destekliyoruz.We support up to 4000 prefixes. Ön ek sayısı bu sınırı aşarsa BGP oturumu düşürülür.The BGP session is dropped if the number of prefixes exceeds the limit.

Varsayılan yolu (0.0.0.0/0) Azure VPN ağ geçitlerine tanıtabilir miyim?Can I advertise default route (0.0.0.0/0) to Azure VPN gateways?

Evet.Yes.

Bunun yapılması, tüm sanal ağ çıkış trafiğini şirket içi sitenize yönelmeye zorlar ve sanal ağ VM’lerinin, İnternet’ten VM’lere RDP veya SSH gibi doğrudan İnternet’ten gelen ortak iletişimi kabul etmesini engeller.Please note this will force all VNet egress traffic towards your on-premises site, and will prevent the VNet VMs from accepting public communication from the Internet directly, such RDP or SSH from the Internet to the VMs.

Tam ön eklerimi Sanal Ağ ön eklerim olarak tanıtabilir miyim?Can I advertise the exact prefixes as my Virtual Network prefixes?

Hayır, aynı ön eklerin Sanal Ağ adresi ön eklerinden biri olarak tanıtılması Azure platformu tarafından engellenir veya filtrelenir.No, advertising the same prefixes as any one of your Virtual Network address prefixes will be blocked or filtered by the Azure platform. Ancak, Sanal Ağınızda bulunanların üst kümesi olan bir ön ek tanıtabilirsiniz.However you can advertise a prefix that is a superset of what you have inside your Virtual Network.

Örneğin, sanal ağınızda 10.0.0.0/16 adres alanı kullanılıyorsa 10.0.0.0/8 olarak tanıtabilirsiniz.For example, if your virtual network used the address space 10.0.0.0/16, you could advertise 10.0.0.0/8. Ancak 10.0.0.0/16 veya 10.0.0.0/24 tanıtamazsınız.But you cannot advertise 10.0.0.0/16 or 10.0.0.0/24.

VNet - VNet bağlantılarımla BGP kullanabilir miyim?Can I use BGP with my VNet-to-VNet connections?

Evet, BGP’yi hem şirket içi bağlantılar için, hem de VNet - VNet bağlantıları için kullanabilirsiniz.Yes, you can use BGP for both cross-premises connections and VNet-to-VNet connections.

Azure VPN Gateway’lerim için BGP’yi BGP olmayan bağlantılarla karıştırabilir miyim?Can I mix BGP with non-BGP connections for my Azure VPN gateways?

Evet, aynı Azure VPN Gateway için BGP ve BGP olmayan bağlantıları karıştırabilirsiniz.Yes, you can mix both BGP and non-BGP connections for the same Azure VPN gateway.

Azure VPN Gateway BGP transit rotasını destekliyor mu?Does Azure VPN gateway support BGP transit routing?

Evet, BGP transit rotası desteklense de, özel durum olarak Azure VPN Gateway’lerinin varsayılan rotaları diğer BGP eşdeğerlerine TANITMAMALARI geçerlidir.Yes, BGP transit routing is supported, with the exception that Azure VPN gateways will NOT advertise default routes to other BGP peers. Transit rotayı birden fazla Azure VPN Gateway’de etkinleştirmek için tüm ara VNet - VNet bağlantılarında BGP’yi etkinleştirmelisiniz.To enable transit routing across multiple Azure VPN gateways, you must enable BGP on all intermediate VNet-to-VNet connections. Daha fazla bilgi için bkz. BGP hakkında.For more information, see About BGP.

Azure VPN Gateway ve şirket içi ağım arasında birden fazla tünelim olabilir mi?Can I have more than one tunnel between Azure VPN gateway and my on-premises network?

Evet, bir Azure VPN Gateway ve şirket içi ağınız arasında birden fazla S2S tüneli kurabilirsiniz.Yes, you can establish more than one S2S VPN tunnel between an Azure VPN gateway and your on-premises network. Bu tünellerin tümünün Azure VPN Gateway’lerinize yönelik tünellerin toplam sayısına karşılık hesaplanacağını ve iki tünelde de BGP özelliğini etkinleştirmeniz gerektiğini lütfen unutmayın.Please note that all these tunnels will be counted against the total number of tunnels for your Azure VPN gateways and you must enable BGP on both tunnels.

Örneğin, Azure VPN Gateway'iniz ve şirket içi ağınız arasında iki yedekli tüneliniz varsa, Azure VPN Gateway'inizin toplam kotasından (Standart için 10, Yüksek Performanslı için 30) 2 tünel kullanacaktır.For example, if you have two redundant tunnels between your Azure VPN gateway and one of your on-premises networks, they will consume 2 tunnels out of the total quota for your Azure VPN gateway (10 for Standard and 30 for HighPerformance).

BGP bulunan iki Azure VNet arasında birden çok tünelim olabilir mi?Can I have multiple tunnels between two Azure VNets with BGP?

Evet, ancak sanal ağ geçitlerinden en az birinin etkin-etkin yapılandırmada olması gerekir.Yes, but at least one of the virtual network gateways must be in active-active configuration.

BGP’yi ExpressRoute/S2S VPN birlikte varolma yapılandırmasında S2S VPN için kullanabilir miyim?Can I use BGP for S2S VPN in an ExpressRoute/S2S VPN co-existence configuration?

Evet.Yes.

Azure VPN Gateway BGP Eşdeğer IP’si için hangi adresi kullanıyor?What address does Azure VPN gateway use for BGP Peer IP?

Azure VPN ağ geçidi, etkin-etkin VPN ağ geçitleri için GatewaySubnet aralığından tek bir IP adresi ayırır veya etkin-etkin VPN ağ geçitleri için iki IP adresi ayırır.The Azure VPN gateway will allocate a single IP address from the GatewaySubnet range for active-standby VPN gateways, or two IP addresses for active-active VPN gateways. PowerShell (Get-AzVirtualNetworkGateway) kullanarak ayrılan gerçek BGP IP adreslerini alabilir, "bgpPeeringAddress" özelliğini arayabilir) veya Azure portal (ağ geçidi yapılandırma sayfasında "BGP ASN 'yi Yapılandır" özelliğinin altında).You can get the actual BGP IP address(es) allocated by using PowerShell (Get-AzVirtualNetworkGateway, look for the “bgpPeeringAddress” property), or in the Azure portal (under the “Configure BGP ASN” property on the Gateway Configuration page).

VPN cihazımdaki BGP Eşdeğer IP adreslerinin gereksinimleri nelerdir?What are the requirements for the BGP Peer IP addresses on my VPN device?

Şirket içi BGP eş adresiniz, VPN CIHAZıNıZıN genel IP adresi veya VPN Gateway VNET adres alanı ile aynı olmamalıdır.Your on-premises BGP peer address MUST NOT be the same as the public IP address of your VPN device or the Vnet address space of the VPN Gateway. BGP Eşdeğer IP’si için VPN cihazında farklı bir IP adresi kullanın.Use a different IP address on the VPN device for your BGP Peer IP. Bu, cihaz üzerindeki geri döngü arabirimine atanmış bir adres olabilir, ancak bir APIPA (169.254.x.x) adresi olamayacağını da hatırlatmak isteriz.It can be an address assigned to the loopback interface on the device, but please note that it cannot be an APIPA (169.254.x.x) address. Bu adresi, konumu temsil eden ilgili Yerel Ağ Geçidi’nde belirtin.Specify this address in the corresponding Local Network Gateway representing the location.

BGP kullandığımda Yerel Ağ Geçidi için adres önekim olarak ne belirtmeliyim?What should I specify as my address prefixes for the Local Network Gateway when I use BGP?

Azure Yerel Ağ Geçidi, şirket içi ağ için başlangıç adresi öneklerini belirtir.Azure Local Network Gateway specifies the initial address prefixes for the on-premises network. BGP ile, BGP Eşdeğer IP adresinizin konak önekini (/32 önek) bu şirket içi ağın adres alanı olarak ayırmalısınız.With BGP, you must allocate the host prefix (/32 prefix) of your BGP Peer IP address as the address space for that on-premises network. BGP Eşdeğer IP’niz 10.52.255.254 olursa, bu şirket içi ağda temsil edilen Yerel Ağ Geçidine ait "10.52.255.254/32" olarak belirtmelisiniz.If your BGP Peer IP is 10.52.255.254, you should specify "10.52.255.254/32" as the localNetworkAddressSpace of the Local Network Gateway representing this on-premises network. Azure VPN Gateway’in S2S VPN tüneli aracılığıyla BGP oturumunu başlatmasını sağlamak içindir.This is to ensure that the Azure VPN gateway establishes the BGP session through the S2S VPN tunnel.

BGP eşdeğer oturumu için şirket içi VPN cihazıma ne eklemeliyim?What should I add to my on-premises VPN device for the BGP peering session?

VPN cihazınızdaki Azure BGP Eşdeğer IP adresinin, IPsec S2S VPN tüneline yönlenmiş konak rotasını eklemelisiniz.You should add a host route of the Azure BGP Peer IP address on your VPN device pointing to the IPsec S2S VPN tunnel. Örneğin, Azure VPN Eşdeğer IP’si "10.12.255.30" olursa, "10.12.255.30" için VPN cihazınızdaki eşleşen IPsec tüneli arabiriminin sonraki durak arabirimine sahip bir konak rotası eklemelisiniz.For example, if the Azure VPN Peer IP is "10.12.255.30", you should add a host route for "10.12.255.30" with a nexthop interface of the matching IPsec tunnel interface on your VPN device.

Sonraki adımlarNext steps

BGP’yi şirketler arası ve VNet’ten VNet’te bağlantılar için yapılandırma adımları için bkz. Azure VPN ağ geçitlerinde BGP kullanmaya başlama.See Getting started with BGP on Azure VPN gateways for steps to configure BGP for your cross-premises and VNet-to-VNet connections.