Azure VPN Ağ Geçidi ile BGP hakkında

Bu makalede, Azure VPN Ağ Geçidi'ne ilişkin BGP (Sınır Ağ Geçidi Protokolü) desteğine genel bir bakış bulabilirsiniz.

BGP, İnternet'te yaygın olarak iki veya daha fazla ağ arasında yönlendirme ve erişim bilgisi alışverişi yapmak için kullanılan standart yönlendirme protokolüdür. Azure Sanal Ağlar bağlamında kullanılırken, BGP, BGP eşleri veya komşuları olarak adlandırılan Azure VPN Ağ Geçidi'nin ve şirket içi VPN cihazlarınızı, söz konusu ön eklerin söz konusu ağ geçitleri veya yönlendiriciler aracılığıyla geçişleri konusunda bilgilendiren "yönlendirmeler" alışverişi için olanak tanır. AYRıCA BGP, bir BGP ağ geçidinin bir BGP eşliğinden diğer tüm BGP eşlerine yönlendirmelerini yayarak birden çok ağ arasında geçiş yönlendirmeyi etkinleştirebilirsiniz.

Neden BGP kullanasınız?

BGP, Azure vpn ağ geçitleri ile kullanabileceğiniz isteğe Route-Based bir özelliktir. Özelliği etkinleştirmeden önce, şirket içi VPN cihazlarında BGP desteği olduğundan da emin olun. Azure VPN ağ geçitlerini ve şirket içi VPN cihazlarınızı BGP olmadan kullanmaya devamabilirsiniz. Statik yönlendirmelerin (BGP olmadan) kullanımıyla, ağlarla Azure arasında BGP ile dinamik yönlendirme kullanmanın eşdeğeridir.

BGP ile birçok avantaj ve yeni özellik vardır:

Otomatik ve esnek ön ek güncelleştirmelerini destekleme

BGP ile, S2S VPN hattı üzerinden belirli bir BGP eşleni ön ek olarak yalnızca en düşük ön eki bildirebilirsiniz. Şirket içi VPN cihazınızın BGP eş IP adresinin ana bilgisayar ön eki (/32) kadar küçük olabilir. Azure Sanal Ağınıza erişim izni vermek için, Azure'a tanıtını istediğiniz şirket içi ağ ön eklerini kontrol edin.

Ayrıca, büyük özel IP adresi alanı (örneğin, 10.0.0.0/8) gibi, VNet adres ön eklerinden bazılarını da içeren daha büyük ön ekleri tanıtabilirsiniz. Öneklerin, VNet ön eklerinden herhangi biri ile aynı olamaz. VNet ön ekleri ile aynı olan bu yönlendirmeler reddedilir.

BGP'ye dayalı otomatik yük devretme özelliğiyle VNet ile şirket içi site arasındaki birden çok yolu destekleme

Azure VNet'iniz ile şirket içi VPN cihazlarınız arasında aynı konumda birden çok bağlantı kurabilirsiniz. Bu özellik etkin-etkin bir yapılandırmada iki ağ arasında birden çok patika (yol) sağlar. Trafiğin bağlantısı kesilirse ilgili yollar BGP ile geri çekilir ve trafik kalan trafiğin otomatik olarak diğer trafiğine kaydırılır.

Aşağıdaki diyagramda, bu yüksek kullanılabilir kurulum için basit bir örnek göster:

Birden çok etkin yol

Şirket içi ağlarınız ve birden çok Azure VNet'i arasında geçiş yönlendirmeyi destekleme

BGP, ister doğrudan ister dolaylı olarak bağlı olsunlar, birden çok ağ geçidinin farklı ağların ön eklerini öğrenmelerini ve yaymalarını sağlar. Bu, Şirket içi siteleriniz arasında veya birden çok Azure Sanal Ağ arasında Azure VPN ağ geçidiyle toplu taşıma yönlendirmeyi etkinleştirebilirsiniz.

Aşağıdaki diyagramda, Microsoft Ağları'nın içindeki Azure VPN ağ geçitleri aracılığıyla iki şirket içi ağ arasında trafiğin ileten birden çok yolu olan çok atlamalı bir topoloji örneği yer almaktadır:

Çok atlamalı taşıma

BGP SSS

Tüm Azure VPN Ağ Geçidi SKUs'larda BGP destek var mı?

BGP, Temel SKU dışındaki tüm Azure VPN Ağ Geçidi SKU'ları üzerinde destekler.

Azure İlkesi VPN ağ geçitleriyle BGP kullanabilir miyim?

Hayır, BGP yalnızca yönlendirme tabanlı VPN ağ geçitlerinde destekler.

Hangi ASN'leri (Özel Sistem Numaraları) kullanabilirim?

Hem şirket içi ağlarda hem de Azure sanal ağlarında kendi genel ASN'lerinizi veya özel ASN'lerinizi kullanabilirsiniz. Azure veya IANA tarafından ayrılmış aralıkları kullana sıralayam.

Aşağıdaki ASN'ler Azure veya IANA tarafından ayrılmıştır:

  • Azure tarafından ayrılmış ASN'ler:

    • Genel ASN'ler: 8074, 8075, 12076
    • Özel ASN'ler: 65515, 65517, 65518, 65519, 65520
  • IANA tarafından ayrılmış ASN'ler:

    • 23456, 64496-64511, 65535-65551 ve 429496729

Azure VPN ağ geçidine bağlanırken şirket içi VPN cihazlarınız için bu ASN'leri belirtemezseniz.

32 bit (4 byte) ASN'leri kullanabilir miyim?

Evet, VPN Ağ Geçidi artık 32 bit (4 bayt) ASN'leri destekliyor. AsN'yi ondalık biçimde kullanarak yapılandırmak için PowerShell, Azure CLI veya Azure SDK kullanın.

Hangi özel ASN'leri kullanabilirim?

Özel ASN'ler için kullanılabilir aralıklar:

  • 64512-65514 ve 65521-65534

Bu ASN'ler IANA veya Azure tarafından kullanım için ayrılmış değildir ve dolayısıyla Azure VPN ağ geçidinize atamak için kullanılabilir.

VPN Ağ Geçidi BGP eş IP'leri için hangi adresi kullanır?

Varsayılan olarak, VPN Ağ Geçidi etkin beklemede VPN ağ geçitleri için GatewaySubnet aralığından tek bir IP adresi veya etkin etkin VPN ağ geçitleri için iki IP adresi ayırır. Bu adresler, VPN ağ geçidini oluşturmak için otomatik olarak ayrılır. PowerShell kullanarak veya Azure portala bularak ayrılan gerçek BGP IP adresini edinebilirsiniz. PowerShell'de Get-AzVirtualNetworkGateway'i kullanın ve bgpPeeringAddress özelliğinin ne olduğunu bakın. Azure portalında, Ağ Geçidi Yapılandırması sayfasında,BGP ASN'yi Yapılandır özelliğinin altına bakın.

Şirket içi VPN yönlendiricileri APIPA IP adreslerini (169.254.x.x) BGP IP adresleri olarak kullanıyorsa, Azure VPN ağ geçidiniz üzerinde ek bir Azure APIPA BGP IP adresi belirtmeniz gerekir. Azure VPN Ağ Geçidi, yerel ağ ağ geçidinde belirtilen şirket içi APIPA BGP eşleni veya APIPA olmayan bir şirket içi BGP eşleni için özel IP adresiyle kullanmak üzere APIPA adresini seçer. Daha fazla bilgi için bkz. BGP'yi yapılandırma.

VPN cihazımda BGP eş IP adresleri için gereksinimler nelerdir?

Şirket içi BGP eş adresiniz, VPN cihazınızın genel IP adresi veya VPN ağ geçidinin sanal ağ adresi alanı ile aynı olmalıdır. BGP eş IP'niz için VPN cihazında farklı bir IP adresi kullanın. Bu, cihaz (normal bir IP adresi veya APIPA adresi) geri döngü arabirimine atanmış bir adres olabilir. Cihazınız BGP için bir APIPA adresi kullanıyorsa, BGP'yiYapılandırma konusunda açıklandığı gibi, Azure VPN ağ geçidinde bir APIPA BGP IP adresi belirtmeniz gerekir. Konumu temsil eden ilgili yerel ağ ağ geçidinde bu adresi belirtin.

BGP kullanılırken yerel ağ ağ geçidi için adres öneklerim olarak ne belirt olmalı?

Önemli

Bu, önceden belgelenmiş olan gereksinimden bir değişikliktir. Bağlantı için BGP kullanıyorsanız, buna karşılık gelen yerel ağ ağ geçidi kaynağı için Adres alanı alanını boş bırakın. Azure VPN Ağ Geçidi, IPal geçidi üzerinden şirket içi BGP eş IP'lerine dahili olarak bir ana bilgisayar yolu ekler. Adres alanı alanına /32 yönlendirmesi ekleme. Yedekli bir adrestir ve şirket içi VPN cihazı BGP IP'si olarak bir APIPA adresi kullanırsanız, bu alana ekli değildir. Adres alanı alanına başka ön eklersiniz, bunlar Azure VPN ağ geçidine statik yönlendirmeler olarak, BGP aracılığıyla öğrenilen yönlendirmelere ek olarak eklenir.

Hem şirket içi VPN ağları hem de Azure sanal ağları için aynı ASN'i kullanabilir miyim?

Hayır, şirket içi ağlarla Azure sanal ağlarınızı BGP ile birbirine bağlarken, bu ağlara farklı ASN'ler atamanız gerekir. Şirket içi bağlantınız için BGP'nin etkin olup olmadığıyla ilgili olarak Azure VPN ağ geçitlerinin varsayılan 65515 ASN'si atanır. VPN ağ geçidi oluştururken farklı bir ASN ataarak bu varsayılan ayarı değiştirebilir veya ağ geçidi oluşturulduktan sonra ASN'yi değiştirebilirsiniz. Şirket içi ASN'lerinizi ilgili Azure yerel ağ geçitlerine atamanız gerekir.

Azure VPN ağ geçitleri bana hangi adres ön eklerini tanıtacak?

Ağ geçitleri, şirket içi BGP cihazlarınıza aşağıdaki yönlendirmeleri tanıtıyor:

  • Sanal ağ adresi ön ekleriniz.
  • Azure VPN ağ geçidine bağlı her yerel ağ ağ geçidinin ön eklerini adresle.
  • Varsayılan yönlendirme veya herhangi bir sanal ağ önekiyle örtüşen yönlendirmeler dışında, Azure VPN ağ geçidine bağlı diğer BGP eşleme oturumlarından öğrenilen yönlendirmeler.

Azure VPN Ağ Geçidi'ne kaç ön ek tanıtabilirsiniz?

Azure VPN Ağ Geçidi 4000'e kadar ön eki destekler. Ön eklerin sayısı sınırı aşarsa BGP oturumu bırakılır.

Varsayılan rotayı (0.0.0.0/0) Azure VPN ağ geçitleri'ne tanıtın mı?

Evet. Bunun tüm sanal ağ çıkış trafiğinin şirket içi sitenize doğru olduğunu unutmayın. Ayrıca, sanal ağ vmlerinin İnternet'teN RDP veya SSH gibi genel iletişimi İnternet'te doğrudan sanal makinelere kabul etmelerini de engellemektedir.

Tam ön ekleri sanal ağ ön eklerim olarak tanıtabilirsiniz mi?

Hayır, sanal ağ adresi ön ekleri ile aynı ön ekleri reklam olarak Azure tarafından engellenmiş veya filtrelenmiş olur. Bununla birlikte, sanal ağ içinde sahip olduğunuz öneki daha büyük bir ön ek olarak tanıtabilirsiniz.

Örneğin, sanal ağınız 10.0.0.0/16 adres alanı için 10.0.0.0/8 adresini tanıtabilirsiniz. Ancak 10.0.0.0/16 veya 10.0.0.0/24'e ulaşabilirsiniz.

Sanal ağlar arasındaki bağlantılarla BGP kullanabilir miyim?

Evet, hem şirket içi bağlantılar hem de sanal ağlar arasındaki bağlantılar için BGP kullanabilirsiniz.

Azure VPN ağ geçitlerim için BGP olmayan bağlantılarla BGP'yi karma kullanabilir miyim?

Evet, aynı Azure VPN ağ geçidi için hem BGP hem de BGP olmayan bağlantıları karma kullanabilirsiniz.

Azure VPN Ağ Geçidi BGP toplu taşıma yönlendirmeyi destekler mi?

Evet, Azure VPN ağ geçitlerinin diğer BGP eşlerine varsayılan yönlendirmeleri tanıtmama durumu dışında, BGP toplu taşıma yönlendirmesi de destekler. Birden çok Azure VPN ağ geçidi arasında geçiş yönlendirmeyi etkinleştirmek için, sanal ağlar arasındaki tüm ara bağlantılarda BGP'yi etkinleştirmeniz gerekir. Daha fazla bilgi için bkz. BGP Hakkında.

Azure VPN ağ geçidiyle şirket içi ağım arasında birden fazla geçidim olabilir mi?

Evet, Azure VPN ağ geçidi ile şirket içi ağınız arasında birden fazla siteden siteye (S2S) VPN geçidi kurabilirsiniz. Tüm bu geçitlerin Azure VPN ağ geçitleri için toplam geçit sayısında sayıldıklarına ve her iki geçitte de BGP'yi etkinleştirmeniz gerektiğini unutmayın.

Örneğin, Azure VPN ağ geçidiniz ile şirket içi ağlardan biri arasında iki yedekli geçit varsa, Azure VPN ağ geçidinizin toplam kotasının dışında 2 kaza tüketir.

BGP ile iki Azure sanal ağı arasında birden çok yolum olabilir mi?

Evet, ama sanal ağ ağ geçitlerinden en az biri etkin yapılandırmada olmalıdır.

Azure ExpressRoute ve S2S VPN birlikte kullanım yapılandırmasında S2S VPN için BGP kullanabilir miyim?

Evet.

BGP eşleme oturumu için şirket içi VPN cihazıma neleri eklemem gerekiyor?

VPN cihazınıza Azure BGP eş IP adresinin ana bilgisayar yönlendirmesini ekleyin. Bu yönlendirme I İleti S2S VPN bağlantısını gösterir. Örneğin, Azure VPN eş hattı IP'si 10.12.255.30 ise, VPN aygıtınızda eşleşen I İleti arabiriminin sonraki atlama arabirimiyle 10.12.255.30 için bir ana bilgisayar yolu eklersiniz.

Sanal ağ ağ geçidi, BGP ile S2S bağlantıları için BFD'yi destekler mi?

Hayır. Çift Yönlü İ iletme Algılaması (BFD), standart BGP "keepalives" kullanarak komşu hizmet kesintilerini daha hızlı algılamak için BGP ile kullanabileceğiniz bir protokoldür. BFD, LAN ortamlarında çalışmak üzere tasarlanmış alt süre (ara sunucu süreleri) kullanır, ancak genel İnternet veya Geniş Alan Ağı bağlantılarında bunu kullanmaz.

Ortak İnternet üzerinden bağlantılarda, belirli paketlerin gecikmeli veya hatta atılmış olması alışılmış bir durum değildir, bu nedenle bu saldırgan zaman aralıklarının ortaya düşmesi, beklenmedik durumlara neden olabilir. Bu instability, yönlendirmelerin BGP ile yönlendirilme sebebi olabilir. Alternatif olarak, şirket içi cihazınızı varsayılan 60 saniyelik "tutma" aralığı ve 180 saniyelik tutma zamanlayıcıdan daha düşük zamanlayıcılarla yapılandırabilirsiniz. Böylece daha hızlı bir yakınma zamanı elde olur.

Azure VPN ağ geçitleri BGP eşliği oturumları veya bağlantıları başlatıyor mu?

Ağ geçidi, VPN ağ geçidinde özel IP adreslerini kullanarak yerel ağ ağ geçidi kaynaklarında belirtilen şirket içi BGP eş ip adreslerine BGP eşleme oturumları başlatacak. Bunun, şirket içi BGP IP adreslerinin APIPA aralığında mı yoksa normal özel IP adreslerinde mi yerıp yer kullanmamalarına bakılmaksızın. Şirket içi VPN cihazlarınız APIPA adreslerini BGP IP olarak kullanıyorsa, bağlantıları başlatmak için BGP hoparlörü yapılandırmanız gerekir.

Sonraki adımlar

Şirket içi ve VNet-to-VNet bağlantılarınız için BGP'yi yapılandırma adımları için bkz. Azure VPN ağ geçitlerinde BGP ile çalışmaya başlama.