Sdílet prostřednictvím

Konfigurace společně existujících připojení ExpressRoute a Site-to-Site pomocí webu Azure Portal

  • Článek

Tento článek vám pomůže nakonfigurovat připojení VPN Typu ExpressRoute a Site-to-Site, která existují společně. Konfigurace obou připojení má několik výhod, jako je poskytnutí zabezpečené cesty převzetí služeb při selhání nebo připojení k lokalitám, které nejsou propojené přes ExpressRoute. Tato příručka se týká modelu nasazení Resource Manager.

Výhody existujících připojení

  • Zabezpečená cesta převzetí služeb při selhání: Nakonfigurujte síť VPN typu Site-to-Site jako zálohu pro ExpressRoute.
  • Připojení k dalším webům: Připojení k webům, které nejsou připojené přes ExpressRoute, použijte sítě VPN typu Site-to-Site.

V tomto článku jsou postupy konfigurace pro oba scénáře. Bránu můžete nakonfigurovat jako první, obvykle bez výpadků při přidávání nové brány nebo připojení brány.

Poznámka:

  • Informace o vytvoření sítě VPN typu Site-to-Site přes připojení ExpressRoute najdete v tématu Site-to-Site přes partnerský vztah Microsoftu.
  • Pokud už expressRoute máte, nemusíte vytvářet virtuální síť ani podsíť brány, protože jsou předpokladem pro vytvoření ExpressRoute.
  • Pro zašifrovanou bránu ExpressRoute provádí MSS (maximální velikost segmentu) uchycení přes Azure VPN Gateway, aby upnula velikost paketů TCP na 1 250 bajtů.

Omezení a omezení

  • Podporuje se pouze brána VPN založená na směrování: Použijte bránu VPN založenou na směrování. Bránu VPN založenou na směrování můžete také použít s připojením VPN nakonfigurovaným pro selektory provozu založené na zásadách, jak je popsáno v tématu Připojení k více zařízením VPN založeným na zásadách.
  • Konfigurace služby ExpressRoute-VPN Gateway nejsou v základní SKU podporované.
  • Komunikace protokolu BGP: Brány ExpressRoute i VPN musí komunikovat přes protokol BGP. Ujistěte se, že žádná trasa definovaná uživatelem v podsíti brány neobsahuje trasu pro samotný rozsah podsítě brány, protože to koliduje s provozem protokolu BGP.
  • Směrování přenosu: Pro směrování přenosu mezi ExpressRoute a VPN musí být ASN služby Azure VPN Gateway nastavená na 65515. Azure VPN Gateway podporuje směrovací protokol BGP. Pokud chcete spolupracovat, ponechte ASN vaší brány Azure VPN gateway na výchozí hodnotě 65515. Pokud změníte ASN na 65515, resetujte bránu VPN, aby se nastavení projevilo.
  • Velikost podsítě brány: Podsíť brány musí být /27 nebo kratší předpona (například /26 nebo /25) nebo se při přidávání brány virtuální sítě ExpressRoute zobrazí chybová zpráva.

Návrhy konfigurace

Konfigurace sítě VPN typu Site-to-Site jako cesty převzetí služeb při selhání pro ExpressRoute

Připojení VPN typu Site-to-Site můžete nastavit jako zálohu pro ExpressRoute. Toto nastavení platí jenom pro virtuální sítě propojené s cestou privátního partnerského vztahu Azure. Neexistuje žádné řešení převzetí služeb při selhání založené na síti VPN pro služby přístupné prostřednictvím partnerského vztahu Azure Microsoftu. Okruh ExpressRoute zůstává primárním propojením a data procházejí cestou VPN typu Site-to-Site pouze v případě, že okruh ExpressRoute selže. Abyste se vyhnuli asymetrickým směrováním, nakonfigurujte místní síť tak, aby upřednostňovala okruh ExpressRoute před vpn typu Site-to-Site nastavením vyšší místní předvolby pro trasy přijaté přes ExpressRoute.

Poznámka:

Pokud máte povolený partnerský vztah Microsoftu ExpressRoute, můžete na připojení ExpressRoute obdržet veřejnou IP adresu brány Azure VPN. Pokud chcete nastavit připojení VPN typu Site-to-Site jako zálohu, nakonfigurujte místní síť tak, aby bylo připojení VPN směrováno na internet.

Poznámka:

I když je okruh ExpressRoute upřednostňovaný před vpn typu Site-to-Site, když jsou obě trasy stejné, Azure použije nejdelší shodu předpony k výběru trasy směrem k cíli paketu.

Diagram připojení VPN typu site-to-site, které se používá jako zálohování pro ExpressRoute

Konfigurace sítě VPN typu Site-to-Site pro připojení k webům, které nejsou připojené přes ExpressRoute

Síť můžete nakonfigurovat tak, aby se některé lokality připojily přímo k Azure přes vpn typu Site-to-Site, zatímco jiné se připojují přes ExpressRoute.

Diagram připojení VPN typu site-to-site, které spoluexistuje s připojením ExpressRoute pro dvě různé lokality

Výběr kroků, které se mají použít

Existují dvě různé sady postupů, ze kterých si můžete vybrat. Postup konfigurace, který vyberete, závisí na tom, jestli máte existující virtuální síť, ke které se chcete připojit, nebo pokud potřebujete vytvořit novou virtuální síť.

  • Nemám virtuální síť a potřebuji ji vytvořit.

    Pokud ještě nemáte virtuální síť, postupujte podle pokynů v tématu Vytvoření nové virtuální sítě a spoluexistující připojení k vytvoření nové virtuální sítě pomocí modelu nasazení Resource Manager a nastavení nových připojení ExpressRoute a VPN typu Site-to-Site.

  • Už mám virtuální síť modelu nasazení Resource Manager.

    Pokud už máte virtuální síť se stávajícím připojením VPN typu Site-to-Site nebo připojením ExpressRoute a předpona podsítě brány je /28 nebo delší (/29, /30 atd.), musíte stávající bránu odstranit. Postupujte podle pokynů v části Konfigurace existujících připojení pro již existující virtuální síť , abyste odstranili bránu a vytvořili nová připojení VPN typu ExpressRoute a Site-to-Site.

    Odstranění a opětovné vytvoření brány způsobí výpadek pro vaše připojení mezi místními sítěmi. Vaše virtuální počítače a služby ale můžou během tohoto procesu komunikovat prostřednictvím nástroje pro vyrovnávání zatížení, pokud jsou k tomu nakonfigurované.

Vytvoření nové virtuální sítě a současně existujících připojení

Tento postup vás provede vytvořením virtuální sítě a konfigurací existujících připojení Typu Site-to-Site a ExpressRoute.

  1. Přihlaste se k portálu Azure.

  2. V levém horním rohu obrazovky vyberte + Vytvořit prostředek a vyhledejte virtuální síť.

  3. Výběrem možnosti Vytvořit zahájíte konfiguraci virtuální sítě.

    Snímek obrazovky se stránkou vytvořit virtuální síť

  4. Na kartě Základy vyberte nebo vytvořte novou skupinu prostředků pro uložení virtuální sítě. Zadejte název a vyberte oblast pro nasazení virtuální sítě. Vyberte Další: IP adresy > pro konfiguraci adresního prostoru a podsítí.

    Snímek obrazovky s kartou Základy pro vytvoření virtuální sítě

  5. Na kartě IP adresy nakonfigurujte adresní prostor virtuální sítě. Definujte podsítě, které chcete vytvořit, včetně podsítě brány. Vyberte Zkontrolovat a vytvořit a pak vytvořte a nasaďte virtuální síť. Další informace o vytváření virtuálních sítí najdete v tématu Vytvoření virtuální sítě. Další informace o vytváření podsítí najdete v tématu Vytvoření podsítě.

    Důležité

    Podsíť brány musí být /27 nebo kratší předpona (například /26 nebo /25).

    Snímek obrazovky s kartou IP adres pro vytvoření virtuální sítě

  6. Vytvořte bránu VPN typu Site-to-Site a bránu místní sítě. Další informace o konfiguraci brány VPN najdete v tématu Konfigurace virtuální sítě s připojením typu Site-to-Site. GatewaySku podporují pouze následující brány VPN: VpnGw1, VpnGw2, VpnGw3, Standard a HighPerformance. Konfigurace služby ExpressRoute-VPN Gateway nejsou v základní SKU podporované. VpnType musí být RouteBased.

  7. Nakonfigurujte místní zařízení VPN pro připojení k nové bráně Azure VPN. Další informace o konfiguraci zařízení VPN najdete v tématu Konfigurace zařízení VPN.

  8. Pokud se připojujete k existujícímu okruhu ExpressRoute, přeskočte kroky 8 a 9 a přejděte ke kroku 10. Nakonfigurujte okruhy ExpressRoute. Další informace o konfiguraci okruhu ExpressRoute najdete v tématu Vytvoření okruhu ExpressRoute.

  9. Nakonfigurujte soukromý partnerský vztah Azure přes okruh ExpressRoute. Další informace o konfiguraci privátního partnerského vztahu Azure přes okruh ExpressRoute najdete v tématu Konfigurace partnerského vztahu.

  10. Vyberte + Vytvořit prostředek a vyhledejte bránu virtuální sítě. Pak vyberte Vytvořit.

  11. Vyberte typ brány ExpressRoute, příslušnou skladovou položku a virtuální síť, do které chcete bránu nasadit.

    Snímek obrazovky s vytvořením brány virtuální sítě pro ExpressRoute

  12. Propojte bránu ExpressRoute s okruhem ExpressRoute. Po dokončení tohoto kroku se vytvoří připojení mezi vaší místní sítí a Azure prostřednictvím ExpressRoute. Další informace o operaci propojení najdete v tématu Propojení virtuálních sítí s ExpressRoute.

Konfigurace společně existujících připojení pro již existující virtuální síť

Pokud máte virtuální síť pouze s jednou bránou virtuální sítě (například bránou VPN typu Site-to-Site) a chcete přidat jinou bránu jiného typu (například bránu ExpressRoute), zkontrolujte velikost podsítě brány. Pokud je podsíť brány /27 nebo větší, můžete následující kroky přeskočit a podle kroků v předchozí části přidat bránu VPN typu Site-to-Site nebo bránu ExpressRoute. Pokud podsíť brány je /28 nebo /29, musíte nejdřív bránu virtuální sítě odstranit a zvýšit velikost podsítě brány. Postup v této části ukazuje, jak to provést.

  1. Odstraňte existující bránu ExpressRoute nebo VPN typu site-to-site.

  2. Odstraňte a znovu vytvořte podsíť brány s předponou /27 nebo kratší.

  3. Nakonfigurujte virtuální síť s připojením typu Site-to-Site a pak nakonfigurujte bránu ExpressRoute.

  4. Po nasazení brány ExpressRoute můžete virtuální síť propojit s okruhem ExpressRoute.

Přidání konfigurace point-to-site k bráně VPN

Konfiguraci point-to-site můžete do existující sady přidat podle pokynů v konfiguraci připojení VPN typu Point-to-Site pomocí ověřování certifikátů Azure.

Povolení směrování přenosu mezi ExpressRoute a Azure VPN

Pokud chcete povolit připojení mezi jednou z místních sítí připojených k ExpressRoute a jinou místní sítí připojenou k připojení VPN typu Site-to-Site, musíte nastavit Azure Route Server.

Další kroky

Další informace o ExpressRoute najdete v tématu ExpressRoute – nejčastější dotazy.