Condividi tramite


Come configurare BGP per il gateway VPN di Azure

Questo articolo illustra come abilitare BGP in connessioni VPN da sito a sito cross-premise e connessioni da rete virtuale a rete virtuale tramite il portale di Azure. È anche possibile creare questa configurazione usando l’interfaccia della riga di comando di Azure o i passaggi di PowerShell.

BGP è il protocollo di routing standard comunemente usato in Internet per lo scambio di informazioni di routing e raggiungibilità tra due o più reti. BGP consente ai gateway VPN e ai dispositivi VPN locali, detti peer BGP o router adiacenti, lo scambio di "route" che indicano a entrambi i gateway la disponibilità e la raggiungibilità di tali prefissi per il passaggio attraverso i gateway o i router coinvolti. BGP può anche abilitare il routing di transito tra più reti propagando a tutti gli altri peer BGP le route che un gateway BGP apprende da un peer BGP.

Per altre informazioni sui vantaggi di BGP, sui requisiti tecnici e sulle considerazioni relative all'uso di BGP, vedere Informazioni su BGP e il gateway VPN di Azure.

Introduzione

Ogni parte di questo articolo assistenza nella creazione di un blocco predefinito di base per abilitare BGP nella connettività di rete. Se si completano tutte e tre le parti (configurare BGP nel gateway, la connessione da sito a sito e la connessione da rete virtuale a rete virtuale) si compila la topologia, come illustrato nel Diagramma 1. È possibile combinare le parti per creare una rete di transito a più hop più complessa per soddisfare le proprie esigenze.

Diagramma 1

Diagramma che mostra l'architettura e le impostazioni di rete.

Per il contesto, facendo riferimento al diagramma 1, se BGP dovesse essere disabilitato tra TestVNet2 e TestVNet1, TestVNet2 non imparerebbe le route per la rete locale, Site5 e quindi non poteva comunicare con il sito 5. Dopo aver abilitato BGP, tutte e tre le reti saranno in grado di comunicare tramite le connessioni da sito a rete virtuale e IPsec da sito a sito.

Prerequisiti

Verificare di possedere una sottoscrizione di Azure. Se non si ha una sottoscrizione di Azure, è possibile attivare i vantaggi per i sottoscrittori di MSDN oppure iscriversi per ottenere un account gratuito.

Abilitare BGP per il gateway VPN

Questa sezione è obbligatoria prima dell'esecuzione dei passaggi illustrati nelle altre due sezioni di configurazione. La procedura di configurazione configura i parametri BGP nel gateway VPN come illustrato nel diagramma seguente.

Diagramma 2

Diagramma che mostra le impostazioni per il gateway di rete virtuale.

1. Creare TestVNet1

In questo passaggio si crea e si configura TestVNet1. Usare la procedura descritta nell'esercitazione Creare un gateway per creare e configurare la rete virtuale di Azure e il gateway VPN.

Valori di esempio di rete virtuale:

  • Gruppo di risorse: TestRG1
  • VNet: TestVNet1
  • Località/Area: EastUS
  • Spazio indirizzi: 10.11.0.0/16, 10.12.0.0/16
  • Subnet:
    • FrontEnd: 10.11.0.0/24
    • BackEnd: 10.12.0.0/24
    • GatewaySubnet: 10.12.255.0/27

2. Creare un gateway TestVNet1 con BGP

In questo passaggio viene creato un gateway VPN con i parametri BGP corrispondenti.

  1. Usare la procedura descritta in Creare e gestire un gateway VPN per creare un gateway con i parametri seguenti:

    • Dettagli dell’istanza:

      • Nome: VNet1GW
      • Area: EastUS
      • Tipo di gateway: VPN
      • Tipo VPN: Basato su route
      • SKU: VpnGW1 o versione successiva
      • Generazione: selezionare una generazione
      • Rete virtuale: TestVNet1
    • Indirizzo IP pubblico

      • Tipo di indirizzo IP pubblico: Basic o Standard
      • Indirizzo IP pubblico: Crea nuovo
      • Nome indirizzo IP pubblico: VNet1GWIP
      • Abilita attivo-attivo: disabilitato
      • Configurare BGP: Abilitato
  2. Nella sezione Configura BGP evidenziata della pagina configurare le impostazioni seguenti:

    • Selezionare Configura BGP - Abilitato per visualizzare la sezione di configurazione BGP.

    • Compilare l'ASN (numero di sistema autonomo).

    • Il campo Indirizzo IP BGP APIPA di Azure è facoltativo. Se i dispositivi VPN locali usano l'indirizzo APIPA per BGP, è necessario selezionare un indirizzo dall'intervallo di indirizzi APIPA riservato di Azure per VPN, compreso tra 169.254.21.0 e 169.254.22.255.

    • Se si sta creando un gateway VPN attivo-attivo, la sezione BGP mostrerà un altro indirizzo IP BGP BGP dell'API di Azure personalizzata. Ogni indirizzo selezionato deve essere univoco e essere compreso nell'intervallo APIPA consentito (da 169.254.21.0 a 169.254.22.255). I gateway attivi supportano anche più indirizzi sia per l'indirizzo IP BGP Azure APIPA che per il secondo indirizzo IP BGP Azure APIPA personalizzato. Gli input aggiuntivi verranno visualizzati solo dopo aver immesso il primo indirizzo IP BGP APIPA.

      Importante

      • Per impostazione predefinita, Azure assegna automaticamente un indirizzo IP privato dall'intervallo di prefissi GatewaySubnet come indirizzo IP BGP di Azure nel gateway VPN. L'indirizzo BGP APIPA di Azure personalizzato è necessario quando i dispositivi VPN locali usano un indirizzo APIPA (da 169.254.0.1 a 169.254.255.254) come IP BGP. Il gateway VPN sceglierà l'indirizzo APIPA personalizzato se la risorsa gateway di rete locale corrispondente (rete locale) ha un indirizzo APIPA come IP peer BGP. Se il gateway di rete locale usa un normale indirizzo IP (non APIPA), il gateway VPN ripristina l'indirizzo IP privato dall'intervallo GatewaySubnet.

      • Gli indirizzi BGP APIPA non devono sovrapporsi tra i dispositivi VPN locali e tutti i gateway VPN connessi.

      • Quando gli indirizzi APIPA vengono usati nei gateway VPN, i gateway non avviano sessioni di peering BGP con indirizzi IP di origine APIPA. Il dispositivo VPN locale deve avviare connessioni peering BGP.

  3. Selezionare Rivedi e crea per eseguire la convalida. Una volta superata la convalida, selezionare Crea per distribuire il gateway VPN. La creazione di un gateway spesso richiede anche più di 45 minuti di tempo a seconda dello SKU gateway selezionato. È possibile visualizzare lo stato della distribuzione nella pagina Panoramica per il gateway.

3. Ottenere l'indirizzo IP del peer BGP di Azure

Dopo aver creato il gateway, è possibile ottenere gli indirizzi IP peer BGP nel gateway VPN. Questi indirizzi sono necessari per configurare i dispositivi VPN locali per stabilire sessioni BGP con il gateway VPN.

Nella pagina Configurazione del gateway di rete virtuale è possibile visualizzare le informazioni di configurazione BGP nel gateway VPN: ASN, Indirizzo IP pubblico e gli indirizzi IP peer BGP corrispondenti sul lato Azure (impostazione predefinita e APIPA). È anche possibile apportare le modifiche di configurazione seguenti:

  • È possibile aggiornare l'ASN o l'indirizzo IP BGP APIPA, se necessario.
  • Se si dispone di un gateway VPN attivo-attivo, questa pagina mostrerà l'indirizzo IP pubblico, l'impostazione predefinita e gli indirizzi IP BGP APIPA della seconda istanza del gateway VPN.

Per ottenere l'indirizzo IP del peer BGP di Azure:

  1. Andare alla risorsa gateway di rete virtuale e selezionare la pagina Configurazione per visualizzare le informazioni di configurazione BGP.
  2. Prendere nota dell'indirizzo IP del peer BGP.

Per configurare BGP in connessioni da sito a sito cross-premise

Le istruzioni contenute in questa sezione si applicano alle configurazioni cross-premise da sito a sito.

Per stabilire una connessione cross-premise, è necessario creare un gateway di rete localee per rappresentare il dispositivo VPN locale e una connessione per connettere il gateway VPN al gateway di rete locale, come spiegato in Creare una connessione da sito a sito. Le sezioni seguenti contengono le proprietà aggiuntive necessarie per specificare i parametri di configurazione BGP, come illustrato nel diagramma 3.

Diagramma 3

Diagramma che mostra la configurazione IPsec.

Prima di procedere, assicurarsi di aver abilitato BGP per il gateway VPN.

1. Creare un gateway di rete locale

Configurare un gateway di rete locale con le impostazioni BGP.

  • Per informazioni e passaggi, vedere la sezione gateway di rete locale nell'articolo connessione da sito a sito.
  • Se si dispone già di un gateway di rete locale, è possibile modificarlo. Per modificare un gateway di rete locale, passare alla pagina Configurazione della risorsa gateway di rete locale e apportare le modifiche necessarie.
  1. Quando si crea il gateway di rete locale, per questo esercizio usare i valori seguenti:

    • Nome: Site5
    • Indirizzo IP: indirizzo IP dell'endpoint del gateway a cui si vuole connettersi. Esempio: 128.9.9.9
    • Spazi indirizzi: se BGP è abilitato, non è necessario spazio indirizzi.
  2. Per configurare le impostazioni BGP, andare alla pagina Avanzate. Usare i valori di esempio seguenti (illustrato nel diagramma 3). Modificare i valori necessari per trovare la corrispondenza con l'ambiente.

    • Configurare le impostazioni BGP: Sì
    • Numero sistema autonomo (ASN): 65050
    • Indirizzo IP peer BGP: indirizzo del dispositivo VPN locale. Esempio: 10.51.255.254
  3. Fare clic su Rivedi + crea per creare il gateway di rete locale.

Considerazioni importanti sulla configurazione

  • L'ASN e l'indirizzo IP peer BGP devono corrispondere alla configurazione del router VPN locale.
  • È possibile lasciare vuoto lo spazio degli indirizzi solo se si usa BGP per connettersi a questa rete. Il gateway VPN di Azure aggiunge internamente una route dell'indirizzo IP del peer BGP al tunnel IPsec corrispondente. Se NON si usa BGP tra il gateway VPN e questa particolare rete, è necessario specificare un elenco di prefissi di indirizzi validi per lo spazio degli indirizzi.
  • Facoltativamente, è possibile usare un indirizzo IP APIPA (169.254.x.x) come IP peer BGP locale, se necessario. Tuttavia, è anche necessario specificare un indirizzo IP APIPA come descritto in precedenza in questo articolo per il gateway VPN, altrimenti la sessione BGP non può stabilire per questa connessione.
  • È possibile immettere le informazioni di configurazione BGP durante la creazione del gateway di rete locale oppure aggiungere o modificare la configurazione BGP dalla pagina Configurazione della risorsa gateway di rete locale.

2. Configurare una connessione da sito a sito con BGP abilitato

In questo passaggio si crea una nuova connessione con BGP abilitata. Se si ha già una connessione e si vuole abilitare BGP, è possibile aggiornarla.

Per creare una connessione

  1. Per creare una nuova connessione, andare alla pagina Connessioni del gateway di rete virtuale.
  2. Selezionare +Aggiungi per aprire la pagina Aggiungi una connessione.
  3. Compilare i valori necessari.
  4. Selezionare Abilita BGP per abilitare BGP in questa connessione.
  5. Selezionare OK per salvare le modifiche.

Per aggiornare una connessione esistente

  1. Andare alla pagina Connessioni del gateway di rete virtuale.
  2. Selezionare la connessione da modificare.
  3. Andare alla pagina Configurazione per la connessione.
  4. Modificare l'impostazione BGP su Abilitata.
  5. Selezionare Salva per salvare le modifiche.

Configurazione di un dispositivo locale

L'esempio seguente elenca i parametri da immettere nella sezione della configurazione BGP nel dispositivo VPN locale per questo esercizio:

- Site5 ASN            : 65050
- Site5 BGP IP         : 10.51.255.254
- Prefixes to announce : (for example) 10.51.0.0/16
- Azure VNet ASN       : 65010
- Azure VNet BGP IP    : 10.12.255.30
- Static route         : Add a route for 10.12.255.30/32, with nexthop being the VPN tunnel interface on your device
- eBGP Multihop        : Ensure the "multihop" option for eBGP is enabled on your device if needed

Per abilitare BGP nelle connessioni da rete virtuale a rete virtuale

I passaggi descritti in questa sezione si applicano alle connessioni da rete virtuale a rete virtuale.

Per abilitare o disabilitare BGP in una connessione da rete virtuale a rete virtuale, usare gli stessi passaggi della procedura cross-premise da sito a sito della sezione precedente. È possibile abilitare BGP durante la creazione della connessione o aggiornare la configurazione in una connessione da rete virtuale a rete virtuale esistente.

Nota

Una connessione da rete virtuale a rete virtuale senza BGP limita la comunicazione solo alle due reti virtuali connesse. Abilitare BGP per consentire la funzionalità di routing di transito ad altre connessioni da sito a sito o da rete virtuale a rete virtuale di queste due reti virtuali.

Passaggi successivi

Per altre informazioni su BGP, vedere Informazioni su BGP e gateway VPN.