Azure ExpressRoute implementeren

  • 15 minuten

Het IT-beveiligingsteam van Contoso maakt zich zorgen over het implementeren van een VPN-verbinding vanuit hun datacenters naar de Microsoft Cloud. Tijdens het onderzoeken van VPN Gateway-opties hebt u ontdekt dat ExpressRoute één mogelijke oplossing is. Met ExpressRoute worden verbindingen niet via internet doorgegeven, waardoor de mogelijke beveiligingsrisico's voor gegevens die worden overgedragen tussen de bedrijfsinfrastructuur bij Contoso en Azure-resources in Microsoft-datacenters worden verminderd.

Wat is ExpressRoute?

ExpressRoute biedt een manier om uw organisatie te verbinden met Azure-resources. Bij het implementeren van ExpressRoute kunt u de volgende verbindingsopties implementeren:

  • Een any-to-any VPN-verbinding. Hiermee kunt u uw WAN integreren met Azure. Azure integreert met uw WAN-verbinding om een naadloze verbinding te bieden. Met Any-to-Any-verbindingen bieden alle WAN-providers laag-3-connectiviteit.
  • Een P2P Ethernet-verbinding. Biedt zowel Laag 2- als Laag 3-connectiviteit tussen uw on-premises site en Azure. U verbindt uw datacenters of kantoren met Azure met behulp van de P2P-koppelingen.
  • CloudExchange co-locatie. Biedt doorgaans zowel Laag 2- als Laag 3-verbindingen tussen de infrastructuur van uw organisatie, die zich in een co-locatiefaciliteit bevindt, zoals een internetprovider (ISP) en de Microsoft Cloud.

Notitie

ExpressRoute-connectiviteit is niet via internet, wat betekent dat verbindingen een lagere latentie hebben, hoge snelheid hebben en veiliger zijn.

In de volgende afbeelding ziet u een typisch scenario voor dubbele ExpressRoute-verbindingen.

Een diagram identificeert manieren waarop u ExpressRoute-verbindingen kunt gebruiken. In de afbeelding is het netwerk van een klant verbonden met een edge-netwerk van een partner. Twee verbindingen, één primaire en een secundaire, maken verbinding met het Microsoft Edge-netwerk. Verkeer wordt gerouteerd via beide circuits naar Microsoft Peering voor Office 365 en gerelateerde services, en ook naar andere VNets met behulp van persoonlijke Azure-peering.

ExpressRoute is een van de drie oplossingen die u kunt gebruiken om uw on-premises netwerk te verbinden met Azure. De andere twee, S2S en P2S, worden beschreven in de volgende tabel.

Alternatieve oplossing Beschrijving
S2S VPN Hiermee kunt u uw on-premises netwerk verbinden met Azure via een IPsec-/IKE-tunnel om een hybride netwerk te maken. Als u een S2S-verbinding wilt inschakelen, configureert u een on-premises VPN-apparaat met een openbaar IP-adres. Vervolgens verbindt u dat apparaat met een Azure VNet via een Azure VNet-gateway.
P2S VPN Hiermee kunt u een beveiligde verbinding tot stand brengen van afzonderlijke computers naar resources die zich in een on-premises netwerk bevinden. Deze oplossing is handig voor organisaties die verbindingen met Azure willen inschakelen vanaf externe locaties, zoals de huizen van gebruikers. P2S-verbindingen zijn handig als u slechts een paar clients hebt die verbinding moeten maken met een VNet.

Azure ExpressRoute is waarschijnlijker de juiste service in de volgende scenario's:

  • Voor organisaties die on-premises bedrijfssystemen migreren naar Azure
  • Voor beveiligde netwerken, waarbij het vermijden van internet wenselijk is
  • Voor grote datacenters met veel gebruikers en systemen die toegang hebben tot SaaS-systemen (Software as a Service) en -producten

Overweeg het gebruik van ExpressRoute in de volgende situaties:

  • Connectiviteit met lage latentie implementeren voor cloudservices
  • Toegang krijgen tot cloudsystemen met grote volumes die werken met grote hoeveelheden gegevens
  • Verbinding maken met Microsoft-cloudservices, zoals Office 365 en Microsoft Dynamics 365

Voordelen van ExpressRoute

ExpressRoute biedt een aantal voordelen ten opzichte van andere connectiviteitsopties, zoals beschreven in de volgende tabel.

Functie Voordeel
Laag 3-connectiviteit Deze verbindingen kunnen P2P, any-to-any-netwerk of virtuele cross-connections zijn via een exchange.
Ingebouwde redundantie Elke connectiviteitsprovider gebruikt redundante apparaten om hoge beschikbaarheid te bieden.
Connectiviteit met Microsoft Cloud-services Ondersteunt verbindingen met Office 365, Dynamics 365 en Azure-services zoals Azure-VM's, Azure Cosmos DB en Azure Storage.
Overal on-premises connectiviteit met ExpressRoute Global Reach Hiermee kunt u uw privédatacentra verbinden via meerdere ExpressRoute-circuits en kunt u uw verkeer tussen datacenters via het Microsoft-netwerk verplaatsen.
Dynamische routering Maakt dynamische routering mogelijk tussen uw on-premises infrastructuur en services die worden uitgevoerd in de Microsoft Cloud. Maakt gebruik van Border Gateway Protocol (BGP), waarmee routes worden uitgewisseld tussen on-premises netwerken en resources die worden uitgevoerd in Azure.

Hoe het werkt

Als u ExpressRoute wilt implementeren, moet u met een ExpressRoute-partner werken. De partner biedt een geautoriseerde en geverifieerde verbinding met de naam edge-service. Via deze edge-service kunt u uw organisatie verbinden met de Microsoft Cloud. De partner die u selecteert, maakt de verbinding met de Microsoft Cloud Edge-router mogelijk, aangeduid als een ExpressRoute-eindpunt. Verbindingen via de edge-service met het ExpressRoute-eindpunt worden circuits genoemd. Circuits worden tot stand gebracht via een privékoppeling, niet via internet.

Vereisten

Voordat u een ExpressRoute-circuit kunt implementeren, moet uw organisatie voldoen aan een aantal vereisten, waaronder:

  • Werken met een ExpressRoute-connectiviteitspartner of clouduitwisselingsprovider.

Notitie

Deze organisaties faciliteren de inrichting van het circuit.

  • Registreer uw Azure-abonnement bij uw ExpressRoute-connectiviteitspartner.
  • Een ExpressRoute-circuit aanvragen met behulp van een actief Azure-account.
  • U kunt eventueel een actief Office 365-abonnement hebben voor connectiviteit met Office 365-services.

Omdat ExpressRoute werkt door uw on-premises infrastructuur te peeren met Microsoft-cloudnetwerken, kunnen resources op uw netwerken rechtstreeks communiceren met resources die worden gehost door Microsoft. Als u deze peerings wilt ondersteunen, moet u echter het volgende doen:

  • Zorg ervoor dat u alle vereiste BGP-sessies hebt geconfigureerd voor routeringsdomeinen.
  • Implementeer een NAT-service (Network Address Translation) om de privé-IP-adressen die on-premises worden gebruikt, te vertalen naar openbare IP-adressen.
  • Reserveer verschillende blokken IP-adressen in uw netwerk voor het routeren van verkeer naar de Microsoft Cloud.

Tip

U configureert deze gereserveerde blokken als een /29-subnet of twee /30-subnetten in uw IP-adresruimte.

ExpressRoute configureren

Als u een verbinding met Microsoft-resources in Azure wilt vergemakkelijken met behulp van ExpressRoute, moet u een aantal stappen op hoog niveau uitvoeren om het proces voor het tot stand brengen van een ExpressRoute-verbinding te voltooien. U moet:

  • Maak een circuit.
  • Maak een peeringconfiguratie.
  • Een VNet verbinden met een ExpressRoute-circuit.

Een circuit maken

Als u een circuit wilt maken, meldt u zich aan bij Azure Portal en gebruikt u de volgende procedure:

  1. Selecteer in Azure Portal Een resource maken.

  2. Selecteer Netwerken en selecteer Vervolgens ExpressRoute.

  3. Selecteer op de blade ExpressRoute maken het abonnement, de resourcegroep en de regio en voer vervolgens een naam in voor uw circuit.

  4. Selecteer Volgende: Configuratie >.

  5. Configureer op het tabblad Configuratie de volgende informatie:

    • Poorttype. Selecteer Provider.
    • Selecteer de provider.
    • Selecteer de peeringlocatie.
    • Kies de bandbreedte.
    • Selecteer de SKU.

    Een schermopname van de blade ExpressRoute maken, tabblad Configuratie. Het poorttype is ingesteld op Provider. De Provider is British Telecom. De peeringlocatie is Londen. De bandbreedte is 1 Gbps. De standard-SKU is geselecteerd.

  6. Selecteer Controleren en maken en selecteer vervolgens Maken.

Het duurt enkele minuten om het inrichten van het circuit te voltooien. Nadat dit is voltooid, opent u de zojuist gemaakte resource. Op de pagina Overzicht voor uw circuit ziet u dat de circuitstatus is ingeschakeld, maar dat de providerstatus niet is ingericht. Deze waarden betekenen dat de Microsoft-zijde van het circuit gereed is om verbindingen te accepteren, maar dat de provider de kant van het circuit nog niet heeft geconfigureerd.

Een schermopname van de pagina ContosoExpressRoute in Azure Portal. De circuitstatus is ingeschakeld, maar de providerstatus is niet ingericht.

Een peeringconfiguratie maken

De volgende stap bestaat uit het configureren van peerings. U kunt peerings voor het circuit bekijken op het tabblad Overzicht . U kunt een persoonlijke Azure-peering, een openbare Azure-peering en een Microsoft-peering maken. In dit geval moet u een persoonlijke Azure-peering en een Microsoft-peering maken.

Persoonlijke peering configureren

U gebruikt persoonlijke peering om uw netwerk te verbinden met uw VNets die worden uitgevoerd in Azure. Als u privé-peering wilt configureren, moet u de volgende informatie opgeven:

  • Peer-ASN. Het autonome systeemnummer (ASN) voor uw zijde van de peering.
  • Primair subnet. Dit is een adresbereik van het primaire /30-subnet dat u in uw netwerk maakt.
  • Secundair subnet. Dit is het adresbereik van uw secundaire /30-subnet.
  • VLAN-id. Dit is het VLAN (Virtual Local Area Network) waarop u peering wilt inschakelen.
  • Gedeelde sleutel. Dit is een optionele sleutel die wordt gebruikt om berichten te coderen die via het circuit worden doorgegeven.

Als u de persoonlijke Azure-peering wilt wijzigen, selecteert u op de blade ExpressRoute-circuit op de pagina Peerings de optie Privé van Azure en configureert u vervolgens de vereiste waarden.

Microsoft-peering configureren

U gebruikt Microsoft-peering om verbinding te maken met Office 365 en de bijbehorende services. Als u Microsoft-peering wilt configureren, geeft u dezelfde gegevens op als voor een persoonlijke peering, maar moet u ook de volgende informatie opgeven:

  • Aangekondigde openbare voorvoegsels. Een lijst met de adresvoorvoegsels die u gebruikt voor uw BGP-sessie.
  • Klant-ASN. Een optionele waarde.
  • Registernaam voor routering. Identificeert het register waarin u uw klant-ASN en openbare voorvoegsels registreert.

Notitie

U kunt peering alleen configureren wanneer de providerstatus is ingesteld op Ingericht.

Als u de Microsoft-peering wilt wijzigen, selecteert u Microsoft op de blade ExpressRoute-circuit op de pagina Peerings en configureert u vervolgens de vereiste waarden.

Een schermopname van de blade Microsoft-peering. Er kunnen geen waarden worden geconfigureerd omdat het circuit niet is ingericht. Configureerbare waarden zijn echter zoals eerder beschreven.

Een VNet verbinden met het circuit

Nadat de providerstatus is ingericht en nadat u de peerings hebt geconfigureerd, kunt u een VNet verbinden met het circuit. Ga hiervoor als volgt te werk:

  1. Selecteer in Azure Portal Een resource maken.

  2. Zoek en selecteer virtuele netwerkgateway.

  3. Selecteer Maken op de blade Virtuele netwerkgateway.

  4. Maak de gateway op de blade Virtuele netwerkgateway maken door de juiste eigenschappen op te geven: Abonnement, Naam en Regio.

  5. Selecteer ExpressRoute voor gatewaytype.

    Een schermopname van de blade Virtuele netwerkgateway maken. De beheerder heeft de waarden geconfigureerd die in de voorgaande tekst worden beschreven.

  6. Selecteer de SKU en selecteer vervolgens het virtuele netwerk waarmee u verbinding wilt maken.

  7. Configureer het adresbereik van het gatewaysubnet en de instellingen voor het openbare IP-adres.

  8. Selecteer Controleren en maken en selecteer vervolgens Maken.

Ten slotte kunt u als volgt een peering verbinden met een VNet-gateway:

  1. Selecteer op de pagina ExpressRoute-circuitVerbindingen voor uw circuit.
  2. Klik op de pagina Verbindingen op Toevoegen.
  3. Geef op de pagina Verbinding toevoegen uw verbinding op met een naam en selecteer vervolgens uw VNet-gateway.

Nadat de bewerking is voltooid, wordt uw on-premises netwerk via de VNet-gateway verbonden met uw VNet in Azure. De verbinding wordt gemaakt via de ExpressRoute-verbinding.

Notitie

U kunt deze laatste stap alleen uitvoeren wanneer de providerstatus is ingesteld op Ingericht.

Meer artikelen

Meer informatie vindt u in de volgende documenten: