PowerShell kullanarak Azure VPN Ağ Geçitlerinde BGP'yi yapılandırma

Bu makale, PowerShell kullanılarak şirket içi Site-Siteye (S2S) VPN bağlantısı ve VNet-to-VNet bağlantısında BGP'yi etkinleştirme adımlarda size yol gösterir.

BGP Hakkında

BGP, İnternet'te yaygın olarak iki veya daha fazla ağ arasında yönlendirme ve erişim bilgisi alışverişi yapmak için kullanılan standart yönlendirme protokolüdür. BGP, her iki ağ geçidini söz konusu ön eklerin kullanılabilirliği ve erişilliği konusunda bilgilendirecek "yönlendirmeler" alışverişi yapmak için, Azure VPN Ağ Geçitleri'ni ve BGP eşleri veya komşular olarak adlandırılan şirket içi VPN cihazlarınızı sağlar. AYRıCA BGP, bir BGP ağ geçidinin bir BGP eşliğinden diğer tüm BGP eşlerine yönlendirmelerini yayarak birden çok ağ arasında geçiş yönlendirmeyi etkinleştirebilirsiniz.

BGP'nin avantajları hakkında daha fazla tartışma yapmak ve BGP kullanımıyla ilgili teknik gereksinimleri ve dikkate alınacak konuları anlamak için bkz. Azure VPN Ağ Geçidi ile BGP'ye Genel Bakış.

Azure VPN ağ geçitlerinde BGP ile çalışmaya başlama

Bu makalede, aşağıdaki görevleri gerçekleştirme adımlarda size yol gösterir:

Yönergelerin her bölümü, ağ bağlantınız için BGP'yi etkinleştirmek için temel bir yapı taşı oluşturur. Üç bölümü de tamamlarsanız, aşağıdaki diyagramda gösterildiği gibi topolojiyi oluşturun:

BGP topolojisi

İhtiyaçlarınızı karşılayacak daha karmaşık, çok atlamalı, toplu taşıma ağı oluşturmak için parçaları birleştirebilirsiniz.

Bölüm 1 - Azure VPN Ağ Geçidi'ne BGP'yi yapılandırma

Yapılandırma adımları, aşağıdaki diyagramda gösterildiği gibi Azure VPN ağ geçidinin BGP parametrelerini ayarlar:

BGP Ağ Geçidi

Başlamadan önce

  • Azure aboneliğiniz olduğunu doğrulayın. Henüz bir Azure aboneliğiniz yoksa MSDN abonenizin avantajlarını etkinleştirebilirsiniz veya ücretsiz bir hesaba kaydolabilirsiniz.
  • Azure Resource Manager PowerShell cmdlet'lerini yükleyin. PowerShell cmdlet'lerini yükleme hakkında daha fazla bilgi için bkz. Azure PowerShell.

1. Adım - VNet'i oluşturma ve yapılandırma1

1. Değişkenlerinizi ifade edersiniz

Bu alıştırmaya, değişkenlerimizi bildirerek başlaruz. Aşağıdaki örnekte, bu alıştırmada değerleri kullanan değişkenler beyan eder. Üretim için yapılandıran değerleri kendi değerleriyle değiştirerek emin olun. Bu tür yapılandırmaya aşina olmak için adımları takip ediyorsanız bu değişkenleri kullanabilirsiniz. Değişkenleri değiştirebilir ve ardından PowerShell konsolunuzu kopyalayıp yapıştırabilirsiniz.

$Sub1 = "Replace_With_Your_Subscription_Name"
$RG1 = "TestBGPRG1"
$Location1 = "East US"
$VNetName1 = "TestVNet1"
$FESubName1 = "FrontEnd"
$BESubName1 = "Backend"
$GWSubName1 = "GatewaySubnet"
$VNetPrefix11 = "10.11.0.0/16"
$VNetPrefix12 = "10.12.0.0/16"
$FESubPrefix1 = "10.11.0.0/24"
$BESubPrefix1 = "10.12.0.0/24"
$GWSubPrefix1 = "10.12.255.0/27"
$VNet1ASN = 65010
$DNS1 = "8.8.8.8"
$GWName1 = "VNet1GW"
$GWIPName1 = "VNet1GWIP"
$GWIPconfName1 = "gwipconf1"
$Connection12 = "VNet1toVNet2"
$Connection15 = "VNet1toSite5"

2. Bağlan geçin ve yeni bir kaynak grubu oluşturun

Kaynak Yöneticisi cmdlet'lerini kullanmak için, PowerShell moduna geçiş yapmaya emin olun. Daha fazla bilgi için bkz. Kaynak Yöneticisi Windows PowerShell Kaynak Yöneticisi'ni kullanma.

PowerShell konsolunuzu açın ve hesabınıza bağlanın. Bağlanmanıza yardımcı olacak aşağıdaki örneği kullanın:

Connect-AzAccount
Select-AzSubscription -SubscriptionName $Sub1
New-AzResourceGroup -Name $RG1 -Location $Location1

3. TestVNet1 oluşturma

Aşağıdaki örnek, biri Ön Uç, biri de Arka Uç adlı ağ geçidi olan Ağ GeçidiSubnet adlı üç alt ağ ve TestVNet1 adlı bir sanal ağ oluşturur. Değerlerin yerine başka değerler kullanılırken, ağ geçidi alt ağın her zaman özel olarak Ağ GeçidiSubnet olarak adıyor olun. Başka bir ad verilirse ağ geçidi oluşturma işlemi başarısız olur.

$fesub1 = New-AzVirtualNetworkSubnetConfig -Name $FESubName1 -AddressPrefix $FESubPrefix1
$besub1 = New-AzVirtualNetworkSubnetConfig -Name $BESubName1 -AddressPrefix $BESubPrefix1
$gwsub1 = New-AzVirtualNetworkSubnetConfig -Name $GWSubName1 -AddressPrefix $GWSubPrefix1

New-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1 -Location $Location1 -AddressPrefix $VNetPrefix11,$VNetPrefix12 -Subnet $fesub1,$besub1,$gwsub1

2. Adım - BGP parametreleriyle TestVNet1 için VPN Ağ Geçidi oluşturma

1. IP ve alt ağ yapılandırmaları oluşturun

VNet'iniz için oluşturacağız ağ geçidine tahsis etmek için genel bir IP adresi talep etmek. Ayrıca gerekli alt ağ ve IP yapılandırmalarını da tanımlayabilirsiniz.

$gwpip1 = New-AzPublicIpAddress -Name $GWIPName1 -ResourceGroupName $RG1 -Location $Location1 -AllocationMethod Dynamic

$vnet1 = Get-AzVirtualNetwork -Name $VNetName1 -ResourceGroupName $RG1
$subnet1 = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet1
$gwipconf1 = New-AzVirtualNetworkGatewayIpConfig -Name $GWIPconfName1 -Subnet $subnet1 -PublicIpAddress $gwpip1

2. FARKLı numarasıyla VPN ağ geçidi oluşturun

TestVNet1 için sanal ağ ağ geçidi oluşturun. BGP, TestVNet1 Route-Based ASN'yi (AS Numarası) ayarlamak için bir VPN ağ geçidi ve ayrıca bir de -Asn toplama parametresi gerektirir. ASN parametresini ayarlay önce, ASN 65515 atanır. Ağ geçidi oluşturmak biraz zaman sürebilir (30 dakika veya daha uzun bir süre).

New-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1 -Location $Location1 -IpConfigurations $gwipconf1 -GatewayType Vpn -VpnType RouteBased -GatewaySku VpnGw1 -Asn $VNet1ASN

3. Azure BGP Eş IP adresini alma

Ağ geçidi oluşturulduktan sonra, Azure VPN Ağ Geçidi'ne BGP Eş Ip adresini alınız. Şirket içi VPN cihazlarınız için Azure VPN Ağ Geçidi'ni BGP Eşliği olarak yapılandırmak için bu adres gereklidir.

$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1
$vnet1gw.BgpSettingsText

Son komut, Azure VPN Ağ Geçidi'ne karşılık gelen BGP yapılandırmalarını gösterir; örneğin:

$vnet1gw.BgpSettingsText
{
    "Asn": 65010,
    "BgpPeeringAddress": "10.12.255.30",
    "PeerWeight": 0
}

Ağ geçidi oluşturulduktan sonra, bu ağ geçidini kullanarak BGP ile şirket içi bağlantı veya VNet'den VNet'e bağlantı oluşturabilirsiniz. Aşağıdaki bölümlerde bu alıştırmanın tamamlanması için gereken adımların üzerinden geçebilirsiniz.

Bölüm 2 - BGP ile şirket içi bağlantı kurma

Şirket içi bir bağlantı oluşturmak için, şirket içi VPN cihazınızı temsil eden bir Yerel Ağ Geçidi ve VPN ağ geçidini yerel ağ ağ geçidine bağlamak için de Bağlantı oluşturmanız gerekir. Bu adımlarda size yol gösterirken, bu makalede BGP yapılandırma parametrelerini belirtmek için gereken ek özellikler de yer almaktadır.

Şirket İçi için BGP

Devam etmeden önce, bu alıştırmanın 1. Bölümünü tamamlamış olun.

1. Adım - Yerel ağ ağ geçidini oluşturma ve yapılandırma

1. Değişkenlerinizi ifade edersiniz

Bu alıştırma, diyagramda gösterilen yapılandırmayı eklemeye devam eder. Değerleri, yapılandırmanız için kullanmak istediğiniz değerlerle değiştirin.

$RG5 = "TestBGPRG5"
$Location5 = "East US 2"
$LNGName5 = "Site5"
$LNGPrefix50 = "10.52.255.254/32"
$LNGIP5 = "Your_VPN_Device_IP"
$LNGASN5 = 65050
$BGPPeerIP5 = "10.52.255.254"

Yerel ağ ağ geçidi parametreleriyle ilgili dikkat gereken birkaç şey:

  • Yerel ağ ağ geçidi, VPN ağ geçidiyle aynı veya farklı bir konumda ve kaynak grubunda olabilir. Bu örnek, bunları farklı konumlarda yer alan farklı kaynak gruplarında gösterir.
  • Yerel ağ ağ geçidi için ifade etmek zorunda olduğunuz ön ek, VPN aygıtınızda BGP Eşler Arası IP adresinizin ana bilgisayar adresidir. Bu durumda, "10.52.255.254/32" öneki /32 önekidir.
  • Bir anımsatıcı olarak, şirket içi ağlarla Azure VNet arasında farklı BGP ASN'leri kullan gerekir. Bunlar aynı ise şirket içi VPN cihazınız ASN'yi zaten diğer BGP komşuları ile eşler olarak kullanıyorsa VNet ASN'nizi değiştirebilirsiniz.

Devam başlamadan önce, Hala Abonelik 1'e bağlı olduğunuzdan emin olun.

2. Site5 için yerel ağ ağ geçidi oluşturma

Kaynak grubu oluşturulmazsa, yerel ağ ağ geçidini oluşturmadan önce grubu oluşturduğunuzdan emin olun. Yerel ağ ağ geçidi için ek iki parametreye dikkat: Asn ve BgpPeerAddress.

New-AzResourceGroup -Name $RG5 -Location $Location5

New-AzLocalNetworkGateway -Name $LNGName5 -ResourceGroupName $RG5 -Location $Location5 -GatewayIpAddress $LNGIP5 -AddressPrefix $LNGPrefix50 -Asn $LNGASN5 -BgpPeeringAddress $BGPPeerIP5

2. Adım - Bağlan Ağ Geçidi'ni ve yerel ağ ağ geçidini yapılandırma

1. İki ağ geçidini

$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1  -ResourceGroupName $RG1
$lng5gw  = Get-AzLocalNetworkGateway -Name $LNGName5 -ResourceGroupName $RG5

2. TestVNet1'den Siteye5 bağlantısı oluşturma

Bu adımda, TestVNet1'den Site5'e bağlantı oluşturun. Bu bağlantıda BGP'yi etkinleştirmek için "-EnableBGP $True" belirtebilirsiniz. Daha önce de belirtildiği gibi, aynı Azure VPN Ağ Geçidi için hem BGP hem de BGP olmayan bağlantılar olabilir. Bağlantı özelliğinde BGP etkinleştirilmediği sürece, BGP parametreleri her iki ağ geçidinde de yapılandırılmış olsa bile Azure bu bağlantı için BGP'yi etkinleştirmez.

New-AzVirtualNetworkGatewayConnection -Name $Connection15 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -LocalNetworkGateway2 $lng5gw -Location $Location1 -ConnectionType IPsec -SharedKey 'AzureA1b2C3' -EnableBGP $True

Aşağıdaki örnekte, bu alıştırma için şirket içi VPN cihazınızın BGP yapılandırması bölümüne girersiniz:


- Site5 ASN            : 65050
- Site5 BGP IP         : 10.52.255.254
- Prefixes to announce : (for example) 10.51.0.0/16 and 10.52.0.0/16
- Azure VNet ASN       : 65010
- Azure VNet BGP IP    : 10.12.255.30
- Static route         : Add a route for 10.12.255.30/32, with nexthop being the VPN tunnel interface on your device
- eBGP Multihop        : Ensure the "multihop" option for eBGP is enabled on your device if needed

Bağlantı birkaç dakika sonra kurulur ve I Sarmal bağlantısı kurulduktan sonra BGP eşleme oturumu başlatılır.

Bölüm 3 - BGP ile VNet'den VNet'e bağlantı kurma

Bu bölüm, aşağıdaki diyagramda gösterildiği gibi BGP ile VNet'den VNet'e bağlantı ekler:

V Net - V Net bağlantısını gösteren diyagram.

Aşağıdaki yönergeler önceki adımlardan devam eder. TestVNet1'i ve BGP ile VPN Ağ Geçidi'ni oluşturmak ve yapılandırmak için Bölüm I'yi tamamlamanız gerekir.

1. Adım - TestVNet2 ve VPN ağ geçidi oluşturma

Yeni sanal ağın IP adresi alanı olan TestVNet2'nin VNet aralıklarınızı hiçbirle çakışmay olduğundan emin olmak önemlidir.

Bu örnekte, sanal ağlar aynı aboneliğe aittir. Farklı abonelikler arasında VNet'den VNet'e bağlantılar kurabilirsiniz. Daha fazla bilgi için bkz. VNet'den VNet'e bağlantı yapılandırma. BGP'yi etkinleştirmek için bağlantıları oluştururken "-EnableBgp $True" ifadesini eklemeyi seçin.

1. Değişkenlerinizi ifade edersiniz

Değerleri, yapılandırmanız için kullanmak istediğiniz değerlerle değiştirin.

$RG2 = "TestBGPRG2"
$Location2 = "West US"
$VNetName2 = "TestVNet2"
$FESubName2 = "FrontEnd"
$BESubName2 = "Backend"
$GWSubName2 = "GatewaySubnet"
$VNetPrefix21 = "10.21.0.0/16"
$VNetPrefix22 = "10.22.0.0/16"
$FESubPrefix2 = "10.21.0.0/24"
$BESubPrefix2 = "10.22.0.0/24"
$GWSubPrefix2 = "10.22.255.0/27"
$VNet2ASN = 65020
$DNS2 = "8.8.8.8"
$GWName2 = "VNet2GW"
$GWIPName2 = "VNet2GWIP"
$GWIPconfName2 = "gwipconf2"
$Connection21 = "VNet2toVNet1"
$Connection12 = "VNet1toVNet2"

2. Yeni kaynak grubunda TestVNet2 oluşturma

New-AzResourceGroup -Name $RG2 -Location $Location2

$fesub2 = New-AzVirtualNetworkSubnetConfig -Name $FESubName2 -AddressPrefix $FESubPrefix2
$besub2 = New-AzVirtualNetworkSubnetConfig -Name $BESubName2 -AddressPrefix $BESubPrefix2
$gwsub2 = New-AzVirtualNetworkSubnetConfig -Name $GWSubName2 -AddressPrefix $GWSubPrefix2

New-AzVirtualNetwork -Name $VNetName2 -ResourceGroupName $RG2 -Location $Location2 -AddressPrefix $VNetPrefix21,$VNetPrefix22 -Subnet $fesub2,$besub2,$gwsub2

3. BGP parametreleriyle TestVNet2 için VPN ağ geçidi oluşturma

VNet'iniz için oluşturacağız ağ geçidine tahsis edilecek bir genel IP adresi talep etmek ve gerekli alt ağ ve IP yapılandırmalarını tanımlamak.

$gwpip2    = New-AzPublicIpAddress -Name $GWIPName2 -ResourceGroupName $RG2 -Location $Location2 -AllocationMethod Dynamic

$vnet2     = Get-AzVirtualNetwork -Name $VNetName2 -ResourceGroupName $RG2
$subnet2   = Get-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -VirtualNetwork $vnet2
$gwipconf2 = New-AzVirtualNetworkGatewayIpConfig -Name $GWIPconfName2 -Subnet $subnet2 -PublicIpAddress $gwpip2

AS numarasıyla VPN ağ geçidi oluşturun. Azure VPN ağ geçidinizin varsayılan ASN'lerini geçersiz kılmanız gerekir. Bağlı VNet'ler için ASN'lerin BGP ve geçiş yönlendirmeyi etkinleştirmek için farklı olması gerekir.

New-AzVirtualNetworkGateway -Name $GWName2 -ResourceGroupName $RG2 -Location $Location2 -IpConfigurations $gwipconf2 -GatewayType Vpn -VpnType RouteBased -GatewaySku VpnGw1 -Asn $VNet2ASN

2. Adım - Bağlan Ve TestVNet2 ağ geçitlerini yapılandırma

Bu örnekte, her iki ağ geçidi de aynı aboneliktedir. Bu adımı aynı PowerShell oturumunda tamamabilirsiniz.

1. Her iki ağ geçidini de

Oturum açarak Abonelik 1'e bağlan'a bağlan'a tıklayın.

$vnet1gw = Get-AzVirtualNetworkGateway -Name $GWName1 -ResourceGroupName $RG1
$vnet2gw = Get-AzVirtualNetworkGateway -Name $GWName2 -ResourceGroupName $RG2

2. Her iki bağlantı da oluşturun

Bu adımda, TestVNet1'den TestVNet2'ye, bağlantıyı da TestVNet2'den TestVNet1'e bağlantı oluşturun.

New-AzVirtualNetworkGatewayConnection -Name $Connection12 -ResourceGroupName $RG1 -VirtualNetworkGateway1 $vnet1gw -VirtualNetworkGateway2 $vnet2gw -Location $Location1 -ConnectionType Vnet2Vnet -SharedKey 'AzureA1b2C3' -EnableBgp $True

New-AzVirtualNetworkGatewayConnection -Name $Connection21 -ResourceGroupName $RG2 -VirtualNetworkGateway1 $vnet2gw -VirtualNetworkGateway2 $vnet1gw -Location $Location2 -ConnectionType Vnet2Vnet -SharedKey 'AzureA1b2C3' -EnableBgp $True

Önemli

HER IKI bağlantı için de BGP'yi etkinleştirmeye emin olun.

Bu adımları tamamladıktan sonra, birkaç dakika sonra bağlantı kurulur. VNet-to-VNet bağlantısı tamamlandıktan sonra BGP eşleme oturumu yukarı olur.

Bu alıştırmanın üç parçasının üçünü de tamamladıysanız, aşağıdaki ağ topolojisi kurabilirsiniz:

VNet için BGP-to-VNet

Sonraki adımlar

Bağlantınız tamamlandıktan sonra, sanal ağlara sanal makine eklersiniz. Adımlar için bkz. Sanal Makine oluşturma.