Partager via

Configurer des connexions coexistantes ExpressRoute et de site à site en utilisant le portail Azure

  • Article

Cet article vous aide à configurer la coexistence de connexions ExpressRoute et VPN de site à site. La configuration des deux connexions présente plusieurs avantages, par exemple la fourniture d’un chemin d’accès de basculement sécurisé, ou la connexion à des sites non liés via ExpressRoute. Ce guide s’applique au modèle de déploiement Resource Manager.

Avantages de la coexistence de connexions

  • Chemin d’accès de basculement sécurisé : configurez un VPN site à site en tant que sauvegarde pour ExpressRoute.
  • Se connecter à des sites supplémentaires : utilisez des VPN site à site pour vous connecter à des sites qui ne sont pas connectés via ExpressRoute.

Les étapes de configuration de ces deux scénarios sont décrites dans cet article. Vous pouvez configurer n’importe quelle passerelle en premier, généralement sans temps d’arrêt, quand vous ajoutez une passerelle ou une connexion de passerelle.

Remarque

  • Pour créer un VPN site à site sur une connexion ExpressRoute, consultez VPN site à site via le Peering Microsoft.
  • Si vous disposez déjà d’ExpressRoute, vous n’avez pas besoin de créer de réseau virtuel ou de sous-réseau de passerelle, car ce sont des prérequis pour la création d’une instance d’ExpressRoute.
  • Pour une passerelle ExpressRoute chiffrée, la réduction de la valeur MSS (taille maximale de segment) est effectuée sur la passerelle VPN Azure afin de limiter la taille des paquets TCP à 1 250 octets.

Limites et restrictions

  • Seule la passerelle VPN basée sur le routage est prise en charge : utilisez une passerelle VPN basée sur le routage. Vous pouvez également utiliser une passerelle VPN basée sur le routage avec une connexion VPN configurée pour les « sélecteurs de trafic basés sur des stratégies », comme indiqué dans Se connecter à plusieurs périphériques VPN basés sur des stratégies.
  • Les configurations de passerelle VPN et ExpressRoute coexistants ne sont pas prises en charge par la référence SKU De base.
  • Communication BGP : les passerelles ExpressRoute et VPN doivent communiquer via BGP. Vérifiez que les UDR sur le sous-réseau de passerelle n’incluent pas de route pour la plage de sous-réseau de passerelle elle-même, car cela interfère avec le trafic BGP.
  • Routage de transit : pour le routage de transit entre ExpressRoute et le VPN, l’ASN de la passerelle VPN Azure doit avoir la valeur 65515. La passerelle VPN Azure prend en charge le protocole de routage BGP. Pour que les deux fonctionnent ensemble, conservez la valeur par défaut de l’ASN de votre passerelle VPN Azure, à savoir 65515. Si vous changez l’ASN en le remplaçant par 65515, réinitialisez la passerelle VPN pour que le paramètre prenne effet.
  • Taille du sous-réseau de passerelle : le sous-réseau de passerelle doit avoir le préfixe /27 ou un préfixe plus court (par exemple /26 ou /25), sinon vous recevez un message d’erreur au moment de l’ajout de la passerelle réseau virtuelle ExpressRoute.

Conceptions de configuration

Configurer un VPN site à site en tant que chemin d’accès de basculement pour ExpressRoute

Vous pouvez configurer une connexion VPN site à site en tant que sauvegarde pour ExpressRoute. Cette configuration s’applique uniquement aux réseaux virtuels liés au chemin d’accès de Peering privé Azure. Il n’existe aucune solution de basculement basée sur des réseaux VPN pour les services accessibles via le peering Azure Microsoft. Le circuit ExpressRoute reste la liaison principale, et les données transitent via le chemin d’accès VPN site à site uniquement en cas de défaillance du circuit ExpressRoute. Pour éviter le routage asymétrique, configurez votre réseau local afin de privilégier le circuit ExpressRoute au VPN site à site en définissant une préférence locale plus élevée pour les routes reçues via ExpressRoute.

Remarque

Si le peering Microsoft ExpressRoute est activé, vous pouvez recevoir l’adresse IP publique de votre passerelle Azure VPN sur la connexion ExpressRoute. Pour configurer votre connexion VPN site à site en tant que sauvegarde, configurez votre réseau local afin que la connexion VPN soit routée vers Internet.

Remarque

Bien que le circuit ExpressRoute soit préféré au VPN site à site quand les deux routes sont identiques, Azure utilise la correspondance de préfixe la plus longue pour choisir la route vers la destination du paquet.

Diagramme d’une connexion VPN de site à site utilisée comme sauvegarde pour ExpressRoute.

Configurer un VPN site à site pour se connecter à des sites non connectés via ExpressRoute

Vous pouvez configurer votre réseau pour que certains sites se connectent directement à Azure via un VPN site à site, tandis que d’autres se connectent via ExpressRoute.

Diagramme d’une connexion VPN de site à site coexistant avec une connexion ExpressRoute pour deux sites différents.

Sélection des étapes à suivre

Vous avez le choix entre deux ensembles de procédures. La procédure de configuration que vous sélectionnez varie selon que vous disposez d’un réseau virtuel existant auquel vous souhaitez vous connecter, ou que vous êtes amené à créer un réseau virtuel.

  • Je n’ai pas de VNet, et je dois en créer un.

    Si vous n’avez pas encore de réseau virtuel, suivez les étapes décrites dans Créer un réseau virtuel et des connexions qui coexistent pour créer un réseau virtuel à l’aide du modèle de déploiement Resource Manager, et configurer de nouvelles connexions ExpressRoute et VPN site à site.

  • J’ai déjà un VNet basé sur le modèle de déploiement Resource Manager.

    Si vous disposez déjà d’un réseau virtuel avec une connexion VPN site à site ou une connexion ExpressRoute, et si le préfixe de sous-réseau de passerelle est /28 ou plus (/29, /30, etc.), vous devez supprimer la passerelle existante. Suivez les étapes décrites dans Configurer des connexions qui coexistent pour un réseau virtuel déjà existant afin de supprimer la passerelle, et de créer des connexions ExpressRoute et des connexions VPN site à site.

    La suppression et la recréation de votre passerelle entraînent un temps d’arrêt pour vos connexions intersites. Toutefois, vos machines virtuelles et vos services peuvent toujours communiquer via l’équilibreur de charge durant ce processus, s’ils sont configurés pour le faire.

Créer un réseau virtuel et des connexions qui coexistent

Cette procédure vous guide tout au long de la création d’un réseau virtuel, et de la configuration de connexions ExpressRoute et VPN site à site coexistantes.

  1. Connectez-vous au portail Azure.

  2. En haut à gauche de l’écran, sélectionnez + Créer une ressource et recherchez Réseau virtuel.

  3. Sélectionnez Créer pour commencer à configurer le réseau virtuel.

    Capture d’écran de la page Créer un réseau virtuel.

  4. Dans l’onglet Informations de base, sélectionnez ou créez un nouveau groupe de ressources pour stocker le réseau virtuel. Entrez le nom, puis sélectionnez la région où déployer le réseau virtuel. Sélectionnez Suivant : Adresses IP> pour configurer l’espace d’adressage et les sous-réseaux.

    Capture d’écran de l’onglet De base pour créer un réseau virtuel.

  5. Sous l’onglet Adresses IP, configurez l’espace d’adressage du réseau virtuel. Définissez les sous-réseaux à créer, notamment le sous-réseau de passerelle. Sélectionnez Vérifier + créer, puis Créer pour déployer le réseau virtuel. Pour en savoir plus sur la création d’un réseau virtuel, consultez Créer un réseau virtuel. Pour plus d’informations sur la création de sous-réseaux, consultez Créer un sous-réseau.

    Important

    Le sous-réseau de la passerelle doit être défini sur /27 ou un préfixe plus court (comme /26 ou /25).

    Capture d’écran de l’onglet Adresses IP pour créer un réseau virtuel.

  6. Créez la passerelle VPN site à site et la passerelle réseau locale. Pour plus d’informations sur la configuration de la passerelle VPN, consultez Configurer un réseau virtuel avec une connexion de site à site. La valeur GatewaySku est prise en charge uniquement pour les passerelles VPN VpnGw1, VpnGw2, VpnGw3, Standard et HighPerformance. Les configurations coexistantes de passerelle VPN et ExpressRoute ne sont pas prises en charge par la référence SKU De base. La valeur VpnType doit être RouteBased.

  7. Configurez votre périphérique VPN local à connecter à la nouvelle passerelle VPN Azure. Pour plus d’informations sur la configuration du périphérique VPN, consultez la rubrique Configuration de périphérique VPN.

  8. Si vous vous connectez à un circuit ExpressRoute existant, ignorez les étapes 8 et 9, puis passez à l’étape 10. Configurez des circuits ExpressRoute. Pour plus d’informations sur la configuration d’un circuit ExpressRoute, consultez Créer un circuit ExpressRoute.

  9. Configurez un peering privé Azure via le circuit ExpressRoute. Pour plus d’informations sur la configuration du Peering privé Azure sur le circuit ExpressRoute, consultez Configurer le Peering.

  10. Sélectionnez + Créer une ressource et recherchez Passerelle de réseau virtuel. Sélectionnez ensuite Créer.

  11. Sélectionnez le type de passerelle ExpressRoute, la référence SKU appropriée ainsi que le réseau virtuel sur lequel déployer la passerelle.

    Créer une passerelle de réseau virtuel pour ExpressRoute.

  12. Liez la passerelle ExpressRoute au circuit ExpressRoute. Une fois cette étape effectuée, la connexion entre votre réseau local et Azure via ExpressRoute est établie. Pour plus d'informations sur l'opération de liaison, voir l'article Liaison de réseaux virtuels à ExpressRoute.

Configurer des connexions qui coexistent pour un réseau virtuel déjà existant

Si vous disposez d’un réseau virtuel avec une seule passerelle réseau virtuelle (par exemple une passerelle VPN site à site), et si vous souhaitez ajouter une autre passerelle d’un type distinct (par exemple une passerelle ExpressRoute), vérifiez la taille du sous-réseau de passerelle. Si le sous-réseau de passerelle est /27 ou plus, vous pouvez ignorer les étapes suivantes et suivre les étapes décrites dans la section précédente pour ajouter une passerelle VPN de site à site ou une passerelle ExpressRoute. Si le sous-réseau de passerelle est /28 ou /29, vous devez tout d’abord supprimer la passerelle de réseau virtuel et augmenter la taille du sous-réseau de passerelle. Les étapes décrites dans cette section vous indiquent la marche à suivre.

  1. Supprimez la passerelle VPN ExpressRoute ou de site à site existante.

  2. Supprimez et recréez GatewaySubnet avec un préfixe /27 ou plus court.

  3. Configurez un réseau virtuel avec une connexion de site à site, puis Configurez la passerelle ExpressRoute.

  4. Une fois la passerelle ExpressRoute déployée, vous pouvez lier le réseau virtuel au circuit ExpressRoute.

Pour ajouter une configuration point à site à la passerelle VPN

Vous pouvez ajouter une configuration point à site à votre ensemble coexistant en suivant les instructions fournies dans Configurer une connexion VPN point à site à l’aide de l’authentification par certificat Azure.

Pour activer le routage de transit entre ExpressRoute et Azure VPN

Si vous souhaitez activer la connectivité entre l’un de vos réseaux locaux connectés à ExpressRoute, et un autre réseau local connecté à une connexion VPN site à site, vous devez configurer le service Serveur de routes Azure.

Étapes suivantes

Pour plus d'informations sur ExpressRoute, consultez la FAQ sur ExpressRoute.