使用 Azure 入口網站設定 ExpressRoute 和站對站並存連線
本文將協助您設定並存的 ExpressRoute 和站對站 VPN 連線。 能夠設定站對站 VPN 和 ExpressRoute 有幾個優點。 您可以將站對站 VPN 設定為 ExressRoute 的安全容錯移轉路徑,或使用站對站 VPN 來連線至不是透過 ExpressRoute 連線的網站。 本文會說明設定這兩個案例的步驟。 本文適用於資源管理員部署模型。
設定站對站 VPN 和 ExpressRoute 並存連線有幾個優點:
- 您可以設定站對站 VPN 作為 ExpressRoute 的安全容錯移轉路徑。
- 或者,您可以使用站對站 VPN 來連線至不是透過 ExpressRoute 連線的網站。
本文涵蓋設定這兩個案例的步驟。 您可以先設定任一閘道。 通常,在新增閘道或閘道連線時,不會導致任何停機時間。
注意
如果您想要透過 ExpressRoute 連線來建立站對站 VPN,請參閱透過 Microsoft 對等互連的站對站連線。
限制
- 僅支援路由式 VPN 閘道。 您必須使用路由式 VPN 閘道。 您也可以使用路由式 VPN 閘道,並針對 [原則式流量選取器] 設定 VPN 連線,如連線到多個原則型 VPN 裝置所說明。
- 基本 SKU 不支援 ExpressRoute-VPN 閘道共存設定。
- ExpressRoute 和 VPN 閘道都必須能夠透過 BGP 彼此通訊,才能正常運作。 如果在閘道子網上使用 UDR,請確定它不包含閘道子網範圍的路由,因為這會干擾 BGP 流量。
- 如果想使用 ExpressRoute 與 VPN 之間的傳輸路由,Azure VPN 閘道的 ASN 必須設為 65515。 Azure VPN 閘道支援 BGP 路由通訊協定。 若要讓 ExpressRoute 和 Azure VPN 一起運作,您必須將 Azure VPN 閘道的自治系統號碼維持在預設值 65515。 如果之前選取了 65515 以外的 ASN,後來又將設定變更為 65515,您必須重設 VPN 閘道,設定才會生效。
- 閘道子網路必須是 /27 或較短的首碼 (例如 /26、/25),否則當您新增 ExpressRoute 虛擬網路閘道時,就會收到錯誤訊息。
- 僅限 IPv4 流量共存。 支援 ExpressRoute 與 VPN 閘道共存,但僅適用於 IPv4 流量。 VPN 閘道不支援 IPv6 流量。
組態設計
設定站對站 VPN 作為 ExpressRoute 的容錯移轉路徑
您可以設定站對站 VPN 連線作為 ExpressRoute 的備份。 此連線僅適用於連結至 Azure 私人對等路徑的虛擬網路。 對於可透過 Microsoft Azure 對等互連存取的服務,沒有以 VPN 為基礎的容錯移轉解決方案。 ExpressRoute 線路一律為主要連結。 只有在 ExpressRoute 線路失敗時,資料才會流經站對站 VPN 路徑。 為了避免非對稱式路由,您的本機網路設定也應該偏好透過 ExpressRoute 線路而不是站對站 VPN。 您可以為接收 ExpressRoute 的路由設定較高的本機喜好設定,來偏好透過 ExpressRoute 路徑。
注意
如果您已啟用 ExpressRoute Microsoft 對等互連,您會在 ExpressRoute 連線上收到 Azure VPN 閘道的公用 IP 位址。 若要將您的站對站 VPN 連線設定為備份,您必須設定內部部署網路,以將 VPN 連線路由到網際網路。
注意
雖然當兩個路由相同時,ExpressRoute 線路偏好透過站對站 VPN,但 Azure 會使用最長的相符前置詞來選擇朝向封包目的地的路由。
設定站對站 VPN 來連線到未透過 ExpressRoute 連接的網站
您可以將網路設定成有些網站透過站對站 VPN 直接連線到 Azure,而有些網站透過 ExpressRoute 來連線。
選取要使用的步驟
有兩組不同的程序可供選擇。 您所選取的設定程序取決於您是已經有想要連線的現有虛擬網路,還是想要建立新的虛擬網路。
我沒有 VNet 且需要建立一個。
如果您還沒有虛擬網路,這個程序將引導您使用 Resource Manager 部署模型來建立新的虛擬網路,並建立新的 ExpressRoute 和站對站 VPN 連線。 若要設定虛擬網路,請依照建立新的虛擬網路和並存的連線中的步驟進行。
我已經有一個 Resource Manager 部署模型 VNet。
您可能已經有虛擬網路,而且使用現有的站對站 VPN 連線或 ExpressRoute 連線。 在這個案例中,如果閘道子網路首碼是 /28 或更長 (/29、/30 等),您就必須刪除現有的閘道。 為已經存在的 VNet 設定並存的連線一節會引導您刪除閘道,然後建立新的 ExpressRoute 和站對站 VPN 連線。
如果您刪除後重建閘道,跨單位連線則會停止。 然而,您的 VM 和服務可以透過負載平衡器對外通訊,而您能夠在這兩者設定為這樣做時進行閘道器設定。
建立新的虛擬網路和並存的連線
此程序會引導您建立可並存的 VNet、站對站和 ExpressRoute 連線。
登入 Azure 入口網站。
在畫面左上方,選取 [+ 建立資源] 並搜尋 [虛擬網路]。
選取 [建立],開始設定虛擬網路。
在 [基本] 索引標籤上,選取或建立新的 [資源群組] 以儲存虛擬網路。 然後輸入 [名稱] 並選取要部署虛擬網路的 [區域]。 選取 [下一步:IP 位址 >] 以設定位址空間和子網路。
在 [IP 位址] 索引標籤上,設定虛擬網路位址空間。 然後定義您要建立的子網路,包括閘道子網路。 依序選取 [檢閱 + 建立] 和 [建立]* 以部署虛擬網路。 如需有關建立虛擬網路的詳細資訊,請參閱建立虛擬網路。 如需有關建立子網路的詳細資訊,請參閱建立子網路。
重要
閘道子網路必須是 /27 或更短的首碼 (例如 /26 或 /25)。
![用於建立虛擬網路的 [IP 位址] 索引標籤螢幕快照。](media/how-to-configure-coexisting-gateway-portal/vnet-ip-addresses.png)
建立站對站 VPN 閘道和區域網路閘道。 如需 VPN 閘道組態的詳細資訊,請參閱利用站對站連線設定 VNet。 只有 VpnGw1、VpnGw2、VpnGw3、Standard 和 HighPerformance VPN 閘道支援 GatewaySku。 基本 SKU 不支援 ExpressRoute-VPN 閘道共存組態。 VpnType 必須是 RouteBased。
設定本機 VPN 裝置以連接到新的 Azure VPN 閘道。 如需關於 VPN 裝置組態的詳細資訊,請參閱 VPN 裝置組態。
如果您要連線至現有 ExpressRoute 線路,請略過步驟 8 和 9 並跳至步驟 10。 設定 ExpressRoute 線路。 如需詳細資訊,請參閱建立 ExpressRoute 路線。
設定透過 ExpressRoute 線路的 Azure 私人對等互連。 如需設定透過 ExpressRoute 線路的 Azure 私人對等互連詳細資訊,請參閱設定對等互連
選取 [+ 建立資源] 並搜尋 [虛擬網路閘道]。 然後選取建立。
選取 [ExpressRoute] 閘道類型、適當的 [SKU],以及要部署閘道的虛擬網路。
將 ExpressRoute 閘道器連結到 ExpressRoute 電路。 完成這個步驟之後,內部部署網路和 Azure 之間的連線 (透過 ExpressRoute ) 便會建立。 如需連結作業的詳細資訊,請參閱 將 Vnet 連結到 ExpressRoute。
為已經存在的 VNet 設定並存的連線
如果您的某個虛擬網路只有一個虛擬網路閘道 (例如,站對站 VPN 閘道),而您想要新增不同類型的另一個閘道 (例如,ExpressRoute 閘道),請檢查閘道子網路大小。 如果閘道器子網路是 /27 以上,您可以略過下列步驟,並依照上一節中的步驟新增站對站 VPN 閘道或 ExpressRoute 閘道。 如果閘道器子網路是/28 或/29,您必須先刪除虛擬網路閘道器,並增加閘道器子網路大小。 本節中的步驟示範如何執行該作業。
刪除現有的 ExpressRoute 或站對站 VPN 閘道。
刪除並重新建立 GatewaySubnet,使其首碼為 /27 或更短。
部署 ExpressRoute 閘道之後,您可以將虛擬網路連結至 ExpressRoute 線路。
將點對站組態新增至 VPN 閘道
您可以遵循使用 Azure 憑證驗證設定點對站 VPN 連線中的指示,將點對站組態新增至您的共存集合
啟用 ExpressRoute 與 Azure VPN 之間的傳輸路由
如果要在其中一個連線至 ExpressRoute 的區域網路與另一個連線至站對站 VPN 連線的區域網路之間啟用連線,您必須設定 Azure 路由伺服器。
下一步
如需有關 ExpressRoute 的詳細資訊,請參閱 ExpressRoute 常見問題集。