Azure Stack Hub verbinden met Azure met behulp van ExpressRoute
In dit artikel wordt beschreven hoe u een virtueel Azure Stack Hub-netwerk verbindt met een virtueel Azure-netwerk met behulp van een directe Microsoft Azure ExpressRoute-verbinding .
U kunt dit artikel als zelfstudie gebruiken en de voorbeelden gebruiken om dezelfde testomgeving in te stellen. U kunt het artikel ook lezen als een overzicht dat u begeleidt bij het instellen van uw eigen ExpressRoute-omgeving.
Overzicht, veronderstellingen en vereisten
Met Azure ExpressRoute kunt u uw on-premises netwerken uitbreiden naar de Microsoft-cloud via een privéverbinding die wordt geleverd door een connectiviteitsprovider. ExpressRoute is geen VPN-verbinding via het openbare internet.
Zie het Overzicht van ExpressRoute voor meer informatie over Azure ExpressRoute.
Aannames
In dit artikel wordt ervan uitgegaan dat:
- U hebt een werkende kennis van Azure.
- U hebt een basiskennis van Azure Stack Hub.
- U hebt een basiskennis van netwerken.
Vereisten
Als u Azure Stack Hub en Azure wilt verbinden met behulp van ExpressRoute, moet u voldoen aan de volgende vereisten:
- Een ingericht ExpressRoute-circuit via een connectiviteitsprovider.
- Een Azure-abonnement voor het maken van een ExpressRoute-circuit en VNets in Azure.
- Een router die het volgende moet doen:
- Ondersteuning voor site-naar-site-VPN-verbindingen tussen de LAN-interface en azure Stack Hub-gateway met meerdere tenants.
- Ondersteuning voor het maken van meerdere VRF's (virtuele routering en doorsturen) als er meer dan één tenant is in uw Azure Stack Hub-implementatie.
- Een router met:
- Een WAN-poort die is verbonden met het ExpressRoute-circuit.
- Een LAN-poort die is verbonden met de Azure Stack Hub-gateway met meerdere tenants.
ExpressRoute-netwerkarchitectuur
In de volgende afbeelding ziet u de Azure Stack Hub- en Azure-omgevingen nadat u ExpressRoute hebt ingesteld met behulp van de voorbeelden in dit artikel:
In de volgende afbeelding ziet u hoe meerdere tenants verbinding maken vanuit de Azure Stack Hub-infrastructuur via de ExpressRoute-router naar Azure:
In het voorbeeld in dit artikel wordt dezelfde architectuur met meerdere tenants gebruikt die in dit diagram wordt weergegeven om Azure Stack Hub te verbinden met Azure met behulp van persoonlijke ExpressRoute-peering. De verbinding wordt uitgevoerd met behulp van een site-naar-site-VPN-verbinding van de gateway van het virtuele netwerk in Azure Stack Hub naar een ExpressRoute-router.
De stappen in dit artikel laten zien hoe u een end-to-end-verbinding maakt tussen twee VNets van twee verschillende tenants in Azure Stack Hub met bijbehorende VNets in Azure. Het instellen van twee tenants is optioneel; u kunt deze stappen ook gebruiken voor één tenant.
Azure Stack Hub configureren
Als u de Azure Stack Hub-omgeving voor de eerste tenant wilt instellen, gebruikt u de volgende stappen als richtlijn. Als u meer dan één tenant instelt, herhaalt u deze stappen:
Notitie
Deze stappen laten zien hoe u resources maakt met behulp van de Azure Stack Hub-portal, maar u kunt ook PowerShell gebruiken.
Voordat u begint
Voordat u Azure Stack Hub gaat configureren, hebt u het volgende nodig:
- Een Azure Stack Hub-implementatie.
- Een aanbieding in Azure Stack Hub waarop uw gebruikers zich kunnen abonneren. Zie Service, plan, aanbieding, abonnementsoverzicht voor meer informatie.
Netwerkbronnen maken in Azure Stack Hub
Gebruik de volgende procedures om de vereiste netwerkbronnen in Azure Stack Hub te maken voor een tenant.
Het virtuele netwerk en VM-subnet maken
Meld u aan bij de Azure Stack Hub-gebruikersportal.
Selecteer in de portal + Een resource maken.
Selecteer Netwerken onder Azure Marketplace.
Selecteer onder Aanbevolen het virtuele netwerk.
Voer onder Virtueel netwerk maken de waarden in die in de volgende tabel worden weergegeven in de juiste velden:
Veld Weergegeven als Naam Tenant1VNet1 Adresruimte 10.1.0.0/16 Subnetnaam Tenant1-Sub1 Subnetadresbereik 10.1.1.0/24 Als het goed is, ziet u het abonnement dat u eerder hebt gemaakt in het veld Abonnement . Voor de resterende velden:
- Selecteer onder Resourcegroep Nieuwe maken om een nieuwe resourcegroep te maken of als u er al een hebt, bestaande gebruiken.
- Controleer de standaardlocatie.
- Klik op Create.
- (Optioneel) Klik op Vastmaken aan dashboard.
Het gatewaysubnet maken
- Selecteer tenant1VNet1 onder Virtueel netwerk.
- Selecteer onder INSTELLINGENSubnetten.
- Selecteer + Gatewaysubnet om een gatewaysubnet toe te voegen aan het virtuele netwerk.
- De naam van het subnet is standaard ingesteld op Gatewaysubnet. Gatewaysubnetten zijn een speciaal geval en moeten deze naam gebruiken om correct te functioneren.
- Controleer of het adresbereik 10.1.0.0/24 is.
- Klik op OK om het gatewaysubnet te maken.
De gateway van het virtuele netwerk maken
- Klik in de Gebruikersportal van Azure Stack Hub op + Een resource maken.
- Selecteer Netwerken onder Azure Marketplace.
- Selecteer Gateway van het virtuele netwerk in de lijst met netwerkresources.
- Voer IN het veld Naam GW1 in.
- Selecteer Virtueel netwerk.
- Selecteer Tenant1VNet1 in de vervolgkeuzelijst.
- Selecteer openbaar IP-adres, kies een openbaar IP-adres en klik vervolgens op Nieuw maken.
- Typ GW1-PiP in het veld Naam en klik op OK.
- Bij VPN-type moet standaard Op basis van route zijn geselecteerd. Behoud deze instelling.
- Controleer of Abonnement en Locatie juist zijn. Klik op Create.
De lokale netwerkgateway maken
De lokale netwerkgatewayresource identificeert de externe gateway aan het andere uiteinde van de VPN-verbinding. In dit voorbeeld is het externe uiteinde van de verbinding de LAN-subinterface van de ExpressRoute-router. Voor Tenant 1 in het vorige diagram is het externe adres 10.60.3.255.
Meld u aan bij de Azure Stack Hub-gebruikersportal en selecteer + Een resource maken.
Selecteer Netwerken onder Azure Marketplace.
Selecteer lokale netwerkgateway in de lijst met resources.
Typ ER-Router-GW in het veld Naam.
Zie de vorige afbeelding voor het IP-adresveld . Het IP-adres van de LAN-subinterface van de ExpressRoute-router voor Tenant 1 is 10.60.3.255. Voer voor uw eigen omgeving het IP-adres van de bijbehorende interface van uw router in.
Voer in het veld Adresruimte de adresruimte in van de VNets waarmee u verbinding wilt maken in Azure. De subnetten voor Tenant 1 zijn als volgt:
- 192.168.2.0/24 is het hub-VNet in Azure.
- 10.100.0.0/16 is het spoke-VNet in Azure.
Belangrijk
In dit voorbeeld wordt ervan uitgegaan dat u statische routes gebruikt voor de site-naar-site-VPN-verbinding tussen de Azure Stack Hub-gateway en de ExpressRoute-router.
Controleer of uw abonnement, resourcegroep en locatie juist zijn. Selecteer vervolgens Maken.
Maak de verbinding
- Selecteer + Een resource maken in de Gebruikersportal van Azure Stack Hub.
- Selecteer Netwerken onder Azure Marketplace.
- Selecteer Verbinding in de lijst met resources.
- Kies onder Basisinformatie de optie Site-naar-site (IPSec) als verbindingstype.
- Selecteer het abonnement, de resourcegroep en de locatie. Klik op OK.
- Selecteer onder Instellingen de gateway van het virtuele netwerk en selecteer vervolgens GW1.
- Selecteer lokale netwerkgateway en selecteer vervolgens ER Router GW.
- Voer In het veld Verbindingsnaam ConnectToAzure in.
- Voer abc123 in het veld Gedeelde sleutel (PSK) in en selecteer VERVOLGENS OK.
- Selecteer OK onder Samenvatting.
Het openbare IP-adres van de virtuele netwerkgateway ophalen
Nadat u de gateway voor het virtuele netwerk hebt gemaakt, kunt u het openbare IP-adres van de gateway ophalen. Noteer dit adres voor het geval u dit later nodig hebt voor uw implementatie. Afhankelijk van uw implementatie wordt dit adres gebruikt als het interne IP-adres.
- Selecteer alle resources in de Azure Stack Hub-gebruikersportal.
- Selecteer onder Alle resources de gateway van het virtuele netwerk. Dit is GW1 in het voorbeeld.
- Selecteer onder Gateway van virtueel netwerk de optie Overzicht in de lijst met resources. U kunt ook Eigenschappen selecteren.
- Het IP-adres dat u wilt noteren, wordt vermeld onder Openbaar IP-adres. Voor de voorbeeldconfiguratie is dit adres 192.68.102.1.
Een virtuele machine (VM) maken
Als u gegevensverkeer via de VPN-verbinding wilt testen, hebt u VM's nodig om gegevens te verzenden en te ontvangen in het VNet van Azure Stack Hub. Maak een VIRTUELE machine en implementeer deze in het VM-subnet voor uw virtuele netwerk.
Selecteer + Een resource maken in de Gebruikersportal van Azure Stack Hub.
Selecteer Compute onder Azure Marketplace.
Selecteer in de lijst met VM-installatiekopieën de installatiekopie windows Server 2016 Datacenter Eval .
Notitie
Als de installatiekopieën die voor dit artikel worden gebruikt, niet beschikbaar zijn, vraagt u uw Azure Stack Hub-operator om een andere Windows Server-installatiekopieën op te geven.
Selecteer in Virtuele machine maken de optie Basisbeginselen en typ vervolgens VM01 als de naam.
Voer een geldige gebruikersnaam en een geldig wachtwoord in. U gebruikt dit account om u aan te melden bij de virtuele machine nadat het is gemaakt.
Geef een abonnement, resourcegroep en een locatie op. Selecteer OK.
Selecteer onder Kies een grootte een VM-grootte voor dit exemplaar en selecteer vervolgens Selecteren.
Controleer onder Instellingen of:
- Het virtuele netwerk is Tenant1VNet1.
- Het subnet is ingesteld op 10.1.1.0/24.
Gebruik de standaardinstellingen en klik op OK.
Controleer onder Samenvatting de VM-configuratie en klik vervolgens op OK.
Als u meer tenants wilt toevoegen, herhaalt u de stappen die u in deze secties hebt gevolgd:
- Het virtuele netwerk en het VM-subnet maken
- Het gatewaysubnet maken
- De virtuele netwerkgateway maken
- De lokale netwerkgateway maken
- Maak de verbinding
- Maak een virtuele machine
Als u tenant 2 als voorbeeld gebruikt, moet u de IP-adressen wijzigen om overlappingen te voorkomen.
De NAT-VM configureren voor gatewaykruising
Belangrijk
Deze sectie is alleen bedoeld voor ASDK-implementaties. De NAT is niet nodig voor implementaties met meerdere knooppunten.
De ASDK is zelfstandig en geïsoleerd van het netwerk waar de fysieke host wordt geïmplementeerd. Het VIP-netwerk waarmee de gateways zijn verbonden, is niet extern; deze is verborgen achter een router die Network Address Translation (NAT) uitvoert.
De router is de ASDK-host waarop de rol Routing and Remote Access Services (RRAS) wordt uitgevoerd. U moet NAT configureren op de ASDK-host om de site-naar-site-VPN-verbinding in te schakelen om verbinding te maken aan beide uiteinden.
De NAT configureren
Meld u aan bij de Azure Stack Hub-hostcomputer met uw beheerdersaccount.
Voer het script uit in een PowerShell ISE met verhoogde bevoegdheid. Dit script retourneert uw externe BGPNAT-adres.
Get-NetNatExternalAddress
Als u de NAT wilt configureren, kopieert en bewerkt u het volgende PowerShell-script. Bewerk het script om de
External BGPNAT address
enInternal IP address
de volgende voorbeeldwaarden te vervangen:- Gebruik voor extern BGPNAT-adres 10.10.0.62
- Gebruik voor intern IP-adres 192.168.102.1
Voer het volgende script uit vanuit een PowerShell ISE met verhoogde bevoegdheid:
$ExtBgpNat = 'External BGPNAT address' $IntBgpNat = 'Internal IP address' # Designate the external NAT address for the ports that use the IKE authentication. Add-NetNatExternalAddress ` -NatName BGPNAT ` -IPAddress $Using:ExtBgpNat ` -PortStart 499 ` -PortEnd 501 Add-NetNatExternalAddress ` -NatName BGPNAT ` -IPAddress $Using:ExtBgpNat ` -PortStart 4499 ` -PortEnd 4501 # Create a static NAT mapping to map the external address to the Gateway public IP address to map the ISAKMP port 500 for PHASE 1 of the IPSEC tunnel. Add-NetNatStaticMapping ` -NatName BGPNAT ` -Protocol UDP ` -ExternalIPAddress $Using:ExtBgpNat ` -InternalIPAddress $Using:IntBgpNat ` -ExternalPort 500 ` -InternalPort 500 # Configure NAT traversal which uses port 4500 to establish the complete IPSEC tunnel over NAT devices. Add-NetNatStaticMapping ` -NatName BGPNAT ` -Protocol UDP ` -ExternalIPAddress $Using:ExtBgpNat ` -InternalIPAddress $Using:IntBgpNat ` -ExternalPort 4500 ` -InternalPort 4500
Azure configureren
Nadat u klaar bent met het configureren van Azure Stack Hub, kunt u de Azure-resources implementeren. In de volgende afbeelding ziet u een voorbeeld van een virtueel tenantnetwerk in Azure. U kunt elk naam- en adresseringsschema voor uw VNet in Azure gebruiken. Het adresbereik van de VNets in Azure en Azure Stack Hub moet echter uniek zijn en mag niet overlappen:
De resources die u in Azure implementeert, zijn vergelijkbaar met de resources die u in Azure Stack Hub hebt geïmplementeerd. U implementeert de volgende onderdelen:
- Virtuele netwerken en subnetten
- Een gatewaysubnet
- Een gateway voor een virtueel netwerk
- Een verbinding
- Een ExpressRoute-circuit
De voorbeeldinfrastructuur van het Azure-netwerk is als volgt geconfigureerd:
- Een standaardhub (192.168.2.0/24) en spoke-model (10.100.0.0./16). Zie Een sternetwerktopologie implementeren in Azure voor meer informatie over sternetwerktopologie.
- De workloads worden geïmplementeerd in het spoke-VNet en het ExpressRoute-circuit is verbonden met het hub-VNet.
- De twee VNets zijn verbonden met behulp van VNet-peering.
De Azure-VNets configureren
- Meld u aan bij Azure Portal met uw Azure-referenties.
- Maak het hub-VNet met het adresbereik 192.168.2.0/24.
- Maak een subnet met het adresbereik 192.168.2.0/25 en voeg een gatewaysubnet toe met het adresbereik 192.168.2.128/27.
- Maak het spoke-VNet en subnet met behulp van het adresbereik 10.100.0.0/16.
Zie Een virtueel netwerk maken voor meer informatie over het maken van virtuele netwerken in Azure.
Een ExpressRoute-circuit configureren
Bekijk de Vereisten voor ExpressRoute in de controlelijst voor ExpressRoute-vereisten en controlelijst.
Volg de stappen in Een ExpressRoute-circuit maken en wijzigen om een ExpressRoute-circuit te maken met behulp van uw Azure-abonnement.
Notitie
Geef de servicesleutel voor uw circuit aan uw service, zodat ze uw ExpressRoute-circuit aan hun eind kunnen instellen.
Volg de stappen in Peering maken en wijzigen voor een ExpressRoute-circuit om persoonlijke peering op het ExpressRoute-circuit te configureren.
De gateway van het virtuele netwerk maken
Volg de stappen in Een virtuele netwerkgateway configureren voor ExpressRoute met behulp van PowerShell om een virtuele netwerkgateway voor ExpressRoute te maken in het hub-VNet.
Maak de verbinding
Als u het ExpressRoute-circuit wilt koppelen aan het hub-VNet, volgt u de stappen in Een virtueel netwerk verbinden met een ExpressRoute-circuit.
De VNets instellen als peers
Koppel de hub- en spoke-VNets aan de hand van de stappen in Peering van een virtueel netwerk met behulp van Azure Portal. Zorg ervoor dat u bij het configureren van VNet-peering de volgende opties gebruikt:
- Van de hub naar de spoke: gatewayoverdracht toestaan.
- Gebruik externe gateway van de spoke naar de hub.
Maak een virtuele machine
Implementeer uw workload-VM's in het spoke-VNet.
Herhaal deze stappen voor eventuele extra tenant-VNets die u in Azure wilt verbinden via hun respectieve ExpressRoute-circuits.
De router configureren
U kunt het volgende configuratiediagram van de ExpressRoute-router gebruiken als richtlijn voor het configureren van uw ExpressRoute-router. In deze afbeelding ziet u twee tenants (tenant 1 en tenant 2) met hun respectieve ExpressRoute-circuits. Elke tenant is gekoppeld aan hun eigen VRF (Virtual Routing and Forwarding) in de LAN- en WAN-zijde van de ExpressRoute-router. Deze configuratie zorgt voor end-to-end isolatie tussen de twee tenants. Noteer de IP-adressen die worden gebruikt in de routerinterfaces terwijl u het configuratievoorbeeld volgt.
U kunt elke router gebruiken die ONDERSTEUNING biedt voor IKEv2 VPN en BGP om de site-naar-site-VPN-verbinding te beëindigen vanuit Azure Stack Hub. Dezelfde router wordt gebruikt om verbinding te maken met Azure met behulp van een ExpressRoute-circuit.
Het volgende voorbeeld van de configuratie van Cisco ASR 1000 Series Aggregation Services Router ondersteunt de netwerkinfrastructuur die wordt weergegeven in het configuratiediagram van de ExpressRoute-router.
ip vrf Tenant 1
description Routing Domain for PRIVATE peering to Azure for Tenant 1
rd 1:1
!
ip vrf Tenant 2
description Routing Domain for PRIVATE peering to Azure for Tenant 2
rd 1:5
!
crypto ikev2 proposal V2-PROPOSAL2
description IKEv2 proposal for Tenant 1
encryption aes-cbc-256
integrity sha256
group 2
crypto ikev2 proposal V4-PROPOSAL2
description IKEv2 proposal for Tenant 2
encryption aes-cbc-256
integrity sha256
group 2
!
crypto ikev2 policy V2-POLICY2
description IKEv2 Policy for Tenant 1
match fvrf Tenant 1
match address local 10.60.3.255
proposal V2-PROPOSAL2
description IKEv2 Policy for Tenant 2
crypto ikev2 policy V4-POLICY2
match fvrf Tenant 2
match address local 10.60.3.251
proposal V4-PROPOSAL2
!
crypto ikev2 profile V2-PROFILE
description IKEv2 profile for Tenant 1
match fvrf Tenant 1
match address local 10.60.3.255
match identity remote any
authentication remote pre-share key abc123
authentication local pre-share key abc123
ivrf Tenant 1
!
crypto ikev2 profile V4-PROFILE
description IKEv2 profile for Tenant 2
match fvrf Tenant 2
match address local 10.60.3.251
match identity remote any
authentication remote pre-share key abc123
authentication local pre-share key abc123
ivrf Tenant 2
!
crypto ipsec transform-set V2-TRANSFORM2 esp-gcm 256
mode tunnel
crypto ipsec transform-set V4-TRANSFORM2 esp-gcm 256
mode tunnel
!
crypto ipsec profile V2-PROFILE
set transform-set V2-TRANSFORM2
set ikev2-profile V2-PROFILE
!
crypto ipsec profile V4-PROFILE
set transform-set V4-TRANSFORM2
set ikev2-profile V4-PROFILE
!
interface Tunnel10
description S2S VPN Tunnel for Tenant 1
ip vrf forwarding Tenant 1
ip address 11.0.0.2 255.255.255.252
ip tcp adjust-mss 1350
tunnel source TenGigabitEthernet0/1/0.211
tunnel mode ipsec ipv4
tunnel destination 10.10.0.62
tunnel vrf Tenant 1
tunnel protection ipsec profile V2-PROFILE
!
interface Tunnel20
description S2S VPN Tunnel for Tenant 2
ip vrf forwarding Tenant 2
ip address 11.0.0.2 255.255.255.252
ip tcp adjust-mss 1350
tunnel source TenGigabitEthernet0/1/0.213
tunnel mode ipsec ipv4
tunnel destination 10.10.0.62
tunnel vrf VNET3
tunnel protection ipsec profile V4-PROFILE
!
interface GigabitEthernet0/0/1
description PRIMARY ExpressRoute Link to AZURE over Equinix
no ip address
negotiation auto
!
interface GigabitEthernet0/0/1.100
description Primary WAN interface of Tenant 1
description PRIMARY ER link supporting Tenant 1 to Azure
encapsulation dot1Q 101
ip vrf forwarding Tenant 1
ip address 192.168.1.1 255.255.255.252
!
interface GigabitEthernet0/0/1.102
description Primary WAN interface of Tenant 2
description PRIMARY ER link supporting Tenant 2 to Azure
encapsulation dot1Q 102
ip vrf forwarding Tenant 2
ip address 192.168.1.17 255.255.255.252
!
interface GigabitEthernet0/0/2
description BACKUP ExpressRoute Link to AZURE over Equinix
no ip address
negotiation auto
!
interface GigabitEthernet0/0/2.100
description Secondary WAN interface of Tenant 1
description BACKUP ER link supporting Tenant 1 to Azure
encapsulation dot1Q 101
ip vrf forwarding Tenant 1
ip address 192.168.1.5 255.255.255.252
!
interface GigabitEthernet0/0/2.102
description Secondary WAN interface of Tenant 2
description BACKUP ER link supporting Tenant 2 to Azure
encapsulation dot1Q 102
ip vrf forwarding Tenant 2
ip address 192.168.1.21 255.255.255.252
!
interface TenGigabitEthernet0/1/0
description Downlink to ---Port 1/47
no ip address
!
interface TenGigabitEthernet0/1/0.211
description LAN interface of Tenant 1
description Downlink to --- Port 1/47.211
encapsulation dot1Q 211
ip vrf forwarding Tenant 1
ip address 10.60.3.255 255.255.255.254
!
interface TenGigabitEthernet0/1/0.213
description LAN interface of Tenant 2
description Downlink to --- Port 1/47.213
encapsulation dot1Q 213
ip vrf forwarding Tenant 2
ip address 10.60.3.251 255.255.255.254
!
router bgp 65530
bgp router-id <removed>
bgp log-neighbor-changes
description BGP neighbor config and route advertisement for Tenant 1 VRF
address-family ipv4 vrf Tenant 1
network 10.1.0.0 mask 255.255.0.0
network 10.60.3.254 mask 255.255.255.254
network 192.168.1.0 mask 255.255.255.252
network 192.168.1.4 mask 255.255.255.252
neighbor 10.10.0.62 remote-as 65100
neighbor 10.10.0.62 description VPN-BGP-PEER-for-Tenant 1
neighbor 10.10.0.62 ebgp-multihop 5
neighbor 10.10.0.62 activate
neighbor 10.60.3.254 remote-as 4232570301
neighbor 10.60.3.254 description LAN peer for CPEC:INET:2112 VRF
neighbor 10.60.3.254 activate
neighbor 10.60.3.254 route-map BLOCK-ALL out
neighbor 192.168.1.2 remote-as 12076
neighbor 192.168.1.2 description PRIMARY ER peer for Tenant 1 to Azure
neighbor 192.168.1.2 ebgp-multihop 5
neighbor 192.168.1.2 activate
neighbor 192.168.1.2 soft-reconfiguration inbound
neighbor 192.168.1.2 route-map Tenant 1-ONLY out
neighbor 192.168.1.6 remote-as 12076
neighbor 192.168.1.6 description BACKUP ER peer for Tenant 1 to Azure
neighbor 192.168.1.6 ebgp-multihop 5
neighbor 192.168.1.6 activate
neighbor 192.168.1.6 soft-reconfiguration inbound
neighbor 192.168.1.6 route-map Tenant 1-ONLY out
maximum-paths 8
exit-address-family
!
description BGP neighbor config and route advertisement for Tenant 2 VRF
address-family ipv4 vrf Tenant 2
network 10.1.0.0 mask 255.255.0.0
network 10.60.3.250 mask 255.255.255.254
network 192.168.1.16 mask 255.255.255.252
network 192.168.1.20 mask 255.255.255.252
neighbor 10.10.0.62 remote-as 65300
neighbor 10.10.0.62 description VPN-BGP-PEER-for-Tenant 2
neighbor 10.10.0.62 ebgp-multihop 5
neighbor 10.10.0.62 activate
neighbor 10.60.3.250 remote-as 4232570301
neighbor 10.60.3.250 description LAN peer for CPEC:INET:2112 VRF
neighbor 10.60.3.250 activate
neighbor 10.60.3.250 route-map BLOCK-ALL out
neighbor 192.168.1.18 remote-as 12076
neighbor 192.168.1.18 description PRIMARY ER peer for Tenant 2 to Azure
neighbor 192.168.1.18 ebgp-multihop 5
neighbor 192.168.1.18 activate
neighbor 192.168.1.18 soft-reconfiguration inbound
neighbor 192.168.1.18 route-map VNET-ONLY out
neighbor 192.168.1.22 remote-as 12076
neighbor 192.168.1.22 description BACKUP ER peer for Tenant 2 to Azure
neighbor 192.168.1.22 ebgp-multihop 5
neighbor 192.168.1.22 activate
neighbor 192.168.1.22 soft-reconfiguration inbound
neighbor 192.168.1.22 route-map VNET-ONLY out
maximum-paths 8
exit-address-family
!
ip forward-protocol nd
!
ip as-path access-list 1 permit ^$
ip route vrf Tenant 1 10.1.0.0 255.255.0.0 Tunnel10
ip route vrf Tenant 2 10.1.0.0 255.255.0.0 Tunnel20
!
ip prefix-list BLOCK-ALL seq 5 deny 0.0.0.0/0 le 32
!
route-map BLOCK-ALL permit 10
match ip address prefix-list BLOCK-ALL
!
route-map VNET-ONLY permit 10
match as-path 1
!
Test de verbinding
Test de verbinding nadat u de site-naar-site-verbinding en het ExpressRoute-circuit tot stand hebt gebracht.
Voer de volgende pingtests uit:
- Meld u aan bij een van de VM's in uw Azure-VNet en ping de VM die u hebt gemaakt in Azure Stack Hub.
- Meld u aan bij een van de VM's die u hebt gemaakt in Azure Stack Hub en ping de VM die u hebt gemaakt in het Azure VNet.
Notitie
Om ervoor te zorgen dat u verkeer verzendt via de site-naar-site- en ExpressRoute-verbindingen, moet u het toegewezen IP-adres (DIP) van de VIRTUELE machine aan beide uiteinden pingen en niet het VIP-adres van de VIRTUELE machine.
ICMP toestaan via de firewall
Windows Server 2016 staat standaard geen binnenkomende ICMP-pakketten toe via de firewall. Voor elke VM die u gebruikt voor pingtests, moet u binnenkomende ICMP-pakketten toestaan. Als u een firewallregel voor ICMP wilt maken, voert u de volgende cmdlet uit in een PowerShell-venster met verhoogde bevoegdheid:
# Create ICMP firewall rule.
New-NetFirewallRule `
-DisplayName "Allow ICMPv4-In" `
-Protocol ICMPv4
Ping de Azure Stack Hub-VM
Meld u aan bij de Azure Stack Hub-gebruikersportal.
Zoek de VM die u hebt gemaakt en selecteer deze.
Selecteer Verbinding maken.
Voer ipconfig /all in vanaf een opdrachtprompt met verhoogde bevoegdheid van Windows of PowerShell. Let op het IPv4-adres dat in de uitvoer wordt geretourneerd.
Ping het IPv4-adres van de VIRTUELE machine in het Azure-VNet.
In de voorbeeldomgeving is het IPv4-adres afkomstig van het subnet 10.1.1.x/24. In uw omgeving kan het adres afwijken, maar het moet zich in het subnet bevinden dat u hebt gemaakt voor het tenant-VNet-subnet.
Statistieken over gegevensoverdracht weergeven
Als u wilt weten hoeveel verkeer via uw verbinding wordt doorgegeven, kunt u deze informatie vinden in de Azure Stack Hub-gebruikersportal. Het weergeven van statistieken voor gegevensoverdracht is ook een goede manier om erachter te komen of uw pingtestgegevens al dan niet via de VPN- en ExpressRoute-verbindingen zijn gegaan:
- Meld u aan bij de Azure Stack Hub-gebruikersportal en selecteer Alle resources.
- Navigeer naar de resourcegroep voor uw VPN Gateway en selecteer het objecttype Verbinding .
- Selecteer de ConnectToAzure-verbinding in de lijst.
- Onder Overzicht van verbindingen> ziet u statistieken voor Gegevens in en Gegevens uit. Als het goed is, ziet u een aantal niet-nulwaarden.