Łączenie usługi Azure Stack Hub z platformą Azure przy użyciu usługi Azure ExpressRoute
W tym artykule opisano sposób łączenia sieci wirtualnej usługi Azure Stack Hub z siecią wirtualną platformy Azure przy użyciu bezpośredniego połączenia usługi Microsoft Azure ExpressRoute .
Możesz użyć tego artykułu jako samouczka i użyć przykładów do skonfigurowania tego samego środowiska testowego. Możesz też przeczytać ten artykuł jako przewodnik, który przeprowadzi Cię przez proces konfigurowania własnego środowiska usługi ExpressRoute.
Omówienie, założenia i wymagania wstępne
Usługa Azure ExpressRoute umożliwia rozszerzenie sieci lokalnych do chmury firmy Microsoft za pośrednictwem połączenia prywatnego dostarczonego przez dostawcę łączności. Usługa ExpressRoute nie jest połączeniem sieci VPN za pośrednictwem publicznego Internetu.
Aby uzyskać więcej informacji na temat usługi Azure ExpressRoute, zobacz Omówienie usługi ExpressRoute.
Założenia
W tym artykule przyjęto założenie, że:
- Masz działającą wiedzę na temat platformy Azure.
- Masz podstawową wiedzę na temat usługi Azure Stack Hub.
- Masz podstawową wiedzę na temat sieci.
Wymagania wstępne
Aby połączyć usługę Azure Stack Hub i platformę Azure przy użyciu usługi ExpressRoute, musisz spełnić następujące wymagania:
- Aprowizowany obwód usługi ExpressRoute za pośrednictwem dostawcy łączności.
- Subskrypcja platformy Azure do tworzenia obwodu i sieci wirtualnych usługi ExpressRoute na platformie Azure.
- Router, który musi:
- Obsługa połączeń sieci VPN typu lokacja-lokacja między interfejsem SIECI LAN i bramą wielodostępną usługi Azure Stack Hub.
- Obsługa tworzenia wielu funkcji VRFs (routingu wirtualnego i przekazywania), jeśli istnieje więcej niż jedna dzierżawa we wdrożeniu usługi Azure Stack Hub.
- Router, który ma:
- Port sieci WAN połączony z obwodem usługi ExpressRoute.
- Port sieci LAN połączony z bramą wielodostępną usługi Azure Stack Hub.
Architektura sieci usługi ExpressRoute
Na poniższej ilustracji przedstawiono środowiska usługi Azure Stack Hub i platformy Azure po zakończeniu konfigurowania usługi ExpressRoute przy użyciu przykładów w tym artykule:
Na poniższej ilustracji pokazano, jak wiele dzierżaw łączy się z infrastruktury usługi Azure Stack Hub za pośrednictwem routera usługi ExpressRoute do platformy Azure:
W przykładzie w tym artykule użyto tej samej architektury wielodostępnej pokazanej na tym diagramie, aby połączyć usługę Azure Stack Hub z platformą Azure przy użyciu prywatnej komunikacji równorzędnej usługi ExpressRoute. Połączenie odbywa się przy użyciu połączenia sieci VPN typu lokacja-lokacja z bramy sieci wirtualnej w usłudze Azure Stack Hub do routera usługi ExpressRoute.
W krokach w tym artykule pokazano, jak utworzyć kompleksowe połączenie między dwiema sieciami wirtualnymi z dwóch różnych dzierżaw w usłudze Azure Stack Hub z odpowiednimi sieciami wirtualnymi na platformie Azure. Konfigurowanie dwóch dzierżaw jest opcjonalne; Możesz również użyć tych kroków dla jednej dzierżawy.
Konfigurowanie usługi Azure Stack Hub
Aby skonfigurować środowisko usługi Azure Stack Hub dla pierwszej dzierżawy, wykonaj następujące kroki jako przewodnik. Jeśli konfigurujesz więcej niż jedną dzierżawę, powtórz następujące kroki:
Uwaga
W tych krokach pokazano, jak tworzyć zasoby przy użyciu portalu usługi Azure Stack Hub, ale można również użyć programu PowerShell.
Zanim rozpoczniesz
Przed rozpoczęciem konfigurowania usługi Azure Stack Hub potrzebne są następujące elementy:
- Wdrożenie usługi Azure Stack Hub.
- Oferta w usłudze Azure Stack Hub, którą użytkownicy mogą subskrybować. Aby uzyskać więcej informacji, zobacz Service, plan, offer, subscription overview (Usługa, plan, oferta, omówienie subskrypcji).
Tworzenie zasobów sieciowych w usłudze Azure Stack Hub
Użyj poniższych procedur, aby utworzyć wymagane zasoby sieciowe w usłudze Azure Stack Hub dla dzierżawy.
Tworzenie sieci wirtualnej i podsieci maszyny wirtualnej
Zaloguj się do portalu użytkowników usługi Azure Stack Hub.
W portalu wybierz pozycję + Utwórz zasób.
W obszarze Azure Marketplace wybierz pozycję Sieć.
W obszarze Polecane wybierz pozycję Sieć wirtualna.
W obszarze Utwórz sieć wirtualną wprowadź wartości przedstawione w poniższej tabeli w odpowiednich polach:
Pole Wartość Nazwisko Tenant1VNet1 Przestrzeń adresowa 10.1.0.0/16 Nazwa podsieci Tenant1-Sub1 Zakres adresów podsieci 10.1.1.0/24 W polu Subskrypcja powinna zostać wyświetlona utworzona wcześniej subskrypcja. Dla pozostałych pól:
- W obszarze Grupa zasobów wybierz pozycję Utwórz nową , aby utworzyć nową grupę zasobów lub jeśli już istnieje, wybierz pozycję Użyj istniejącej.
- Sprawdź domyślną lokalizację.
- Kliknij pozycję Utwórz.
- (Opcjonalnie) Kliknij pozycję Przypnij do pulpitu nawigacyjnego.
Tworzenie podsieci bramy
- W obszarze Sieć wirtualna wybierz pozycję Tenant1VNet1.
- W obszarze USTAWIENIA wybierz pozycję Podsieci.
- Wybierz pozycję + Podsieć bramy, aby dodać podsieć bramy do sieci wirtualnej.
- Domyślna nazwa podsieci to GatewaySubnet. Podsieci bramy są specjalnym przypadkiem i muszą używać tej nazwy do poprawnego działania.
- Sprawdź, czy zakres adresów to 10.1.0.0/24.
- Kliknij przycisk OK , aby utworzyć podsieć bramy.
Tworzenie bramy sieci wirtualnej
- W portalu użytkowników usługi Azure Stack Hub kliknij pozycję + Utwórz zasób.
- W obszarze Azure Marketplace wybierz pozycję Sieć.
- Wybierz pozycję Brama sieci wirtualnej z listy zasobów sieciowych.
- W polu Nazwa wprowadź gw1.
- Wybierz pozycję Sieć wirtualna.
- Z listy rozwijanej wybierz pozycję Tenant1VNet1 .
- Wybierz pozycję Publiczny adres IP, a następnie wybierz publiczny adres IP, a następnie kliknij pozycję Utwórz nowy.
- W polu Nazwa wpisz GW1-, a następnie kliknij przycisk OK.
- W polu Typ sieci VPN powinna być domyślnie wybrana pozycja Oparta na trasach. Zachowaj to ustawienie.
- Upewnij się, że wartości w polach Subskrypcja i Lokalizacja są poprawne. Kliknij pozycję Utwórz.
Tworzenie bramy sieci lokalnej
Zasób bramy sieci lokalnej identyfikuje bramę zdalną na drugim końcu połączenia sieci VPN. W tym przykładzie zdalny koniec połączenia jest interfejsem podrzędnym sieci LAN routera usługi ExpressRoute. W przypadku dzierżawy 1 na poprzednim diagramie adres zdalny to 10.60.3.255.
Zaloguj się do portalu użytkowników usługi Azure Stack Hub i wybierz pozycję + Utwórz zasób.
W obszarze Azure Marketplace wybierz pozycję Sieć.
Wybierz pozycję brama sieci lokalnej z listy zasobów.
W polu Nazwa wpisz ER-Router-GW.
Aby zapoznać się z polem Adres IP, zobacz poprzedni rysunek. Adres IP pod interfejsu sieci LAN routera usługi ExpressRoute dla dzierżawy 1 to 10.60.3.255. Dla własnego środowiska wprowadź adres IP odpowiedniego interfejsu routera.
W polu Przestrzeń adresowa wprowadź przestrzeń adresową sieci wirtualnych, z którymi chcesz nawiązać połączenie na platformie Azure. Podsieci dzierżawy 1 są następujące:
- 192.168.2.0/24 to piasta sieci wirtualnej na platformie Azure.
- 10.100.0.0/16 to szprycha sieci wirtualnej na platformie Azure.
Ważne
W tym przykładzie przyjęto założenie, że używasz tras statycznych dla połączenia sieci VPN typu lokacja-lokacja między bramą usługi Azure Stack Hub i routerem usługi ExpressRoute.
Sprawdź, czy subskrypcja, grupa zasobów i lokalizacja są poprawne. Następnie wybierz Utwórz.
Tworzenie połączenia
- W portalu użytkowników usługi Azure Stack Hub wybierz pozycję + Utwórz zasób.
- W obszarze Azure Marketplace wybierz pozycję Sieć.
- Wybierz pozycję Połączenie z listy zasobów.
- W obszarze Podstawy wybierz pozycję Lokacja-lokacja (IPSec) jako typ połączenia.
- Wybierz pozycję Subskrypcja, Grupa zasobów i Lokalizacja. Kliknij przycisk OK.
- W obszarze Ustawienia wybierz pozycję Brama sieci wirtualnej, a następnie wybierz pozycję GW1.
- Wybierz pozycję Brama sieci lokalnej, a następnie wybierz pozycję Brama routera ER.
- W polu Nazwa połączenia wprowadź wartość ConnectToAzure.
- W polu Klucz wspólny (PSK) wprowadź ciąg abc123, a następnie wybierz przycisk OK.
- W obszarze Podsumowanie wybierz przycisk OK.
Uzyskiwanie publicznego adresu IP bramy sieci wirtualnej
Po utworzeniu bramy sieci wirtualnej można uzyskać publiczny adres IP bramy. Zanotuj ten adres, jeśli będzie potrzebny później do wdrożenia. W zależności od wdrożenia ten adres jest używany jako wewnętrzny adres IP.
- W portalu użytkowników usługi Azure Stack Hub wybierz pozycję Wszystkie zasoby.
- W obszarze Wszystkie zasoby wybierz bramę sieci wirtualnej, która jest bramą GW1 w przykładzie.
- W obszarze Brama sieci wirtualnej wybierz pozycję Przegląd z listy zasobów. Alternatywnie możesz wybrać pozycję Właściwości.
- Adres IP, który chcesz zanotować, znajduje się na liście w obszarze Publiczny adres IP. Na potrzeby przykładowej konfiguracji ten adres to 192.68.102.1.
Tworzenie maszyny wirtualnej
Aby przetestować ruch danych za pośrednictwem połączenia sieci VPN, potrzebne są maszyny wirtualne do wysyłania i odbierania danych w sieci wirtualnej usługi Azure Stack Hub. Utwórz maszynę wirtualną i wdróż ją w podsieci maszyny wirtualnej dla sieci wirtualnej.
W portalu użytkowników usługi Azure Stack Hub wybierz pozycję + Utwórz zasób.
W witrynie Azure Marketplace wybierz pozycję Obliczenia.
Na liście obrazów maszyn wirtualnych wybierz obraz systemu Windows Server 2016 Datacenter Eval .
Uwaga
Jeśli obraz używany w tym artykule jest niedostępny, poproś operatora usługi Azure Stack Hub o podanie innego obrazu systemu Windows Server.
W obszarze Tworzenie maszyny wirtualnej wybierz pozycję Podstawy, a następnie wpisz VM01 jako nazwę.
Wprowadź prawidłową nazwę użytkownika i hasło. To konto będzie używane do logowania się do maszyny wirtualnej po jej utworzeniu.
Podaj subskrypcję, grupę zasobów i lokalizację. Wybierz przycisk OK.
W obszarze Wybierz rozmiar wybierz rozmiar maszyny wirtualnej dla tego wystąpienia, a następnie wybierz pozycję Wybierz.
W obszarze Ustawienia upewnij się, że:
- Sieć wirtualna to Tenant1VNet1.
- Podsieć jest ustawiona na 10.1.1.0/24.
Użyj ustawień domyślnych i kliknij przycisk OK.
W obszarze Podsumowanie przejrzyj konfigurację maszyny wirtualnej, a następnie kliknij przycisk OK.
Aby dodać więcej dzierżaw, powtórz kroki opisane w poniższych sekcjach:
- Tworzenie sieci wirtualnej i podsieci maszyn wirtualnych
- Tworzenie podsieci bramy
- Tworzenie bramy sieci wirtualnej
- Tworzenie bramy sieci lokalnej
- Tworzenie połączenia
- Tworzenie maszyny wirtualnej
Jeśli używasz dzierżawy 2 jako przykładu, pamiętaj, aby zmienić adresy IP, aby uniknąć nakładania się.
Konfigurowanie maszyny wirtualnej translatora adresów sieciowych na potrzeby przechodzenia bramy
Ważne
Ta sekcja dotyczy tylko wdrożeń zestawu ASDK. Translator adresów sieciowych nie jest wymagany w przypadku wdrożeń z wieloma węzłami.
Zestaw ASDK jest samodzielny i odizolowany od sieci, w której wdrożono hosta fizycznego. Sieć adresów VIP, z którą są połączone bramy, nie jest zewnętrzna; jest ukryty za routerem wykonującym translacja adresów sieciowych (NAT).
Router jest hostem zestawu ASDK z rolą Routing i Zdalne Usługi programu Access (RRAS). Należy skonfigurować translator adresów sieciowych na hoście ASDK, aby umożliwić połączenie sieci VPN typu lokacja-lokacja na obu końcach.
Konfigurowanie translatora adresów sieciowych
Zaloguj się do komputera hosta usługi Azure Stack Hub przy użyciu konta administratora.
Uruchom skrypt w programie PowerShell ISE z podwyższonym poziomem uprawnień. Ten skrypt zwraca zewnętrzny adres BGPNAT.
Get-NetNatExternalAddress
Aby skonfigurować translator adresów sieciowych, skopiuj i edytuj następujący skrypt programu PowerShell. Edytuj skrypt, aby zastąpić element
External BGPNAT address
iInternal IP address
następującymi przykładowymi wartościami:- W przypadku zewnętrznego adresu BGPNAT użyj adresu 10.10.0.62
- W przypadku wewnętrznego adresu IP użyj adresu 192.168.102.1
Uruchom następujący skrypt z programu PowerShell ISE z podwyższonym poziomem uprawnień:
$ExtBgpNat = 'External BGPNAT address' $IntBgpNat = 'Internal IP address' # Designate the external NAT address for the ports that use the IKE authentication. Add-NetNatExternalAddress ` -NatName BGPNAT ` -IPAddress $Using:ExtBgpNat ` -PortStart 499 ` -PortEnd 501 Add-NetNatExternalAddress ` -NatName BGPNAT ` -IPAddress $Using:ExtBgpNat ` -PortStart 4499 ` -PortEnd 4501 # Create a static NAT mapping to map the external address to the Gateway public IP address to map the ISAKMP port 500 for PHASE 1 of the IPSEC tunnel. Add-NetNatStaticMapping ` -NatName BGPNAT ` -Protocol UDP ` -ExternalIPAddress $Using:ExtBgpNat ` -InternalIPAddress $Using:IntBgpNat ` -ExternalPort 500 ` -InternalPort 500 # Configure NAT traversal which uses port 4500 to establish the complete IPSEC tunnel over NAT devices. Add-NetNatStaticMapping ` -NatName BGPNAT ` -Protocol UDP ` -ExternalIPAddress $Using:ExtBgpNat ` -InternalIPAddress $Using:IntBgpNat ` -ExternalPort 4500 ` -InternalPort 4500
Konfiguruj system Azure
Po zakończeniu konfigurowania usługi Azure Stack Hub można wdrożyć zasoby platformy Azure. Na poniższej ilustracji przedstawiono przykład sieci wirtualnej dzierżawy na platformie Azure. Możesz użyć dowolnego schematu nazw i adresowania dla sieci wirtualnej na platformie Azure. Jednak zakres adresów sieci wirtualnych na platformie Azure i w usłudze Azure Stack Hub musi być unikatowy i nie może nakładać się na siebie:
Zasoby wdrażane na platformie Azure są podobne do zasobów wdrożonych w usłudze Azure Stack Hub. Wdrażasz następujące składniki:
- Sieci wirtualne i podsieci
- Podsieć bramy
- Brama sieci wirtualnej
- Połączenie
- Obwód usługi ExpressRoute
Przykładowa infrastruktura sieciowa platformy Azure jest skonfigurowana w następujący sposób:
- Standardowy koncentrator (192.168.2.0/24) i szprycha (10.100.0./16) model sieci wirtualnej. Aby uzyskać więcej informacji na temat topologii sieci piasty i szprych, zobacz Implementowanie topologii sieci piasty i szprych na platformie Azure.
- Obciążenia są wdrażane w sieci wirtualnej będącej szprychą, a obwód usługi ExpressRoute jest połączony z siecią wirtualną piasty.
- Obie sieci wirtualne są połączone przy użyciu komunikacji równorzędnej sieci wirtualnych.
Konfigurowanie sieci wirtualnych platformy Azure
- Zaloguj się do witryny Azure Portal przy użyciu poświadczeń platformy Azure.
- Utwórz sieć wirtualną koncentratora przy użyciu zakresu adresów 192.168.2.0/24.
- Utwórz podsieć przy użyciu zakresu adresów 192.168.2.0/25 i dodaj podsieć bramy przy użyciu zakresu adresów 192.168.2.128/27.
- Utwórz sieć wirtualną szprychy i podsieć przy użyciu zakresu adresów 10.100.0.0/16.
Aby uzyskać więcej informacji na temat tworzenia sieci wirtualnych na platformie Azure, zobacz Tworzenie sieci wirtualnej.
Konfigurowanie obwodu usługi ExpressRoute
Zapoznaj się z wymaganiami wstępnymi usługi ExpressRoute w artykule Wymagania wstępne i lista kontrolna usługi ExpressRoute.
Wykonaj kroki opisane w temacie Tworzenie i modyfikowanie obwodu usługi ExpressRoute, aby utworzyć obwód usługi ExpressRoute przy użyciu subskrypcji platformy Azure.
Uwaga
Przekaż klucz usługi dla obwodu do usługi, aby mógł skonfigurować obwód usługi ExpressRoute na ich końcu.
Wykonaj kroki opisane w artykule Tworzenie i modyfikowanie komunikacji równorzędnej dla obwodu usługi ExpressRoute, aby skonfigurować prywatną komunikację równorzędną w obwodzie usługi ExpressRoute.
Tworzenie bramy sieci wirtualnej
Wykonaj kroki opisane w temacie Konfigurowanie bramy sieci wirtualnej dla usługi ExpressRoute przy użyciu programu PowerShell , aby utworzyć bramę sieci wirtualnej dla usługi ExpressRoute w sieci wirtualnej piasty.
Tworzenie połączenia
Aby połączyć obwód usługi ExpressRoute z siecią wirtualną koncentratora, wykonaj kroki opisane w artykule Łączenie sieci wirtualnej z obwodem usługi ExpressRoute.
Łączenie sieci wirtualnych przy użyciu komunikacji równorzędnej
Za pomocą komunikacji równorzędnej sieci wirtualnych piasty i szprych wykonaj kroki opisane w temacie Tworzenie komunikacji równorzędnej sieci wirtualnych przy użyciu witryny Azure Portal. Podczas konfigurowania komunikacji równorzędnej sieci wirtualnych upewnij się, że są używane następujące opcje:
- Z piasty do szprychy zezwalaj na tranzyt bramy.
- Z szprychy do koncentratora użyj bramy zdalnej.
Tworzenie maszyny wirtualnej
Wdróż maszyny wirtualne obciążenia w sieci wirtualnej będącej szprychą.
Powtórz te kroki dla wszystkich dodatkowych sieci wirtualnych dzierżawy, które chcesz połączyć na platformie Azure za pośrednictwem odpowiednich obwodów usługi ExpressRoute.
Konfigurowanie routera
Poniższy diagram konfiguracji routera usługi ExpressRoute można użyć jako przewodnika po konfigurowaniu routera usługi ExpressRoute. Na tym rysunku przedstawiono dwie dzierżawy (dzierżawa 1 i dzierżawa 2) z odpowiednimi obwodami usługi ExpressRoute. Każda dzierżawa jest połączona z własną siecią VRF (routingiem wirtualnym i przekazywaniem) w sieci LAN i sieci WAN routera usługi ExpressRoute. Ta konfiguracja zapewnia kompleksową izolację między dwiema dzierżawami. Zanotuj adresy IP używane w interfejsach routera zgodnie z przykładem konfiguracji.
Możesz użyć dowolnego routera obsługującego sieć VPN IKEv2 i protokół BGP, aby zakończyć połączenie sieci VPN typu lokacja-lokacja z usługi Azure Stack Hub. Ten sam router służy do nawiązywania połączenia z platformą Azure przy użyciu obwodu usługi ExpressRoute.
Poniższy przykład konfiguracji routera agregacji cisco ASR 1000 series obsługuje infrastrukturę sieciową pokazaną na diagramie konfiguracji routera usługi ExpressRoute.
ip vrf Tenant 1
description Routing Domain for PRIVATE peering to Azure for Tenant 1
rd 1:1
!
ip vrf Tenant 2
description Routing Domain for PRIVATE peering to Azure for Tenant 2
rd 1:5
!
crypto ikev2 proposal V2-PROPOSAL2
description IKEv2 proposal for Tenant 1
encryption aes-cbc-256
integrity sha256
group 2
crypto ikev2 proposal V4-PROPOSAL2
description IKEv2 proposal for Tenant 2
encryption aes-cbc-256
integrity sha256
group 2
!
crypto ikev2 policy V2-POLICY2
description IKEv2 Policy for Tenant 1
match fvrf Tenant 1
match address local 10.60.3.255
proposal V2-PROPOSAL2
description IKEv2 Policy for Tenant 2
crypto ikev2 policy V4-POLICY2
match fvrf Tenant 2
match address local 10.60.3.251
proposal V4-PROPOSAL2
!
crypto ikev2 profile V2-PROFILE
description IKEv2 profile for Tenant 1
match fvrf Tenant 1
match address local 10.60.3.255
match identity remote any
authentication remote pre-share key abc123
authentication local pre-share key abc123
ivrf Tenant 1
!
crypto ikev2 profile V4-PROFILE
description IKEv2 profile for Tenant 2
match fvrf Tenant 2
match address local 10.60.3.251
match identity remote any
authentication remote pre-share key abc123
authentication local pre-share key abc123
ivrf Tenant 2
!
crypto ipsec transform-set V2-TRANSFORM2 esp-gcm 256
mode tunnel
crypto ipsec transform-set V4-TRANSFORM2 esp-gcm 256
mode tunnel
!
crypto ipsec profile V2-PROFILE
set transform-set V2-TRANSFORM2
set ikev2-profile V2-PROFILE
!
crypto ipsec profile V4-PROFILE
set transform-set V4-TRANSFORM2
set ikev2-profile V4-PROFILE
!
interface Tunnel10
description S2S VPN Tunnel for Tenant 1
ip vrf forwarding Tenant 1
ip address 11.0.0.2 255.255.255.252
ip tcp adjust-mss 1350
tunnel source TenGigabitEthernet0/1/0.211
tunnel mode ipsec ipv4
tunnel destination 10.10.0.62
tunnel vrf Tenant 1
tunnel protection ipsec profile V2-PROFILE
!
interface Tunnel20
description S2S VPN Tunnel for Tenant 2
ip vrf forwarding Tenant 2
ip address 11.0.0.2 255.255.255.252
ip tcp adjust-mss 1350
tunnel source TenGigabitEthernet0/1/0.213
tunnel mode ipsec ipv4
tunnel destination 10.10.0.62
tunnel vrf VNET3
tunnel protection ipsec profile V4-PROFILE
!
interface GigabitEthernet0/0/1
description PRIMARY ExpressRoute Link to AZURE over Equinix
no ip address
negotiation auto
!
interface GigabitEthernet0/0/1.100
description Primary WAN interface of Tenant 1
description PRIMARY ER link supporting Tenant 1 to Azure
encapsulation dot1Q 101
ip vrf forwarding Tenant 1
ip address 192.168.1.1 255.255.255.252
!
interface GigabitEthernet0/0/1.102
description Primary WAN interface of Tenant 2
description PRIMARY ER link supporting Tenant 2 to Azure
encapsulation dot1Q 102
ip vrf forwarding Tenant 2
ip address 192.168.1.17 255.255.255.252
!
interface GigabitEthernet0/0/2
description BACKUP ExpressRoute Link to AZURE over Equinix
no ip address
negotiation auto
!
interface GigabitEthernet0/0/2.100
description Secondary WAN interface of Tenant 1
description BACKUP ER link supporting Tenant 1 to Azure
encapsulation dot1Q 101
ip vrf forwarding Tenant 1
ip address 192.168.1.5 255.255.255.252
!
interface GigabitEthernet0/0/2.102
description Secondary WAN interface of Tenant 2
description BACKUP ER link supporting Tenant 2 to Azure
encapsulation dot1Q 102
ip vrf forwarding Tenant 2
ip address 192.168.1.21 255.255.255.252
!
interface TenGigabitEthernet0/1/0
description Downlink to ---Port 1/47
no ip address
!
interface TenGigabitEthernet0/1/0.211
description LAN interface of Tenant 1
description Downlink to --- Port 1/47.211
encapsulation dot1Q 211
ip vrf forwarding Tenant 1
ip address 10.60.3.255 255.255.255.254
!
interface TenGigabitEthernet0/1/0.213
description LAN interface of Tenant 2
description Downlink to --- Port 1/47.213
encapsulation dot1Q 213
ip vrf forwarding Tenant 2
ip address 10.60.3.251 255.255.255.254
!
router bgp 65530
bgp router-id <removed>
bgp log-neighbor-changes
description BGP neighbor config and route advertisement for Tenant 1 VRF
address-family ipv4 vrf Tenant 1
network 10.1.0.0 mask 255.255.0.0
network 10.60.3.254 mask 255.255.255.254
network 192.168.1.0 mask 255.255.255.252
network 192.168.1.4 mask 255.255.255.252
neighbor 10.10.0.62 remote-as 65100
neighbor 10.10.0.62 description VPN-BGP-PEER-for-Tenant 1
neighbor 10.10.0.62 ebgp-multihop 5
neighbor 10.10.0.62 activate
neighbor 10.60.3.254 remote-as 4232570301
neighbor 10.60.3.254 description LAN peer for CPEC:INET:2112 VRF
neighbor 10.60.3.254 activate
neighbor 10.60.3.254 route-map BLOCK-ALL out
neighbor 192.168.1.2 remote-as 12076
neighbor 192.168.1.2 description PRIMARY ER peer for Tenant 1 to Azure
neighbor 192.168.1.2 ebgp-multihop 5
neighbor 192.168.1.2 activate
neighbor 192.168.1.2 soft-reconfiguration inbound
neighbor 192.168.1.2 route-map Tenant 1-ONLY out
neighbor 192.168.1.6 remote-as 12076
neighbor 192.168.1.6 description BACKUP ER peer for Tenant 1 to Azure
neighbor 192.168.1.6 ebgp-multihop 5
neighbor 192.168.1.6 activate
neighbor 192.168.1.6 soft-reconfiguration inbound
neighbor 192.168.1.6 route-map Tenant 1-ONLY out
maximum-paths 8
exit-address-family
!
description BGP neighbor config and route advertisement for Tenant 2 VRF
address-family ipv4 vrf Tenant 2
network 10.1.0.0 mask 255.255.0.0
network 10.60.3.250 mask 255.255.255.254
network 192.168.1.16 mask 255.255.255.252
network 192.168.1.20 mask 255.255.255.252
neighbor 10.10.0.62 remote-as 65300
neighbor 10.10.0.62 description VPN-BGP-PEER-for-Tenant 2
neighbor 10.10.0.62 ebgp-multihop 5
neighbor 10.10.0.62 activate
neighbor 10.60.3.250 remote-as 4232570301
neighbor 10.60.3.250 description LAN peer for CPEC:INET:2112 VRF
neighbor 10.60.3.250 activate
neighbor 10.60.3.250 route-map BLOCK-ALL out
neighbor 192.168.1.18 remote-as 12076
neighbor 192.168.1.18 description PRIMARY ER peer for Tenant 2 to Azure
neighbor 192.168.1.18 ebgp-multihop 5
neighbor 192.168.1.18 activate
neighbor 192.168.1.18 soft-reconfiguration inbound
neighbor 192.168.1.18 route-map VNET-ONLY out
neighbor 192.168.1.22 remote-as 12076
neighbor 192.168.1.22 description BACKUP ER peer for Tenant 2 to Azure
neighbor 192.168.1.22 ebgp-multihop 5
neighbor 192.168.1.22 activate
neighbor 192.168.1.22 soft-reconfiguration inbound
neighbor 192.168.1.22 route-map VNET-ONLY out
maximum-paths 8
exit-address-family
!
ip forward-protocol nd
!
ip as-path access-list 1 permit ^$
ip route vrf Tenant 1 10.1.0.0 255.255.0.0 Tunnel10
ip route vrf Tenant 2 10.1.0.0 255.255.0.0 Tunnel20
!
ip prefix-list BLOCK-ALL seq 5 deny 0.0.0.0/0 le 32
!
route-map BLOCK-ALL permit 10
match ip address prefix-list BLOCK-ALL
!
route-map VNET-ONLY permit 10
match as-path 1
!
Testowanie połączenia
Przetestuj połączenie po nawiązaniu połączenia lokacja-lokacja i obwodu usługi ExpressRoute.
Wykonaj następujące testy ping:
- Zaloguj się do jednej z maszyn wirtualnych w sieci wirtualnej platformy Azure i wyślij polecenie ping do maszyny wirtualnej utworzonej w usłudze Azure Stack Hub.
- Zaloguj się do jednej z maszyn wirtualnych utworzonych w usłudze Azure Stack Hub i wyślij polecenie ping do maszyny wirtualnej utworzonej w sieci wirtualnej platformy Azure.
Uwaga
Aby upewnić się, że wysyłasz ruch przez połączenia typu lokacja-lokacja i usługę ExpressRoute, musisz wysłać polecenie ping do dedykowanego adresu IP maszyny wirtualnej na obu końcach, a nie na adresie VIP maszyny wirtualnej.
Zezwalaj na korzystanie z protokołu ICMP za pośrednictwem zapory
Domyślnie system Windows Server 2016 nie zezwala na przychodzące pakiety ICMP przez zaporę. Dla każdej maszyny wirtualnej używanej na potrzeby testów ping należy zezwolić na przychodzące pakiety ICMP. Aby utworzyć regułę zapory dla protokołu ICMP, uruchom następujące polecenie cmdlet w oknie programu PowerShell z podwyższonym poziomem uprawnień:
# Create ICMP firewall rule.
New-NetFirewallRule `
-DisplayName "Allow ICMPv4-In" `
-Protocol ICMPv4
Ping do maszyny wirtualnej usługi Azure Stack Hub
Zaloguj się do portalu użytkowników usługi Azure Stack Hub.
Znajdź utworzoną maszynę wirtualną i wybierz ją.
Wybierz pozycję Połącz.
W wierszu polecenia systemu Windows lub programu PowerShell z podwyższonym poziomem uprawnień wprowadź ciąg ipconfig /all. Zanotuj adres IPv4 zwrócony w danych wyjściowych.
Wyślij polecenie ping do adresu IPv4 z maszyny wirtualnej w sieci wirtualnej platformy Azure.
W przykładowym środowisku adres IPv4 pochodzi z podsieci 10.1.1.x/24. W danym środowisku adres może być inny, ale powinien znajdować się w podsieci utworzonej dla podsieci sieci wirtualnej dzierżawy.
Wyświetlanie statystyk transferu danych
Jeśli chcesz wiedzieć, ile ruchu przechodzi przez połączenie, możesz znaleźć te informacje w portalu użytkowników usługi Azure Stack Hub. Wyświetlanie statystyk transferu danych jest również dobrym sposobem na sprawdzenie, czy dane testowe ping przeszły przez połączenia sieci VPN i usługi ExpressRoute:
- Zaloguj się do portalu użytkowników usługi Azure Stack Hub i wybierz pozycję Wszystkie zasoby.
- Przejdź do grupy zasobów dla bramy sieci VPN i wybierz typ obiektu Połączenie .
- Wybierz połączenie ConnectToAzure z listy.
- W obszarze Przegląd połączeń>można wyświetlić statystyki dotyczące danych w obszarze Dane i Dane wychodzące. Powinny zostać wyświetlone wartości inne niż zero.
Następne kroki
Wdrażanie aplikacji na platformie Azure i w usłudze Azure Stack Hub