Поделиться через

Как настроить BGP в шлюзе Azure VPN

  • Статья

В этой статье объясняется, как включить BGP на VPN-подключениях типа "сайт-сайт" (S2S) и подключениях между виртуальными сетями с помощью портала Azure. Вы также можете создать эту конфигурацию с помощью azure CLI или PowerShell .

Стандартный протокол маршрутизации BGP обычно используется в Интернете для обмена данными о маршрутизации и доступности между двумя или несколькими сетями. Протокол BGP используется VPN-шлюзами и локальными VPN-устройствами (так называемыми соседями BGP) для обмена маршрутами, что позволяет информировать обоих участников о доступности и достижимости тех префиксов для прохождения через шлюзы или маршрутизаторы. Также BGP позволяет передавать трафик транзитом через несколько сетей. Для этого шлюз BGP распространяет на все известные ему узлы BGP информацию о маршрутах, полученную от остальных узлов BGP.

Дополнительные сведения о преимуществах BGP и о технических требованиях и рекомендациях по использованию BGP см. в разделе о BGP и Azure VPN-шлюз.

Начало работы

Все части этой статьи помогут вам создать базовые блоки для использования BGP в вашей сети. Если вы завершите все три части (настройте BGP на шлюзе, подключении S2S и подключении между виртуальными сетями) вы создадите топологию, как показано на схеме 1. Вы можете объединять части вместе для создания более сложной, многозвенной, транзитной сети, которая удовлетворяет вашим потребностям.

Схема 1

Схема, показывающая сетевую архитектуру и параметры.

В качестве контекста, ссылаясь на Схему 1, если BGP была бы отключена между TestVNet2 и TestVNet1, TestVNet2 не будут известны маршруты для локальной сети, Site5 и поэтому не смогла бы общаться с Site5. После включения BGP все три сети смогут обмениваться данными через подключения S2S IPsec и VNet-to-VNet.

Предварительные условия

Убедитесь в том, что у вас уже есть подписка Azure. Если у вас нет подписки Azure, вы можете активировать преимущества для подписчиков MSDN или зарегистрировать бесплатную учетную запись.

Включение BGP для VPN-шлюза

Выполните действия в этом разделе, прежде чем выполнять какие-либо шаги в остальных двух разделах конфигурации. Следующие шаги настройки настраивают параметры BGP VPN-шлюза, как показано на схеме 2.

Схема 2

Схема с параметрами шлюза виртуальной сети.

1. Создание TestVNet1

На этом шаге вы создадите и настроите TestVNet1. Выполните действия, описанные в руководстве по созданию шлюза, чтобы создать и настроить виртуальную сеть Azure и VPN-шлюз.

Примеры значений виртуальной сети:

  • Группа ресурсов: TestRG1.
  • Виртуальная сеть: TestVNet1
  • Расположение или регион: EastUS
  • Адресное пространство: 10.11.0.0/16, 10.12.0.0/16
  • Подсетей:
    • FrontEnd: 10.11.0.0/24
    • BackEnd: 10.12.0.0/24
    • GatewaySubnet: 10.12.255.0/27

2. Создание шлюза TestVNet1 с помощью BGP

На этом шаге вы создадите VPN-шлюз с соответствующими параметрами BGP.

  1. Выполните действия, описанные в статье "Создание VPN-шлюза " и управление ими, чтобы создать шлюз со следующими параметрами:

    • Сведения об экземпляре:

      • Имя: Vnet1GW
      • Регион: EastUS
      • Тип шлюза: VPN
      • Тип VPN: на основе маршрутов
      • Номер SKU: VpnGW1 или более поздней версии
      • Поколение: выбор поколения
      • Виртуальная сеть: TestVNet1

    • Общедоступный IP-адрес

      • Тип общедоступного IP-адреса: базовый или стандартный
      • Общедоступный IP-адрес: выберите вариант "Создать новый"
      • Имя общедоступного IP-адреса: VNet1GWIP
      • Включить активно-активный режим: отключено
      • Настроить BGP: включено.

  2. В выделенном разделе Настройка BGP на странице настройте следующие параметры.

    • Выберите Настроить BGP - Разрешено, чтобы отобразить раздел конфигурации BGP.

    • Заполните ASN (номер автономной системы).

    • Поле IP-адрес BGP APIPA Azure является необязательным. Если локальные VPN-устройства используют APIPA-адрес для BGP, необходимо выбрать адрес из диапазона адресов APIPA, зарезервированных в Azure для VPN, который находится в диапазоне от 169.254.21.0 до 169.254.22.255.

    • Если вы создаете VPN-шлюз active-active, в разделе BGP будет отображаться дополнительный пользовательский IP-адрес BGP Azure APIPA BGP. Каждый выбранный адрес должен быть уникальным и в пределах допустимого диапазона APIPA (от 169.254.21.0 до 169.254.22.255). Шлюзы с активным-активным режимом также поддерживают несколько адресов для IP-адреса APIPA протокола BGP Azure и второго пользовательского IP-адреса APIPA протокола BGP Azure. Дополнительные поля для ввода будут отображаться только после добавления первого IP-адреса APIPA протокола BGP.

      Внимание

      • По умолчанию Azure назначает частный IP-адрес из диапазона префикса GatewaySubnet автоматически в качестве IP-адреса Azure BGP на VPN-шлюзе. Настраиваемый IP-адрес BGP для Azure требуется в том случае, если на локальных VPN-устройствах используется адрес APIPA (169.254.0.1–169.254.255.254) в качестве IP-адреса BGP. VPN-шлюз выберет пользовательский адрес APIPA, если соответствующий ресурс шлюза локальной сети имеет адрес APIPA в качестве IP-адреса однорангового узла BGP. Если шлюз локальной сети использует обычный IP-адрес (а не APIPA), VPN-шлюз вернется к частному IP-адресу из диапазона GatewaySubnet.

      • Адреса BGP APIPA не должны перекрываться между локальными VPN-устройствами и всеми подключенными VPN-шлюзами.

      • Если адреса APIPA используются в VPN-шлюзах, шлюзы не инициируют сеансы пиринга BGP с ip-адресами источника APIPA. Локальное VPN-устройство должно являться инициатором пиринговых подключений BGP.

  3. Выберите Просмотр и создание, чтобы выполнить проверку. Как только проверка пройдена, выберите Создать, чтобы развернуть шлюз виртуальной частной сети. Создание шлюза часто занимает 45 минут и более, в зависимости от выбранного SKU шлюза. Состояние развертывания можно отслеживать на странице обзора шлюза.

3. Получение IP-адресов однорангового узла Azure BGP

После создания шлюза можно получить IP-адреса однорангового узла BGP на VPN-шлюзе. Эти адреса необходимы для настройки локальных VPN-устройств для создания сеансов BGP с VPN-шлюзом.

На странице "Конфигурация шлюза виртуальной сети" можно просмотреть сведения о конфигурации BGP в VPN-шлюзе: ASN, общедоступный IP-адрес и соответствующие IP-адреса одноранговых ip-адресов BGP на стороне Azure (по умолчанию и APIPA). Вы также можете внести следующие изменения конфигурации:

  • При необходимости обновите IP-адрес ASN или APIPA BGP.
  • Если у вас есть VPN-шлюз в конфигурации active-active, на этой странице будут показаны общедоступный IP-адрес, IP-адрес по умолчанию и IP-адреса BGP APIPA второго экземпляра VPN-шлюза.

Чтобы получить IP-адрес однорангового узла Azure BGP, выполните следующие действия.

  1. Перейдите к ресурсу шлюза виртуальной сети и выберите страницу "Конфигурация" , чтобы просмотреть сведения о конфигурации BGP.
  2. Запишите IP-адрес однорангового узла BGP.

Настройка BGP в локальных подключениях S2S

Инструкции в этом разделе применяются к конфигурациям между локальными сайтами и сайтами.

Чтобы установить соединение между локальными сетями, нужно создать локальный сетевой шлюз, который будет представлять локальное VPN-устройство, а также подключение между VPN-шлюзом и шлюзом локальной сети, как описано в разделе Создание подключения "сайт-сайт". В следующих разделах содержатся дополнительные свойства, необходимые для указания параметров конфигурации BGP, как показано на схеме 3.

Схема 3

Схема, показывающая конфигурацию IPsec.

Прежде чем продолжить, убедитесь, что вы включили BGP для VPN-шлюза.

1. Создание шлюза локальной сети

Настройте шлюз локальной сети с параметрами BGP.

  • Для получения сведений и выполнения действий см. раздел шлюза локальной сети в статье о подключении сети к сети.
  • Если у вас уже есть шлюз локальной сети, его можно изменить. Чтобы изменить шлюз локальной сети, перейдите на страницу конфигурации ресурсов шлюза локальной сети и внесите необходимые изменения.

  1. При создании шлюза локальной сети для этого упражнения используйте следующие значения:

    • Имя: Site5
    • IP-адрес: IP-адрес конечной точки шлюза, к которой требуется подключиться. Пример: 128.9.9.9
    • Адресные пространства: если BGP включен, адресное пространство не требуется.

  2. Чтобы настроить параметры BGP, перейдите на страницу "Дополнительно ". Используйте следующие примеры значений (показанные на схеме 3). Измените все значения, необходимые для соответствия вашей среде.

    • Настройка параметров BGP: Да
    • Номер автономной системы (ASN): 65050
    • IP-адрес однорангового узла BGP: адрес локального VPN-устройства. Пример: 10.51.255.254

  3. Нажмите кнопку "Просмотр и создание ", чтобы создать шлюз локальной сети.

Важные рекомендации по настройке

  • Номер ASN и IP-адрес однорангового узла BGP должны соответствовать конфигурации локального VPN-маршрутизатора.
  • Адресное пространство можно оставить пустым, только если вы используете BGP для подключения к этой сети. VPN-шлюз Azure добавит маршрут вашего IP-адреса BGP-партнёра во внутреннюю конфигурацию соответствующего туннеля IPsec. Если вы не используете BGP между VPN-шлюзом и этой конкретной сетью, необходимоуказать список допустимых префиксов адресов для адресного пространства.
  • При необходимости можно использовать IP-адрес APIPA (169.254. x. x) в качестве локального однорангового узла BGP. Но вам также потребуется указать IP-адрес APIPA для VPN-шлюза, как описано ранее в этой статье, в противном случае сеанс BGP не сможет установиться для данного подключения.
  • Сведения о конфигурации BGP можно ввести во время создания шлюза локальной сети. Можно также добавить или изменить конфигурацию BGP на странице Конфигурация ресурса шлюза локальной сети.

2. Настройка подключения S2S с включенной BGP

На этом шаге вы создадите новое подключение с включенным BGP. Если у вас уже есть подключение и вы хотите включить BGP на нем, вы можете обновить его.

Создание подключения

  1. Чтобы создать новое подключение, перейдите на страницу "Подключения шлюза виртуальной сети".
  2. Выберите +Добавить, чтобы открыть страницу Добавить подключение.
  3. Заполните необходимые значения.
  4. Выберите "Включить BGP", чтобы включить BGP для этого подключения.
  5. Нажмите ОК, чтобы сохранить изменения.

Обновление существующего подключения

  1. Перейдите на страницу подключений шлюза виртуальной сети.
  2. Выберите подключение, которое нужно изменить.
  3. Перейдите на страницу "Конфигурация" для подключения.
  4. Измените параметр BGP на "Включено".
  5. Сохраните свои изменения.

Конфигурация локального устройства

В следующем примере перечислены параметры, которые следует ввести в разделе конфигурации BGP на локальном VPN-устройстве для нашего упражнения.

- Site5 ASN            : 65050
- Site5 BGP IP         : 10.51.255.254
- Prefixes to announce : (for example) 10.51.0.0/16
- Azure VNet ASN       : 65010
- Azure VNet BGP IP    : 10.12.255.30
- Static route         : Add a route for 10.12.255.30/32, with nexthop being the VPN tunnel interface on your device
- eBGP Multihop        : Ensure the "multihop" option for eBGP is enabled on your device if needed

Включение BGP для подключений между виртуальными сетями

Действия, описанные в этом разделе, применяются к подключениям между виртуальными сетями.

Чтобы включить или отключить BGP в подключении между виртуальными сетями, выполните те же действия, что и действия S2S между площадками, описанные в предыдущем разделе. Можно включить BGP при создании подключения или при обновлении конфигурации существующего подключения "Виртуальная сеть на виртуальную сеть".

Примечание.

Подключение VNet к VNet без BGP ограничит обмен данными только между двумя подключенными виртуальными сетями. Включите BGP, чтобы обеспечить возможность транзитной маршрутизации для других подключений "сеть — сеть" или "виртуальная сеть — виртуальная сеть" в этих двух виртуальных сетях.

Следующие шаги

Дополнительные сведения о BGP см. в разделе "О BGP" и VPN-шлюз.