Delen via

Gelijktijdige ExpressRoute- en site-naar-site-verbindingen configureren met behulp van Azure Portal

  • Artikel

In dit artikel leest u hoe u ExpressRoute- en site-naar-site-VPN-verbindingen configureert die naast elkaar kunnen worden gebruikt. Het configureren van beide verbindingen heeft verschillende voordelen, zoals het bieden van een beveiligd failoverpad of het maken van verbinding met sites die niet via ExpressRoute zijn gekoppeld. Deze handleiding is van toepassing op het Resource Manager-implementatiemodel.

Voordelen van co-existentieverbindingen

  • Beveiligd failoverpad: configureer een site-naar-site-VPN als back-up voor ExpressRoute.
  • Verbinding maken met extra sites: gebruik site-naar-site-VPN's om verbinding te maken met sites die niet zijn verbonden via ExpressRoute.

In dit artikel worden de stappen beschreven voor het configureren van beide scenario's. U kunt de gateway eerst configureren, meestal zonder uitvaltijd bij het toevoegen van een nieuwe gateway of gatewayverbinding.

Notitie

  • Zie Site-naar-site via Microsoft-peering voor het maken van een site-naar-site-VPN via een ExpressRoute-verbinding.
  • Als u al ExpressRoute hebt, hoeft u geen virtueel netwerk of gatewaysubnet te maken omdat deze vereisten zijn voor het maken van een ExpressRoute.
  • Voor versleutelde ExpressRoute-gateway wordt mss (maximale segmentgrootte) klemwerk uitgevoerd via Azure VPN Gateway om de TCP-pakketgrootte op 1.250 bytes te klemmen.

Limieten en beperkingen

  • Alleen op route gebaseerde VPN-gateway wordt ondersteund: Gebruik een op route gebaseerde VPN-gateway. U kunt ook een op route gebaseerde VPN-gateway gebruiken met een VPN-verbinding die is geconfigureerd voor op beleid gebaseerde verkeersselectors, zoals beschreven in Verbinding maken met meerdere op beleid gebaseerde VPN-apparaten.
  • Co-existentieconfiguraties van ExpressRoute-VPN Gateway worden niet ondersteund in de Basic-SKU.
  • BGP-communicatie: zowel de ExpressRoute- als de VPN-gateways moeten communiceren via BGP. Zorg ervoor dat een UDR in het gatewaysubnet geen route bevat voor het gatewaysubnetbereik zelf, omdat dit het BGP-verkeer beïnvloedt.
  • Transitroutering: Voor transitroutering tussen ExpressRoute en VPN moet de ASN van Azure VPN Gateway zijn ingesteld op 65515. Azure VPN Gateway ondersteunt het BGP-routeringsprotocol. Als u wilt samenwerken, houdt u de ASN van uw Azure VPN-gateway op de standaardwaarde 65515. Als u de ASN wijzigt in 65515, stelt u de VPN-gateway opnieuw in zodat de instelling van kracht wordt.
  • Grootte van gatewaysubnet: het gatewaysubnet moet /27 of een korter voorvoegsel (zoals /26 of /25) zijn of u ontvangt een foutbericht bij het toevoegen van de gateway van het virtuele ExpressRoute-netwerk.

Configuratieontwerpen

Een site-naar-site-VPN configureren als failoverpad voor ExpressRoute

U kunt een site-naar-site-VPN-verbinding instellen als back-up voor ExpressRoute. Deze installatie is alleen van toepassing op virtuele netwerken die zijn gekoppeld aan het privépeeringspad van Azure. Er is geen op VPN gebaseerde failoveroplossing voor services die toegankelijk zijn via Azure Microsoft-peering. Het ExpressRoute-circuit blijft de primaire koppeling en gegevens stromen alleen via het site-naar-site-VPN-pad als het ExpressRoute-circuit uitvalt. Als u asymmetrische routering wilt voorkomen, configureert u uw lokale netwerk om de voorkeur te geven aan het ExpressRoute-circuit via de site-naar-site-VPN door een hogere lokale voorkeur in te stellen voor de routes die via ExpressRoute worden ontvangen.

Notitie

Als ExpressRoute Microsoft-peering is ingeschakeld, kunt u het openbare IP-adres van uw Azure VPN-gateway ontvangen op de ExpressRoute-verbinding. Als u uw site-naar-site-VPN-verbinding wilt instellen als back-up, configureert u uw on-premises netwerk zodat de VPN-verbinding wordt doorgestuurd naar internet.

Notitie

Hoewel het ExpressRoute-circuit de voorkeur heeft boven site-naar-site-VPN wanneer beide routes hetzelfde zijn, gebruikt Azure het langste voorvoegsel om de route naar de bestemming van het pakket te kiezen.

Diagram van een site-naar-site-VPN-verbinding die wordt gebruikt als back-up voor ExpressRoute.

Een site-naar-site-VPN configureren om verbinding te maken met sites die niet zijn verbonden via ExpressRoute

U kunt uw netwerk zo configureren dat sommige sites rechtstreeks verbinding maken met Azure via site-naar-site-VPN, terwijl anderen verbinding maken via ExpressRoute.

Diagram van een site-naar-site-VPN-verbinding die naast een ExpressRoute-verbinding voor twee verschillende sites bestaat.

De te gebruiken stappen selecteren

Er zijn twee verschillende procedures waaruit u kunt kiezen. De configuratieprocedure die u selecteert, is afhankelijk van of u een bestaand virtueel netwerk hebt waarmee u verbinding wilt maken of dat u een nieuw virtueel netwerk moet maken.

  • Ik heb geen VNet en moet er een maken.

    Als u nog geen virtueel netwerk hebt, volgt u de stappen in Het maken van een nieuw virtueel netwerk en naast elkaar bestaande verbindingen om een nieuw virtueel netwerk te maken met behulp van het Resource Manager-implementatiemodel en nieuwe ExpressRoute- en site-naar-site-VPN-verbindingen in te stellen.

  • Ik heb al een VNet voor het Resource Manager-implementatiemodel.

    Als u al een virtueel netwerk hebt met een bestaande site-naar-site-VPN-verbinding of ExpressRoute-verbinding en het gatewaysubnetvoorvoegsel /28 of langer is (/29, /30, enzovoort), moet u de bestaande gateway verwijderen. Volg de stappen in Naast elkaar bestaande verbindingen configureren voor een al bestaand virtueel netwerk om de gateway te verwijderen en nieuwe ExpressRoute- en site-naar-site-VPN-verbindingen te maken.

    Als u uw gateway verwijdert en opnieuw maakt, leidt dit tot downtime voor uw cross-premises verbindingen. Uw VM's en services kunnen tijdens dit proces echter nog steeds communiceren via de load balancer als ze hiervoor zijn geconfigureerd.

Een nieuw virtueel netwerk en naast elkaar bestaande verbindingen maken

Deze procedure begeleidt u bij het maken van een virtueel netwerk en het configureren van naast elkaar bestaande site-naar-site- en ExpressRoute-verbindingen.

  1. Meld u aan bij het Azure-portaal.

  2. Selecteer in de linkerbovenhoek van het scherm de optie + Een resource maken en zoek naar virtueel netwerk.

  3. Selecteer Maken om te beginnen met het configureren van het virtuele netwerk.

    Schermopname van de pagina Een virtueel netwerk maken.

  4. Selecteer of maak op het tabblad Basisinformatie een nieuwe resourcegroep om het virtuele netwerk op te slaan. Voer de naam in en selecteer de regio om het virtuele netwerk te implementeren. Selecteer Volgende: IP-adressen > om de adresruimte en subnetten te configureren.

    Schermopname van het tabblad Basisbeginselen voor het maken van een virtueel netwerk.

  5. Configureer op het tabblad IP-adressen de adresruimte van het virtuele netwerk. Definieer de subnetten die u wilt maken, inclusief het gatewaysubnet. Selecteer Beoordelen en maken en vervolgens Maken om het virtuele netwerk te implementeren. Zie Een virtueel netwerk maken voor meer informatie over het maken van een virtueel netwerk. Zie Een subnet maken voor meer informatie over het maken van subnetten.

    Belangrijk

    Het gatewaysubnet moet /27 of een korter voorvoegsel (zoals /26 of /25) zijn.

    Schermopname van het tabblad IP-adressen voor het maken van een virtueel netwerk.

  6. Maak de site-naar-site-VPN-gateway en de lokale netwerkgateway. Zie Een virtueel netwerk configureren met een site-naar-site-verbinding voor meer informatie over de configuratie van de VPN-gateway. De GatewaySku wordt alleen ondersteund voor de VPN-gateways VpnGw1, VpnGw2, VpnGw3, Standard en HighPerformance. Co-existentieconfiguraties voor ExpressRoute-VPN Gateway worden niet ondersteund in de Basic-SKU. Het VpnType moet RouteBased zijn.

  7. Configureer het lokale VPN-apparaat om verbinding te maken met de nieuwe Azure VPN-gateway. Zie VPN-apparaatconfiguratie voor meer informatie over het configureren van een VPN-apparaat.

  8. Als u verbinding maakt met een bestaand ExpressRoute-circuit, slaat u stap 8 & 9 over en gaat u naar stap 10. Configureer ExpressRoute-circuits. Zie Een ExpressRoute-circuit maken voor meer informatie over het configureren van een ExpressRoute-circuit.

  9. Configureer Azure Privépeering via het ExpressRoute-circuit. Zie Peering configureren voor meer informatie over het configureren van persoonlijke Azure-peering via het ExpressRoute-circuit.

  10. Selecteer + Een resource maken en zoek naar de gateway van het virtuele netwerk. Selecteer vervolgens Maken.

  11. Selecteer het ExpressRoute-gatewaytype , de juiste SKU en het virtuele netwerk waar de gateway naar moet worden geïmplementeerd.

    Schermopname van het maken van een virtuele netwerkgateway voor ExpressRoute.

  12. Koppel de ExpressRoute-gateway aan het ExpressRoute-circuit. Nadat deze stap is voltooid, wordt de verbinding tussen uw on-premises netwerk en Azure tot stand gebracht via ExpressRoute. Zie VNets koppelen aan ExpressRoute voor meer informatie over de koppelingsbewerking.

Naast elkaar bestaande verbindingen configureren voor een al bestaand virtueel netwerk

Als u een virtueel netwerk hebt met slechts één virtuele netwerkgateway (bijvoorbeeld een site-naar-site-VPN-gateway) en u een andere gateway van een ander type (bijvoorbeeld ExpressRoute-gateway) wilt toevoegen, controleert u de grootte van het gatewaysubnet. Als het gatewaysubnet /27 of groter is, kunt u de volgende stappen overslaan en de stappen in de vorige sectie volgen om een site-naar-site-VPN-gateway of een ExpressRoute-gateway toe te voegen. Als het gatewaysubnet /28 of /29 is, moet u eerst de gateway van het virtuele netwerk verwijderen en het gatewaysubnet vergroten. In de stappen in dit gedeelte wordt beschreven hoe u dat doet.

  1. Verwijder de bestaande ExpressRoute- of site-naar-site-VPN-gateway.

  2. Verwijder en maak het GatewaySubnet opnieuw met het voorvoegsel /27 of korter.

  3. Configureer een virtueel netwerk met een site-naar-site-verbinding en configureer vervolgens de ExpressRoute-gateway.

  4. Zodra de ExpressRoute-gateway is geïmplementeerd, kunt u het virtuele netwerk koppelen aan het ExpressRoute-circuit.

Punt-naar-site-configuratie toevoegen aan de VPN-gateway

U kunt een punt-naar-site-configuratie toevoegen aan uw naast elkaar bestaande set door de instructies te volgen in het configureren van punt-naar-site-VPN-verbinding met behulp van Azure-certificaatverificatie.

Transitroutering tussen ExpressRoute en Azure VPN inschakelen

Als u connectiviteit wilt inschakelen tussen een van uw lokale netwerken die zijn verbonden met ExpressRoute en een ander lokaal netwerk dat is verbonden met een site-naar-site-VPN-verbinding, moet u Azure Route Server instellen.

Volgende stappen

Voor meer informatie over ExpressRoute raadpleegt u de Veelgestelde vragen over ExpressRoute.