Een ExpressRoute-circuit verbinden met een virtueel netwerk

  • 5 minuten

Een ExpressRoute-circuit vertegenwoordigt een logische verbinding tussen uw on-premises-infrastructuur en Microsoft-cloudservices via een connectiviteitsprovider. U kunt meerdere ExpressRoute-circuits bestellen. Alle circuits kunnen zich in dezelfde of verschillende regio's bevinden en kunnen via verschillende connectiviteitsproviders op uw locatie worden aangesloten. ExpressRoute-circuits worden niet toegewezen aan fysieke entiteiten. Een circuit maakt gebruik van een standaard-GUID die wordt aangeroepen als een servicesleutel (s-key).

Een virtueel netwerk verbinden met een ExpressRoute-circuit

  • U moet een actief ExpressRoute-circuit hebben.
  • Zorg ervoor dat u persoonlijke Azure-peering voor uw circuit hebt geconfigureerd.
  • Zorg ervoor dat persoonlijke Azure-peering is geconfigureerd en dat BGP-peering tussen uw netwerk en Microsoft wordt ingesteld voor end-to-end-connectiviteit.
  • Zorg ervoor dat u een virtueel netwerk en een virtuele netwerkgateway hebt gemaakt en volledig hebt ingericht. Een virtuele netwerkgateway voor ExpressRoute maakt gebruik van het GatewayType 'ExpressRoute', niet VPN.
  • U kunt tot 10 virtuele netwerken koppelen aan een standaard ExpressRoute-circuit. Alle virtuele netwerken moeten zich in dezelfde geopolitieke regio bevinden wanneer een standaard ExpressRoute-circuit wordt gebruikt.
  • Eén virtueel netwerk kan worden gekoppeld aan maximaal 16 ExpressRoute-circuits. De ExpressRoute-circuits kunnen zich in hetzelfde abonnement, in verschillende abonnementen of in een combinatie van beide bevinden.
  • Als u de ExpressRoute Premium-invoegtoepassing inschakelt, kunt u virtuele netwerken koppelen die zich buiten de geopolitieke regio van het ExpressRoute-circuit bevinden. Met de Premium-invoegtoepassing kunt u meer dan 10 virtuele netwerken verbinden met uw ExpressRoute-circuit, afhankelijk van de gekozen bandbreedte.
  • Als u de verbinding wilt maken van het ExpressRoute-circuit met de doelgateway van het virtuele ExpressRoute-netwerk, moet het aantal adresruimten dat is geadverteerd vanuit de lokale of gekoppelde virtuele netwerken gelijk zijn aan of kleiner dan 200. Zodra de verbinding is gemaakt, kunt u andere adresruimten, maximaal 1000, toevoegen aan de lokale of gekoppelde virtuele netwerken.

Een VPN toevoegen aan een ExpressRoute-implementatie

Deze sectie helpt u bij het configureren van beveiligde versleutelde connectiviteit tussen uw on-premises netwerk en uw virtuele Azure-netwerken (VNets) via een persoonlijke ExpressRoute-verbinding. U kunt Microsoft-peering gebruiken om een site-naar-site IPsec-/IKE VPN-tunnel tot stand te brengen tussen uw geselecteerde on-premises netwerken en Azure VNets. Door een beveiligde tunnel via ExpressRoute te configureren, kunnen gegevens worden uitgewisseld met vertrouwelijkheid, anti-herhaling, authenticiteit en integriteit.

Notitie

Wanneer u site-naar-site-VPN instelt via Microsoft-peering, worden kosten in rekening gebracht voor de VPN-gateway en vpn-uitgaand verkeer.

Voor hoge beschikbaarheid en redundantie kunt u meerdere tunnels configureren via de twee MSEE-PE-paren van een ExpressRoute-circuit en taakverdeling tussen de tunnels inschakelen.

VPN-tunnels via Microsoft-peering kunnen worden beëindigd met behulp van VPN-gateway of met behulp van een geschikt NVA (Network Virtual Appliance) dat beschikbaar is via Azure Marketplace. U kunt routes statisch of dynamisch uitwisselen via de versleutelde tunnels zonder de routeuitwisseling bloot te stellen aan de onderliggende Microsoft-peering. In deze sectie wordt BGP (anders dan de BGP-sessie die wordt gebruikt om de Microsoft-peering te maken) gebruikt voor het dynamisch uitwisselen van voorvoegsels via de versleutelde tunnels.

Belangrijk

Voor de on-premises zijde wordt Doorgaans Microsoft-peering beëindigd op de DMZ en wordt persoonlijke peering beëindigd in de kernnetwerkzone. De twee zones worden gescheiden met behulp van firewalls. Als u Microsoft-peering exclusief configureert voor het inschakelen van beveiligde tunneling via ExpressRoute, moet u alleen filteren op de openbare IP-adressen die via Microsoft-peering worden geadverteerd.

Stappen

  • Configureer Microsoft-peering voor uw ExpressRoute-circuit.
  • Public-voorvoegsels van Azure adverteren naar uw on-premises netwerk via Microsoft-peering.
  • Een VPN-gateway configureren en IPsec-tunnels tot stand brengen
  • Configureer het on-premises VPN-apparaat.
  • Maak de site-naar-site-IPsec-/IKE-verbinding.
  • (Optioneel) Configureer firewalls/filteren op het on-premises VPN-apparaat.
  • Test en valideer de IPsec-communicatie via het ExpressRoute-circuit.