Udostępnij za pośrednictwem

Konfigurowanie współistniejących połączeń usługi ExpressRoute i połączeń typu lokacja-do-lokacji przy użyciu portalu Azure

  • Artykuł

Ten artykuł pomaga w konfiguracji współistniejących połączeń ExpressRoute oraz VPN typu lokacja-lokacja. Konfigurowanie obu połączeń ma kilka zalet, takich jak zapewnienie bezpiecznej ścieżki awaryjnego przełączenia lub nawiązywanie połączenia z lokalitami, które nie są połączone za pośrednictwem usługi ExpressRoute. Ten przewodnik dotyczy modelu wdrażania przy użyciu usługi Resource Manager.

Zalety współistniejących połączeń

  • Bezpieczna ścieżka trybu failover: skonfiguruj sieć VPN typu lokacja-lokacja jako kopię zapasową dla ExpressRoute.
  • Połącz się z dodatkowymi lokacjami: użyj sieci VPN typu lokacja-lokacja, aby połączyć się z lokacjami, które nie są połączone za pośrednictwem usługi ExpressRoute.

Ten artykuł zawiera instrukcje konfiguracji obu scenariuszy. Można skonfigurować dowolną z bram jako pierwszą, zazwyczaj bez powodowania przestojów przy dodawaniu nowej bramy lub połączenia bramy.

Uwaga

  • Aby utworzyć sieć VPN typu lokacja-lokacja za pośrednictwem połączenia usługi ExpressRoute, zobacz Lokacja-lokacja przy użyciu Microsoft peering.
  • Jeśli masz już usługę ExpressRoute, nie musisz tworzyć sieci wirtualnej ani podsieci bramy, ponieważ są to wymagania wstępne dotyczące tworzenia usługi ExpressRoute.
  • W przypadku zaszyfrowanej bramy ExpressRoute zaciskanie MSS (maksymalny rozmiar segmentu) odbywa się za pośrednictwem usługi Azure VPN Gateway, aby ograniczyć rozmiar pakietów TCP do 1250 bajtów.

Limity i ograniczenia

  • Obsługiwana jest tylko brama VPN oparta na trasach: użyj bramy VPN opartej na trasach. Możesz również użyć bramy VPN opartej na trasach z połączeniem VPN skonfigurowanym dla selektorów polityki ruchu, zgodnie z opisem w artykule Łączenie z wieloma urządzeniami VPN opartymi na zasadach.
  • Konfiguracje współistnienia ExpressRoute-VPN Gateway nie są obsługiwane w podstawowym SKU.
  • Komunikacja BGP: Zarówno bramy ExpressRoute, jak i bramy sieci VPN muszą komunikować się za pośrednictwem protokołu BGP. Upewnij się, że każda trasa zdefiniowana przez użytkownika w podsieci bramy nie zawiera trasy dla samego zakresu podsieci bramy, ponieważ zakłóca to ruch BGP.
  • Routing tranzytowy: w przypadku routingu tranzytowego między usługą ExpressRoute i siecią VPN numer ASN usługi Azure VPN Gateway musi być ustawiony na wartość 65515. Usługa Azure VPN Gateway obsługuje protokół routingu BGP. Aby współpracować, zachowaj numer ASN bramy sieci VPN platformy Azure z wartością domyślną 65515. Jeśli zmienisz numer ASN na 65515, zresetuj bramę sieci VPN, aby ustawienie miało zastosowanie.
  • Rozmiar podsieci bramy: Podsieć bramy musi mieć rozmiar /27 lub krótszy prefiks (taki jak /26 lub /25), w przeciwnym razie podczas dodawania bramy sieci wirtualnej ExpressRoute pojawi się komunikat o błędzie.

Projekty konfiguracji

Skonfiguruj połączenie VPN typu lokacja-lokacja jako ścieżkę awaryjną dla usługi ExpressRoute.

Połączenie VPN typu site-to-site można skonfigurować jako rozwiązanie zapasowe dla usługi ExpressRoute. Ta konfiguracja ma zastosowanie tylko do sieci wirtualnych połączonych ze ścieżką prywatnego peeringu platformy Azure. Nie ma rozwiązania trybu failover opartego na sieci VPN dla usług dostępnych za pośrednictwem równorzędnych połączeń firmy Microsoft Azure. Obwód usługi ExpressRoute pozostaje podstawowym linkiem, a dane przepływa przez ścieżkę sieci VPN typu lokacja-lokacja tylko wtedy, gdy obwód usługi ExpressRoute ulegnie awarii. Aby uniknąć routingu asymetrycznego, skonfiguruj sieć lokalną, aby preferować obwód usługi ExpressRoute za pośrednictwem sieci VPN typu lokacja-lokacja, ustawiając wyższą preferencję lokalną dla tras odebranych za pośrednictwem usługi ExpressRoute.

Uwaga

Jeśli masz włączony peering Microsoft dla usługi ExpressRoute, możesz otrzymać publiczny adres IP swojej bramy VPN Azure na połączeniu ExpressRoute. Aby skonfigurować połączenie sieci VPN typu lokacja-lokacja jako kopię zapasową, skonfiguruj sieć lokalną tak, aby połączenie sieci VPN było kierowane do Internetu.

Uwaga

Chociaż obwód usługi ExpressRoute jest preferowany za pośrednictwem sieci VPN typu lokacja-lokacja, gdy obie trasy są takie same, platforma Azure użyje najdłuższego dopasowania prefiksu, aby wybrać trasę do miejsca docelowego pakietu.

Diagram połączenia sieci VPN typu lokacja-lokacja używany jako kopia zapasowa usługi ExpressRoute.

Konfigurowanie sieci VPN typu lokacja-lokacja do łączenia się z lokacjami, które nie są połączone za pośrednictwem usługi ExpressRoute

Sieć można skonfigurować tak, aby niektóre lokacje łączyły się bezpośrednio z platformą Azure za pośrednictwem sieci VPN typu lokacja-lokacja, podczas gdy inne łączą się za pośrednictwem usługi ExpressRoute.

Diagram współistniejącego połączenia sieci VPN typu lokacja-lokacja z połączeniem usługi ExpressRoute dla dwóch różnych lokacji.

Wybieranie kroków do zastosowania

Istnieją dwa różne zestawy procedur do wyboru. Wybrana procedura konfiguracji zależy od tego, czy masz istniejącą sieć wirtualną, z którą chcesz nawiązać połączenie, czy też chcesz utworzyć nową sieć wirtualną.

  • Nie mam sieci wirtualnej i muszę je utworzyć.

    Jeśli nie masz jeszcze sieci wirtualnej, wykonaj kroki opisane w rozdziale "Jak utworzyć nową sieć wirtualną i połączenia współistniejące", aby utworzyć nową sieć wirtualną przy użyciu modelu wdrażania Resource Manager oraz skonfigurować nowe połączenia ExpressRoute i VPN typu lokacja-lokacja.

  • Mam już model wdrożenia sieci Resource Manager w sieci wirtualnej.

    Jeżeli posiadasz już sieć wirtualną z istniejącym połączeniem Site-to-Site VPN lub połączeniem usługi ExpressRoute, a prefiks podsieci bramy to /28 lub więcej (/29, /30 itp.), należy usunąć istniejącą bramę. Wykonaj kroki opisane w temacie Aby skonfigurować współistniejące połączenia dla już istniejącej sieci wirtualnej, aby usunąć bramę i utworzyć nowe połączenia ExpressRoute i VPN typu site-to-site.

    Usunięcie i ponowne utworzenie bramy spowoduje przestój połączeń między lokalizacjami. Jednak maszyny wirtualne i usługi mogą nadal komunikować się za pośrednictwem modułu równoważenia obciążenia podczas tego procesu, jeśli zostały skonfigurowane do tego celu.

Aby utworzyć nową sieć wirtualną oraz współistniejące połączenia

Ta procedura przeprowadzi Cię przez proces tworzenia sieci wirtualnej i konfigurowania współistniejących połączeń typu lokacja-lokacja i usługi ExpressRoute.

  1. Zaloguj się w witrynie Azure Portal.

  2. W lewym górnym rogu ekranu wybierz pozycję + Utwórz zasób i wyszukaj pozycję Sieć wirtualna.

  3. Wybierz pozycję Utwórz , aby rozpocząć konfigurowanie sieci wirtualnej.

  4. Na karcie Podstawy wybierz lub utwórz nową grupę zasobów do przechowywania sieci wirtualnej. Wprowadź nazwę i wybierz region, w którym chcesz wdrożyć sieć wirtualną. Wybierz pozycję Dalej: adresy > IP, aby skonfigurować przestrzeń adresową i podsieci.

    Zrzut ekranu zakładki Podstawy dla tworzenia sieci wirtualnej.

  5. Na karcie Adresy IP skonfiguruj przestrzeń adresową sieci wirtualnej. Zdefiniuj podsieci, które chcesz utworzyć, w tym podsieć bramy. Wybierz Przejrzyj i utwórz, a następnie Utwórz, aby wdrożyć sieć wirtualną. Aby uzyskać więcej informacji na temat tworzenia sieci wirtualnej, zobacz Create a virtual network (Tworzenie sieci wirtualnej). Aby uzyskać więcej informacji na temat tworzenia podsieci, zobacz Tworzenie podsieci.

    Ważne

    Wartość podsieci bramy musi wynosić /27; prefiks może też być krótszy (np. /26 lub /25).

    Zrzut ekranu przedstawiający kartę Adresy IP służące do tworzenia sieci wirtualnej.

  6. Utwórz bramę sieci VPN typu lokacja-lokacja i bramę sieci lokalnej. Aby uzyskać więcej informacji na temat konfiguracji bramy sieci VPN, zapoznaj się z Konfigurowaniem sieci wirtualnej przy użyciu połączenia lokacja-do-lokacji. Element GatewaySku jest obsługiwany tylko na bramach VPN VpnGw1, VpnGw2, VpnGw3, Standard i HighPerformance. Współistnienie konfiguracji usługi ExpressRoute-VPN Gateway nie jest obsługiwane w jednostce SKU w warstwie Podstawowa. Parametr VpnType musi mieć wartość RouteBased.

  7. Skonfiguruj lokalne urządzenie sieci VPN do połączenia z nową bramą sieci VPN Azure. Więcej informacji na temat konfigurowania urządzenia VPN znajduje się w artykule VPN Device Configuration (Konfigurowanie urządzenia VPN).

  8. Jeśli łączysz się z istniejącym obwodem usługi ExpressRoute, pomiń kroki 8 i 9 i przejdź do kroku 10. Skonfiguruj obwody usługi ExpressRoute. Aby uzyskać więcej informacji na temat konfigurowania obwodu usługi ExpressRoute, zobacz Tworzenie obwodu usługi ExpressRoute.

  9. Skonfiguruj peering prywatny w Azure za pośrednictwem obwodu ExpressRoute. Aby uzyskać więcej informacji na temat konfigurowania prywatnego peeringu Azure przez łącze usługi ExpressRoute, zobacz Konfigurowanie peeringu.

  10. Wybierz + Utwórz zasób i wyszukaj Bramę sieci wirtualnej. Następnie wybierz Utwórz.

  11. Wybierz typ bramy usługi ExpressRoute, odpowiednią jednostkę SKU i sieć wirtualną do wdrożenia bramy.

    Zrzut ekranu przedstawiający tworzenie bramy sieci wirtualnej dla usługi ExpressRoute.

  12. Połącz bramę usługi ExpressRoute z obwodem usługi ExpressRoute. Po zakończeniu tego kroku zostanie nawiązane połączenie między siecią lokalną a platformą Azure za pośrednictwem usługi ExpressRoute. Aby uzyskać więcej informacji na temat operacji łączenia, zobacz artykuł „Łączenie sieci wirtualnych z usługą ExpressRoute” (Link VNets to ExpressRoute).

Aby skonfigurować współistniejące połączenia dla istniejącej sieci wirtualnej

Jeśli masz sieć wirtualną z tylko jedną bramą sieci wirtualnej (na przykład bramą sieci VPN typu lokacja-lokacja) i chcesz dodać inną bramę innego typu (na przykład bramę usługi ExpressRoute), sprawdź rozmiar podsieci bramy. Jeśli podsieć bramy jest /27 lub większa, możesz pominąć poniższe kroki i wykonać kroki opisane w poprzedniej sekcji, aby dodać bramę sieci VPN typu lokacja-lokacja lub bramę usługi ExpressRoute. Jeśli podsieć bramy ma wartość /28 lub /29, musisz najpierw usunąć bramę sieci wirtualnej i zwiększyć rozmiar podsieci bramy. W krokach w tej sekcji pokazano, jak to zrobić.

  1. Usuń istniejącą bramę ExpressRoute lub bramę VPN Site-to-Site.

  2. Usuń i utwórz ponownie podsieć GatewaySubnet z prefiksem /27 lub krótszym.

  3. Skonfiguruj sieć wirtualną za pomocą połączenia siedziba-siedziba, a następnie skonfiguruj bramę usługi ExpressRoute.

  4. Po wdrożeniu bramy usługi ExpressRoute możesz połączyć sieć wirtualną z obwodem usługi ExpressRoute.

Aby dodać konfigurację typu punkt-lokacja do bramy sieci VPN

Konfigurację punkt-lokacja można dodać do współistniejącego zestawu, postępując zgodnie z instrukcjami w temacie Konfigurowanie połączenia sieci VPN typu punkt-lokacja przy użyciu uwierzytelniania certyfikatu platformy Azure.

Aby włączyć routing tranzytowy między usługą ExpressRoute i siecią VPN platformy Azure

Jeśli chcesz włączyć łączność między jedną z sieci lokalnych połączonych z usługą ExpressRoute i inną siecią lokalną połączoną z połączeniem sieci VPN typu lokacja-lokacja, musisz skonfigurować usługę Azure Route Server.

Następne kroki

Więcej informacji na temat usługi ExpressRoute znajduje się w artykule ExpressRoute FAQ (Usługa ExpressRoute — często zadawane pytania).